Старый 24.04.2008, 02:01   #41
Специалист
 
Аватар для AlienZzzz
 
Регистрация: 28.03.2007
Сообщений: 132
Вес репутации: 134
AlienZzzz скоро станет известен
Отправить сообщение для AlienZzzz с помощью ICQ
По умолчанию

Цитата:
Сообщение от big.bon Посмотреть сообщение
Кто-то ещё кодит, а кто-то тестирует
кто-то уже откодил и оттестировал. а теперь кодит баги.
__________________
Моя Точка Опоры
Моя Кованая мебель
AlienZzzz вне форума   Ответить с цитированием
Старый 24.04.2008, 02:03   #42
Мастер
 
Аватар для big.bon
 
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 144
big.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всем
По умолчанию

Надо кодить без багов
big.bon вне форума   Ответить с цитированием
Старый 24.04.2008, 02:03   #43
Специалист
 
Регистрация: 23.08.2007
Сообщений: 189
Вес репутации: 130
TracKer на пути к лучшему
По умолчанию

Цитата:
Сообщение от big.bon Посмотреть сообщение
Как только увидите публичные сервисы по анализу сапе-сайтов - поклонников в разы станет больше
Ну это врядле, в свете последних угонов аккаунтов...

По теме инвайтов. Раз уж на то пошло, то выдавать нужно API ключи как у гугла например (для SOAP выдавали ключи). С помощью ключей можно и вести мониторинг нагрузки создаваемой определенными юзерами. Тех кто будет тянуть еже секундно можно банить, и тогда они уже больше не побеспокоят. Но ограничивать их выдачю помоему это неправильно.

З.Ы. Не знаю как AlienZzzz считал, но я насчитал минимум 5 человек...
__________________
IT News
TracKer вне форума   Ответить с цитированием
Старый 24.04.2008, 02:08   #44
Мастер
 
Аватар для big.bon
 
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 144
big.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всем
По умолчанию

Цитата:
Сообщение от TracKer Посмотреть сообщение
Ну это врядле, в свете последних угонов аккаунтов...

По теме инвайтов. Раз уж на то пошло, то выдавать нужно API ключи как у гугла например (для SOAP выдавали ключи). С помощью ключей можно и вести мониторинг нагрузки создаваемой определенными юзерами. Тех кто будет тянуть еже секундно можно банить, и тогда они уже больше не побеспокоят. Но ограничивать их выдачю помоему это неправильно.

З.Ы. Не знаю как AlienZzzz считал, но я насчитал минимум 5 человек...
Интересная статья - по перебору паролей - почитайте. Пароль в 9 символов удобен, да и долговечен к брут-форсу. А про md5 я вообще молчу.


если использовать MD5 в api - то это самый шик.

Я бы ещё захотел бы добавить сальт в хэш-функцию, например:
PHP код:
$hash md5('sape_api_logon-'.$password); 
тоесть не просто хэш пароля, а ещё и соль.
big.bon вне форума   Ответить с цитированием
Старый 24.04.2008, 02:11   #45
Специалист
 
Регистрация: 23.08.2007
Сообщений: 189
Вес репутации: 130
TracKer на пути к лучшему
По умолчанию

Цитата:
Сообщение от big.bon Посмотреть сообщение
Нету смысла. Открытый интерфейс требуется не всем, а кому требуется - только по делу. Про кул-хацкеров промолчим.
Согласен на все 100. Ибо это основа Web-Service'ов. Если он есть, то он доступен для всех и всегда, иначе он платный.
__________________
IT News
TracKer вне форума   Ответить с цитированием
Старый 24.04.2008, 02:14   #46
Специалист
 
Регистрация: 23.08.2007
Сообщений: 189
Вес репутации: 130
TracKer на пути к лучшему
По умолчанию

Цитата:
Сообщение от big.bon Посмотреть сообщение
Интересная статья - по перебору паролей - почитайте. Пароль в 9 символов удобен, да и долговечен к брут-форсу. А про md5 я вообще молчу.


если использовать MD5 в api - то это самый шик.

Я бы ещё захотел бы добавить сальт в хэш-функцию, например:
PHP код:
$hash md5('sape_api_logon-'.$password); 
тоесть не просто хэш пароля, а ещё и соль.
Да я не про пароли. Я про то что в онлайн сервисах для SAPE свой пароль никто никогда не введет. Если на то пошло, то Шифровать в МД5 (+ какое-то секретное число или слово) нужно на стороне клиента. В ДжаваСкрипте с МД5 будет сложновато
__________________
IT News
TracKer вне форума   Ответить с цитированием
Старый 24.04.2008, 02:38   #47
Мастер
 
Аватар для big.bon
 
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 144
big.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всем
По умолчанию

Цитата:
Сообщение от TracKer Посмотреть сообщение
Да я не про пароли. Я про то что в онлайн сервисах для SAPE свой пароль никто никогда не введет. Если на то пошло, то Шифровать в МД5 (+ какое-то секретное число или слово) нужно на стороне клиента. В ДжаваСкрипте с МД5 будет сложновато
Отдавать пароль сервису только в MD5, а он должен отправлять запросы только с MD5 параметром. Всё просто!
big.bon вне форума   Ответить с цитированием
Старый 24.04.2008, 02:40   #48
Специалист
 
Аватар для AlienZzzz
 
Регистрация: 28.03.2007
Сообщений: 132
Вес репутации: 134
AlienZzzz скоро станет известен
Отправить сообщение для AlienZzzz с помощью ICQ
По умолчанию

Цитата:
Сообщение от big.bon Посмотреть сообщение
Отдавать пароль сервису только в MD5, а он должен отправлять запросы только с MD5 параметром. Всё просто!
1. пароль и так идет в МД5 (там есть параметр)
2. проше https сделать, чем мутить с отдачей только с пареметром мд5.
__________________
Моя Точка Опоры
Моя Кованая мебель
AlienZzzz вне форума   Ответить с цитированием
Старый 24.04.2008, 02:46   #49
Эксперт
 
Аватар для mman
 
Регистрация: 04.02.2008
Адрес: Neverland
Сообщений: 1,144
Вес репутации: 168
mman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущее
По умолчанию

Salt не нужен, достаточно иметь длинный пароль - больше 15-20 символов .
__________________
Твори, что ты желаешь, да будет то Законом (с) Алистер Кроули
mman вне форума   Ответить с цитированием
Старый 24.04.2008, 09:08   #50
Мастер
 
Аватар для big.bon
 
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 144
big.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всем
По умолчанию

Цитата:
Сообщение от AlienZzzz Посмотреть сообщение
1. пароль и так идет в МД5 (там есть параметр)
2. проше https сделать, чем мутить с отдачей только с пареметром мд5.
мы говорим о совершенно разных вещах.

публичный сервис А. Для регистрации требуют ввести пароль от Сапы. Вы ведь не введёте, да? Так там нужен выбор - ввод md5-пароля - тоесть клиент сам генерирует md5 и вводит его на сайте.
Смысл защиты не от перехвата, а от владельцев сервиса.
big.bon вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Sape WM Analyzer - увеличьте Ваши продажи в Sape andrey-k Вопросы по работе системы 11 27.08.2008 13:43
одновременно файл sape.php и SAPE.pm slovo Вопросы по работе системы 23 06.03.2008 15:08


Часовой пояс GMT +3, время: 14:31.