Имбирь - твой спиритический овощ. Войти !bnw Сегодня Клубы
Почему у вебмакак так модно изобретать совершенно новые охуительные способы аутентификации типа "логин-пароль" с разнообразными приколами вроде передачи пароля в плеинтексте на сервер (или вообще передачи как таковой), ограничением на множество используемых символов и прочим беzумным говном, когда в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием, который имплементирован во всех модных серверах и клиентах и которому на всё насрать?
Рекомендовали: @ninesigns
#144UXT / @l29ah / 3270 дней назад

потому что в браузерах формочки некрасивые и вообще нельзя перделок вокруг диалога обвесить
#144UXT/E6O / @voker57 / 3270 дней назад
потому что формочка уебищная выпрыгивает
#144UXT/9X2 / @lexszero / 3270 дней назад
> в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием Лол, ты про DIGEST который прибит гвоздями к MD5?
#144UXT/WZU / @etw / 3270 дней назад
@etw Да.
#144UXT/B68 / @l29ah --> #144UXT/WZU / 3270 дней назад
@l29ah И что в нем адекватного?
#144UXT/RKL / @etw --> #144UXT/B68 / 3270 дней назад
@etw Работает, лишён описанных недостатков, секурен.
#144UXT/KCI / @l29ah --> #144UXT/RKL / 3270 дней назад
@l29ah > требует держать на сервере либо MD5 хеш от пользовательского пароля без соли либо plaintext пароль > секурен Лол.
#144UXT/BA8 / @etw --> #144UXT/KCI / 3270 дней назад
@etw С солью.
#144UXT/T60 / @l29ah --> #144UXT/BA8 / 3270 дней назад
@l29ah Сорь, да с солью. Но все равно прибивание своей инфраструктуры гвоздями к MD5 выглядит довольно стремно. Если через пару лет MD5 любой школьник начнет ломать брутфорсом на перемене между уроками, то ты соснешь. Учитывая, что весь аутентификационный трафик сейчас принято гнать только зашифрованый, а oauth, где аутентификация вообще происходит оп рандомному токену, используется все шире и шире, смысла в digest почти не остается.
#144UXT/IOR / @etw --> #144UXT/T60 / 3270 дней назад
@etw Открыл википедию про oauth, в простыне баззвордов и политики механизма работы не обнаружил ;/
#144UXT/O7Z / @l29ah --> #144UXT/IOR / 3270 дней назад
@l29ah Грубо говоря, клиент аутентифицируется по паролю только в провайдере (fb, google, github, кто угодно), а остальные сервисы пароли не хранят и доверяют аутентификацию провайдеру. Есть минус, что доверие к провайдеру со стороны сервиса должно быть определено явно, т.е. свой oauth провайдер ты скормить сервису не можешь, в отличии от openid. Еще сервисы любят по oauth сливать персональную инфу с провайдера, что, впрочем, костылится заведением фейкоакка.
#144UXT/5Q9 / @etw --> #144UXT/O7Z / 3270 дней назад
@etw И при чём тут аутентификация по паролю?
#144UXT/ZX0 / @l29ah --> #144UXT/5Q9 / 3270 дней назад
@l29ah Потому что обычно это делается по паролю. Вообще, конечно, можешь аутентифицироваться в провайдере как угодно. Но главная суть в том, что при взаимодействии с сервисами обмениваешься только рандомными токенами.
#144UXT/469 / @etw --> #144UXT/ZX0 / 3270 дней назад
потому что стандартный механизм сосёт 1) модальные окна == изнасилование 2) нельзя сделать чтоб неаутифицированные смогли ридонлить > передачи пароля в плеинтексте на сервер (или вообще передачи как таковой) Какая разница пароль ты передаёшь или его хеш?
#144UXT/5XH / @mugiseyebrows / 3270 дней назад
@mugiseyebrows Никто не обязывает их делать модальными. Можно. Какая разница, держишь ты пароль при себе или рассказал его ещё и дружбану Васе?
#144UXT/GN1 / @l29ah --> #144UXT/5XH / 3270 дней назад
@l29ah >Никто не обязывает их делать модальными чо запретил отсылать POST-запросы в настройках интернета, теперь секьюрно, спасибо
#144UXT/FJI / @mugiseyebrows --> #144UXT/GN1 / 3270 дней назад
@l29ah Пароль - это по определению shared secret.
#144UXT/8QE / @anonymous --> #144UXT/GN1 / 3270 дней назад
@anonymous Нет.
#144UXT/V7H / @l29ah --> #144UXT/8QE / 3270 дней назад
@l29ah Если аутентификация по хэшу, то достаточно украсть хэш.
#144UXT/N45 / @anonymous --> #144UXT/GN1 / 3270 дней назад
@anonymous Для того чтобы аутентифицироваться - да. Для того чтобы узнать пароль или метод его генерации юзером - нет.
#144UXT/BWK / @l29ah --> #144UXT/N45 / 3270 дней назад
@l29ah Алсо, если ты говоришь по проводной хеш, а не HA1, то не достаточно.
#144UXT/Q95 / @l29ah --> #144UXT/BWK / 3270 дней назад
@l29ah отдал дружбану васе не ключ а слепок ключа
#144UXT/Y2H / @mugiseyebrows --> #144UXT/GN1 / 3270 дней назад
@mugiseyebrows Неа. Я могу одним паролем открывать все сайты, когда у меня передаётся хеш, и не ссать того, что потеряю всё если один сайт обосрётся.
#144UXT/8O6 / @l29ah --> #144UXT/Y2H / 3270 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.