forum.opennet.ru

"Релиз языка программирования PHP 7.3"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Релиз языка программирования PHP 7.3"	+/–
Сообщение от Ilya Indigo (ok), 07-Дек-18, 12:35
>> 2 Для password_hash()/password_verify() здравствуй генерация новых паролей By Design! > 1. зачем тогда статический кусок? без него это такой же хеш: динамическая > соль + алгоритм хеша Затем, чтобы 1 При получении доступа к БД злоумышленник не смог получить всю соль и сгенерировать хэш, даже если бы знал как его генерировать. 2 Чтобы имея под рукой аналогичный сайт и/или микрофреймвёрк этого сайта и зная как её генерировать всё равно не смог бы этого сделать без доступа по ssh. > Ну и если кто-то со стороны ходит по базе как у себя > дома, то уже всё плохо. Я не говорю что это нормально, у меня вообще доступ к ней только через сокет, но я сайты не для себя делаю и админю я далеко не все, и не с одним моим сайтом проблем со взломом не было, и я не хочу нарушать эту традицию! Если я могу сделать лучше чем это по дизайну (длина хэша для пароля меньше и всегда постоянная при той же безопасности, и более высокая защита при доступе к СУБД), то я это делаю!
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Релиз языка программирования PHP 7.3, opennews, 06-Дек-18, 22:17 [смотреть все]

То ли у них был человек, все эти годы поддерживающий версию для BeOS не смотря н, Аноним, 06-Дек-18, 22:35 (5)
Язык весьма неплохой В каждой функции есть своя изюминка Например, при помощи , Аноним, 06-Дек-18, 23:06 (9) //
- То ли дело хипстота, помешанная на магии современных ЯП и фреймворков, не позвол, Аноним, 06-Дек-18, 23:14 (10) //
  - Обидно оказаться с револьвером, когда у кого-то пулемёт на турели , Аноним, 07-Дек-18, 02:45 (29) //
    - Да ладно, в хипстерских поделках там сам рантайм обычно просто косая кирпичная к, Онаним, 07-Дек-18, 09:29 (44)
- Пример можно , ъ, 07-Дек-18, 03:20 (31) //
  - не будет примера, это же очевидно, blblblblbl, 07-Дек-18, 11:02 (60)
  - 30 секунд в гуглеhttps blog ripstech com 2018 new-php-exploitation-technique , YetAnotherAnon, 07-Дек-18, 11:06 (62) //
    - уже смешноновоявленные секурные спецы оправдывают своё существование и пытаются , blblblblbl, 07-Дек-18, 11:35 (63)
    - Вы хоть сами прочитали этот бред Это из той же оперы как вирус для линукса для з, Ilya Indigo, 07-Дек-18, 11:45 (65)
    - А, ну примерно такой глубины кульхацкерской мысли я и ждал , ъ, 07-Дек-18, 12:17 (71)
  - http www opennet ru opennews art shtml num 49641, userd, 07-Дек-18, 12:20 (72) //
    - это всё, что нужно знать, blblblblbl, 07-Дек-18, 13:05 (77)
- 1 file_exists - бесполезная ф-ия, так как не проверяет доступен ли файл может , Ilya Indigo, 07-Дек-18, 11:39 (64) //
  - ну не скажи - если файл используется для синхронизации - тот же lock и в шеле по, fi, 07-Дек-18, 12:13 (70) //
    - Давайте вынесем шелл за скобки, и собственно содержательную часть проверки сущес, userd, 07-Дек-18, 12:37 (75)
      - Лет 10 точно использую кэш для сайтов, самая первая строка любого урла на любом , SenaIVV, 07-Дек-18, 13:32 (82)
        
        мало запросов значит, ибо file_exists при инвалидации не атомарен и можно нарват, blblblblbl, 07-Дек-18, 13:36 (83)
        
        Абсолютно никак такое не получить Файл просто накроется новым параллельным кодо, SenaIVV, 07-Дек-18, 13:41 (84)
        
        про это я и говорю, не должно быть более одного писателя _ если писателей 1 зна, blblblblbl, 07-Дек-18, 13:54 (86)
        
        Если писать кэш одной строкой, один раз для файла, то без разницы сколько конкур, SenaIVV, 07-Дек-18, 14:06 (88)
        
        Я за 20 лет столько таких кешей повидал и к чему это приводит, что до сих пор уд, blblblblbl, 07-Дек-18, 14:22 (89)
        
        Вам ан каком языке написать - тест 64мб памяти которых уже никогда не увидеть , SenaIVV, 07-Дек-18, 14:33 (90)
        
