27.07.2017, 23:33
|
|
Профессор
|
|
Регистрация: 02.07.2010
Сообщений: 642
|
|
Сообщение от laimas
|
|
Ну такой на объем конечно не каждый хост настроен ... Кроме того, поле ввода формы на такие объемы не рассчитаны, то есть на стороне клиента уже будет обрезано, невозможно будет поместить в поле.
|
я ждал такого ответа.
во-первых, нормальный хакер не использует <form>...</form> в браузере, чихать ему на браузерные ограничения. атакующие программы пишутся на C, Delphi с применением Indy и т.п... и послать на сервер можно что угодно.
во-вторых, если на хосте ограничения, то те же самые ограничения распространятся и на загрузку файла. с точки зрения POST-запроса ему всё-равно, что у него внутри (строки,символы/байты/биты...).
|
Сообщение от laimas
|
|
Ну и в данном случае мы знаем точно с чем имеем дело - строка, а при загрузке файлов могут слать что угодно, под видом одних иное или просто мусор маскирующийся под ценное.
|
-ну сколько раз повторять: нет разницы между "мусором" и "ценным". оператору sha() всё-равно, что хешить.
|
Сообщение от laimas
|
|
с таким же успехом может быть и паролем собственная аватарка, другими словами пароль у всех на виду. Это надо тоже не сбрасывать со счетов. Ну и снифферы никуда не исчезли. Так что хрен редьки не слаще, то есть картина будет более надежным только лишь потому, что это картинка, это далеко не так.
|
я уже и не рад, что сказал о возможности использовать фото в качестве фотопароля (файла-пароля). изначально говорилось о файлике, сгенерированном на сервере и присылаемом с сервера.
и ПРИ ПРОЧИХ РАВНЫХ УСЛОВИЯХ метод однокилобайтного файла со случайной последовательностью выигрывает по сравнению с 10-символьным паролем по вероятности несанкционированного доступа методом перебора.
|
|
28.07.2017, 05:58
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Маэстро
|
|
атакующие программы пишутся на C, Delphi
|
Ну зачем мне еще и С напрягать, я спокойно простого бота напишу и на РНР. Как-то вы однобоко рассуждаете - я возьму и ограничу макс. размер разрешенный для загрузки и мне большую картинку никто не пришлет, а вот текст может быть и километровой длины. Ограничения же распространяются на весь POST объем, это и файлы, и что с ними передано.
Не надо повторять, все ясно чего вы хотите. Но вы говорите, что одно можно подобрать, картинки же аналога "1234" почему-то быть не может. Загрузку логина/пароля легко подменить, а картина бронь. Ну это же не серьезно.
|
Сообщение от Маэстро
|
|
ПРИ ПРОЧИХ РАВНЫХ УСЛОВИЯХ метод однокилобайтного файла со случайной последовательностью выигрывает по сравнению с 10-символьным паролем
|
Метод таковой уже предложено использовать (ищите темы на хабре) и передавать такой пароль файлом совсем не требуется, достаточно текстового поля.
Делайте, тестируйте и со статистикой использования на обсуждение в сеть. Я же не отговариваю, вы спросили "как", я ответил "без разницы". Задачи доказать, что я не прав в своем мнении, перед собой вы не ставите? А я тем более об этом не заикаюсь.
Все, что долго говорить. 
|
|
28.07.2017, 09:29
|
|
Профессор
|
|
Регистрация: 02.07.2010
Сообщений: 642
|
|
Вы не последовательны в своих высказываниях. То говорите
|
Сообщение от laimas
|
|
Кроме того, поле ввода формы на такие объемы не рассчитаны
|
то
|
Сообщение от laimas
|
|
а вот текст может быть и километровой длины
|
Вы перевираете мои слова
|
Сообщение от laimas
|
|
Загрузку логина/пароля легко подменить, а картина бронь. Ну это же не серьезно.
|
-не подменить, а подобрать (пароль) и не картинку, а файл с 1000 .
случайных символов.
Поэтому комментировать уже не хочется.
Ладно, закончим эту дискуссию и разойдемся с миром. |
|
28.07.2017, 09:46
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Маэстро
|
|
Вы перевираете мои слова
|
Ни чего я не перевираю, ваше высказывание было, что левая форма пришлет строку 2 ГБ, ну так на строку также распространяется установка макс. разрешенного для загрузки, какие проблемы?
|
Сообщение от Маэстро
|
|
не подменить, а подобрать (пароль) и не картинку, а файл с 1000
|
А зачем файл? Даже длина строки в 20-30 символов, и при этом только дилетант будет хранит чистый хеш ее, хранят вообще-то с солью. Да и не md5, начиная с версии 5.5 лучше использовать Password Hashing функции. В версии 7 более устойчив случайный генератор, это еще дополнительные трудности для подбора.
Никто с вами и не спорит, что чем длиннее строка, тем сложнее подбор. Если система следит за подбором, имеет обратную связь, то попытки таки можно пресечь, пусть будут хоть 10 символов. Но это одна сторона медали, зная о затратах на такие операции, кто бы стал головой об стену, будут искать ключ к дверям чтобы войти. Кража паролей, это цель взлома, а что-то из себя представляет пароль, файл ли это, строка, набор строк, не так важно. Главная проблема, это идентификация, распознать того кто представляется, действительно ли владелец или маска. И эта проблема не решится простой подменой одного на другое.
|
|
|
|
