Javascript-форум (https://javascript.ru/forum/)
-   Ваши сайты и скрипты (https://javascript.ru/forum/project/)
-   -   Авторизация на сайте без ввода логина/пароля (https://javascript.ru/forum/project/69910-avtorizaciya-na-sajjte-bez-vvoda-logina-parolya.html)

Маэстро 27.07.2017 23:33

Цитата:

Сообщение от laimas (Сообщение 459964)
Ну такой на объем конечно не каждый хост настроен ... Кроме того, поле ввода формы на такие объемы не рассчитаны, то есть на стороне клиента уже будет обрезано, невозможно будет поместить в поле.

я ждал такого ответа.
во-первых, нормальный хакер не использует <form>...</form> в браузере, чихать ему на браузерные ограничения. атакующие программы пишутся на C, Delphi с применением Indy и т.п... и послать на сервер можно что угодно.
во-вторых, если на хосте ограничения, то те же самые ограничения распространятся и на загрузку файла. с точки зрения POST-запроса ему всё-равно, что у него внутри (строки,символы/байты/биты...).

Цитата:

Сообщение от laimas (Сообщение 459964)
Ну и в данном случае мы знаем точно с чем имеем дело - строка, а при загрузке файлов могут слать что угодно, под видом одних иное или просто мусор маскирующийся под ценное.

-ну сколько раз повторять: нет разницы между "мусором" и "ценным". оператору sha() всё-равно, что хешить.

Цитата:

Сообщение от laimas (Сообщение 459964)
с таким же успехом может быть и паролем собственная аватарка, другими словами пароль у всех на виду. Это надо тоже не сбрасывать со счетов. Ну и снифферы никуда не исчезли. Так что хрен редьки не слаще, то есть картина будет более надежным только лишь потому, что это картинка, это далеко не так.

я уже и не рад, что сказал о возможности использовать фото в качестве фотопароля (файла-пароля). изначально говорилось о файлике, сгенерированном на сервере и присылаемом с сервера.
и ПРИ ПРОЧИХ РАВНЫХ УСЛОВИЯХ метод однокилобайтного файла со случайной последовательностью выигрывает по сравнению с 10-символьным паролем по вероятности несанкционированного доступа методом перебора.

laimas 28.07.2017 05:58

Цитата:

Сообщение от Маэстро
атакующие программы пишутся на C, Delphi

Ну зачем мне еще и С напрягать, я спокойно простого бота напишу и на РНР. Как-то вы однобоко рассуждаете - я возьму и ограничу макс. размер разрешенный для загрузки и мне большую картинку никто не пришлет, а вот текст может быть и километровой длины. Ограничения же распространяются на весь POST объем, это и файлы, и что с ними передано.

Не надо повторять, все ясно чего вы хотите. Но вы говорите, что одно можно подобрать, картинки же аналога "1234" почему-то быть не может. Загрузку логина/пароля легко подменить, а картина бронь. Ну это же не серьезно.

Цитата:

Сообщение от Маэстро
ПРИ ПРОЧИХ РАВНЫХ УСЛОВИЯХ метод однокилобайтного файла со случайной последовательностью выигрывает по сравнению с 10-символьным паролем

Метод таковой уже предложено использовать (ищите темы на хабре) и передавать такой пароль файлом совсем не требуется, достаточно текстового поля.

Делайте, тестируйте и со статистикой использования на обсуждение в сеть. Я же не отговариваю, вы спросили "как", я ответил "без разницы". Задачи доказать, что я не прав в своем мнении, перед собой вы не ставите? А я тем более об этом не заикаюсь.

Все, что долго говорить. :)

Маэстро 28.07.2017 09:29

Вы не последовательны в своих высказываниях. То говорите
Цитата:

Сообщение от laimas (Сообщение 459976)
Кроме того, поле ввода формы на такие объемы не рассчитаны

то
Цитата:

Сообщение от laimas (Сообщение 459976)
а вот текст может быть и километровой длины

Вы перевираете мои слова
Цитата:

Сообщение от laimas (Сообщение 459976)
Загрузку логина/пароля легко подменить, а картина бронь. Ну это же не серьезно.

-не подменить, а подобрать (пароль) и не картинку, а файл с 1000 .
случайных символов.
Поэтому комментировать уже не хочется.
Ладно, закончим эту дискуссию и разойдемся с миром.

laimas 28.07.2017 09:46

Цитата:

Сообщение от Маэстро
Вы перевираете мои слова

Ни чего я не перевираю, ваше высказывание было, что левая форма пришлет строку 2 ГБ, ну так на строку также распространяется установка макс. разрешенного для загрузки, какие проблемы?

Цитата:

Сообщение от Маэстро
не подменить, а подобрать (пароль) и не картинку, а файл с 1000

А зачем файл? Даже длина строки в 20-30 символов, и при этом только дилетант будет хранит чистый хеш ее, хранят вообще-то с солью. Да и не md5, начиная с версии 5.5 лучше использовать Password Hashing функции. В версии 7 более устойчив случайный генератор, это еще дополнительные трудности для подбора.


Никто с вами и не спорит, что чем длиннее строка, тем сложнее подбор. Если система следит за подбором, имеет обратную связь, то попытки таки можно пресечь, пусть будут хоть 10 символов. Но это одна сторона медали, зная о затратах на такие операции, кто бы стал головой об стену, будут искать ключ к дверям чтобы войти. Кража паролей, это цель взлома, а что-то из себя представляет пароль, файл ли это, строка, набор строк, не так важно. Главная проблема, это идентификация, распознать того кто представляется, действительно ли владелец или маска. И эта проблема не решится простой подменой одного на другое.


Часовой пояс GMT +3, время: 06:32.