Имбирь - твой спиритический овощ. Войти !bnw Сегодня Клубы
Почему у вебмакак так модно изобретать совершенно новые охуительные способы аутентификации типа "логин-пароль" с разнообразными приколами вроде передачи пароля в плеинтексте на сервер (или вообще передачи как таковой), ограничением на множество используемых символов и прочим беzумным говном, когда в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием, который имплементирован во всех модных серверах и клиентах и которому на всё насрать?
Рекомендовали: @ninesigns
#144UXT / @l29ah / 3463 дня назад

потому что в браузерах формочки некрасивые и вообще нельзя перделок вокруг диалога обвесить
#144UXT/E6O / @voker57 / 3463 дня назад
потому что формочка уебищная выпрыгивает
#144UXT/9X2 / @lexszero / 3463 дня назад
> в стандарте HTTP уже много лет есть адекватный механизм аутентификации с хешированием Лол, ты про DIGEST который прибит гвоздями к MD5?
#144UXT/WZU / @etw / 3463 дня назад
@etw Да.
#144UXT/B68 / @l29ah --> #144UXT/WZU / 3463 дня назад
@l29ah И что в нем адекватного?
#144UXT/RKL / @etw --> #144UXT/B68 / 3463 дня назад
@etw Работает, лишён описанных недостатков, секурен.
#144UXT/KCI / @l29ah --> #144UXT/RKL / 3463 дня назад
@l29ah > требует держать на сервере либо MD5 хеш от пользовательского пароля без соли либо plaintext пароль > секурен Лол.
#144UXT/BA8 / @etw --> #144UXT/KCI / 3463 дня назад
@etw С солью.
#144UXT/T60 / @l29ah --> #144UXT/BA8 / 3463 дня назад
@l29ah Сорь, да с солью. Но все равно прибивание своей инфраструктуры гвоздями к MD5 выглядит довольно стремно. Если через пару лет MD5 любой школьник начнет ломать брутфорсом на перемене между уроками, то ты соснешь. Учитывая, что весь аутентификационный трафик сейчас принято гнать только зашифрованый, а oauth, где аутентификация вообще происходит оп рандомному токену, используется все шире и шире, смысла в digest почти не остается.
#144UXT/IOR / @etw --> #144UXT/T60 / 3463 дня назад
@etw Открыл википедию про oauth, в простыне баззвордов и политики механизма работы не обнаружил ;/
#144UXT/O7Z / @l29ah --> #144UXT/IOR / 3463 дня назад
@l29ah Грубо говоря, клиент аутентифицируется по паролю только в провайдере (fb, google, github, кто угодно), а остальные сервисы пароли не хранят и доверяют аутентификацию провайдеру. Есть минус, что доверие к провайдеру со стороны сервиса должно быть определено явно, т.е. свой oauth провайдер ты скормить сервису не можешь, в отличии от openid. Еще сервисы любят по oauth сливать персональную инфу с провайдера, что, впрочем, костылится заведением фейкоакка.
#144UXT/5Q9 / @etw --> #144UXT/O7Z / 3463 дня назад
@etw И при чём тут аутентификация по паролю?
#144UXT/ZX0 / @l29ah --> #144UXT/5Q9 / 3463 дня назад
@l29ah Потому что обычно это делается по паролю. Вообще, конечно, можешь аутентифицироваться в провайдере как угодно. Но главная суть в том, что при взаимодействии с сервисами обмениваешься только рандомными токенами.
#144UXT/469 / @etw --> #144UXT/ZX0 / 3463 дня назад
потому что стандартный механизм сосёт 1) модальные окна == изнасилование 2) нельзя сделать чтоб неаутифицированные смогли ридонлить > передачи пароля в плеинтексте на сервер (или вообще передачи как таковой) Какая разница пароль ты передаёшь или его хеш?
#144UXT/5XH / @mugiseyebrows / 3463 дня назад
@mugiseyebrows Никто не обязывает их делать модальными. Можно. Какая разница, держишь ты пароль при себе или рассказал его ещё и дружбану Васе?
#144UXT/GN1 / @l29ah --> #144UXT/5XH / 3463 дня назад
@l29ah >Никто не обязывает их делать модальными чо запретил отсылать POST-запросы в настройках интернета, теперь секьюрно, спасибо
#144UXT/FJI / @mugiseyebrows --> #144UXT/GN1 / 3463 дня назад
@l29ah Пароль - это по определению shared secret.
#144UXT/8QE / @anonymous --> #144UXT/GN1 / 3463 дня назад
@anonymous Нет.
#144UXT/V7H / @l29ah --> #144UXT/8QE / 3463 дня назад
@l29ah Если аутентификация по хэшу, то достаточно украсть хэш.
#144UXT/N45 / @anonymous --> #144UXT/GN1 / 3463 дня назад
@anonymous Для того чтобы аутентифицироваться - да. Для того чтобы узнать пароль или метод его генерации юзером - нет.
#144UXT/BWK / @l29ah --> #144UXT/N45 / 3463 дня назад
@l29ah Алсо, если ты говоришь по проводной хеш, а не HA1, то не достаточно.
#144UXT/Q95 / @l29ah --> #144UXT/BWK / 3463 дня назад
@l29ah отдал дружбану васе не ключ а слепок ключа
#144UXT/Y2H / @mugiseyebrows --> #144UXT/GN1 / 3462 дня назад
@mugiseyebrows Неа. Я могу одним паролем открывать все сайты, когда у меня передаётся хеш, и не ссать того, что потеряю всё если один сайт обосрётся.
#144UXT/8O6 / @l29ah --> #144UXT/Y2H / 3462 дня назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.