Программирование, т. 6

хм, великий сеньор, расскажи мне еще плз зачем нарушать логичный контракт и вместо ожидаемого возвращения одного юзера по айди возвращается их список?

 

Низачем. В данный момент этот сервис возвращает список в контролер, а тот уже вызывает .FirstOrDefault() чтобы вернуть клиенту одного юзера. Так что со стороны клиента это не важно - результат один и тот же. В рамках проекта из которого я вытянул этот клас, это не критично, ибо проект мизерный. У нас такое конечно бы не пролетело, ибо бизнес логики в контролерах быть не должно.

Гыы

хм, великий сеньор, расскажи мне еще плз зачем нарушать логичный контракт и вместо ожидаемого возвращения одного юзера по айди возвращается их список?

 

Низачем. В данный момент этот сервис возвращает список в контролер, а тот уже вызывает .FirstOrDefault() чтобы вернуть клиенту одного юзера. Так что со стороны клиента это не важно - результат один и тот же. В рамках проекта из которого я вытянул этот клас, это не критично, ибо проект мизерный. У нас такое конечно бы не пролетело, ибо бизнес логики в контролерах быть не должно.

Гыы

 

Проект = проект в VS

Клиент = то, что поглащает сервис, судя по этому солюшену, это веб апп

 

Где ты тут всмотрел что это используется в продукции?

Ждем, когда окажется что комментарии оказывается писать не запрещено, а даже поощряется.

Ждем, когда окажется что комментарии оказывается писать не запрещено, а даже поощряется.

 

С тобой вести диалог, это все равно что спорить с религиозными фанатиками. Результат тот же - постишь неаргументированные из воздуха взятые убеждения немного разбавленные смайликами и повсеместными "гыыыыы", которые по твоему мнению наверняка завышают твою позицию и вес твоих сообщений.

 

А ну и еще. Вместо мычать как корова на форуме, я тебе советую тебе пойти изучить историю SHA1 и вообще вникнуться в криптографию (которую я кстати изучал в университете в свое время). SHA1 вполне можно использовать для хеширования паролей. То, что этот алгоритм устарел, эти слухи идут еще с 2002 года.

 

В действительности, на данный момент поддержку этого алгоритма гугл и майкрософт будут останавливать в ближайшие два года, но это потому что ТЕОРЕТИЧЕСКИ, для этого алгоритма можно найти коллизии. Иными словами, использовать SHA1 для SSL сертификатов - это рискованно, так как в будущем есть вероятность что с ростом компьютерной мощности (согласно Moor's law), эти коллизии можно будет найти. Было много научных исследований на эту тему, некоторые группам удалось найти колизии в неполной версии алгоритма и это якобы важный шаг к тому, чтобы сломать главный алогоритм.

 

Однако: https://en.wikipedia.org/wiki/SHA-1

As of October 2015 , no actual collisions are publicly known.

 

Ну это про колизии. То что тут было упомянуто про слитие базы, это preimage attack, это совершенно другой вид атаки. Понятия "preimage resistance" и "collision resistance" это две разные вещи.

 

Если тебя интересует преимадж резистанс SHA1 (а именно возможность найти X, если M = hash(x, salt) при знании M), то можешь посмотреть вот это видео: http://research.microsoft.com/apps/video/default.aspx?id=153985&r=1

 

We show that preimages of SHA-1 can be computed at the cost of 2¹⁵⁹.3 compression function computations.

 

 

 

Ну хотя для твоего простецкого глаза 2^159 выглядит как небольшая цифра, но не поддавайся на такое. 2^159 = 730750818665451459101842416358141509827966271488

 

ах да, забыл добавить. SHA1 это дефолтный алгоритм используемый ASP.NET Membership Framework на которой сейчас живут милионы ecommerce веб сайтов. Если у тебя есть магическая палочка которая может крякнуть SHA1, то ты чувак на жопе ровно зря сидишь, ты можешь идти милиарды на этом зарабатывать.

Изменено 19 июня 2016 пользователем Supernatura1

ах да, забыл добавить. SHA1 это дефолтный алгоритм используемый ASP.NET Membership Framework на которой сейчас живут милионы ecommerce веб сайтов. Если у тебя есть магическая палочка которая может крякнуть SHA1, то ты чувак на жопе ровно зря сидишь, ты можешь идти милиарды на этом зарабатывать.