        я никого уговаривать не собираюсь, делайте как хотите, размер памяти тут не при , blblblblbl, 07-Дек-18, 15:26 (103)
        Есть пример с файловым кэшем для околореалтайм интерфейса is_file проверка ко, Аноним, 07-Дек-18, 17:16 (116)
        Выглядит сие высокоуровнево вот так first, try from cache if is, Аноним, 07-Дек-18, 17:20 (117)
        Ну и readCache с lockCache static protected function readCache id, items, , Аноним, 07-Дек-18, 17:25 (118)
        кеш околореалтайм генерится схема какая , blblblblbl, 07-Дек-18, 17:29 (119)
        Обновление кэша - три-четыре запроса поверх ZeroMQ к фоновым частям приложения , Аноним, 07-Дек-18, 17:41 (121)
        Ну то есть писателей в моей схеме нет, читатели сами обновляют кэш В случае с пи, Аноним, 07-Дек-18, 17:43 (122)
        Под писателями я имею ввиду тех читателей, которые обнаружили невалидный кеш и п, blblblblbl, 07-Дек-18, 18:35 (129)
        Читатель видит протухший кэш и пытается взять LOCK_EX Как только LOCK_EX взят -, Аноним, 07-Дек-18, 18:48 (131)
        Получается, что несколько потоков могут одновременно считать новое значение, т к, blblblblbl, 07-Дек-18, 19:15 (132)
        Нет, не могут Несколько потоков могут контендиться на LOCK_EX на время валидаци, Онаним, 08-Дек-18, 00:38 (135)
        Для обхода конкуренции с ридерами и предотвращения рейсов сделана хитрость лок-, Онаним, 08-Дек-18, 01:09 (136)
        
        И да, я же вам написал - люди делающие php не сопли жуют, а пишут код Писатели , SenaIVV, 07-Дек-18, 14:37 (91)
        
        Проще делать блокировку с обновлением при чтении, проверяя на обновление соседом, Аноним, 07-Дек-18, 17:35 (120)
        
        Если уж дело идёт про скорость, то require_once - это костыль рукожопов, котор, Ilya Indigo, 07-Дек-18, 15:02 (97)
        
        Нет, у меня такой ситуации не может быть, что файл есть, но не доступен для чтен, SenaIVV, 07-Дек-18, 15:23 (102)
        
        Буду знать что file_exists кому-то всё же нужна на мой взгляд в редкой для PHP, Ilya Indigo, 07-Дек-18, 15:59 (107)
        
        И, кстати, на счет скорости проверки наличия - не все так очевидно Я до теста с, SenaIVV, 07-Дек-18, 15:30 (104)
        
        о классное решение, выложи пожалуйста посмотреть на кодохостинг https govnoko, hellobillyboy, 07-Дек-18, 20:32 (133)
      - flock не панацеянужно делать pid-файл через fopen x и проверять статус процесса, blblblblbl, 07-Дек-18, 13:51 (85)
        
        версионность через симлинк, Sw00p akaJerom, 07-Дек-18, 14:42 (92)
        
        это уже детали реализации, можно и через mv, смотря что делается, новый tmp тоже, blblblblbl, 07-Дек-18, 15:07 (98)
        т е если делаешь демона, то симлинк тут никаким боком, в остальном страдать вер, blblblblbl, 07-Дек-18, 15:09 (99)
      - Это только если вы тоже хотите его юзать, но есть часто используемая технология , fi, 07-Дек-18, 18:12 (124)
  - Эксплоит работает, но ровно в одном случае данные от юзера не фильтруются и исп, blblblblbl, 07-Дек-18, 13:07 (78) //
    - Понятно, это как новость от супер-пупер антивирусной компании найден супер-пупер, Ilya Indigo, 07-Дек-18, 16:04 (108)
  - откуда в нормальной системе возьмется такой файл В том месте, где появляются ка, пох, 07-Дек-18, 16:48 (111)
- https blog ripstech com 2018 new-php-exploitation-technique https securitybo, Аноним, 07-Дек-18, 18:28 (127)
Не ожидал от них такой подлости Прямо удар в спину , Аноним, 06-Дек-18, 23:15 (11)
Но зачем , Аноним, 06-Дек-18, 23:28 (12) //
- чтобы можно, было, вот, так, , Пользователь Debian, 06-Дек-18, 23:32 (13)
- Возможно, через ЭТО уже кто-то как-то зловредничал , КГБ СССР, 06-Дек-18, 23:32 (14)
- unset very_long_name, very_very_long_name, very_very_very_long_name, Аноним, 06-Дек-18, 23:38 (15)
- слизали с js, хотя может в js тоже взяли откуда то На самом деле довольно удобно, Антон, 06-Дек-18, 23:53 (17) //
  - В perl е это уже кучу лет можно Просто супер удобно , Q2W, 07-Дек-18, 00:11 (18) //
    - Write-only language , Аноним, 07-Дек-18, 01:20 (25)
      - Если у Вас проблемы с чтением такого https github com bugzilla bugzilla blob 5, Аноним, 07-Дек-18, 04:48 (33)
      - Write-only аноним, Аноним, 07-Дек-18, 05:50 (34)
    - мне этого сильно не хватает в SQL Я уже задолбался эту последнуюю запятую стави, Антон, 07-Дек-18, 09:18 (42)
      - А где там массивы , vedronim, 07-Дек-18, 11:49 (66)
        
