BnW — l29ah: Почему у вебмакак так модно изобретать совершенно…

Почему у вебмакак так модно изобретать совершенно новые охуительные способы аутентификации типа "логин-пароль" с разнообразными приколами вроде передачи пароля в плеинтексте на сервер (или вообще передачи как таковой), ограничением на множество используемых символов и прочим беzумным говном, когда в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием, который имплементирован во всех модных серверах и клиентах и которому на всё насрать?

Рекомендовали: @ninesigns

#144UXT / @l29ah / 3521 день назад

потому что в браузерах формочки некрасивые и вообще нельзя перделок вокруг диалога обвесить

#144UXT/E6O / @voker57 / 3521 день назад

потому что формочка уебищная выпрыгивает

#144UXT/9X2 / @lexszero / 3521 день назад

> в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием Лол, ты про DIGEST который прибит гвоздями к MD5?

#144UXT/WZU / @etw / 3521 день назад

@etw Да.

#144UXT/B68 / @l29ah --> #144UXT/WZU / 3521 день назад

@l29ah И что в нем адекватного?

#144UXT/RKL / @etw --> #144UXT/B68 / 3521 день назад

@etw Работает, лишён описанных недостатков, секурен.

#144UXT/KCI / @l29ah --> #144UXT/RKL / 3521 день назад

@l29ah > требует держать на сервере либо MD5 хеш от пользовательского пароля без соли либо plaintext пароль > секурен Лол.

#144UXT/BA8 / @etw --> #144UXT/KCI / 3521 день назад

@etw С солью.

#144UXT/T60 / @l29ah --> #144UXT/BA8 / 3521 день назад

@l29ah Сорь, да с солью. Но все равно прибивание своей инфраструктуры гвоздями к MD5 выглядит довольно стремно. Если через пару лет MD5 любой школьник начнет ломать брутфорсом на перемене между уроками, то ты соснешь. Учитывая, что весь аутентификационный трафик сейчас принято гнать только зашифрованый, а oauth, где аутентификация вообще происходит оп рандомному токену, используется все шире и шире, смысла в digest почти не остается.

#144UXT/IOR / @etw --> #144UXT/T60 / 3521 день назад

@etw Открыл википедию про oauth, в простыне баззвордов и политики механизма работы не обнаружил ;/

#144UXT/O7Z / @l29ah --> #144UXT/IOR / 3521 день назад

@l29ah Грубо говоря, клиент аутентифицируется по паролю только в провайдере (fb, google, github, кто угодно), а остальные сервисы пароли не хранят и доверяют аутентификацию провайдеру. Есть минус, что доверие к провайдеру со стороны сервиса должно быть определено явно, т.е. свой oauth провайдер ты скормить сервису не можешь, в отличии от openid. Еще сервисы любят по oauth сливать персональную инфу с провайдера, что, впрочем, костылится заведением фейкоакка.

#144UXT/5Q9 / @etw --> #144UXT/O7Z / 3521 день назад

@etw И при чём тут аутентификация по паролю?

#144UXT/ZX0 / @l29ah --> #144UXT/5Q9 / 3521 день назад

@l29ah Потому что обычно это делается по паролю. Вообще, конечно, можешь аутентифицироваться в провайдере как угодно. Но главная суть в том, что при взаимодействии с сервисами обмениваешься только рандомными токенами.

#144UXT/469 / @etw --> #144UXT/ZX0 / 3521 день назад

потому что стандартный механизм сосёт 1) модальные окна == изнасилование 2) нельзя сделать чтоб неаутифицированные смогли ридонлить > передачи пароля в плеинтексте на сервер (или вообще передачи как таковой) Какая разница пароль ты передаёшь или его хеш?

#144UXT/5XH / @mugiseyebrows / 3521 день назад

@mugiseyebrows Никто не обязывает их делать модальными. Можно. Какая разница, держишь ты пароль при себе или рассказал его ещё и дружбану Васе?

#144UXT/GN1 / @l29ah --> #144UXT/5XH / 3521 день назад

@l29ah >Никто не обязывает их делать модальными чо запретил отсылать POST-запросы в настройках интернета, теперь секьюрно, спасибо

#144UXT/FJI / @mugiseyebrows --> #144UXT/GN1 / 3521 день назад

@l29ah Пароль - это по определению shared secret.

#144UXT/8QE / @anonymous --> #144UXT/GN1 / 3521 день назад

@anonymous Нет.

#144UXT/V7H / @l29ah --> #144UXT/8QE / 3521 день назад

@l29ah Если аутентификация по хэшу, то достаточно украсть хэш.

#144UXT/N45 / @anonymous --> #144UXT/GN1 / 3521 день назад

@anonymous Для того чтобы аутентифицироваться - да. Для того чтобы узнать пароль или метод его генерации юзером - нет.

#144UXT/BWK / @l29ah --> #144UXT/N45 / 3521 день назад

@l29ah Алсо, если ты говоришь по проводной хеш, а не HA1, то не достаточно.

#144UXT/Q95 / @l29ah --> #144UXT/BWK / 3521 день назад

@l29ah отдал дружбану васе не ключ а слепок ключа

#144UXT/Y2H / @mugiseyebrows --> #144UXT/GN1 / 3521 день назад

@mugiseyebrows Неа. Я могу одним паролем открывать все сайты, когда у меня передаётся хеш, и не ссать того, что потеряю всё если один сайт обосрётся.

#144UXT/8O6 / @l29ah --> #144UXT/Y2H / 3521 день назад

BnW для ведрофона BnW на Реформале Викивач Котятки