[NumLock]

Разработчикам систем парольной аутентификации

Цитата:

Уважаемые разработчики!

За время моей работы на текущей должности у меня накопилось к вам несколько просьб, которые я рискнул опубликовать прямо здесь. Не сочтите за труд ознакомиться с ними. Я буду искренне счастлив обсудить их с вами, если это необходимо. Заранее спасибо, искренне ваш, бла-бла-бла и все такое.

Собственно, просьбы:
Безусловно отличной идеей является хранение паролей пользователей на сервере в открытом виде. Ведь это так здорово: в ответе на запрос о восстановлении доступа, прислать пользователю его старый пароль, не заставляя его использовать временный и не обременяя его задачей придумывания нового постоянного. Да и целую форму с обработчиком сэкономите!
Если вы все же решились на столь смелый поступок и таки планируете хранить в базе хэши паролей — забудьте о стандартных функциях хэширования! Вы вообще — программист или где? А известная только вам функция хэширования только добавит защищенности к вашей системе.
Если никакой придурок не озадачил вас в ТЗ необходимостью реализации периодической принудительной смены пароля, то возможность его изменения надо запретить вовсе. Ибо нефиг давать пользователям волю менять пароли по десять раз на дню, расходуя при этом драгоценные ресурсы ваших серверов. И опять-таки: на целой одной форме и ее обработчике можно сэкономить.
Если же такой придурок таки нашелся, не отчаивайтесь! Вы можете существенно облегчить жизнь пользователям, если разрешите им менять свой пароль на точно такой же, или использованный в прошлый раз. Мелочь, а того придурка на место поставите.
И вообще, запомните: идиота, выставляющего какие-либо требования к парольной защите вы просто обязаны обмануть по полной программе! Ведь именно из-за него у вас вообще возникла необходимость в этой самой парольной защите!
Разумеется, ваши сервера не халявная рапидшара и нечего позволять пользователям засорять место на жестких дисках своими ублюдскими 20-символьными паролями. 8 символов хватит всем! Это в конце 90-ых всем доступно объяснил Microsoft, если кто не помнит.
И вообще, в задницу все ограничения на сложность паролей! Ваши пользователи — свободные люди, и было бы жесточайшим ущемлением их прав навязывать им необходимость использования каких-либо групп символов в обязаловку. И если убежденный расист хочет иметь пароль "fuckingniggas", то кто вы такой, чтобы запрещать ему это?!
Но если вдруг вы реализуете какие-либо ограничения, то ни в коем случае ни раскрывайте их пользователю заранее и одной пачкой! Выдавайте информацию постепенно. Во-первых, в этом случае злой хакерюга не сможет сразу понять вашу парольную политику и оставит попытки получить доступ, а во-вторых, нет ничего забавнее, чем потом наблюдать в логах, как пользователь трахался, пытаясь понять: какие еще ограничения он не учел?
Да-да, обязательно отражайте в логах все вводимые пароли. Потом, если внезапно рухнет база, ее можно будет легко по ним восстановить.
Ни в коем разе не используйте идентификаторы сессий! Вы сами-то хоть подумали, сколько кода вам придется для этого написать? Да и аутентифицироваться заново на каждую операцию безопаснее. А серверы выдержат, мы же в п.3 их мощность сэкономили.
Додумавшись до идентификаторов сессий (вам заняться больше нечем?) не изобретайте велосипед, вам и так есть где развернуть свою фантазию при реализации функции хэширования. Используйте в качестве идентификаторов GUID, или (вот это вообще будет бомба!) случайное двухзначное число, равное количеству секунд в момент входа в систему.
Двухфакторная аутентификация с отправкой сессионного пароля в SMS-сообщении снимает ровным счетом все угрозы, связанные с несанкционированным доступом. Плюньте в глаз тому, кто будет утверждать обратное. Кстати, в этом случае будет очень удобно использовать мобильный телефон пользователя для восстановления его основного пароля.
Обязательно блокируйте запись пользователя после 5-10 неудачных попыток входа. Ведь потом будет так весело наблюдать за впахивающим саппортом, отбивающимся от запросов на разблокировку всей пользовательской базы разом.
Капча — зло. Пользователя нельзя обижать подозрениями в том, что он робот, и заставлять вводить скукоженные символы. Если уж пришлось, то скукоживайте их без фанатизма, чтобы пользователь мог не напрягаясь испытать радость от того, что он не робот. Да и вообще — используйте легкоугадываемый алгоритм выбора символов для капчи. Тогда постоянные пользователи смогут вводить ее, даже не глядя на экран.
И никогда, ни под каким предлогом, не передавайте аутентификационные данные по защищенному каналу: затрахаетесь потом это отлаживать.

