Vlákno názorů k článku
Uniklo 13 milionů plaintextových hesel služby 000webhost
od Palo - Prosim vas, ja som v zivote v DB...
-
OMG! Vy máte ale silnou averzi k PHP. Viz jinde.
Stejnou chybu může udělat kterýkoli bastlíř, ať už to dělá v Javě, C, Ruby, Python atd.
Kdyby se místo PHP prosadil třeba Python, tak tam udělají stejnou chybu. A hádám, že Vy pak budete nadávat na Python.Když se koukám na web, tak se s ním roky nehnulo. Před mnoha lety, kdy nebyly takové útoky, tak asi půlka ukládala hesla normálně, protože v té době nikoho nenapadlo, že by to někdo zneužíval. Až rozšířující nebezpečí přinutilo vývojáře ohlížet se na bezpečnost aplikace a jedním z nich je hashování hesel. Evidentně to některým nechává chladným a nechalo to beze změn. Ale jak už jsem psal. Nejsou to jen PHPčkaři.
-
Palo (neregistrovaný)
Ano to je nieco co ocakavam od bastlica. V Jave ich je menej v PHP vacsina. Ja som v zivote a to mam cez 40 neulozil do DB PLAIN TEXT heslo. Jedina zmena ze sa preslo z MD5 na SHA256.
Proste ten inziniersky pristup mate alebo nie.
Nehovorim uz o tom ze v Jave frameworky ako Spring alebo autorizacia cez LDAP vas cez to proste nepustia. -
Palo (neregistrovaný)
Ale to je presne ten inziniersky pristup. Pouzijem best practice a medzi nimi je aj to ze ak to nie je web na ukladanie kontaktnych adries z jedneho formulara tak tam nebudem davat PHP.
A samozrejme potom v Jave nepouzijem ciste JDBC stylom "SELECT ..." + value + "" lebo SQL injection atd.
To iste aplikujte kludne aj na NodeJS/JavaScript (TypeScript a spol je uz ina vec) a to jednoducho nema co robit na servri. Nikdo nevie co sa ti tam preflakuje po servri. V klientovi nech si tam zas bastlici nieco pozliepaju aj tak to za rok budu prepisovat. -
Ondra Satai NekolaZlatý podporovatelTak ti prozradim, ze i SHA256 je blbe. Pouzij scrypt.
Spring te nezastavi, jen ti usnadni to udelat spravne.t
ČLÁNKY DO MAILU