BnW — l29ah: Почему у вебмакак так модно изобретать совершенно…

Почему у вебмакак так модно изобретать совершенно новые охуительные способы аутентификации типа "логин-пароль" с разнообразными приколами вроде передачи пароля в плеинтексте на сервер (или вообще передачи как таковой), ограничением на множество используемых символов и прочим беzумным говном, когда в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием, который имплементирован во всех модных серверах и клиентах и которому на всё насрать?

Рекомендовали: @ninesigns

#144UXT / @l29ah / 3254 дня назад

потому что в браузерах формочки некрасивые и вообще нельзя перделок вокруг диалога обвесить

#144UXT/E6O / @voker57 / 3254 дня назад

потому что формочка уебищная выпрыгивает

#144UXT/9X2 / @lexszero / 3254 дня назад

> в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием Лол, ты про DIGEST который прибит гвоздями к MD5?

#144UXT/WZU / @etw / 3254 дня назад

@etw Да.

#144UXT/B68 / @l29ah --> #144UXT/WZU / 3254 дня назад

@l29ah И что в нем адекватного?

#144UXT/RKL / @etw --> #144UXT/B68 / 3254 дня назад

@etw Работает, лишён описанных недостатков, секурен.

#144UXT/KCI / @l29ah --> #144UXT/RKL / 3254 дня назад

@l29ah > требует держать на сервере либо MD5 хеш от пользовательского пароля без соли либо plaintext пароль > секурен Лол.

#144UXT/BA8 / @etw --> #144UXT/KCI / 3254 дня назад

@etw С солью.

#144UXT/T60 / @l29ah --> #144UXT/BA8 / 3254 дня назад

@l29ah Сорь, да с солью. Но все равно прибивание своей инфраструктуры гвоздями к MD5 выглядит довольно стремно. Если через пару лет MD5 любой школьник начнет ломать брутфорсом на перемене между уроками, то ты соснешь. Учитывая, что весь аутентификационный трафик сейчас принято гнать только зашифрованый, а oauth, где аутентификация вообще происходит оп рандомному токену, используется все шире и шире, смысла в digest почти не остается.

#144UXT/IOR / @etw --> #144UXT/T60 / 3254 дня назад

@etw Открыл википедию про oauth, в простыне баззвордов и политики механизма работы не обнаружил ;/

#144UXT/O7Z / @l29ah --> #144UXT/IOR / 3254 дня назад

@l29ah Грубо говоря, клиент аутентифицируется по паролю только в провайдере (fb, google, github, кто угодно), а остальные сервисы пароли не хранят и доверяют аутентификацию провайдеру. Есть минус, что доверие к провайдеру со стороны сервиса должно быть определено явно, т.е. свой oauth провайдер ты скормить сервису не можешь, в отличии от openid. Еще сервисы любят по oauth сливать персональную инфу с провайдера, что, впрочем, костылится заведением фейкоакка.

#144UXT/5Q9 / @etw --> #144UXT/O7Z / 3254 дня назад

@etw И при чём тут аутентификация по паролю?

#144UXT/ZX0 / @l29ah --> #144UXT/5Q9 / 3254 дня назад

@l29ah Потому что обычно это делается по паролю. Вообще, конечно, можешь аутентифицироваться в провайдере как угодно. Но главная суть в том, что при взаимодействии с сервисами обмениваешься только рандомными токенами.

#144UXT/469 / @etw --> #144UXT/ZX0 / 3254 дня назад

потому что стандартный механизм сосёт 1) модальные окна == изнасилование 2) нельзя сделать чтоб неаутифицированные смогли ридонлить > передачи пароля в плеинтексте на сервер (или вообще передачи как таковой) Какая разница пароль ты передаёшь или его хеш?

#144UXT/5XH / @mugiseyebrows / 3254 дня назад

@mugiseyebrows Никто не обязывает их делать модальными. Можно. Какая разница, держишь ты пароль при себе или рассказал его ещё и дружбану Васе?

#144UXT/GN1 / @l29ah --> #144UXT/5XH / 3254 дня назад

@l29ah >Никто не обязывает их делать модальными чо запретил отсылать POST-запросы в настройках интернета, теперь секьюрно, спасибо

#144UXT/FJI / @mugiseyebrows --> #144UXT/GN1 / 3254 дня назад

@l29ah Пароль - это по определению shared secret.

#144UXT/8QE / @anonymous --> #144UXT/GN1 / 3254 дня назад

@anonymous Нет.

#144UXT/V7H / @l29ah --> #144UXT/8QE / 3254 дня назад

@l29ah Если аутентификация по хэшу, то достаточно украсть хэш.

#144UXT/N45 / @anonymous --> #144UXT/GN1 / 3253 дня назад

@anonymous Для того чтобы аутентифицироваться - да. Для того чтобы узнать пароль или метод его генерации юзером - нет.

#144UXT/BWK / @l29ah --> #144UXT/N45 / 3253 дня назад

@l29ah Алсо, если ты говоришь по проводной хеш, а не HA1, то не достаточно.

#144UXT/Q95 / @l29ah --> #144UXT/BWK / 3253 дня назад

@l29ah отдал дружбану васе не ключ а слепок ключа

#144UXT/Y2H / @mugiseyebrows --> #144UXT/GN1 / 3253 дня назад

@mugiseyebrows Неа. Я могу одним паролем открывать все сайты, когда у меня передаётся хеш, и не ссать того, что потеряю всё если один сайт обосрётся.

#144UXT/8O6 / @l29ah --> #144UXT/Y2H / 3253 дня назад

BnW для ведрофона BnW на Реформале Викивач Котятки