В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Чат подкаста «Разбор Полётов»

954 membersпожаловаться на группу
2021 August 19

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Ну да, а на 5млн пользователей надо бы пару тысяч аутентификаций получить.
И молиться, чтобы не было сбоя в новогоднюю ночь, когда всем что-то обязательно нужно сделать...
источник
17:52пожаловаться#1

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
А сколько операций обновления токена в секунду? Число аутентификаций меня как раз не очень волнует, что там делать-то.
источник
17:53пожаловаться#2

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
И в чем вообще разница между "получить новый токен" или "обновить пару токенов"?
источник
17:53пожаловаться#3

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Ну, разве что лишний поход в хранилище секретов, но это не страшно...
источник
17:54пожаловаться#4

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
ну больше тоже можно выжать, инстанс побольше взять и вперед. мы цену/качество искали
источник
17:57пожаловаться#5

АЗ

Алексей Зайцев... in Чат подкаста «Разбор Полётов»
для получения нового токена передаем пароль,
1) операция передачи пароля по сети не очень безопасна
2) расчет шэша пароля очень дорог, по умолчанию 27 тыс итераций функции PBKDF2 приводит к тому что cpu отжирается
намного выгоднее выполнить рефреш токена. операция раз в 100 дешевле чем получение нового токена
источник
17:58пожаловаться#6

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
По CPU проверка пароля - да, дороже. По IOPS - скорее нет, но сильно зависит от того, как выстроено в KC хранение пар токенов и проверка одноразовости refresh-tokens.
Меня обычно IOPS больше волнует, там сложнее масштабироваться
источник
18:01пожаловаться#7

D

Dima in Чат подкаста «Разбор Полётов»
а у вас же не jwt?
источник
18:01пожаловаться#8

D

Dima in Чат подкаста «Разбор Полётов»
нормальные сессии?
источник
18:01пожаловаться#9

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Э, у нас access-tokens, refresh-tokens, confirmation-tokens, remember-me-tokens и авторизационная сессия (которую требует OWASP)
источник
18:02пожаловаться#10

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
кстати, пользователи где лежали? в самом кейклоке?
источник
18:02пожаловаться#11

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Но ключ сессии - в access/refresh живет
источник
18:02пожаловаться#12

АЗ

Алексей Зайцев... in Чат подкаста «Разбор Полётов»
в самом кк, но я скручивал количество итераций функции PBKDF2. кому то такое не подойдет
источник
18:03пожаловаться#13

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Т.е. сессия - это инструмент работы сотрудника СБ в первую очередь. А уже в рамках нее выдаются пары токенов.
источник
18:03пожаловаться#14

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Ну, настройки хэширования вообще всегда очень индивидуальны, нужно под железо подбирать и уровень паранойи.
источник
18:04пожаловаться#15

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
у нас в 2 сторонних бд лежат. user federation провайдеры писали
источник
18:04пожаловаться#16

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
А при этом пароли - у вас, а не у них?
источник
18:05пожаловаться#17

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
бд тоже наши. пароли там
источник
18:06пожаловаться#18

АЗ

Алексей Зайцев... in Чат подкаста «Разбор Полётов»
можно прибить сессию, но при этом токен будет продолжать работать.  токены надо отзывать через механизм отзыва
источник
18:07пожаловаться#19

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Но я все равно и PBDF2 и bcrypt воспринимаю как инвестицию в светлое будущее квантовых вычислений.
Реально они сейчас избыточны (при нормальных требованиях к паролям, нормальных солях и т.д.)
источник
18:08пожаловаться#20