S.Chushkin
Пофигист
Тему надо убить...
Последнее редактирование:
Проблема в том, что 1) ты не решаешь, ты занимаешься демагогией не пытаясь даже погрузится в цифры. 2) ты решаешь за других, а не за себя, ибо пароли - не твои, они пользователейТочно так же и в безопасности хранения паролей, - в каждом конкретном случае решаешь что тебе нужно: 1\1000(условно) при большой куче денег или 1\500 при заметно меньшей, но с другим подходом.
Это детский сад какой-то. Как начался, так и продолжается. Причем тут "положить сервер", ну что за пхпрушные аргументы, где вменяемых людей уже не осталось. Я тебе любой сервер положу и без password_hash, и стоит это будет копейки. Защита от DOS и DDOS - вообще отдельная тема.В той же теме показано, как легко положить сервер с помощью password_hash и можно легко посчитать сколько нужно серверов и денег, чтобы конкретный сайт не лёг.
Сложный вопрос. Например, я считаю "идиотами" тех, кто до сих пор хеширует пароли md5 и считает это надежно только потому, что он хитро подмешал секретный ключ в пароль.Коллеги, вы уж определитесь, мы всё это говорим для нормальных разрабов или для идиотов.
Я, например, "идиотов" в разработке ПО не беру в расчёт, вообще, - мои советы не для них.
Ты говорил, что это оба — «рабочие варианты», а значит должны быть какие-то критерии выбора между этими двумя «вариантами». Я не вижу преимуществ у шифрования, зато вижу серьёзные недостатки. Каким таким образом это может быть «рабочим вариантом»? Это просто называется «неверное решение».Ткни пальцем, где я об этом говорил.
Алло, от темы не отходи. По существу говори.Коллеги, вы уж определитесь, мы всё это говорим для нормальных разрабов или для идиотов.
Какие деньги ты платишь за хеширование? Или ты опять о чём-то своём и съехал с темы?Я не встречал владельцев проектов, готовых платить бешенные деньги за абсолютную(почти) безопасность.
Там есть такая тема у них, что раз хеш требует повышения затрат CPU и памяти, то это расходы, их сервер не выдержит и загнется, когда у них 100500 атентификаций в секунду будет, а еще придут нехорошие дяди и задосят сервер простым запросом на аутентификацию.Какие деньги ты платишь за хеширование? Или ты опять о чём-то своём и съехал с темы?
Ничего тут не забыл?при 2000 входов на сайт
Я ее не читал, я ее писал. И цифры там были абстрактные, приведенные для примера, но это же так неприятно признать, да? И я же там писал, что ты можешь сам подбирать сложность алгоритма. Но, видимо, это тоже увидеть сложно.Ну, если не читал ту тему, повторюсь: password_hash с параметрами как там описано, положит средний сервер уже при 2000 входов на сайт в час(!). Хорошо это или плохо - каждый решает сам. Я считаю, что плохо.
Практика, это как поставить затраты по памяти для argon2 на php. Или как указать число раундов для bcrypt на PHP при использовании password_hash.@MiksIr, я тоже сомневался, и думал перенести в "хостинг" или "офтопик". Теории здесь я не вижу - чистая практика.
Я не вижу причин появляться на том форуме более. Как и не вижу причины "бодаться с тобой". Показать правильный путь - просто. Что-то доказывать человеку, который аргументирует "мне это не надо" - ну как бы глупо. Вся эта дискуссия как бы не о том, что бы переубедить тебя, а о том, что бы показать верный путь новичкам наткнувшимся на эту тему. Все аргументы тут были приведены и если считаешь, что жалкие процентики ресурсов (от общего потребления сайта) - слишком дорого, что бы максимально осложнить брутфорс хеша - твое право.Если так, зачем переносить дискуссию по той теме сюда?
Пиши там, я присоединюсь. Там и пободаемся.