P.S: Уважаемые разработчики, убедительно прошу вас рассмотреть мои просьбы и, по возможности, следовать им. А то работы у меня совсем не останется.

[Страдалецъ]

Продолжаю выкладывать шедевры:
http://www.youtube.com/watch?v=pooIa...eature=related
ЗЫ: Надо смотреть до Финала

Звезды зажигают.
http://www.youtube.com/watch?v=MQQIw...eature=related

Ну и немного гордости за наших. Вот секретная разработка наших кораблестроителей, подводная лодка на гусеницах.
http://www.youtube.com/watch?v=MipI1iJAuFk

[Aristarh Dark]

Первый ролик хоть и боянистый, но доставляет... Смотреть нужно последние 20 секунд.
Второй... ну там по голосовалке и каментам все ясно..
Третий - я такие танкетки видел в Якутии, надор отзывается хорошо, правда говорят что если ее глудоко затопить, то пипец.

[Страдалецъ]

А ты второй ролик со звуком смотрел? Не стоило. Его надо без звука смотреть, тогда это действительно смешно. Сколько же надо было Ред була выпить что-бы так окрылило?

[M.A.D.M.A.N.]

У нас в офисе программистом работает индус, самый настоящий, правда говорит на аглицком.

[NumLock]

А у нас в офисе работают русские, самые настоящие русские, только пишут не по-русски, а на Pascal, C и т.д.

[M.A.D.M.A.N.]

Как придумали французский язык:
- А давайте половина букв будет читаться *** знает как,а половина вообще не будет!
- Палки сверху не забудь

Как придумали английский язык:
- А давай, букв будет немного, все они простые, но гласные пусть читаются как попало.
- И чтобы значение слова менялось непредсказуемо в зависимости от предлогов и социального статуса говорящего/пишущего!

Как придумали итальянский язык:
- А давай все слова буду заканчиваться на гласные!
- И руками махать. А то жарко.

Испанский язык:
- А давай поприкалываемся над итальянским языком!

Русский язык:
- А давай писать слова в случайном порядке, а смысл передавать интонациями!
- Приставки и суффиксы не забудь!

Болгарский язык:
- А давай поприкалываемся над русским языком!
- Точно! Будем разговариать как русские дети.

Польский язык:
- А давай говорить по-славянски, но по заподноевропейским правилам?

Немецкий язык:
- А зачем нам пробелы?
- Букв добавь!

Китайский язык:
- А давай вместо слов использовать звуки природы!
- Смотри какую я каляку-маляку нарисовал. Вот тут как бы Солнце, вот тут быки пашут Землю. Пусть это означает стол!

Японский язык?
- А давай говорить все звуки с одной интонацией?
- Как собака лает. Чтобы все боялись

[danyamb]

просто полноприводная корова

[Bargest]

Контрольный вопрос в методичке:
"22. Как сделать прерывания недоступными?"
Первая же мысль:
"Стереть таблицу векторов прерываний."
CLI вспоминается только через 5 минут...

[M.A.D.M.A.N.]

http://i31.fastpic.ru/big/2012/0213/...2ce98b3568.jpg

[M.A.D.M.A.N.]

http://i27.fastpic.ru/big/2012/0213/...06dc748a2c.jpg
Только в россии такое могут придумаьт

[M.A.D.M.A.N.]

http://www.youtube.com/watch?feature...&v=ZmhMsa015sQ
Пичалька.

[delphi-koder]

про отключение javascript понравилось

[M.A.D.M.A.N.]

Код:

function FileTimeToDateTime(FileTime: TFileTime): TDateTime;
 var
   ModifiedTime: TFileTime;
   SystemTime: TSystemTime;
 begin
   Result := 0;
   if (FileTime.dwLowDateTime = 0) and (FileTime.dwHighDateTime = 0) then
     Exit;
   try
     FileTimeToLocalFileTime(FileTime, ModifiedTime);
     FileTimeToSystemTime(ModifiedTime, SystemTime);
     Result := SystemTimeToDateTime(SystemTime);
   except
     Result := Now;  // Something to return in case of error 
  end;
 end;

http://delphiworld.narod.ru/base/ft_to_dt.html

Сильно насмешила 14 строчка.

[NumLock]

ну переобезопасился человек)

Код:

var
  FileTime: TFileTime;
begin
  FileTime.dwLowDateTime:=0;
  FileTime.dwHighDateTime:=$80000000;
  FileTimeToDateTime(FileTime);
end;