BnW — l29ah: Почему у вебмакак так модно изобретать совершенно…

Почему у вебмакак так модно изобретать совершенно новые охуительные способы аутентификации типа "логин-пароль" с разнообразными приколами вроде передачи пароля в плеинтексте на сервер (или вообще передачи как таковой), ограничением на множество используемых символов и прочим беzумным говном, когда в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием, который имплементирован во всех модных серверах и клиентах и которому на всё насрать?

Рекомендовали: @ninesigns

#144UXT / @l29ah / 3456 дней назад

потому что в браузерах формочки некрасивые и вообще нельзя перделок вокруг диалога обвесить

#144UXT/E6O / @voker57 / 3456 дней назад

потому что формочка уебищная выпрыгивает

#144UXT/9X2 / @lexszero / 3456 дней назад

> в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием Лол, ты про DIGEST который прибит гвоздями к MD5?

#144UXT/WZU / @etw / 3456 дней назад

@etw Да.

#144UXT/B68 / @l29ah --> #144UXT/WZU / 3456 дней назад

@l29ah И что в нем адекватного?

#144UXT/RKL / @etw --> #144UXT/B68 / 3456 дней назад

@etw Работает, лишён описанных недостатков, секурен.

#144UXT/KCI / @l29ah --> #144UXT/RKL / 3456 дней назад

@l29ah > требует держать на сервере либо MD5 хеш от пользовательского пароля без соли либо plaintext пароль > секурен Лол.

#144UXT/BA8 / @etw --> #144UXT/KCI / 3456 дней назад

@etw С солью.

#144UXT/T60 / @l29ah --> #144UXT/BA8 / 3456 дней назад

@l29ah Сорь, да с солью. Но все равно прибивание своей инфраструктуры гвоздями к MD5 выглядит довольно стремно. Если через пару лет MD5 любой школьник начнет ломать брутфорсом на перемене между уроками, то ты соснешь. Учитывая, что весь аутентификационный трафик сейчас принято гнать только зашифрованый, а oauth, где аутентификация вообще происходит оп рандомному токену, используется все шире и шире, смысла в digest почти не остается.

#144UXT/IOR / @etw --> #144UXT/T60 / 3456 дней назад

@etw Открыл википедию про oauth, в простыне баззвордов и политики механизма работы не обнаружил ;/

#144UXT/O7Z / @l29ah --> #144UXT/IOR / 3456 дней назад

@l29ah Грубо говоря, клиент аутентифицируется по паролю только в провайдере (fb, google, github, кто угодно), а остальные сервисы пароли не хранят и доверяют аутентификацию провайдеру. Есть минус, что доверие к провайдеру со стороны сервиса должно быть определено явно, т.е. свой oauth провайдер ты скормить сервису не можешь, в отличии от openid. Еще сервисы любят по oauth сливать персональную инфу с провайдера, что, впрочем, костылится заведением фейкоакка.

#144UXT/5Q9 / @etw --> #144UXT/O7Z / 3456 дней назад

@etw И при чём тут аутентификация по паролю?

#144UXT/ZX0 / @l29ah --> #144UXT/5Q9 / 3456 дней назад

@l29ah Потому что обычно это делается по паролю. Вообще, конечно, можешь аутентифицироваться в провайдере как угодно. Но главная суть в том, что при взаимодействии с сервисами обмениваешься только рандомными токенами.

#144UXT/469 / @etw --> #144UXT/ZX0 / 3456 дней назад

потому что стандартный механизм сосёт 1) модальные окна == изнасилование 2) нельзя сделать чтоб неаутифицированные смогли ридонлить > передачи пароля в плеинтексте на сервер (или вообще передачи как таковой) Какая разница пароль ты передаёшь или его хеш?

#144UXT/5XH / @mugiseyebrows / 3456 дней назад

@mugiseyebrows Никто не обязывает их делать модальными. Можно. Какая разница, держишь ты пароль при себе или рассказал его ещё и дружбану Васе?

#144UXT/GN1 / @l29ah --> #144UXT/5XH / 3456 дней назад

@l29ah >Никто не обязывает их делать модальными чо запретил отсылать POST-запросы в настройках интернета, теперь секьюрно, спасибо

#144UXT/FJI / @mugiseyebrows --> #144UXT/GN1 / 3456 дней назад

@l29ah Пароль - это по определению shared secret.

#144UXT/8QE / @anonymous --> #144UXT/GN1 / 3456 дней назад

@anonymous Нет.

#144UXT/V7H / @l29ah --> #144UXT/8QE / 3456 дней назад

@l29ah Если аутентификация по хэшу, то достаточно украсть хэш.

#144UXT/N45 / @anonymous --> #144UXT/GN1 / 3456 дней назад

@anonymous Для того чтобы аутентифицироваться - да. Для того чтобы узнать пароль или метод его генерации юзером - нет.

#144UXT/BWK / @l29ah --> #144UXT/N45 / 3456 дней назад

@l29ah Алсо, если ты говоришь по проводной хеш, а не HA1, то не достаточно.

#144UXT/Q95 / @l29ah --> #144UXT/BWK / 3456 дней назад

@l29ah отдал дружбану васе не ключ а слепок ключа

#144UXT/Y2H / @mugiseyebrows --> #144UXT/GN1 / 3455 дней назад

@mugiseyebrows Неа. Я могу одним паролем открывать все сайты, когда у меня передаётся хеш, и не ссать того, что потеряю всё если один сайт обосрётся.

#144UXT/8O6 / @l29ah --> #144UXT/Y2H / 3455 дней назад

BnW для ведрофона BnW на Реформале Викивач Котятки