VZ
не согласен
Аргументы?
Size: a a a
2019 September 08
GH
Подскажите пожалуйста, я заполнил форму на сайте для регистрации на обучение, мне ждать встречного письма ?
VZ
Подскажите пожалуйста, я заполнил форму на сайте для регистрации на обучение, мне ждать встречного письма ?
Нет, чат курса тут https://t.me/Programming_IP9X
GH
Нет, чат курса тут https://t.me/Programming_IP9X
Спасибо
Dd
Аргументы?
зачем? нужен огромный срач? не согласен с тезисом "все самое качественное и великое"... бесплатный труд никогда не был двигателем прогресса((
TS
не согласен
Я тоже может не согласен, но тут согласие не требуется)))
Dd
Я тоже может не согласен, но тут согласие не требуется)))
вот с этим согласен)))
SN
Переслано от Stephan Nein
как сделать повторный process.stdin?
допустим нужно считать несколько значений от пользователя
допустим нужно считать несколько значений от пользователя
AB
Ребят, подскажите, поле _id в монге, которое автогенерацию из формата с таймстампом и т. Д. - там 24 символа a-f0-9. Оно уникальное и подобрать следующий ид достаточно трудно. Можно ли его использовать как уникальное значение для пользователя как средство защиты от несанкционированного доступа. Другими словами - насколько трудно злоумышленникакэм подобрать этот ид, если по нему можно вытащить всю инфу по пользователю?
GZ
Здравствуйте, подскажите где можно посмотреть расписание лекций?
TS
Gleb Zhidovich
Здравствуйте, подскажите где можно посмотреть расписание лекций?
A
Ребят, подскажите, поле _id в монге, которое автогенерацию из формата с таймстампом и т. Д. - там 24 символа a-f0-9. Оно уникальное и подобрать следующий ид достаточно трудно. Можно ли его использовать как уникальное значение для пользователя как средство защиты от несанкционированного доступа. Другими словами - насколько трудно злоумышленникакэм подобрать этот ид, если по нему можно вытащить всю инфу по пользователю?
Как средство защиты - нет. ObjectId вполне себе можно предугадать.
AK
Как средство защиты - нет. ObjectId вполне себе можно предугадать.
А як?цікаво.
A
А як?цікаво.
Ну это следует из определения что такое обэектайди и что там внутри. А именно там у нас закодирована дата и время, идентификатор машины, айдишка процесса и счетчик, который стартует с рандомного числа.
Итого имея несколько последовательно созданных юзеров и зная дату и время когда это произошло остальные составляющие вычислить не так уж и сложно.
Итого имея несколько последовательно созданных юзеров и зная дату и время когда это произошло остальные составляющие вычислить не так уж и сложно.
AB
Вот и меня заинтересовал этот момент. Просчитить для своего ИД (зная время) 3 из 4х парамтеров - мы можем. Однако для подбора ИД другого объекта необходимо перебрать дату (за день, допустим) + рандомные числа (при условии, что ИД машины и процесса не поменялся).
Т.е. теоретически это узкое место, а как практически получить ИД другой записи? ;)
Т.е. теоретически это узкое место, а как практически получить ИД другой записи? ;)
A
Вот и меня заинтересовал этот момент. Просчитить для своего ИД (зная время) 3 из 4х парамтеров - мы можем. Однако для подбора ИД другого объекта необходимо перебрать дату (за день, допустим) + рандомные числа (при условии, что ИД машины и процесса не поменялся).
Т.е. теоретически это узкое место, а как практически получить ИД другой записи? ;)
Т.е. теоретически это узкое место, а как практически получить ИД другой записи? ;)
Тут дело в том, что существует ненулевая вероятность подбора. Она может быть мала, но она есть. Поэтому как средство защиты это работать не будет. Гораздо эффективнее будет рандомный набор букв и цифор, но меньшей длины.
N
Ребят, подскажите, поле _id в монге, которое автогенерацию из формата с таймстампом и т. Д. - там 24 символа a-f0-9. Оно уникальное и подобрать следующий ид достаточно трудно. Можно ли его использовать как уникальное значение для пользователя как средство защиты от несанкционированного доступа. Другими словами - насколько трудно злоумышленникакэм подобрать этот ид, если по нему можно вытащить всю инфу по пользователю?
Нельзя. Доклад турского по взлому в интернете
AB
Нельзя. Доклад турского по взлому в интернете
https://www.slideshare.net/JSFestUA/js-fest-2019-6-javascript ??
Сам доклад можно где-то посмотреть?
Сам доклад можно где-то посмотреть?
N
Да на ютубе на канале JSFest