Форум SAPE.RU

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Вопросы по работе системы (http://forum.sape.ru/forumdisplay.php?f=13)
-   -   SAPE XML-RPC (http://forum.sape.ru/showthread.php?t=11957)

AlienZzzz 24.04.2008 02:01

Цитата:

Сообщение от big.bon (Сообщение 135997)
Кто-то ещё кодит, а кто-то тестирует ;)

кто-то уже откодил и оттестировал. а теперь кодит баги.

big.bon 24.04.2008 02:03

Надо кодить без багов ;)

TracKer 24.04.2008 02:03

Цитата:

Сообщение от big.bon (Сообщение 135980)
Как только увидите публичные сервисы по анализу сапе-сайтов - поклонников в разы станет больше ;)

Ну это врядле, в свете последних угонов аккаунтов...

По теме инвайтов. Раз уж на то пошло, то выдавать нужно API ключи как у гугла например (для SOAP выдавали ключи). С помощью ключей можно и вести мониторинг нагрузки создаваемой определенными юзерами. Тех кто будет тянуть еже секундно можно банить, и тогда они уже больше не побеспокоят. Но ограничивать их выдачю помоему это неправильно.

З.Ы. Не знаю как AlienZzzz считал, но я насчитал минимум 5 человек...

big.bon 24.04.2008 02:08

Цитата:

Сообщение от TracKer (Сообщение 136002)
Ну это врядле, в свете последних угонов аккаунтов...

По теме инвайтов. Раз уж на то пошло, то выдавать нужно API ключи как у гугла например (для SOAP выдавали ключи). С помощью ключей можно и вести мониторинг нагрузки создаваемой определенными юзерами. Тех кто будет тянуть еже секундно можно банить, и тогда они уже больше не побеспокоят. Но ограничивать их выдачю помоему это неправильно.

З.Ы. Не знаю как AlienZzzz считал, но я насчитал минимум 5 человек...

Интересная статья - по перебору паролей - почитайте. Пароль в 9 символов удобен, да и долговечен к брут-форсу. А про md5 я вообще молчу.


если использовать MD5 в api - то это самый шик.

Я бы ещё захотел бы добавить сальт в хэш-функцию, например:
PHP код:

$hash md5('sape_api_logon-'.$password); 

тоесть не просто хэш пароля, а ещё и соль.

TracKer 24.04.2008 02:11

Цитата:

Сообщение от big.bon (Сообщение 135947)
Нету смысла. Открытый интерфейс требуется не всем, а кому требуется - только по делу. Про кул-хацкеров промолчим.

Согласен на все 100. Ибо это основа Web-Service'ов. Если он есть, то он доступен для всех и всегда, иначе он платный.

TracKer 24.04.2008 02:14

Цитата:

Сообщение от big.bon (Сообщение 136004)
Интересная статья - по перебору паролей - почитайте. Пароль в 9 символов удобен, да и долговечен к брут-форсу. А про md5 я вообще молчу.


если использовать MD5 в api - то это самый шик.

Я бы ещё захотел бы добавить сальт в хэш-функцию, например:
PHP код:

$hash md5('sape_api_logon-'.$password); 

тоесть не просто хэш пароля, а ещё и соль.

Да я не про пароли. Я про то что в онлайн сервисах для SAPE свой пароль никто никогда не введет. Если на то пошло, то Шифровать в МД5 (+ какое-то секретное число или слово) нужно на стороне клиента. В ДжаваСкрипте с МД5 будет сложновато

big.bon 24.04.2008 02:38

Цитата:

Сообщение от TracKer (Сообщение 136012)
Да я не про пароли. Я про то что в онлайн сервисах для SAPE свой пароль никто никогда не введет. Если на то пошло, то Шифровать в МД5 (+ какое-то секретное число или слово) нужно на стороне клиента. В ДжаваСкрипте с МД5 будет сложновато

Отдавать пароль сервису только в MD5, а он должен отправлять запросы только с MD5 параметром. Всё просто!

AlienZzzz 24.04.2008 02:40

Цитата:

Сообщение от big.bon (Сообщение 136019)
Отдавать пароль сервису только в MD5, а он должен отправлять запросы только с MD5 параметром. Всё просто!

1. пароль и так идет в МД5 (там есть параметр)
2. проше https сделать, чем мутить с отдачей только с пареметром мд5.

mman 24.04.2008 02:46

Salt не нужен, достаточно иметь длинный пароль - больше 15-20 символов :).

big.bon 24.04.2008 09:08

Цитата:

Сообщение от AlienZzzz (Сообщение 136023)
1. пароль и так идет в МД5 (там есть параметр)
2. проше https сделать, чем мутить с отдачей только с пареметром мд5.

мы говорим о совершенно разных вещах.

публичный сервис А. Для регистрации требуют ввести пароль от Сапы. Вы ведь не введёте, да? Так там нужен выбор - ввод md5-пароля - тоесть клиент сам генерирует md5 и вводит его на сайте.
Смысл защиты не от перехвата, а от владельцев сервиса.


Часовой пояс GMT +3, время: 20:28.

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.