Как написать веб сервис на паскале?

Общие вопросы программирования, алгоритмы и т.п.

Модератор: Модераторы

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 17.10.2017 19:45:27

Лекс Айрин писал(а):так что смысла слушать твоих советов нет ни малейшего.

ну хэшируйте md5 - один хрен Вас никто ломать не будет.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 17.10.2017 20:09:48

vitaly_l, вот еще один пример некомпетентности. Мне нет необходимости где-то пароли шифровать. Я просто не пишу системы управления сайтов, да и подбирать пароли не собираюсь. "Взлом" винды, который мне приходится делать, происходит гораздо будничней. Запускается лайф-СД/ЮСВ литуха, переименовывается один файл (какой не скажу, это секрет) и подменяется консолью. После этого, копируешь нужную инфу в другую папку и создаешь нового пользователя.Настраиваешь его как админа,и удаляешь запароленного пользователя. Если папка не удаляется, то опять заходишь с линухи и затираешь оттуда. В общем, вполне скучный процесс, не требующий вообще знания пароля. Конечно, если раздел/папка зашифрованы, то это не помогает, но в этом случае либо забиваешь, либо ищешь программу расшифровки. Они есть и вполне официальны, даже, говорят, довольно легко работают, но ни разу не приходилось этого делать, так как просто никто из знакомых не совершал подобной глупости.
Если инфу надо скрыть, то ее лучше хранить на флешке. Если есть желание попараноить, то в скрытом разделе, замаскированном под какой-нибудь бинарный файл. Например, с именем "отстой.zip.001" Или в виде реального архива сделанного редким архиватором, но потом с измененным расширением. И таких приколов у меня море. Например, не искать/вспоминать пароль, а восстанавливать доступ через почту/с телефона.
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 17.10.2017 20:35:28

Лекс Айрин писал(а):еще один пример некомпетентности. Мне нет необходимости где-то пароли шифровать. Я просто не пишу системы

По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода). Но как пароли не шифруй :roll:, всё равно шифровать их нужно наиболее сложным методом, а это несколько раз подряд и sha и md5, и т.д. и т.п. т.к. психология взлома и хэширования - сложная наука :wink: .

Суть повторного хэширования в том, что, когда перехватывают хэш, то его можно легко подобрать, если он просто md5 или sha2. Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно. Суть махинаций, изменить стандартную систему хэширования, чтобы у взломщика отсутствовала возможность подобрать значение. Для этого в схеме присутствует вот эта строчка:
Код: Выделить всё
hesh := someFunctionExcangeSha256( hesh );
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение olegy123 » 18.10.2017 01:59:27

vitaly_l писал(а):
olegy123 писал(а):256 Бита переводим в 128?

Делаем, как минимум вот так:
Код: Выделить всё
hesh := md5( sha256( someParole ) );

на для более надёжной защиты, делаем вот так:
Код: Выделить всё
hesh := sha256( sha256( someParole ) );
hesh := someFunctionExcangeSha256( hesh );
hesh := md5( hesh );

только так надёжно, всё остальное - подбирается.
А месье знает толк в извращениях..
Виталий, ты случаем не хешами md5 банчишь?
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 18.10.2017 08:37:28

olegy123 писал(а):vitaly_l писал(а):
olegy123 писал(а):
256 Бита переводим в 128?

vitaly_l писал(а):
Делаем, как минимум вот так:
hesh := md5( sha256( someParole ) );

на для более надёжной защиты, делаем вот так:
hesh := sha256( sha256( someParole ) );
hesh := someFunctionExcangeSha256( hesh );
hesh := md5( hesh );

только так надёжно, всё остальное - подбирается.

olegy123 писал(а):
А месье знает толк в извращениях..
Виталий, ты случаем не хешами md5 банчишь?


