Здравствуйте, John1979, Вы писали:
VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль J>Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.
Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
Здравствуйте, VladFein, Вы писали:
VF>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.
Здравствуйте, Xander Zerge, Вы писали:
XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Здравствуйте, VladFein, Вы писали:
VF>Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.
Страшно подумать, что у них там может быть с хранением почты и паролей
Здравствуйте, aios, Вы писали:
A>Правда, или врут?
Правда.
Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Здравствуйте, Doom100500, Вы писали:
D>Инфомация, конечно очень интересная, но всё-же там: D>Я не нашёл упоминания о доступе к документу из скрипта. D>https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
Там не описано, что защищает Same-origin policy только как управлять этим. Но там ссылочки есть нужные.
D>И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?
With no additional qualifiers, the term "same-origin policy" most commonly refers to a mechanism that governs the ability for JavaScript and other scripting languages to access DOM properties and methods across domains (reference). In essence, the model boils down to this three-step decision process:
If protocol, host name, and — for browsers other than Microsoft Internet Explorer — port number for two interacting pages match, access is granted with no further checks.
Any page may set document.domain parameter to a right-hand, fully-qualified fragment of its current host name (e.g., foo.bar.example.com may set it to example.com, but not ample.com). If two pages explicitly and mutually set their respective document.domain parameters to the same value, and the remaining same-origin checks are satisfied, access is granted.
If neither of the above conditions is satisfied, access is denied.
Здравствуйте, velkin, Вы писали:
V>Проверил сейчас сбербанк онлайн. Да, правда. Если бы не двухфакторная аутентификация, я бы сказал, что они поступают очень не умно.
Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны
Здравствуйте, Doom100500, Вы писали:
G>>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.
GIV>>А как же same origin?
D>А чем это мешает сторонним скриптам шерстить DOM?
Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.
Здравствуйте, Xander Zerge, Вы писали:
XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Но это надо знать что надо компенсировать выпавшие большие буквы. Поведение непривычное и довольно неожиданное.
Хотя, большинство аудитории не задумывается про такие мелочи и сложность пароля вообще.
Здравствуйте, Pzz, Вы писали:
VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Pzz>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...
Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...
Здравствуйте, aios, Вы писали:
A>Правда, или врут?
Да, верно. Я им даже вопрос задавал об этом и получил ответ — штатное поведение.
Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.
— Я точно помню свой пароль, а он меня не пускает, помогите, что делать ?
— А как Вы его набирали — заглавными или строчными ?
— А я не помню. А не все ли равно ?
Что касается безопасности, то тут проблемы нет. Как уже отметил Xander Zerge, добавь один символ и будет компенсировано. Реально же и вообще ничего делать не надо, и сообщать об этом тоже.
P.S. Кстати, существуют языки, где один регистр букв. Иврит, например.
VF>>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Pzz>>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...
VF>Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...
И это тоже можно делать, храня только хэш пароля. Достаточно привести к некоторому нормальному виду перед вычислением хэша (с учётом регистра, раскладки, опечаток и т.п.).
Более того, в теории можно даже добавлять новые варианты нормализации пошагово и обновлять хэши паролей при следующем входе.
Я тоже сначала посмеялся, но, если задуматься, то в системах, для которых брутфорс не является угрозой, это было бы очень хорошим решением, повышающим удобство пользователей.
Хотя большинство, конечно, давно хранит пароли в браузере и вручную их не вводит.
Здравствуйте, Mihas, Вы писали:
M>Здравствуйте, Pavel Dvorkin, Вы писали:
PD>>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов. M>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
лучше сразу позволять набирать любой пароль, все будут верными
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, Mihas, Вы писали:
M>>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.
Я и пользуюсь на компе. И то была шутка
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.
Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
Здравствуйте, fmiracle, Вы писали:
F>Здравствуйте, VladFein, Вы писали:
VF>>Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.
F>Страшно подумать, что у них там может быть с хранением почты и паролей
зато страшно удобно для тестирования — вроде как ящики разные, а по сути один и тот же — the.shmj@gmail.com, theshmj@gmail.com
F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны. F>Страшно подумать, что у них там может быть с хранением почты и паролей
а про "+" в адресе вообще лучше не вспоминать!
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.
Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, Pavel Dvorkin, Вы писали:
PD>>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.
Ops>Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.
Речь, видимо, шла о том, что случайно набрать невозможно.
А когда специально нужно, можно и не учить. Есть специальные программы/клавиатуры.
Здравствуйте, mike_rs, Вы писали:
_>Здравствуйте, aios, Вы писали:
S>>>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны
A>>при первом запуске тоже?
_>при первом запуске используется одноразовый пароль, не пофиг что там с регистром, если он больше не актуален?
Не актуален, уверены?? Три раза ХА-ХА!
Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком
Угораздило меня получать на работе зарплату на карту сбербанка.
Ну подключил как-то с пол-года назад "Сбербанк Онлайн", всё работало нормально, даже удобно было, до тех пор, пока я не забыл логин и пароль
Ну, думаю, не беда, пошел в ближайший банкомат, взял бумажку с новым временным логином и паролем.
Пришел домой, ввел с бумажки новые логин пароль, залогинился, сразу поменял логин на более удобочитаемый.
Всё бы хорошо, только на днях в ящике стола нашел бумажку со СТАРЫМИ логином и паролем (тем, которые я забыл).
Хохмы ради ввел старый логин и старый пароль, и что бы вы думали? Меня пустило!
Теперь у меня на руках ДВА логина и ДВА пароля от личного кабинета Сбербанк Онлайн и оба работают!
Причем опции "удалить лишний логин" вообще не предусмотрено в принципе.
Вопрос, что курили разработчики ??
А если старый логин и пароль скомпрометированы и бумажку с ними нашел бы не я?
Как вообще могло прийти в голову сохранять активной старую связку логин/пароль, после того как пользователь в явном виде заказал себе новую?
--------------------------------------------------------------
Правильно заданный вопрос содержит в себе половину ответа
AN>Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком
AN>
AN>Вопрос, что курили разработчики ??
А хотите узнать "что курили разработчики"?
Включите консоль браузера (в инструментах разработчика) и посмотрите на десятки сторонних трекинг-пикселей и скриптов, которые загружает страница логина Сбербанк-онлайн. Сторонних скриптов, Карл! Скрипты видят все ваши логины и пароли от Сбербанка.
А потом залогиньтесь в личный кабинет и убедитесь, что сторонние скрипты (rutarget.ru) загружаются и там тоже. Они видят ваши номера счетов, карт, наличие денег на счетах, что и куда вы переводите.
Какой смысл обсуждать регистр при вводе логинов/паролей, если они доступны неограниченному кругу третьих лиц?
Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.
Здравствуйте, granty, Вы писали:
G>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.
А как же same origin?
Вот расширения да, типа адблока и прочих — тут сливай сколько хочешь.
Здравствуйте, GarryIV, Вы писали:
GIV>Здравствуйте, granty, Вы писали:
G>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.
GIV>А как же same origin?
Здравствуйте, GarryIV, Вы писали:
D>>А чем это мешает сторонним скриптам шерстить DOM?
GIV>Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.
Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
