Собстна, вот. Не так давно на одном форуме появилось сообщение подобного рода, что, мол, корабль конкурентов тонет, там пароли воруют, так чтобязательно меняйте их тут, если они совпадают. Вот я и подумал, а как вообще стыбженная база с хэшами паролей угрожает безопасности другого? Или это всё обман, чтобы набрать классы? Может я с темой-то и промазал, но вы же меня простите, да?
Имеется в виду у клиента может быть одинаковый пароль и у вас, и у конкурентов? Тогда лучше пусть посетители меняют пароли, да. Зависит от того, как пароли хранит конкурент. Если простой хэш md5, то уже довольно с большой долей вероятностью можно подобрать пароль по хэшу. Таблиц уже достаточно. Я уж не говорю, если пароль просто открытый лежит.
Ать, а такое вообще ещё встречается? Сайты оба современные, я бы со стула упал и описался, если бы увидел md5 на современном сайте. Ать, а такое вообще возможно? Ну скажем, что откровенной дичи скорее всего нет. Скорее всего пароли в нормальном хэше. В этом случае же никакой опасности нет, верно? Я в вебе совсем чуть-чуть, простите за банальщину.
если пользуются нормальным password_hash(), то в принципе нет. Там хороший хэш. А md5 да, ещё используют. Я даже видел уникумов, которые и новые проекты с ним пишут. Я могу без стеснения сказать: "Я видел некоторое дерьмо" =D
Ты плохо себе представляешь границы возможного. Если проект снаружи выглядит как современный, то это заслуга дизайнеров, и, к тому, что под капотом, никакого отношения не имеет. Там может твориться ад и содомия любого уровня розлива. Если у конкурента смогли слить базу, то это уже звоночек, что там были проблемы с подходом к безопасности.
Господа, мне срочно нужно в уборную. Вымою лицо, посмотрю печально в зеркало, покиваю головой. Спасибо за ответы.
@Fell-x27, напомнил одину подработку. Снаружи сайтец был очень крутой. Когда мне дали удаленку... Вот там началось настоящее веселье. Видно было, что не один программист приложил руку к этому чуду.
некропост конечно, но отпишусь - я видел проброс 22 порта на сервер бд не самого мелкого банка из интернета, т.к. админу надо было зайти из дома, а безопасники кроме видеонаблюдения ничего не смотрели. это самый дикий косяк там был, а еще пара возов поменьше, в общем пришлось всю структуру переделывать с 0 практически.
если ты считаешь 22 порт косяком, то объясни почему, пожалуйста. Или кто-то действительно верит, что если сменить порт, то это как-то поможет?
не 22 порт косяк. косяк вообще открытый любой порт из внутренней сети наружу. есть стандарты, есть дмз зоны, причем разные для разных сетей, есть закрытая сеть с базой данных, отделенная даже от внутренней сети, а тут в эту сеть из интернета прямой доступ открыт. Его не должно быть в принципе, но если очень хочется то поднимается vpn сервер или какая нит cisco asa используется с двух факторной аутентификацией и дальнейшем доступом к серверу, хотя повторюсь это по идее запрещено в принципе.
я вроде написал 22 порт напрямую пробрасывался на сервер бд. т.е. обращаешься на 22 порт интернет адреса банка и попадаешь на его базу данных --- Добавлено --- кстати говоря про 22 порт и его смену. на 22 порт сыпется просто огромное количество попыток подключения, в основном с Китая. я хз кто там тренируется в таких масштабах, но на другие порты долбиться не пытаются
я всё равно не понимаю. я не вижу проблемы. Есть куча серверов в интернете с вааажными данными. и их порты смотрят в интернет. все порты. Базы данных, веб, ссш, докеры и прочее - все смотрят в интернет. И живут. Так в чем проблема? --- Добавлено --- ну ок, от тупороботов можно закрыться просто отлупами сменив порт. от всех остальных - сертификатами вместо паролей. и всё, вопрос решён? можно жить с портами, смотрящими в инет? или нельзя? В чем проблема порта, который смотрит в инет?
т.е. аргументов не будт? просто страшно и ай-ай-ай? я ж привёл пример - есть миллионы серверов в инете с базами данных, которые содержат важные данные и смотрят в мир. И норм. Что не так с ними?
Бред. Не хорошо обманывать людей. --- Добавлено --- 100% Люди наслушаются страшилок и потом боятся собственной тени. Или нарвутся на одного раздолбая, который дал общий доступ к БД, и возводят это в систему без напряга извилины.
для меня вообще загадка, как можно получить дамп бд. Инъекция еще +- понятно как работает, но дамп как можно скачать. Это же что-то из ряда вон.
mysqldump как же еще , набор ссылочек на сшитые дампы отдавае с веб-морды куда-то наружу, для целей дев-команды какой-нибудь или админа. Почту взять с авторизей в репозитории, конфлюенс со всеми паролями и учетками от инрфраструктуре. Все это означает практически всегда прямой доступ к базе. Очень редко где на практике встречал разграничение доступа к хостам по ip-диапазаонам, чтобы например конектится к серверу с бд можно только из апсерверов или локальной сети команды разработчиков. А по банкам там да все строго. Если это системы вроде ЕРКЦ или офисов ЦБ то там сети изолированные от внешки в принципе и никакие пробросы там невозможны никуда физически.
Никак, если хеши делаются правильно. А если предположить, что сообщение правдивое (т.е. стырили именно пароли), то хранились они или в открытом виде или хеши были неправильные. Неправильно: md5(пароль) Правильно: md5(строка). Где строка, например такая: пароль . соль (соль = строка/константа из случайных символов длиной > 15-20 символов)
уже не правильно, правильно password_hash(пароль) функция сама генерирует соль, проверять через password_verify() https://habrahabr.ru/post/194972/ https://secure.php.net/manual/ru/function.password-hash.php
Вопрос изначально некорректный. Если у тебя есть дамп базы то зачем тебе пароли если текущий сервис есть конечная точка взлома --- Добавлено --- Ну всегда есть последнее самое эффективное средства взлома: паяльник с админом. Но даже оно бессильно если у сети нет физического выхода на внешку. Тут только другие методы взломы с вайфай-точками подключенными к внутренней сети или прочими подключаемыми девайсами как в фильме хакер
Коллеги, я конечно понимаю, что сказки это здорово. Но, насколько мне известно, люди перестают в них верить в 7 лет. --- Добавлено --- Ты ошибаешься. Мы уже 100 раз спорили/говорили об этом - поищи.
Сторона, постулирующая тезис, выдвигает аргументы. Чем плох password_hash? Развернуто. Посылание в поиск приравнивается к "ой все". Слушаем твои доводы.