который в некст году забанят с сертификатов

а что за язык на 302й?

Изменено 19 июня 2016 пользователем Reality

ах да, забыл добавить. SHA1 это дефолтный алгоритм используемый ASP.NET Membership Framework на которой сейчас живут милионы ecommerce веб сайтов. Если у тебя есть магическая палочка которая может крякнуть SHA1, то ты чувак на жопе ровно зря сидишь, ты можешь идти милиарды на этом зарабатывать.

который в некст году забанят с сертификатов

 

Каким образом сертификаты связаны с паролями в базе данных?

Гыы, называет кого-то религиозным фанатиком, а сам при этом фанатично отказывается писать комментарии, гыы.

 

Использовать устаревшую хеш функцию, когда есть bcrypt, и оправдывать это, это конечно эпик. Тем более странно звучат слова, что ты этот курс изучал, но видимо комментарии себе в тетрадку не записывал.

ах да, забыл добавить. SHA1 это дефолтный алгоритм используемый ASP.NET Membership Framework на которой сейчас живут милионы ecommerce веб сайтов. Если у тебя есть магическая палочка которая может крякнуть SHA1, то ты чувак на жопе ровно зря сидишь, ты можешь идти милиарды на этом зарабатывать.

который в некст году забанят с сертификатов

 

Каким образом сертификаты связаны с паролями в базе данных?

считаешь что хеши небезопасные для подписки сертификатов абсолютно безопасны для хранения паролей?

они же юзаются абсолютно одинаково

ах да, забыл добавить. SHA1 это дефолтный алгоритм используемый ASP.NET Membership Framework на которой сейчас живут милионы ecommerce веб сайтов. Если у тебя есть магическая палочка которая может крякнуть SHA1, то ты чувак на жопе ровно зря сидишь, ты можешь идти милиарды на этом зарабатывать.

который в некст году забанят с сертификатов

 

Каким образом сертификаты связаны с паролями в базе данных?

считаешь что хеши небезопасные для подписки сертификатов абсолютно безопасны для хранения паролей?

они же юзаются абсолютно одинаково

 

Smotria chto ti ponimaesh pod 'odinakogo'. Eshe raz perechitai moi post predidushij. Ja sha ne doma i ne mogu na russkom pechatat, tak chto potom otvechu kak domoi pridu. So vtorim klounom sporit bespoke no, on prochital chtoto na zabore i povtorjaet kak istinu

Гыы, не умеет в слепую печать, гыы

супернатурал так то добротный персонаж, я помню тут уже была какая то лютая заруба с его участием, правда не помню на какую тему

ах да, забыл добавить. SHA1 это дефолтный алгоритм используемый ASP.NET Membership Framework на которой сейчас живут милионы ecommerce веб сайтов. Если у тебя есть магическая палочка которая может крякнуть SHA1, то ты чувак на жопе ровно зря сидишь, ты можешь идти милиарды на этом зарабатывать.

который в некст году забанят с сертификатов

 

Каким образом сертификаты связаны с паролями в базе данных?

считаешь что хеши небезопасные для подписки сертификатов абсолютно безопасны для хранения паролей?

они же юзаются абсолютно одинаково

 

Абсолютно безопасны, если соблюдать адекватные рестрикции на сами пароли (9+ символов содержащие буквы и цифры)

 

SHA1 небезопасен лишь тем, что в можно ТЕОРЕТИЧЕСКИ найти колизии (опять же это все пока что звон в научных местах без реальных доказательств. Википедия ясно говорит, что колизий в полной версии алгоритма пока что не найдено)

 

Колизия это когда 2 РАЗНЫХ строки приводят к одному и тому же хешированному результату. То есть имея строки m1 и m2, hash(m1) = hash(m2).

 

Теперь давай разберемся как это влияет на SSL сертификаты. Злодей имеет два документа, 'А' и 'Б'. Он хочет наебать Петю таким образом, чтобы он принял документ 'Б' от Васи. Что происходит далее:

- Злодей шлет документ 'А' Васе. Тот соглашается с ним, подписывает хэш и отправляет подпись обратно Злодею.

