Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Zobrazit příspěvky: Doporučované
Čekáme na více doporučených příspěvků
Všechny podle vláken Všechny podle času

F80i76l16i12p 90C48i67e96s64l37a76r 8142906877898

Proboha, vždyť když jsem už kdysi začínal s programování webu, tak první věc byla jasná - do DB vložit zahashované heslo, včetně soli..

Já to prostě nechápu..

0/0
doporučit
4.5.2018 8:15

P21e38t52r 67F74u76k21a 8633156620815

Do db to ukládají správně. Problém byl v aplikačním logu.

0/0
doporučit
4.5.2018 9:04

T84o25m76á48š 79V26a75n67č88u41r38a 4658755610408

A co takhle si to přečíst znovu? Vůbec se tam nepíše o tom, že se do DB ukládalo plaintext heslo. Když už se v tom vyznáte, tak jistě víte, že v jednom okamžiku je v aplikaci stále dostupné viditelné heslo než se nakonec zahashuje do DB. Získané čitelné heslo od uživatele musí nějakou funkci zahashovat (bcrypt) než pak takový hash uloží do databáze. A právě během tohoto procesu se objevila chyba, kdy se z nějakého důvodu ukládaly záznamy včetně hesla někam na disk serveru.

Vždyť je to tam napsané.

0/0
doporučit
4.5.2018 9:17

P10e18t58r 36F13u66k45a 8873556930975

"Záznamy se ukládaly někam na disk serveru" zní pořád dost zlověstně.

Byl to aplikační log. Mohlo to být třeba automatické logování příchozích requestů, ze kterého by pro hesla a podobně bylo potřeba zajistit výjimku.

Snad nikdo neudělal explicitně log "uživatel xyz si nastavuje heslo ABC"

0/0
doporučit
4.5.2018 12:19

S14t40a68n22d11a 48K19a62d52e30ř25á56b60e38k 7335984574829

Promiňte, ale zásadně nesouhlasím. Správně napsaná aplikace by nikdy neměla přenášet heslo na server, ani po HTTPS. Hash se MUSÍ udělat už na straně klienta. viz. např. debata zde https://stackoverflow.com/questions/3391242/should-i-hash-the-password-before-sending-it-to-the-server-side

0/0
doporučit
4.5.2018 15:47

P71e75t16r 43F75u12k15a 8783596240485

Neříkám, jak je to správně. Snažím se jen odhadnout, co se v Twitteru stalo.

0/0
doporučit
5.5.2018 1:41







Najdete na iDNES.cz