Сообщение от Tim
|
kobezzza,
я имею ввиду, как защитить ключ если сервер подломят.
|
Ну, если угнали базу и код, то всё равно, чтобы подобрать пароль брутом, если ты использовал pbkdf2 с ключом 512 и кол-вом итераций скажем 10к (т.е. хеш функция вызывается столько раз: хеш от хеша и т.д.) нужны охренительные вычислительные ресурсы, которые есть тока у оч крупных дядей вроде АНБ или гугла. Больше вероятность, что если ты нужен АНБ, то тебя ночью закинут в мешок и отвезут в гуантанамо, где ты сам всё расскажешь
Единственно, что могу еще добавить - хранить коды доступа к сервисам и соли в коде плохая практика. Лучше цепляй их из переменных окружения, а туда добавляй ручками сам
Резюме:
1) Используй HTTPS;
2) Используй PBKDF2, а не чистую хеш функцию;
3) Храни статичные коды доступа в переменных окружения сервера.
Также если хочется использовать шифрование на клиенте, то смотри новое API браузера
Crypto или компиль в asm.js/wasm и тащи на клиент C-ные либы, но сам ничего не пиши