Как написать веб сервис на паскале?

[vitaly_l]

так что смысла слушать твоих советов нет ни малейшего.

ну хэшируйте md5 - один хрен Вас никто ломать не будет.

[Лекс Айрин]

vitaly_l, вот еще один пример некомпетентности. Мне нет необходимости где-то пароли шифровать. Я просто не пишу системы управления сайтов, да и подбирать пароли не собираюсь. "Взлом" винды, который мне приходится делать, происходит гораздо будничней. Запускается лайф-СД/ЮСВ литуха, переименовывается один файл (какой не скажу, это секрет) и подменяется консолью. После этого, копируешь нужную инфу в другую папку и создаешь нового пользователя.Настраиваешь его как админа,и удаляешь запароленного пользователя. Если папка не удаляется, то опять заходишь с линухи и затираешь оттуда. В общем, вполне скучный процесс, не требующий вообще знания пароля. Конечно, если раздел/папка зашифрованы, то это не помогает, но в этом случае либо забиваешь, либо ищешь программу расшифровки. Они есть и вполне официальны, даже, говорят, довольно легко работают, но ни разу не приходилось этого делать, так как просто никто из знакомых не совершал подобной глупости.
Если инфу надо скрыть, то ее лучше хранить на флешке. Если есть желание попараноить, то в скрытом разделе, замаскированном под какой-нибудь бинарный файл. Например, с именем "отстой.zip.001" Или в виде реального архива сделанного редким архиватором, но потом с измененным расширением. И таких приколов у меня море. Например, не искать/вспоминать пароль, а восстанавливать доступ через почту/с телефона.

[vitaly_l]

еще один пример некомпетентности. Мне нет необходимости где-то пароли шифровать. Я просто не пишу системы

По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода). Но как пароли не шифруй , всё равно шифровать их нужно наиболее сложным методом, а это несколько раз подряд и sha и md5, и т.д. и т.п. т.к. психология взлома и хэширования - сложная наука .

Суть повторного хэширования в том, что, когда перехватывают хэш, то его можно легко подобрать, если он просто md5 или sha2. Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно. Суть махинаций, изменить стандартную систему хэширования, чтобы у взломщика отсутствовала возможность подобрать значение. Для этого в схеме присутствует вот эта строчка:

Код: Выделить всё

hesh := someFunctionExcangeSha256( hesh );


[olegy123]

256 Бита переводим в 128?

Делаем, как минимум вот так:

Код: Выделить всё

hesh := md5( sha256( someParole ) );


на для более надёжной защиты, делаем вот так:

Код: Выделить всё

hesh := sha256( sha256( someParole ) );
hesh := someFunctionExcangeSha256( hesh );
hesh := md5( hesh );


только так надёжно, всё остальное - подбирается.

А месье знает толк в извращениях..
Виталий, ты случаем не хешами md5 банчишь?

[vitaly_l]

vitaly_l писал(а):
olegy123 писал(а):
256 Бита переводим в 128?

vitaly_l писал(а):
Делаем, как минимум вот так:
hesh := md5( sha256( someParole ) );

на для более надёжной защиты, делаем вот так:
hesh := sha256( sha256( someParole ) );
hesh := someFunctionExcangeSha256( hesh );
hesh := md5( hesh );

только так надёжно, всё остальное - подбирается.

olegy123 писал(а):
А месье знает толк в извращениях..
Виталий, ты случаем не хешами md5 банчишь?

Нет я на другой стороне. Метод hesh := sha256( sha256( someParole ) ); - выработан тысячами программистов и идея не нова. Вы об этом не знали т.к. не сталкивались. А вот это дополнение уже моё, hesh := someFunctionExcangeSha256( hesh );, т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается. При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора. И при этом, ещё нужно добавлять капчу. Иначе школьники балуются и подбирают пароли. В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.

[Лекс Айрин]

Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.

Я тебя сильно удивлю, не обязательно подбирать пароль. Достаточно найти такой, в котором совпадает результат шифрования.

По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода).

Только при использовании в госцелях. Для себя можно не шифровать вообще.

т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается.

Вот еще один прокол. Если требуется скрывать алгоритм шифрования, то такой алгоритм в топку -- он изначально ненадежен.

При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора.

К серверу могут подключаться тысячи, а то и миллионы человек. Причем, подключение может быть очень кратковременным. Кстати, принцип работы ddos не подбор пароля, а получение бабла за выбивание сайта/сервера из сети/ затруднение работы, за счет множественных неудачных попыток входа.

И при этом, ещё нужно добавлять капчу.

