Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #61 (permalink)  
Старый 27.07.2017, 23:33
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

Сообщение от laimas Посмотреть сообщение
Ну такой на объем конечно не каждый хост настроен ... Кроме того, поле ввода формы на такие объемы не рассчитаны, то есть на стороне клиента уже будет обрезано, невозможно будет поместить в поле.
я ждал такого ответа.
во-первых, нормальный хакер не использует <form>...</form> в браузере, чихать ему на браузерные ограничения. атакующие программы пишутся на C, Delphi с применением Indy и т.п... и послать на сервер можно что угодно.
во-вторых, если на хосте ограничения, то те же самые ограничения распространятся и на загрузку файла. с точки зрения POST-запроса ему всё-равно, что у него внутри (строки,символы/байты/биты...).

Сообщение от laimas Посмотреть сообщение
Ну и в данном случае мы знаем точно с чем имеем дело - строка, а при загрузке файлов могут слать что угодно, под видом одних иное или просто мусор маскирующийся под ценное.
-ну сколько раз повторять: нет разницы между "мусором" и "ценным". оператору sha() всё-равно, что хешить.

Сообщение от laimas Посмотреть сообщение
с таким же успехом может быть и паролем собственная аватарка, другими словами пароль у всех на виду. Это надо тоже не сбрасывать со счетов. Ну и снифферы никуда не исчезли. Так что хрен редьки не слаще, то есть картина будет более надежным только лишь потому, что это картинка, это далеко не так.
я уже и не рад, что сказал о возможности использовать фото в качестве фотопароля (файла-пароля). изначально говорилось о файлике, сгенерированном на сервере и присылаемом с сервера.
и ПРИ ПРОЧИХ РАВНЫХ УСЛОВИЯХ метод однокилобайтного файла со случайной последовательностью выигрывает по сравнению с 10-символьным паролем по вероятности несанкционированного доступа методом перебора.
Ответить с цитированием
  #62 (permalink)  
Старый 28.07.2017, 05:58
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,990

Сообщение от Маэстро
атакующие программы пишутся на C, Delphi
Ну зачем мне еще и С напрягать, я спокойно простого бота напишу и на РНР. Как-то вы однобоко рассуждаете - я возьму и ограничу макс. размер разрешенный для загрузки и мне большую картинку никто не пришлет, а вот текст может быть и километровой длины. Ограничения же распространяются на весь POST объем, это и файлы, и что с ними передано.

Не надо повторять, все ясно чего вы хотите. Но вы говорите, что одно можно подобрать, картинки же аналога "1234" почему-то быть не может. Загрузку логина/пароля легко подменить, а картина бронь. Ну это же не серьезно.

Сообщение от Маэстро
ПРИ ПРОЧИХ РАВНЫХ УСЛОВИЯХ метод однокилобайтного файла со случайной последовательностью выигрывает по сравнению с 10-символьным паролем
Метод таковой уже предложено использовать (ищите темы на хабре) и передавать такой пароль файлом совсем не требуется, достаточно текстового поля.

Делайте, тестируйте и со статистикой использования на обсуждение в сеть. Я же не отговариваю, вы спросили "как", я ответил "без разницы". Задачи доказать, что я не прав в своем мнении, перед собой вы не ставите? А я тем более об этом не заикаюсь.

Все, что долго говорить.
Ответить с цитированием
  #63 (permalink)  
Старый 28.07.2017, 09:29
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

Вы не последовательны в своих высказываниях. То говорите
Сообщение от laimas Посмотреть сообщение
Кроме того, поле ввода формы на такие объемы не рассчитаны
то
Сообщение от laimas Посмотреть сообщение
а вот текст может быть и километровой длины
Вы перевираете мои слова
Сообщение от laimas Посмотреть сообщение
Загрузку логина/пароля легко подменить, а картина бронь. Ну это же не серьезно.
-не подменить, а подобрать (пароль) и не картинку, а файл с 1000 .
случайных символов.
Поэтому комментировать уже не хочется.
Ладно, закончим эту дискуссию и разойдемся с миром.
Ответить с цитированием
  #64 (permalink)  
Старый 28.07.2017, 09:46
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,990

Сообщение от Маэстро
Вы перевираете мои слова
Ни чего я не перевираю, ваше высказывание было, что левая форма пришлет строку 2 ГБ, ну так на строку также распространяется установка макс. разрешенного для загрузки, какие проблемы?

Сообщение от Маэстро
не подменить, а подобрать (пароль) и не картинку, а файл с 1000
А зачем файл? Даже длина строки в 20-30 символов, и при этом только дилетант будет хранит чистый хеш ее, хранят вообще-то с солью. Да и не md5, начиная с версии 5.5 лучше использовать Password Hashing функции. В версии 7 более устойчив случайный генератор, это еще дополнительные трудности для подбора.


Никто с вами и не спорит, что чем длиннее строка, тем сложнее подбор. Если система следит за подбором, имеет обратную связь, то попытки таки можно пресечь, пусть будут хоть 10 символов. Но это одна сторона медали, зная о затратах на такие операции, кто бы стал головой об стену, будут искать ключ к дверям чтобы войти. Кража паролей, это цель взлома, а что-то из себя представляет пароль, файл ли это, строка, набор строк, не так важно. Главная проблема, это идентификация, распознать того кто представляется, действительно ли владелец или маска. И эта проблема не решится простой подменой одного на другое.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Просмотр PDF на сайте без возможности скачать smegol Общие вопросы Javascript 12 18.02.2016 19:20
авторизация на сайте torsar Серверные языки и технологии 0 28.02.2015 12:30
Управление скроллом "а-ля тач" HonesT Элементы интерфейса 2 27.08.2013 14:25
Авторизация на "большом" и мобильном сайте iwasborntobleed Мобильный JavaScript 2 30.06.2013 11:35
Учебники бесплатно и без регистрации на сайте http://www.dec4.moy.bz dech Библиотеки/Тулкиты/Фреймворки 2 17.07.2009 14:00