LINUX.ORG.RU

Вопрос по правилам


0

0

www.linux.org.ru/rules.jsp

... Личная информация о пользователях Модераторы сайта имеют доступ к информации о пользователе, не доступной обычным пользователям. Следующая информация считается личной:

  • e-mail пользователя, указанный при регистрации
  • IP адрес пользователя, географическое местоположение, факт наличия статического IP, факт наличия нескольких пользователей на этом IP
  • используемый броузер/операционная система
  • пароль пользователя

Модераторы сайта обязаются не разглашать данные сведения в открытый доступ. ...

Это как понимать? Пароли хранятся в текстовом файлике или в ином формате, позволяющем восстановить исходный вид?

★★★★★

пароли не шифруются
если проверите отсылку пароля по почте - то приходит оригинальный пароль,
а не ссылка на его изменение.

Sylvia ★★★★★
()
Ответ на: комментарий от edigaryev

кхм.. а сами как думаете?
просто encryption is not implemented
а почему, вопрос не ко мне )

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

>пароли не шифруются
>если проверите отсылку пароля по почте - то приходит оригинальный пароль,

>а не ссылка на его изменение.


Спасибо за информацию. Нехорошо это.

aidaho ★★★★★
() автор топика
Ответ на: комментарий от aidaho

>Нехорошо это.

Нехорошо было, когда кое-кто из модераторов в качестве пруфа виртуальности виртуала выложил кусок базы с паролем в plain text.

(Доказательством являлось совпадение паролей)

Davidov ★★★★
()
Ответ на: комментарий от Davidov

А если бы они выложили два хеша от одинаковых паролей, вы полагаете хеши бы оказались бы различными и доказательство не состоялось бы?

kilolife ★★★★★
()

К паролям имеют доступ не все модераторы, а только те, у кого есть доступ к базе. Вроде так.

hibou ★★★★★
()
Ответ на: комментарий от kilolife

>А если бы они выложили два хеша

Это вообще к чему вопрос?

Я говорю о том, что выкладывать на ЛОРе пароли даже заблокированных пользователей не очень-то хорошо.

Davidov ★★★★
()
Ответ на: комментарий от Davidov

> Я говорю о том, что выкладывать на ЛОРе пароли даже заблокированных пользователей не очень-то хорошо.

У того многократно заблокированного и многократно уходившего пользователя был один пароль во всех логинах на ЛОРе и ещё на нескольких форумах и в почте. И какой-то злоумышленник этим воспользовался. Потому и запретили.

question4 ★★★★★
()
Ответ на: комментарий от question4

>> Я говорю о том, что выкладывать на ЛОРе пароли даже заблокированных пользователей не очень-то хорошо.

>У того многократно заблокированного и многократно уходившего пользователя был один пароль во всех логинах на ЛОРе и ещё на нескольких форумах и в почте. И какой-то злоумышленник этим воспользовался. Потому и запретили.

Аналогично мой регистрационный пароль так же использовался еще в некоторых местах, до прочтения правил. Хеширование все же не для красоты придумано; полномочий запрета утечки паролей пока ни у кого на этом свете нет.

aidaho ★★★★★
() автор топика
Ответ на: комментарий от kilolife

> А если бы они выложили два хеша от одинаковых паролей, вы полагаете хеши бы оказались бы различными и доказательство не состоялось бы?

Вообще-то в хеши добавляют случайный компонент как раз для того, чтобы хеши одинаковых паролей выглядели по разному. Попробуй создать двух пользователей, указать им одинаковые пароли, а потом сравнить хеши.

gaa ★★
()
Ответ на: комментарий от gaa

зависит от алгоритма
в нормальных алгоритмах используются сальты, те самые несколько символов которые добавляются к паролю, чтобы сделать хеши разными

если сальтов нет или они одинаковы ( такого по идее не должно быть что одинаковы , в любом случае вероятность мала ) то хеши тоже будут одинаковы

а вообще и правда нехорошо что не шифруется

Sylvia ★★★★★
()
Ответ на: комментарий от gaa

>Вообще-то в хеши добавляют случайный компонент как раз для того, чтобы хеши одинаковых паролей выглядели по разному.

Как в таком случае их сравнивать?

В простейшем случае INSERT INTO users VALUES (login, password_hash). Ну и потом сверять password_hash из дб и введённого пароля.

Или речь идёт о том, что для каждого сервера нужно завести secret_string и считать password_hash=sha1(password+secret_string)?

Davidov ★★★★
()
Ответ на: комментарий от Davidov

> как в таком случае их сравнивать?

сальт не шифруется

пример можете найти в /etc/shadow


$1$AZZZZZ$VVKQHJKSHSHJSHJSHGYGFGGFS

$1$ указывает на то что пароль использует MD5 hash

AZZZZZZ - используемый сальт, незашифрован

оставшаяся часть после $ - хеш пароля

логин получает пароль от пользователя, берет сальт, зашифровывает полученое с его помощью, сравнивает с имеющимся хешем

если изменить сальт - изменится и хеш. сами сальты не шифруются. да, можно ввести некий secret , в таком случае это будет работать как статический сальт, который в поле пароля можно и не указывать, если он один для всех.

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Спасибо, здорово. Странно, почему это так редко используют в веб-приложениях (по крайней мере я никогда не видел).

Davidov ★★★★
()
Ответ на: комментарий от madcore

А, полюбому где-то в бэкапах можно отрыть..

madcore ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.