На данном этапе капча не спасает от слова абсолютно. Человеку сложнее ее пройти, чем специальным программам. На самом деле, надо просто менять принципы защиты. Другое дело, что надо еще понять на какие.

В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.

На самом деле нет. Тут важен не опыт хакера, а опыт пользователя. Если у человека есть хоть немного паранойи, то он заметит, что его пытаются обмануть с помощью СМС. А вот перехват СМС это скорее из области фантастики, т.к. для этого требуются такие усилия, что необходимость во взломе страниц в контакте/одноклассников просто пропадает.

[vitaly_l]

vitaly_l писал(а):
Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.


Я тебя сильно удивлю, не обязательно подбирать пароль. Достаточно найти такой, в котором совпадает результат шифрования.

vitaly_l писал(а):
По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода).


Только при использовании в госцелях. Для себя можно не шифровать вообще.
vitaly_l писал(а):
т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается.


Вот еще один прокол. Если требуется скрывать алгоритм шифрования, то такой алгоритм в топку -- он изначально ненадежен.

vitaly_l писал(а):
При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора.


К серверу могут подключаться тысячи, а то и миллионы человек. Причем, подключение может быть очень кратковременным. Кстати, принцип работы ddos не подбор пароля, а получение бабла за выбивание сайта/сервера из сети/ затруднение работы, за счет множественных неудачных попыток входа.

vitaly_l писал(а):
И при этом, ещё нужно добавлять капчу.


На данном этапе капча не спасает от слова абсолютно. Человеку сложнее ее пройти, чем специальным программам. На самом деле, надо просто менять принципы защиты. Другое дело, что надо еще понять на какие.

vitaly_l писал(а):
В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.


На самом деле нет. Тут важен не опыт хакера, а опыт пользователя. Если у человека есть хоть немного паранойи, то он заметит, что его пытаются обмануть с помощью СМС. А вот перехват СМС это скорее из области фантастики, т.к. для этого требуются такие усилия, что необходимость во взломе страниц в контакте/одноклассников просто пропадает.

Все Ваши ответы, характеризуются мной как стандартный, троллинг флудеров: Леса и Айрина.

[Лекс Айрин]

Да и фиг с тобой. Потому что твои являются очень грубым троллингом. Надоело. Скрою ка я твои посты совсем... надеялся, что до тебя дойдет, но, видимо, видимо, зря(((

[olegy123]

Нет я на другой стороне. Метод hesh := sha256( sha256( someParole ) ); - выработан тысячами программистов и идея не нова. Вы об этом не знали т.к. не сталкивались. А вот это дополнение уже моё, hesh := someFunctionExcangeSha256( hesh );, т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается. При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора. И при этом, ещё нужно добавлять капчу. Иначе школьники балуются и подбирают пароли. В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.

Ты на другой стороне разума.. Зачем sha256^2, а не проще все засунуть в функцию sha256, зачем принудительно насиловать два раза хеш? Где любимый md5? Вы можете привести ссылки на экспертов. А то я думаю не те книжки читал.
Вообще то хеш и ключь и даже шифрация это немного разные вещи.. Нет, конечно шифрация состоит из этих частей.. и может включать виды хеширования.
Поэтому sha256( sha256()) - это для параноиков, больных на всю голову.. можно же сложение z:=x+y делать так z:=(x/2+y/2)+(x/2+y/2);

Добавлено спустя 3 минуты 25 секунд:
тебя свести с моим знакомым - вы бы хорошо спелись. Тот свсистит по спецсужбам, ты по клуц хакерам которые не смогут взломать sha256(sha256()) но при этом легко взламывают sha256.. при этом не понимая что sha256(sha256()) -> sha256. Во тема на вечер.

[mirk]

И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.

Что за бред то
Не могут войти на любую машину в мире.
Нельзя получить любые данные независимо от системы.
Это прям как в комиксе - ученый изнасиловал журналиста

Вы наивно полагаете что HTTPS, защитит от мошенников?

А что, WPA2 защищал от мошенников?
Вы вообще понимаете от каких атак может защитить WPA2 и HTTPS?

Вам программистам, что же, ключ шифрования, что-ли сложно подобрать? Ну ведь любой школьник, в наше время с пугающей лёгкостью подберёт любой ключ, а уж тем более для современных систем шифрования.

Ну подберите ключ к телеграму или ватсапу - ведь любой школьник может

При чём здесь попытки входа, если хакеры всё считывают промежуточными серверами?

Ссылайтей сразу на рептилойдов - так будет правдаподобнее

Если пароль средний, то достаточно среднего компа и специальных методов (если правильно помню, радужных таблиц)

Только мега ленивый еще не делает защиту от радужных таблиц

Я не хакер и не умею, этого. Я на другой стороне.

