Jei bus palikti backdoorai niekas nepadės. Susiras source code ir environmental variables nusidumpins issitrauks visus saltus viska ir pasikurs hashgenerator kuris per kelias minutes nubruteforcins, nes nebus jokiu limitationu, nei connection, nei nieko. Bet passwordas ne didžiausia problema, o asmeniniai duomenys ir kaip tas backupas atsirado azure blob storage container, kuris yra public. Nes jis tik vienas ten buvo... Jei būtu inremental backupas regular backups, tai būtu datom sąrašas direktorijų išmėtytas. ČIa kažkas specialiai paviešino arba antis arba nežinau. Esminis dalykas, kad niekas su rastų asmenų duomenimis nepradėtu social engineeringo ir data forgino.
Mano standartinis siūlymas, jei naudojamas koks nors framework'as, tuomet naudotis jo siūlomu flaptažodžių saugojimo funkcionalumu. Jei neįmanoma ir reikia rimtis pačiam, tuomet šiai dienai reikia rinktis Argon2, kuris automatiškai pasirūpins ir salt'u. Pepper nekenkia, bet gali sukelti logistinių problemų ir suteikti netikrą saugumo jausmą (kodo pavogimo arba insider atakų atveju nepadeda).
For further actions, you may consider blocking this person and/or reporting abuse
We're a place where coders share, stay up-to-date and grow their careers.
Tai kokia siulote iseiti passwordu hashinime? Bcrypt + salt + pepper neuztenka? Beje bcrypt gi generuoja savo salt.
Jei bus palikti backdoorai niekas nepadės. Susiras source code ir environmental variables nusidumpins issitrauks visus saltus viska ir pasikurs hashgenerator kuris per kelias minutes nubruteforcins, nes nebus jokiu limitationu, nei connection, nei nieko. Bet passwordas ne didžiausia problema, o asmeniniai duomenys ir kaip tas backupas atsirado azure blob storage container, kuris yra public. Nes jis tik vienas ten buvo... Jei būtu inremental backupas regular backups, tai būtu datom sąrašas direktorijų išmėtytas. ČIa kažkas specialiai paviešino arba antis arba nežinau. Esminis dalykas, kad niekas su rastų asmenų duomenimis nepradėtu social engineeringo ir data forgino.
Mano standartinis siūlymas, jei naudojamas koks nors framework'as, tuomet naudotis jo siūlomu flaptažodžių saugojimo funkcionalumu. Jei neįmanoma ir reikia rimtis pačiam, tuomet šiai dienai reikia rinktis Argon2, kuris automatiškai pasirūpins ir salt'u. Pepper nekenkia, bet gali sukelti logistinių problemų ir suteikti netikrą saugumo jausmą (kodo pavogimo arba insider atakų atveju nepadeda).