« Rev
@golangl   657
Fwd »


Z
по теме пишите лучше
Не ну это
Вот именно. Сидят тут и на лету не понимают
Otabek
согласен, кто нибудь помогите ему)
Vladislav
по теме пишите лучше
пишу по теме
Vladislav
внимание внимание
Илья
кто знает про salt&hash algo? хочу разобраться
ну salt это соль, хэш алгоритм например bcrypt
Vladislav
я знаю
Vladislav
конец.
John
я знаю
Какой вопрос - таков ответ))))
John
Скрин : win shift s
Юра (Юрий Александрович)
кто знает про salt&hash algo? хочу разобраться
Сначала необходимо изучить тему хеширование, потом тему уязвимости хешей (хеш-коллизии, словари хешей), потом как решение проблемы предстает тема хеширования с солью.
Юра (Юрий Александрович)
хочу добавить hash&salt в api запросы для защиты, подскажете куда копать?
в именно в том направлении, о котором я написал.
Z
что нибудь более конкретное будет?
John
Сначала необходимо изучить тему хеширование, потом тему уязвимости хешей (хеш-коллизии, словари хешей), потом как решение проблемы предстает тема хеширования с солью.
Судя по вопросу + немного телепатии = как сделать XYZ, что в своё время решается на stackoverflow. Но остаётся загадка - ему нужна подпись каждого запроса или старый-добрый-мудрый jwt
Rostislav
что нибудь более конкретное будет?
что конкретно хочешь получить от чата?
Z
что конкретно хочешь получить от чата?
в идеале ссылку на статью/доку
Alexander
1.есть соль, она клиенте и на сервере 2. выбираешь ключевые параметры запроса. конкатенирующих их и соль на клиенте 3. берешь от этого хэш 4. пихаешь в параметры тоже 5. на сервере делаешь то же самое и проверяешь совпал хэш или нет
Vladislav
в идеале ссылку на статью/доку
тебе сказали, что искать. если ты в теме ноль, то тебе точно нужно это всё по списку
Alexander
это что ли надо?
Alexander
стремный ник, конечно
Vladislav
ну вот кстати, выше конкретику скинули
Vladislav
> есть соль, она клиенте и на сервере нет
Vladislav
скинули, и неправильную
Z
Опиши подробнее проблему
есть api для мобилки. надо сделать его безопасным от всяких хакеров итд. знаю есть ssl pinning, но это долго.
Alexander
ты про ассиметричное шифрование какое-то?
Rostislav
в идеале ссылку на статью/доку
вряд ли получится сделать что-то по статье сходу. Надо попробовать понять, как работает это всё. Для этого посмотреть книги по криптографии Я кстати встречал вот такие вот механизмы сделанные "по статье". Забавно было то, что они не выполняли ту функцию, ради которой были написаны, потому что тот, кто делал не понимал, как они работают внутри.
Alexander
зачем соль на клиенте?
а как ты хэш сформируешь? очевидно, что с клиента можно взять эту соль тем или иным способом
Vladislav
есть api для мобилки. надо сделать его безопасным от всяких хакеров итд. знаю есть ssl pinning, но это долго.
безопасным - от чего конкретно? что может быть в плохом сценарии?
Alexander
Клиент кто? Фронт или другой сервис?
а ведь это непонятно
Alexander
соль сервер генерит при установке пароля
так речь вроде не про пароли
Vladislav
так речь вроде не про пароли
если не про пароли, то это не соль ,скорее всего 🤷‍♂️
Z
безопасным - от чего конкретно? что может быть в плохом сценарии?
апи используется внутри приложения. можно отловить трафик и сделать ddos атаки. а там api с отправкой смс кода...так и разориться можно
Alexander
я вообще не знаю о чем речь, предположил о том, чтобы апишку нельзя было дергать просто так
Z
хотелось бы чтобы вне приложения апи не работало
Alexander
ну значит то, о чем я писал. хотя должно быть что-то понадежнее, но с этого можно начать
Vladislav
всегда будет способ дёрнуть апишку вне приложения
Vladislav
разумнее рейтлимиты поставить
Alexander
в любом случае на приложении должен быть какой-то ресурс, который можно достать будет
John
разумнее рейтлимиты поставить
И это тоже не панацея
Z
всегда будет способ дёрнуть апишку вне приложения
да. но у злоумышленника нет доступа к коду сервака и коду клиента. а значит можно через какой нибудь hash&salt спастись, нет?
Vladislav
реверс-инжинирингом
Z
Чувак а что с ником?
acj666 что не так
Maks
А где начало
Alexander
но по факту, то, что я предложил - начало защиты вполне. много атак на что бы то ни было идет автоматом, и самые убогие дыры ищутся
Сатурн
У тебя Z гавно прилипло, убери
Alexander
соль подлиннее нагенери
John
Думаю для начала пойдёт rate-limit , отправлять могут только зарегистрированные, реализовать идемпотентность для отправки sms
Vladislav
@banofbot
Anonymous
@banofbot
Зачем?
Не ну это
так лучше?
напиши Сила V правде (по этому мы слабые)
Z
@banofbot
он меня оскорбил а меня кикать? уверенно
Сатурн
он меня оскорбил а меня кикать? уверенно
Когда оскорбил? Чувак не оскорбление
Vladislav
забыли
Alexander
не понял, исправил же ник. зочем кикоть?
John
а для входа?
Какойнибуть jwt, вместо соль и хэша открытый - закрытый ключ
Не ну это
не понял, исправил же ник. зочем кикоть?
Он не поставил "Сила V правде (по этому мы слабые)"
Alexander
ну опять же, оно другое могло быть
Илья
а нормально если я схрещиваю соль и пароль? например abcd efgh -> aebfcgdh
Alexander
Какойнибуть jwt, вместо соль и хэша открытый - закрытый ключ
то есть с приложением будет поставляться ключ, а чем от соли отличается?
Не ну это
С Z на Mr Zet?
Вот если бы Mr V Zad...
Alexander
и причем тут жвт не понимаю
hh
Вот если бы Mr V Zad...
Ты с украины?
John
то есть с приложением будет поставляться ключ, а чем от соли отличается?
А ты попробуй расшифровать без закрытого ключа сообщение?
Не ну это
Ты с украины?
Не
Mr
Когда оскорбил? Чувак не оскорбление
чувак в моих краях оскорбление. как в твоих Z & V
Grigory
и причем тут жвт не понимаю
Жвт это же про то же самое, только все уже готово, бери да используй, не?
hh
Не
Но сво не поддерживаешь?
« Rev
@golangl   657
Fwd »