Рубрика «пароли» - 15

Пару дней назад я задал вопрос про очистку поля ввода пароля в iOS. Получив утвердительный ответ, решил написать более подробно.

image

В прошлый четверг у Альфа-банка проходили некие технические работы, во время которых часть сервисов была недоступна. В том числе Альфа-Мобайл — сервис интернет-банка для мобильных устройств (в моём случае — iOS). Я о технических работах не знал и попытался залогиниться в Альфа-Мобайл. Приложение выдало сообщение об ошибке подключения к серверу. Ок, лезу в интернеты, нахожу твиттер Альфы и вижу там сообщение о проведении технических работ. При этом приложение Альфа-Мобайл я естественно не закрываю, а просто сворачиваю, как это обычно и происходит с большинством приложений под iOS.Читать полностью »

Правильно люди говорят: «Все новое — это хорошо забытое старое»

Возможность встраивания удалённых ресурсов (например картинок с других сайтов) на страницу своего сайта — очень плохая практика. Которая может в определённый момент привести к довольно серьёзным последствиям для сайта. Еще 10 лет назад, я с удивлением читал о том, что такое возможно. И вот прошло 10 лет, ничего не изменилось, и похоже на то, что это вряд ли когда то изменится.

Детали под катомЧитать полностью »

Переодически встречаю статьи про способы хранения паролей, например сегодня. И хочу предложить свой способ.
В статье используется MD5, можно взять любое другое хеширование.

Общие рассуждения

Когда передо мной встала задача авторизации пользователей, я пришел к выводу что хранение паролей, в любом виде, недопустимо. Ни в открытом виде, ни в виде хеша, кроме того недопустима передача пароля в открытом или хешированном виде по сети, при авторизации пользователя на сайте. Причины просты:

  • передачу пароля можно перехватить (троян, обезьяна в середине)
  • базу с паролями могут украсть, и расшифровать

Читать полностью »

Привет! Сегодня процессе разработки системы авторизации для своего проекта передо мной встал выбор — в каком виде хранить пароли пользователей в базе данных? В голову приходит множество вариантов. Самые очевидные:

  • Хранить пароли в БД в открытом виде.
  • Использовать обычные хэши crc32, md5, sha1
  • Использовать функцию crypt()
  • Использовать статическую «соль», конструкции вида md5(md5($pass))
  • Использовать уникальную «соль» для каждого пользователя.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js