- Злодей прикрепляет полученную подпись к документу 'Б'.

- Злодей шлет подпись вместе с документом 'Б' Пете, заявляя, что мол этот документ был подписан Васей. Так как электронная подпись подходит к хэшу из документа 'Б', то Петя никак не может уличить подмену и принимает документ (а именно SSL сертификат!)

 

 

Ситуация с паролями совершенно другая. Допустим случилось так и твою базу слили, и злодей заполучил хеши и соли всех юзеров. Здесь найденная колизия никак не поможет, ибо допустим мы имеем пользователя со следующими данными:

 

username: supernatural

pass: 9EGbR5o95M4F4ScJYtyYYQRhDRQ= (в реальности давайте скажем что пароль это qwerty123)

salt: 3ZPGINWK8WPHF6PAWLYCSTOOA2439OJN

 

Опять же ТЕОРЕТИЧЕСКИ (опять же скажу, этого пока что не удалось сделать для полного SHA1) давай скажем что мы нашли колизию и строка "978978978" с солью "3ZPGINWK8WPHF6PAWLYCSTOOA2439OJN" возвращает хеш "9EGbR5o95M4F4ScJYtyYYQRhDRQ="

 

Итак, что мы от этого поимели? Пароля supernatural мы все равно не знаем. Мы можем сгенерировать такой же хеш, как у этого юзера, но можем ли мы залогиниться как supernatural? Опять же нет, ибо проверяется не только пароль, но и username. Дак вот мой вопрос к тебе, что ты имеешь от того, что ты нашел эту мифическую колизию и смог сгенерировать такой же пароль какой есть у какого то юзера?

 

На самом деле, то, что ты хочешь найти это преимедж, а именно тебе нужно произвести преимадж атаку на слитую базу. Это типичная брут форс атака, а именно тебе нужно будет генерировать хаши на каждую соль и пытаться "угадать" пароль qwerty123. Как только ты найдешь строку которая приведет к результату - 9EGbR5o95M4F4ScJYtyYYQRhDRQ=, то ты знаешь, что ты попал в цель.

 

Однако любой пароль состоящий из 9+ знаков (буквы и цифры) таким образом сломать невозможно.

Мы можем сгенерировать такой же хеш, как у этого юзера, но можем ли мы залогиниться как supernatural? Опять же нет, ибо проверяется не только пароль, но и username.

шо?

Однако любой пароль состоящий из 9+ знаков (буквы и цифры) таким образом сломать невозможно.

Из-за коллизий возможно. SHA, md5 и многие другие хеши создавались специально, чтобы быстро подсчитывать хеши больших объемов данных, это одно из условий хорошего хеша. И уже поэтому их не стоит использовать для хеша пароля, ибо дает возможность для брут атаки. На видеокартах sha-1 считается очень хорошо. Но то что у этого алгоритма возможны коллизии делает его окончательно непригодным для серьезных вещей. Это как минимум говорит о его качестве. От того более странно, что ты пытаешься защищать код который писал не ты.

Однако любой пароль состоящий из 9+ знаков (буквы и цифры) таким образом сломать невозможно.

Из-за коллизий возможно. SHA, md5 и многие другие хеши создавались специально, чтобы быстро подсчитывать хеши больших объемов данных, это одно из условий хорошего хеша. И уже поэтому их не стоит использовать для хеша пароля, ибо дает возможность для брут атаки. На видеокартах sha-1 считается очень хорошо. Но то что у этого алгоритма возможны коллизии делает его окончательно непригодным для серьезных вещей. Это как минимум говорит о его качестве. От того более странно, что ты пытаешься защищать код который писал не ты.

 

Ja takih glupih ludei davno ne vstrechal. Ne chitaet voobshe chto ja pishu, a prosto sret i sret.

 

Horosho chuvak, ti prav. Ti menia zaovnil

Изменено 20 июня 2016 пользователем Supernatura1

то чувство когда уехал жить в калифорнию, но не закончил войну в интернете

Гыы, называть кого-то в интернете тупым

Гыыы

в каждом посте

Приведу стену из известной книги:

 

 

# читайте, как дефис.