Нет я на другой стороне. Метод hesh := sha256( sha256( someParole ) ); - выработан тысячами программистов и идея не нова. Вы об этом не знали т.к. не сталкивались. А вот это дополнение уже моё, hesh := someFunctionExcangeSha256( hesh );, т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается. При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора. И при этом, ещё нужно добавлять капчу. Иначе школьники балуются и подбирают пароли. В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 18.10.2017 09:54:44

vitaly_l писал(а):Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.


Я тебя сильно удивлю, не обязательно подбирать пароль. Достаточно найти такой, в котором совпадает результат шифрования.

vitaly_l писал(а):По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода).


Только при использовании в госцелях. Для себя можно не шифровать вообще.
vitaly_l писал(а):т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается.


Вот еще один прокол. Если требуется скрывать алгоритм шифрования, то такой алгоритм в топку -- он изначально ненадежен.

vitaly_l писал(а):При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора.


К серверу могут подключаться тысячи, а то и миллионы человек. Причем, подключение может быть очень кратковременным. Кстати, принцип работы ddos не подбор пароля, а получение бабла за выбивание сайта/сервера из сети/ затруднение работы, за счет множественных неудачных попыток входа.

vitaly_l писал(а): И при этом, ещё нужно добавлять капчу.


На данном этапе капча не спасает от слова абсолютно. Человеку сложнее ее пройти, чем специальным программам. На самом деле, надо просто менять принципы защиты. Другое дело, что надо еще понять на какие.

vitaly_l писал(а): В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.


На самом деле нет. Тут важен не опыт хакера, а опыт пользователя. Если у человека есть хоть немного паранойи, то он заметит, что его пытаются обмануть с помощью СМС. А вот перехват СМС это скорее из области фантастики, т.к. для этого требуются такие усилия, что необходимость во взломе страниц в контакте/одноклассников просто пропадает.
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 18.10.2017 10:02:37

Лекс Айрин писал(а):vitaly_l писал(а):
Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.


Я тебя сильно удивлю, не обязательно подбирать пароль. Достаточно найти такой, в котором совпадает результат шифрования.

vitaly_l писал(а):
По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода).


Только при использовании в госцелях. Для себя можно не шифровать вообще.
vitaly_l писал(а):
т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается.


Вот еще один прокол. Если требуется скрывать алгоритм шифрования, то такой алгоритм в топку -- он изначально ненадежен.

vitaly_l писал(а):
При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора.


К серверу могут подключаться тысячи, а то и миллионы человек. Причем, подключение может быть очень кратковременным. Кстати, принцип работы ddos не подбор пароля, а получение бабла за выбивание сайта/сервера из сети/ затруднение работы, за счет множественных неудачных попыток входа.

vitaly_l писал(а):
И при этом, ещё нужно добавлять капчу.


На данном этапе капча не спасает от слова абсолютно. Человеку сложнее ее пройти, чем специальным программам. На самом деле, надо просто менять принципы защиты. Другое дело, что надо еще понять на какие.

vitaly_l писал(а):
В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.


На самом деле нет. Тут важен не опыт хакера, а опыт пользователя. Если у человека есть хоть немного паранойи, то он заметит, что его пытаются обмануть с помощью СМС. А вот перехват СМС это скорее из области фантастики, т.к. для этого требуются такие усилия, что необходимость во взломе страниц в контакте/одноклассников просто пропадает.

Все Ваши ответы, характеризуются мной как стандартный, троллинг флудеров: Леса и Айрина.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 18.10.2017 10:11:12

Да и фиг с тобой. Потому что твои являются очень грубым троллингом. Надоело. Скрою ка я твои посты совсем... надеялся, что до тебя дойдет, но, видимо, видимо, зря(((
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение olegy123 » 18.10.2017 17:46:20

vitaly_l писал(а):Нет я на другой стороне. Метод hesh := sha256( sha256( someParole ) ); - выработан тысячами программистов и идея не нова. Вы об этом не знали т.к. не сталкивались. А вот это дополнение уже моё, hesh := someFunctionExcangeSha256( hesh );, т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается. При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора. И при этом, ещё нужно добавлять капчу. Иначе школьники балуются и подбирают пароли. В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.

