жЫстокий ревендж ) Сервис Apple для разработчиков приложений отключен из-за атаки хакеров

Программист ПХП на любом языке сможет писать код ПХП.

Ты знаешь, код C++ программиста на PHP тоже выглядит своеобразно и он очень дыряв.

РЕШЕТО!!!!11

Не хило так взломан.. до сих пор валяется ы

Работа изнутри - я считаю.

Работа изнутри

Считайте болезнью всех открытых сообществ :) Ибо ротация без ответственности.

Другое дело персональные данные, хорошо бы их убрать вообще, а такие вещи как письмо на email решать через openid (и ему подобные) напрямую.

Есть Бог на свете!

Ты думаешь это он? :)

а я всегда говорил что на пхп ничего путного сделать нельзя.

А я говорил всегда что беспутье - обсирать что-то труд и ничего больше не делать.

Справедливость восторжествовала!

Программист ПХП на любом языке сможет писать код ПХП.

Что такое ПХП?

Если бы ССЗБхомячьё не использовало один и тот же логин-пароль на всех ресурсах, ни кто бы и не пострадал от такого взлома

И у каждого юзера своя соль.

Это как? А где она хранится?

ну Вы так говорите будто проблема взлома это проблема самого языка...

Конечно языка, на ПЫХЕ пишут только неграмотные и только криво и никто никогда ни копейки на этом не зарабатыват! Вот на «любом другом языке» ситуация прямо противоположная, пишут сплошь профессионалы, всегда купаются в золоте и ничего у них никогда не взламывают

начиная с 2.0 — BSD. Жаль, что не GPL, но всё-таки не проприетарщина.

BSD же не нужно, как так?

PHP!!!!11

fxd

Ну естественно в той же базе которую слили, только вот разная соль делает невозможным брут нескольких хешей одновременно. А это значительно усложняет процесс массового брута.

На лоре меня не забанили еще ни разу. А там это дело двух минут. Хватит только в теме сказать противоложное мнение. Причем не говорю, оспаривать действия админа или модера. Нет. Именно не быть согласным с ним, к примеру что земля круглая. Бан. Там админ и модеры не адекваты полные.

Нытик? Где я ныл? Если ты только его читаешь, то конечно там все хорошо. А у меня там первый бан за создание темы, с просьбой о изменения раздела новостей. В итоге бан с припиской «Не умничай»))

Просто ты один такой :) Остальные обходятся без самодеятельности ;)

Ничего страшного в этом нет, просто некоторые по невообразимым причинам конфликтуют, вот и тебе нервный модератор попался, да и мне бы такое не понравилось. Просто надо новый акк сделать, и негатив о тебе забудут :)

покажи рабочих дырок мне

Ну естественно в той же базе которую слили, только вот разная соль делает невозможным брут нескольких хешей одновременно. А это значительно усложняет процесс массового брута.

Я вот в толк все никак не возьму, все эти ваши соли, они ведь никак не защищают пароль от подбора? Только усложняют брутфорс (==больше времени на брутфорс), но ведь усложнение не критичное? То есть время подбора все равно не миллионы лет?

По факту, что md5(pass), что md5(md5(pass)), что md5(md5(pass).md5(salt)) ничего не меняют, кроме времени брутфорса. (причем везде - некритично)

Вопрос крипто-кунам почему бы просто не сделать эн раз md5-хеш от пароля? Чем соль круче? ведь взять сто раз мд5 хеш при регистрации или проверке пароля - не так уж и нагружно, ибо не каждую секунду делается, а подобрать будет в сотой степени сложнее? В чем я неправ?

Нет, в таких случаях следует обратиться к администрации. Адекватная администрация выдаёт пендаль модератору или вообще посылает его подальше от модерки. Но адекватные администрации на форумах, к сожалению, редко встречаются в СНГ.

Ты не прав тем, что этот способ усложняет проверку пароля сильнее, чем перебор. Это как в Москве начали бороться непонятно с чем и понаставили заборов везде, где только можно. Ничего не побороли, но дворами теперь ни где ни пройти ни проехать. Качество жизни понизилось и никакой компенсации нет.

А сложные пароли (20+ не слованрых символов всех сортов) и так не подбираются ни за сколько лет ни с какой солью

Cейчас вообще делают и соль, и много-много хеширований. В django, по-крайней мере, новых так по дефолту.

А русскоязычный не взломан,не?а то я там зареген

Мдее...

Что можно сказать, всё ужасно, есть инфа, что ломалки пришли от ubisofta (во всяком случае на tor такая инфа лежит). Сочувствую тем, кто юзает 1 и тот же пароль везде =( . Не надо так.

Глуп твой папа, что пустил тебя в ИТ.
Похапэха - ничуть не более «различный» язык, чем лисп, си или ASP. Просто он сделан дебилом для дебилов - ну ты очень близок к их аудитории. Нормальный прогер не касается похапэ ни под каким видом.

То есть время подбора все равно не миллионы лет?

