Хранение соли для пользователя конечно увеличит сложность подбора паролей. Т.к. если соль одна, то достаточно прогнать словарь паролей с этой одной солью еще раз через хеш-генераторы, и сразу получить все использованные пароли. Если для каждого пользователя соль разная, то словарь стандартных паролей, придется прогонять с каждой такой солью. Идеально, если соли хранятся в key-value storage отдельно от базы, но для каждого пользователя. Украсть две базы сложнее, чем украсть одну )
@erwererwrwr
3 жыл бұрын
моё почтение, Тимур, как обычно)! Смотрю и вдохновляет прямо уровень знаний и понимание. Увы, куда-то потерял и не могу найти из плейлистов видео по созданию очередей для частичного решения проблемы блокировки потока ноды, могли бы, пожалуйста, ссылкой поделиться?
@TimurShemsedinov
3 жыл бұрын
Вот тут kzitem.info/news/bejne/2I93mJd_i4t9onY
@erwererwrwr
3 жыл бұрын
@@TimurShemsedinov благодарствую
@PerfectSwingDance
4 жыл бұрын
Спасибо!
@TimurSevimli
Жыл бұрын
Спасибо большое, было интересно!
@dimitro.cardellini
4 жыл бұрын
Уточнение по хранению паролей с солями. Просто хэш от пароля (от любого алгоритма) хранить нельзя по той причине, что есть словари стандартных паролей, для которых уже давно посчитаны хэши, что в случае утечки базы скомпроментирует, если не все, то значительную часть паролей. И дальше, да -- каскадный взлом.
@HelloGoodbye-f6q
4 жыл бұрын
Будет ли урок по fail2ban, selinux и т.д?
@TimurShemsedinov
4 жыл бұрын
Нет, я про них знаю, но маловато, это выходит за пределы моей компетенции, это уже не программирование, а управление окружением.
@Скыбыдыщь
Жыл бұрын
хорошо, а какая тогда альтернатива сохранения в request, когда мы например проверили токен и положили найденного юзера в request.user в ПО, что делать вместо этого?
@TimurShemsedinov
Жыл бұрын
Выходов сотни, данные для соединения можно хранить в замыканиях, коллекциях, композиция и агрегация классов, можно использовать async localstorage и async_hooks, да что угодно. Примеры того, как писать без примесей у меня в курсе и в открытом есть, ну вот хоть тут kzitem.info/news/bejne/jpewn2VokXR0qG0 и тут kzitem.info/news/bejne/tZWtsYyrkIlliqQ а так вообще там десятки лекций и репозиториев с примерами кода
@Скыбыдыщь
Жыл бұрын
@@TimurShemsedinov в доке неста указано что сохранять в req.user = user это хорошая практика. Проблема - конфликт, но у каждого запроса разве не свои объекты request response?
@TimurShemsedinov
Жыл бұрын
@@Скыбыдыщь У каждого запроса свои, но асинхронное программирование позволяет доступаться к свойствам из разных мест программы, разных обработчиков и после любой асинхронной операции вы уже не можете быть уверены, что хранится в свойстве и есть ли оно. Смотрите доклад kzitem.info/news/bejne/s4lu3mtps2aUpn4
@PerfectSwingDance
4 жыл бұрын
1:00:16 из браузера такое провернуть не получается
@Скыбыдыщь
Жыл бұрын
а можно мине лайкосик?
@ilnurryazhapov
4 жыл бұрын
Это новая лекция?
@TimurShemsedinov
4 жыл бұрын
Сегодня записана, 28 ноября 2019, час назад закончилась
Пікірлер: 18