Ты на другой стороне разума.. Зачем sha256^2, а не проще все засунуть в функцию sha256, зачем принудительно насиловать два раза хеш? Где любимый md5? Вы можете привести ссылки на экспертов. А то я думаю не те книжки читал.
Вообще то хеш и ключь и даже шифрация это немного разные вещи.. Нет, конечно шифрация состоит из этих частей.. и может включать виды хеширования.
Поэтому sha256( sha256()) - это для параноиков, больных на всю голову.. можно же сложение z:=x+y делать так z:=(x/2+y/2)+(x/2+y/2);

Добавлено спустя 3 минуты 25 секунд:
тебя свести с моим знакомым - вы бы хорошо спелись. Тот свсистит по спецсужбам, ты по клуц хакерам которые не смогут взломать sha256(sha256()) но при этом легко взламывают sha256.. при этом не понимая что sha256(sha256()) -> sha256. Во тема на вечер.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: Как написать веб сервис на паскале?

Сообщение mirk » 18.10.2017 18:40:35

vitaly_l писал(а):И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

Что за бред то :shock:
Не могут войти на любую машину в мире.
Нельзя получить любые данные независимо от системы.
Это прям как в комиксе - ученый изнасиловал журналиста :lol:

vitaly_l писал(а):Вы наивно полагаете что HTTPS, защитит от мошенников?

А что, WPA2 защищал от мошенников?
Вы вообще понимаете от каких атак может защитить WPA2 и HTTPS?

vitaly_l писал(а):Вам программистам, что же, ключ шифрования, что-ли сложно подобрать? Ну ведь любой школьник, в наше время с пугающей лёгкостью подберёт любой ключ, а уж тем более для современных систем шифрования.

Ну подберите ключ к телеграму или ватсапу - ведь любой школьник может :lol:

vitaly_l писал(а):При чём здесь попытки входа, если хакеры всё считывают промежуточными серверами?

Ссылайтей сразу на рептилойдов - так будет правдаподобнее :lol:

Лекс Айрин писал(а):Если пароль средний, то достаточно среднего компа и специальных методов (если правильно помню, радужных таблиц)

Только мега ленивый еще не делает защиту от радужных таблиц ;)

vitaly_l писал(а):Я не хакер и не умею, этого. Я на другой стороне.

Так какого фига рассуждать тогда на эту тему? Ну ведь ни разу не специалист и не разбираешься - зачем других вводить в заблуждение описывая исключительно свои фантизии?

vitaly_l писал(а):Наиболее предпочтительно вначале шифровать sha256 и потом дополнительно получившийся результат дошифровывать md5 с примесью секретных слов, чтобы методом перебора было нереально сломать, даже при наличии базы и даже после дешифровки, невозможно было прочитать пароль

Что за очередной бред?
sha256 и md5 вот ни разу ни алгоритмы шифрования. Отличия шифрования и хеширования - колосальны!
Как только вы sha256 пропустили через md5 - вы просто ухудшили стойкость (из 256 сделали 128).
И если мы говорим про пароли, никто не подбивает ваш пароль - ищут коллизию. А ее на порядки проще найти для md5.
Еще раз повторюсь - не разбираетесь, не пишите тут откровенную ересь.

vitaly_l писал(а):А голые md5 или sha256 - подбираются.

vitaly_l писал(а):на для более надёжной защиты, делаем вот так:

vitaly_l писал(а):Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.

Ппц... я уже устал повторять.... ЕРЕСЬ все это :shock: Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда :!:
mirk
постоялец
 
Сообщения: 317
Зарегистрирован: 24.09.2007 10:03:39

Re: Как написать веб сервис на паскале?

