Я не собираюсь валидировать кодировку пароля. Я проверю, совпадает ли хеш, если не совпадает, пошлю пользователя нахрен. Мне всё равно, почему не совпадает. Что-то ещё по этому поводу валидировать совершенно не нужно.
Просто проверить строку хэша от любых иероглифов это не валидация, а Сбербанк валидирует латиницу и определенные символы.
Так валидация нужна, когда неправильные данные могут что-то повредить или нарушить бизнес-логику. Клиент прислал мне левый пароль, я послал ему ответ, что пароль левый. Мой сайт остался целым, комп клиента тоже.
Если символ в пароле может что-то повредить или нарушить бизнес логику..... Разработчиков таких надо гнать в шею.
У всех своя бизнес-логика. Вот Сбербанк валидирует такие символы: – ! @ # $ % ^ & * ( ) _ - + : ; , .»; Не знаю что могут нарушить например {[~`
над чем? --- Добавлено --- конечно на безопасность это не влияет. В сети полная анонимность юзера откуда и чего он и куда он. Не на безопасность это не влияет. --- Добавлено --- Можно выйти в сеть из африки находясь во Владивостоке. Круто! ) Нет конечно на безопасность это не влияет. Возможно мы говорим о разной безопасности (И сейчас говорим о разных вещах)? Вот если каждый выходящий чувак имел бы свой Id номер при выходе в инет, то взлом бы чего то аккаунта легко бы пресекался. А если чел вышел с не идентифицируемым id то его провайдер сразу бы ему сказал вали Вася обратно, пока не получишь свой уникальный номер привязанный к личности человека. И всё. И ни каких бы паролей не надо было. Вопрос в том реально ли это, или это из разряда фантастики. На мой взгляд это на данный момент разряд фантастики, ибо да весь интернет построен как анонимная . Вон в Китае уже выдают цифровые удостоверения личности. Ну и ещё остаётся вопрос как подтвердить человек выходящий с неким id именно тот человек. А значит человек должен иметь некий носитель который хранит некую уникальную инфу которая является чисто конфиденциальной только для его устройства, о которой знает он и знает провайдер. И всё. То есть провайдер должен быть как бы местным отделением полиции в интернете. И даже по хорошему провайдер толком не должен знать что он что-то знает, просто когда к нему приходит узер он в неком "чёрном ящике" идентифицирует личность. Как например когда тебе посмотрели на фотку в паспорте а потом на твоё лицо и сказали да это он.
Слышу звон не знаю где он. Я думаю он имел ввиду, что валидация пароля нужна, для проверки пользователя в системе (а также проверки его на наличие прав доступа к каким-то разделам сайта), чтобы отдать аутентифицированному узеру тот програмный код и ту инфу которая должна показываться только ему. --- Добавлено --- вам про одно вы про другое.
Таки слушай там где звонят. Как символы в пароле могут повлиять на бизнеслогику.. Типа ввели в пароле недопустимый по условиям системы знак (например "*"). Забыли поставить проверку и система сразу, например, легла или выдала список всех пользователей? --- Добавлено --- Ставим сервачок на острове Такелау. Заходим в интернет через своего провайдера, потом проксируемся через свой сервер на острове под чьим угодно ИД.
@voral, так я про это и писал. Что поскольку никакие символы в пароле не сломают наш сайт, достаточно сравнить два хеша, и никакая другая валидация, как в случае с другими данными, не является необходимой. Видимо недостаточно ясно выразился --- Добавлено --- Вот @keren считает что проверить совпадение хешей - это не валидация пароля, поэтому я и написал, что другой тут не нужно
Валидация это проверка отдельных символов на соответствие определенным условиям. А проверка хэша это идентификация.
Нет. Должна быть жёсткая идентификация провайдера, если провайдер способствует взлому, то провайдер должен нести уголовную ответственность! --- Добавлено --- нет это безопасность, исключая анонимность, а значит один не сможет обмануть другого. Или вам есть что скрывать? --- Добавлено --- Просто интернет это потенциально, вредоносная среда. В ней можно обманывать обывателей. И многие на этом зарабатывают. Коли все ноют что кругом везде один na.b то пожалуйста исключаем анонимность и никакого обмана не будет. --- Добавлено --- У тебя каша в терминах.
Уботал. Предположим случилось чудо и заставили все страны четко идентифицировать и провайдеров и людей. А дальше осталось решить "небольшие" проблемы: 1. мобильный интернет. 2. симки воруют, покупают на подставные лица и т.п. 3. Тенденция "интернет в каждый утюг" 4. WIFi взламывают 5. Мобилки взламывают 6. Да и на комп на чужой залезть по прежнему "можно".. и т.д и т.п. Короче, это надо решить огромнейшую кучу задач.
А если каждому под кожу GPS_маяк, а в каждый дом стопку видеокамер и сенсоров, да с микрофонами, чтобы инфу лили на пульт тревожный, а если еще и комендантский час, ТО ВАЩИ ПРИСТУПЛЕНИЕВ НИБЫЛА БЫ! Я не просто так тебе говорил про HTTPS, не просто так про то, что Интернет не одноранговый. При этом ты хочешь строить безопасность на данных, приходящих от пользователя? Серьезно? А ты точно веб-разработчик?