Вот тут написано, что для постгреса нужно делать явно RETURNING https://github.com/lib/pq/issues/24

Большое спасибо, разобрался

просто непредставляю человека использующего пароли длинее 20 символов при костах выше 13

ты всем пользователям расскажешь, что у тебя на бэке bcrypt и cost > 13?

Большое спасибо, разобрался

что в итоге было то?)

просто непредставляю человека использующего пароли длинее 20 символов при костах выше 13

у меня на проекте 20 символов в пароле будет разве что на стейдже встречаться, на проде народ так рисковать не будет

мне кажется ты решаешь не ту проблему

для этого есть 2fa или fido

мне кажется, тебе очень много кажется

ты забываешь о термине "соц. инженерия"

которые натвои 2fa кладут тот самый железобетонный

что в итоге было то?)

Вот так надо было сделать https://github.com/tsepen/lan-place/blob/master/handlers/users.go

хорош, таки вижу людей включивших u2f и раздающих пароли)

Вот так надо было сделать https://github.com/tsepen/lan-place/blob/master/handlers/users.go

??

хорош, таки вижу людей включивших u2f и раздающих пароли)

я тебя чё, заставлял отказываться от bcrypt? раз тебе хватает — удачи. мне bcrypt в этом проекте нельзя.

да и другим бы не рекомендовал

а что юзать-то вместо?

я остановился пока на scrypt, но рассматривал и pbkdf2

у меня на проекте 20 символов в пароле будет разве что на стейдже встречаться, на проде народ так рисковать не будет

Ну знаешь на пароль соц инженерия кладёт ещё больший болт

бесполезно

я свои пароли не помню

они по 32 случайных символа ?

у нас в рекомендациях > 64

проблема в том

что например в банке - А

максимум 16 символов ограничения

я хз зачем

Соц инженерия это не всегда узнать

шо им жалко что ли было 256 положить длинну поля ?

максимум 16 символов ограничения

чтобы работали rainbow tables :))))

шо им жалко что ли было 256 положить длинну поля ?

у нас вот практически анлим

да?

Против фейка или трояна 2fa мощная штука

а пару килобайт туда если

пароль ?

а пару килобайт туда если

с радостью

ограничение в мегабайты

значит нужно вместо поля пароль делать поле "файл" и туда прикрепляем password с рабочего стола

Если 2fa нету то это лакомый кусочек

на гигабайт

я придумал секурный метод!

на гигабайт

а вот это уже не пролезет, да

Точнее не 2fa а подтверждения операций с помощью телефона например

ага! сказали мужики...

мне тут подсунули какой то новый механизм хеширования

для паролей

мне тут подсунули какой то новый механизм хеширования

момент, когда я становлюсь очень скептичным

согласовано с безопасниками!

два отдела хреначили

щаз я открою тз

два отдела хреначили

и оба - дураков, что ли? какой в баню новый алгоритм? какие в баню безопасники? вам не два отдела, а два этажа математиков нужны

ну новый в смысле != sha1

?

имя ему...

легион

ой не ту книгу открыл

ARGON2

Argon2 работает по следующему принципу: 1. Производится хеширование пароля с использованием хеш-функции Blake2b. 2. Результат хеширования записывается в блоки памяти. 3. Блоки памяти преобразуются с использованием функции сжатия {\displaystyle G} G 4. В результате работы алгоритма генерируется ключ (англ. Tag).

* три страницы математики, читать на вики *

самое важно, не оставить соль по дефолту - saltsalt

это будет failfail

я просто оставлю это здесь: https://dev.to/justyntemme/how-to-dos-yourself-with-argon2-20a4

я просто оставлю это здесь: https://dev.to/justyntemme/how-to-dos-yourself-with-argon2-20a4

у меня в тз написано...

где я, а где они ?

ERROR: S client not available

но я ограничу туда выход

на всякий

чтобы работали rainbow tables :))))

При чем тут они?

