LINUX.ORG.RU

История изменений

Исправление windows10, (текущая версия) :

внимательно читать PCI DSS. PCI DSS compliant облака есть.

Угу. Что не отменяет доступ к ним со стороны хостинг провайдера.

Чотаржу. Почитай, что ли, сколько времени занял конкурс на AES.

Ну и да, как доступ к коду поможет от sha256-хэшей?

Хоть миллион лет. Если есть доступ к части где «if ($entered_password==$stored_password) {авторизовано}» - злоумышленник может сделать все что захочет. Хотя бы отправить себе пароли (или ссылку для ресета) на имейл.

Нюанс лишь в том, что хранится в БД, если мы о паролях.

Нюанс не в том, что хранится в БД, а в том как получить доступ к аккаунту. Один из многих способов я уже сказал выше. Никто не будет брутфорсить пароли, считать хеши, и заниматься прочей красноглазой ерундой. Сменят пароль через почту, да и все. Или даже не через почту, а через редирект на то место кода, где меняется этот пароль.

Ты поди думаешь что кулхацкеры хачат MD5, sha256 и прочие страшные слова на суперкомпьютерах под управлением юникс в терминале с зеленым шрифтом на черном фоне ? Расслабься. Они сначала сгенерят хеш для пароля «123» у себя, проапдейтят результат в БД ломаемого сервера, и спокойно зайдут под аккаунт с этим паролем. Ну ты как маленький, чесслово.

Исходная версия windows10, :

внимательно читать PCI DSS. PCI DSS compliant облака есть.

Угу. Что не отменяет доступ к ним со стороны хостинг провайдера.

Чотаржу. Почитай, что ли, сколько времени занял конкурс на AES.

Ну и да, как доступ к коду поможет от sha256-хэшей?

Хоть миллион лет. Если есть доступ к части где «if ($entered_password==$stored_password) {авторизовано}» - злоумышленник может сделать все что захочет. Хотя бы отправить себе пароли (или ссылку для ресета) на имейл.

Нюанс лишь в том, что хранится в БД, если мы о паролях.

Нюанс не в том, что хранится в БД, а в том как получить доступ к аккаунту. Один из многих способов я уже сказал выше. Никто не будет брутфорсить пароли, считать хеши, и заниматься прочей красноглазой ерундой. Сменят пароль через почту, да и все. Или даже не через почту, а через редирект на то место кода, где меняется этот пароль.

Ты поди думаешь что кулхацкеры хачат MD5, sha256 и прочие страшные слова на суперкомпьютерах под управлением юникс в терминале с зеленым шрифтом на черном фоне ? Расслабься. Они сначала сгенерят хеш для пароля «123» у себя, заинсертят результат в БД ломаемого сервера, и спокойно зайдут под аккаунт с этим паролем. Ну ты как маленький, чесслово.