Сообщение Лекс Айрин » 18.10.2017 19:33:14

mirk писал(а):Ппц... я уже устал повторять.... ЕРЕСЬ все это :shock: Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда :!:


Конечно, никто не верит. Собственно, разговаривают с ним скорее для того чтобы люди не повторяли странного.
mirk писал(а):Только мега ленивый еще не делает защиту от радужных таблиц ;)


Надо думать. Защиту наверняка стали подыскивать сразу же как они стали использоваться.
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 18.10.2017 19:34:13

olegy123 писал(а):Поэтому sha256( sha256()) - это для параноиков, больных на всю голову..

Лекс Айрин писал(а):Собственно, разговаривают с ним скорее для того чтобы люди не повторяли странного.

mirk писал(а):Ппц... я уже устал повторять.... ЕРЕСЬ все это Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда

Уважаемые, давайте с вами всеми так поступим. Мы сделаем простенький тест из хэширования всего лишь одной русской буквы, в нижнем регистре. И каждый из нас приведёт здесь получившийся хэш. Вы приведёте хэш голого md5 или sha256, а я сделаю своим методом. И уверяю Вас я всего лишь за 33 итерации узнаю какую именно Вы выбрали букву, а вы за всю вашу жизнь не сможете узнать какую именно букву я захэшировал.

mirk писал(а):Как только вы sha256 пропустили через md5 - вы просто ухудшили стойкость (из 256 сделали 128).

Да? Вы в этом уверены? Давайте проведём тест с хэшированием одной буквы и посмотрим, у какого алгоритма стойкость априори равна нолю :wink:

И именно в этом разница между вами и мной. Я узнаю вашу букву за 33 итерации(или меньше) (и неважно в sha256 или md5), а вам придётся брать свои слова обратно, если вы порядочные люди. Потому что, вы за всю жизнь не сможете разгадать всего одну русскую букву, в нижнем регистре. Теперь видите насколько сильно вы некомпетентны? Хотите попробовать и убедиться или без теста признаёте свою некомпетентность? Всего лишь одна русская буква, в нижнем регистре :wink:

.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение zub » 18.10.2017 23:52:24

>>на для более надёжной защиты, делаем вот так:
>>hesh...
После слова hesh дальше читать нестоит )) Сразу становится ясен весь багаж знаний...
Виталик, ты снова порешь чушь
zub
долгожитель
 
Сообщения: 2886
Зарегистрирован: 14.11.2005 23:51:26

Re: Как написать веб сервис на паскале?

Сообщение vitaly_l » 19.10.2017 00:00:03

zub писал(а):После слова hesh дальше читать нестоит )) Сразу становится ясен весь багаж знаний...
Виталик, ты снова порешь чушь

HESH => https://ru.wikipedia.org/wiki/%D0%91%D1%80%D0%BE%D0%BD%D0%B5%D0%B1%D0%BE%D0%B9%D0%BD%D0%BE-%D1%84%D1%83%D0%B3%D0%B0%D1%81%D0%BD%D1%8B%D0%B9_%D1%81%D0%BD%D0%B0%D1%80%D1%8F%D0%B4

Зуб-ик, тест сделаем? Совсем простенький тест из хэширования всего лишь одной русской буквы, в нижнем регистре. И каждый из нас приведёт здесь получившийся хэш. Вы приведёте результат полученный голым md5 или sha256, а я сделаю своим методом. И уверяю Вас я всего лишь за 33 итерации вычислю какую именно Вы выбрали букву, а вы за всю вашу жизнь не сможете вычислить какую именно букву, для теста, выбрал я.

HESH => https://www.youtube.com/watch?v=xCt2n1qvHUA
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: Как написать веб сервис на паскале?

Сообщение zub » 19.10.2017 00:18:06

Вся твоя уверенность зиждется на некой someFunctionExcangeSha256 которую ты никому нескажу... тут глупо делать тесты
С очень большой вероятностью когда ты озвучишь эту someFunctionExcangeSha25 выяснится что она ухудшает "стойкость"))
zub
долгожитель
 
Сообщения: 2886
Зарегистрирован: 14.11.2005 23:51:26

Пред.След.

Вернуться в Общее

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

Рейтинг@Mail.ru
cron