|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
Программизд 02 Деда, вот ты шифруешь пароль пользака и в БД лежит его хэш. При этом, важен не только хэш, но ещё секретный ключ, которым ты шифруешь и который если потерять, пользак не залогинится. А почему бы не шифровать: - логины - мыла - и даже личные сообщения В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует. Но допустим, при подхвате флага новым одменом, прежний одмен передаёт дамп и мастер ключ новому ответственному одмену и тот накатывает. Понятно, что в любом случае новый одмен получает доступ к данным, но расшифровка какой-то лички мастер ключом - это уже не просто select из БД кроме того, можно делать комбинации, пользовательский мастер ключ состоит из основного мастер ключа и куска, допустим, логина пользака. ну что-то в этом роде. То есть, пароль у тебя шифруется необратимо неким ключом, ведь так? логин тоже можно шифровать необратимо. если пользак логин забыл, ну блин, извините. Личку можно шифровать куском основного ключа плюс хэшом логина. В этом случае, можно свободно выкладывать даже дамп с основным ключом. Ну как-то примерно так ... |
|||
:
Нравится:
Не нравится:
|
|||
27.04.2022, 12:20 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
Пошэгей пароли к геетанкам вообще хранит в открытом виде ... |
|||
:
Нравится:
Не нравится:
|
|||
27.04.2022, 15:17 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
Программизд 02 Деда, вот ты шифруешь пароль пользака и в БД лежит его хэш. При этом, важен не только хэш, но ещё секретный ключ, которым ты шифруешь и который если потерять, пользак не залогинится. А почему бы не шифровать: - логины - мыла - и даже личные сообщения В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует. Но допустим, при подхвате флага новым одменом, прежний одмен передаёт дамп и мастер ключ новому ответственному одмену и тот накатывает. Понятно, что в любом случае новый одмен получает доступ к данным, но расшифровка какой-то лички мастер ключом - это уже не просто select из БД кроме того, можно делать комбинации, пользовательский мастер ключ состоит из основного мастер ключа и куска, допустим, логина пользака. ну что-то в этом роде. То есть, пароль у тебя шифруется необратимо неким ключом, ведь так? логин тоже можно шифровать необратимо. если пользак логин забыл, ну блин, извините. Личку можно шифровать куском основного ключа плюс хэшом логина. В этом случае, можно свободно выкладывать даже дамп с основным ключом. Ну как-то примерно так ... |
|||
:
Нравится:
Не нравится:
|
|||
27.04.2022, 15:28 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
basename [игнорируется] Хэш однонаправленный для пароля. В принципе логин можно было бы им хэшировать. Для мейла и личных сообщений нужно хэширование с возможностью дешифрации по ключу. Но в этом не вижу большого смысла. - Админ владеет и ключом/солью и если приложение может дешифровать, то и админ сможет. - Если например у Гарына Пашэ спиздит логин/пароль, то шифрование не защитит личку, пашэ зайдет под горыном и прочитает личку так, как если бы зашел сам горын. Цитата [игнорируется] В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует. ... |
|||
:
Нравится:
Не нравится:
|
|||
27.04.2022, 16:04 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
Майору можно было бы предоставить ключ который на сервере будет. А вот если сделать обмен ключом для личной переписки между клиентами минуя сервер, то да, это бы жизнь усложнило. ... |
|||
:
Нравится:
Не нравится:
|
|||
27.04.2022, 16:05 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
Майору можно было бы предоставить Превентивно. Время такое, неспокойное. ... |
|||
:
Нравится:
Не нравится:
|
|||
27.04.2022, 19:06 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
вообщето, деда все пароли собирает в блокнотег... всем же известно, что айтишники заёбываются 100500 паролей держать и юзают один и тот же пароль для пт и для входа в интернет банк... а как выдумаете деда столько времни форум тянул? ну... прибанит пяток кракнутых мемберов... зато остальные не в накладе. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.04.2022, 00:54 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
basename [игнорируется] Хэш однонаправленный для пароля. В принципе логин можно было бы им хэшировать. Для мейла и личных сообщений нужно хэширование с возможностью дешифрации по ключу. Но в этом не вижу большого смысла. - Админ владеет и ключом/солью и если приложение может дешифровать, то и админ сможет. - Если например у Гарына Пашэ спиздит логин/пароль, то шифрование не защитит личку, пашэ зайдет под горыном и прочитает личку так, как если бы зашел сам горын. Цитата [игнорируется] В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует. Если Пашэ украдёт пароль Гарыныча и у него он везде один, то Пашэ сравнительно легко попадёт и в другие сервсиы. Так что случай с кражей рассматривать смысла нет, тут только двусторонняя аутентификация может помочь. За скриптом и инструкцией по восстановлению (у тебя была вроде) позже обращусь, пока всё-равно другим занят да и выкладывать нечего особо. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.04.2022, 09:17 |
|
Шифрование персональных данных в форуме
|
|||
---|---|---|---|
#18+
вообщето, деда все пароли собирает в блокнотег... всем же известно, что айтишники заёбываются 100500 паролей держать и юзают один и тот же пароль для пт и для входа в интернет банк... а как выдумаете деда столько времни форум тянул? ну... прибанит пяток кракнутых мемберов... зато остальные не в накладе. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.04.2022, 09:18 |
|
Шифрование персональных данных в форуме
|
|
---|---|
#18+
https://chrome.google.com/webstore/detail/nosqlru-mod/clgebcoblohaclokpfbnmmiacjjhcdmo?hl=ru подробности шифрования есть в теме расширения даже если паше получит пароль гарына, без ключа, который хранится только у гарына, паше ничего ниасилит прочитать ... |
|
:
|
|
03.05.2023, 20:12 |
|
|
start [/forum/topic.php?fid=3&msg=23730&tid=962]: |
0ms |
get settings: |
24ms |
get forum list: |
11ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
38ms |
get topic data: |
11ms |
get forum data: |
2ms |
get page messages: |
781ms |
get tp. blocked users: |
3ms |
others: | 32ms |
total: | 908ms |
0 / 0 |