При чем тут они?

md4 + как можно меньшее количество возможных комбинаций — идеально же для банков, чё

Длинный и очень длинный пароль защищает разве что от брутфорса и больше, по сути, ни от чего. А 2fa (особенно аппаратный токен, а не письмо на почту) поможет и в случае утечки/компрометации. На мой взгляд, лучше чем 2fa, будет только 3fa (и дальше)) ) и обязательное подтверждение критических операций также с помощью 2fa. Это я о защите пользователя, а не данных на своих серверах, а то создалось впечатление, что каждый о своем)

люди, есть очень странное поведение. если кто-то что-то такое видел, то скажуте куда копать. дано: если модуль на го, работающий с postgres 9.5. работа происходил в 99% случаев в фоновом процессе, который запускается раз в минуту. время от времени ( от 5 минут до часа) процесс соединения модуля и базы (на сервере, где бежит postgres) вырастает ровно на 264 байта. в pg_stat_activity idle последний запрос INSERT, который вызывает ФП. В 95% случаев он откатывается из-за uniq index. кто-то что-то подобное видел? куда копать?

от забора до обеда копать

в чём ещё вопрос?

люди, есть очень странное поведение. если кто-то что-то такое видел, то скажуте куда копать. дано: если модуль на го, работающий с postgres 9.5. работа происходил в 99% случаев в фоновом процессе, который запускается раз в минуту. время от времени ( от 5 минут до часа) процесс соединения модуля и базы (на сервере, где бежит postgres) вырастает ровно на 264 байта. в pg_stat_activity idle последний запрос INSERT, который вызывает ФП. В 95% случаев он откатывается из-за uniq index. кто-то что-то подобное видел? куда копать?

запусти pprof, посмотри что происходит

так в модуле все чисто

уже натравиливал. все очищается, ничего не подвисает

но процесс соединения на стороне БД растет

но процесс соединения на стороне БД растет

незакрытые транзакции из приложения?

Коллеги, имеется JSON вида: [{"Zero":0},{"One":1},{"Two":2}] т.е. массив в каждом элементе которого свое значение. Ключи в разных элементах не повторяются и точно в каждом элементе только одно значение. Как это можно распарсить в структуру вида: type T struct { Zero int One int Two int }

написанием своего анмаршаллера

я бы даже сказал регекспой

это для извращенцев

ой та ладно

незакрытые транзакции из приложения?

Проверил, нету

люди, есть очень странное поведение. если кто-то что-то такое видел, то скажуте куда копать. дано: если модуль на го, работающий с postgres 9.5. работа происходил в 99% случаев в фоновом процессе, который запускается раз в минуту. время от времени ( от 5 минут до часа) процесс соединения модуля и базы (на сервере, где бежит postgres) вырастает ровно на 264 байта. в pg_stat_activity idle последний запрос INSERT, который вызывает ФП. В 95% случаев он откатывается из-за uniq index. кто-то что-то подобное видел? куда копать?

я правильно понял, что это вопрос про постгрес, а не про го? ?

я правильно понял, что это вопрос про постгрес, а не про го? ?

Наверное да, но в пг чате тоже мыслей нет

Наверное да, но в пг чате тоже мыслей нет

я думаю, что это такая магия, на которую 2 спринта уйдет :)

Да вот такие же ощущения:-(

(

Коллеги, имеется JSON вида: [{"Zero":0},{"One":1},{"Two":2}] т.е. массив в каждом элементе которого свое значение. Ключи в разных элементах не повторяются и точно в каждом элементе только одно значение. Как это можно распарсить в структуру вида: type T struct { Zero int One int Two int }

что конкретно не поучилось? https://play.golang.org/p/0MiNq1nstUu

* порядок элементов не гарантирован

ну и через массив структур я сделал. А потом в цикле перегоняю в структуру) Но думал есть вариант проще

ну и через массив структур я сделал. А потом в цикле перегоняю в структуру) Но думал есть вариант проще

возможные варианты в го - копипаст/рефлексия/кодогенерация

ты пока остановился на варианте с копипастом

ну и через массив структур я сделал. А потом в цикле перегоняю в структуру) Но думал есть вариант проще

а какая задача? в зависимости от поля анмаршалить в разные структуры?

задача анмаршалить в структуру (не в массив), чтобы далее в коде можно было просто получить любое значение, например T.One, не перебирая массив и не искать, в каком из элементов не nil поле One