Так какого фига рассуждать тогда на эту тему? Ну ведь ни разу не специалист и не разбираешься - зачем других вводить в заблуждение описывая исключительно свои фантизии?

Наиболее предпочтительно вначале шифровать sha256 и потом дополнительно получившийся результат дошифровывать md5 с примесью секретных слов, чтобы методом перебора было нереально сломать, даже при наличии базы и даже после дешифровки, невозможно было прочитать пароль

Что за очередной бред?
sha256 и md5 вот ни разу ни алгоритмы шифрования. Отличия шифрования и хеширования - колосальны!
Как только вы sha256 пропустили через md5 - вы просто ухудшили стойкость (из 256 сделали 128).
И если мы говорим про пароли, никто не подбивает ваш пароль - ищут коллизию. А ее на порядки проще найти для md5.
Еще раз повторюсь - не разбираетесь, не пишите тут откровенную ересь.

А голые md5 или sha256 - подбираются.

на для более надёжной защиты, делаем вот так:

Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.

Ппц... я уже устал повторять.... ЕРЕСЬ все это Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда

[Лекс Айрин]

Ппц... я уже устал повторять.... ЕРЕСЬ все это Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда

Конечно, никто не верит. Собственно, разговаривают с ним скорее для того чтобы люди не повторяли странного.

Только мега ленивый еще не делает защиту от радужных таблиц

Надо думать. Защиту наверняка стали подыскивать сразу же как они стали использоваться.

[vitaly_l]

Поэтому sha256( sha256()) - это для параноиков, больных на всю голову..

Собственно, разговаривают с ним скорее для того чтобы люди не повторяли странного.

Ппц... я уже устал повторять.... ЕРЕСЬ все это Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда

Уважаемые, давайте с вами всеми так поступим. Мы сделаем простенький тест из хэширования всего лишь одной русской буквы, в нижнем регистре. И каждый из нас приведёт здесь получившийся хэш. Вы приведёте хэш голого md5 или sha256, а я сделаю своим методом. И уверяю Вас я всего лишь за 33 итерации узнаю какую именно Вы выбрали букву, а вы за всю вашу жизнь не сможете узнать какую именно букву я захэшировал.

Как только вы sha256 пропустили через md5 - вы просто ухудшили стойкость (из 256 сделали 128).

Да? Вы в этом уверены? Давайте проведём тест с хэшированием одной буквы и посмотрим, у какого алгоритма стойкость априори равна нолю

И именно в этом разница между вами и мной. Я узнаю вашу букву за 33 итерации(или меньше) (и неважно в sha256 или md5), а вам придётся брать свои слова обратно, если вы порядочные люди. Потому что, вы за всю жизнь не сможете разгадать всего одну русскую букву, в нижнем регистре. Теперь видите насколько сильно вы некомпетентны? Хотите попробовать и убедиться или без теста признаёте свою некомпетентность? Всего лишь одна русская буква, в нижнем регистре

.

[zub]

>>на для более надёжной защиты, делаем вот так:
>>hesh...
После слова hesh дальше читать нестоит )) Сразу становится ясен весь багаж знаний...
Виталик, ты снова порешь чушь

[vitaly_l]

После слова hesh дальше читать нестоит )) Сразу становится ясен весь багаж знаний...
Виталик, ты снова порешь чушь

HESH => https://ru.wikipedia.org/wiki/%D0%91%D1%80%D0%BE%D0%BD%D0%B5%D0%B1%D0%BE%D0%B9%D0%BD%D0%BE-%D1%84%D1%83%D0%B3%D0%B0%D1%81%D0%BD%D1%8B%D0%B9_%D1%81%D0%BD%D0%B0%D1%80%D1%8F%D0%B4

Зуб-ик, тест сделаем? Совсем простенький тест из хэширования всего лишь одной русской буквы, в нижнем регистре. И каждый из нас приведёт здесь получившийся хэш. Вы приведёте результат полученный голым md5 или sha256, а я сделаю своим методом. И уверяю Вас я всего лишь за 33 итерации вычислю какую именно Вы выбрали букву, а вы за всю вашу жизнь не сможете вычислить какую именно букву, для теста, выбрал я.

HESH => https://www.youtube.com/watch?v=xCt2n1qvHUA

[zub]

Вся твоя уверенность зиждется на некой someFunctionExcangeSha256 которую ты никому нескажу... тут глупо делать тесты
С очень большой вероятностью когда ты озвучишь эту someFunctionExcangeSha25 выяснится что она ухудшает "стойкость"))