Это зависит от сложности самого пароля. Вставь в него редко используемый символ, и никто никогда в жизни его не сбрутит.

По факту, что md5(pass), что md5(md5(pass)), что md5(md5(pass).md5(salt)) ничего не меняют, кроме времени брутфорса. (причем везде - некритично)

Так же как и соль любой нестандартный подход не дает воспользоватся уже готовой базой.

Вопрос крипто-кунам почему бы просто не сделать эн раз md5-хеш от пароля? Чем соль круче?

Соль не круче, у соли другая функция. Представь себе, что у тебя есть скажем 100 хешей которые ты хочешь побрутить. Три разные ситуации:
1 - Если соли нету, то можно взять уже готовую базу хешей или воспользоватся веб сервисом. Например cmd5.ru у них правда десятки терабайтов хешей, хоть он и платный. Или сгенерить свою базу, но нужно очень много быстрых винтов. При этом на видеокарте если ты брутишь, то ты можешь одновременно брутить очень много хешей.
2 - Если соль есть, но общая, то готовой базой уже не воспользуешься, но можно сгенерить свою. Но ты ещё можешь одновременно брутить много хешей.
3 - Если же соль есть и она для каждого пароля разная, то можно исключительно брутить, и брутить надо каждый пароль по отдельности. Т.е ни о каком массовом бруте не может быть речи.

Понятно объяснил?

ведь взять сто раз мд5 хеш при регистрации или проверке пароля - не так уж и нагружно, ибо не каждую секунду делается, а подобрать будет в сотой степени сложнее?

Да, но так к сожалению мало кто делает.

Нормальный прогер не касается похапэ ни под каким видом.

нормальный прогер по 10 раз в день демонстративно говорит, что не касается пхп ни под каким видом

Это лень тянуться до капса для смены локали.

Оупенсорсный форум на проприетарном движке? Canonical такая Canonical.

Оупенсоурсные движки такие оупенсоурсные?

Регистрировался там. В упор не могу вспомнить на какой ящик. Надеюсь, в целом все обойдется и будет повторение урока - пароли на форумах должны отличаться от паролей почтовых ящиков.

ПХП это лень тянуться до капса для смены локали?

Жестите товарищ =) У всех есть + и - , смысл спорить на эту тему - нету смысла =)))

Мне вот с утра gmail сломали

С двухфакторной авторизацией?

Он дали зайти людям с Литвы. Лишь потом прислали мне СМС «необычный вход в систему с Литвы».

Так была включена или нет?

Другая страна это же ещё не повод отказывать в авторизации.

Проходя мимо напоминаю что изначальная команда разработчиков давно покинула компанию vBulletin и сам vBulletin очень давно не развивается почти никак, аналогично у него с фиксами безопасности, вместо этого компания судится со своими разработчиками, которые теперь разрабатывают XenForo, несмотря на то, что XenForo был написан с нуля и не содержит кода vBulletin.

То, что ubuntuforums не перешли на XenForo, выявляет у администрации самих себе злобных буратин.

получили доступ к логинам, паролям и email'ам всех пользователей

а почему не к сотовым телефонам, кодам от домофонов, спискам содержимого холодильников...

просто..... об этом умолчали.....

Зато

Зато под убунту больше всего программ!

а я всегда говорил что на пхп ничего путного сделать нельзя.

Зашёл в комменты ради этого комментария.

ОС BSD не нужна. А лицензия пока ещё сгодится — для разработчиков, которые не вполне созрели духовно.

На лоре меня не забанили еще ни разу.

Всё бывает впервые...

Ты не прав тем, что этот способ усложняет проверку пароля сильнее, чем перебор.

Ну не правда, взять хэш проще в любом случае чем подобрать пароль по хэшу.

А сложные пароли (20+ не слованрых символов всех сортов) и так не подбираются ни за сколько лет ни с какой солью

У самого-то такие и везде разные? Мне проще было б акк на лоре профукать один раз в жизни, чем всю жизнь мучаться с такими монстропаролями, которые я не в силах запомнить

Cейчас вообще делают и соль, и много-много хеширований. В django, по-крайней мере, новых так по дефолту.

не удивлен

Нормальный прогер не касается похапэ ни под каким видом.

Сколько раз видел этот тезис, столько раз мне так никто и не объяснил с примерами чем пых принципиально хуже других языков (мне после паскаля и си вообще высокоуровневые языки странными кажутся, но пых все ругают, а JS - хвалят в чем такая уж разительная разница - не пойму)

ух ты, третий вменяемый человек в комментариях :)
если ты в теме, может дашь источник на то, что в xenforo нет кода vbulletin?
я не в теме, но слышал что он там есть.

столько раз мне так никто и не объяснил с примерами чем пых принципиально хуже других языков

пхп - для быдла, а они не такие.

Понятно объяснил?

Более чем, огромное спасибо, теперь все ясно.

Да, но так к сожалению мало кто делает.

имхо, это сделает практически невозможным подбор базы. или все же можно исхитрить?