        В инсертах, например , ъ, 07-Дек-18, 12:23 (73)
  - Во все языки это добавляют со временем, Junior frontend developer, 07-Дек-18, 21:14 (134)
- затем же зачем в массиве можно оставлять запятую , Григорий Федорович Конин, 07-Дек-18, 00:42 (21)
- Для удобства, Rom1, 07-Дек-18, 08:16 (40)
- Это как раз-таки самое нужное, а то я давно устал уже при динамических строках м, SenaIVV, 07-Дек-18, 13:56 (87)
Да сдалась 300 лет эта убогая ф-ия для идиотов, в которой ещё заботливо запретил, Ilya Indigo, 07-Дек-18, 00:22 (19) //
- У тебя что, соль какая-то особая, забористая Чем обычная не устраивает, а , blblblblbl, 07-Дек-18, 01:19 (24) //
  - Особенная, состоящая из статической и динамической части, при этом статическая х, Ilya Indigo, 07-Дек-18, 09:32 (46) //
    - Security by obscurity Спец, без сомнения , Аноним, 07-Дек-18, 10:42 (55)
    - Т е утекла каким-то образом статическая часть, здравствуй генерация новых парол, blblblblbl, 07-Дек-18, 10:43 (56)
      - 1 НЕТ Без динамической части соль бесполезна, для генерации нужна и соль и данн, Ilya Indigo, 07-Дек-18, 11:06 (61)
        
        1 зачем тогда статический кусок без него это такой же хеш динамическая соль , blblblblbl, 07-Дек-18, 12:02 (68)
        
        Затем, чтобы1 При получении доступа к БД злоумышленник не смог получить всю соль , Ilya Indigo, 07-Дек-18, 12:35 (74)
        
        идея не плохая с разделением на части соли, но прикол в том, что постановка зада, Sw00p akaJerom, 07-Дек-18, 14:54 (94)
        
        Я с вами не согласен 1 Без ssh доступа к серверу нет, а если доступ получен, то , Ilya Indigo, 07-Дек-18, 15:22 (101)
        
        принято, если со мной не согласны, то посоветую более вторитетный источник - Б , Sw00p akaJerom, 07-Дек-18, 15:50 (106)
      - на то и коллизии существуют, Sw00p akaJerom, 07-Дек-18, 14:44 (93)
        
        какова вероятность коллизии у bcrypt с blowfish или argon2 тупой брутфорс на вид, blblblblbl, 07-Дек-18, 15:20 (100)
        
        ровно такая же как и md5, все зависит от битности от чего зависит эта медленнос, Sw00p akaJerom, 07-Дек-18, 15:38 (105)
        
        а в реальной жизни, без применения велосипедов тот же солёный md5 можно, но реал, blblblblbl, 07-Дек-18, 16:46 (110)
        
        Собственно я к тому, что любой хеш нам только даёт возможность распознать утечку, blblblblbl, 07-Дек-18, 16:49 (112)
- ну если так надо, берёшь С и завозишь пулл-реквестомзачем , blblblblbl, 07-Дек-18, 01:21 (26) //
  - Трачу от недели до месяца на разбор всех тонкостей как это делается, реквестю, и, Ilya Indigo, 07-Дек-18, 09:42 (49)
- http php net manual ru function password-hash php, Мимокрокодил, 07-Дек-18, 09:34 (47) //
  - И что ВниманиеЭта опция была объявлена устаревшей начиная с PHP 7 0 0 Рекоменду, Ilya Indigo, 07-Дек-18, 09:45 (51)
отличный релиз замечательного инструмента Всех поздравляем , java developer, 07-Дек-18, 02:25 (28)
В целом, PHP стал похож на нормальный язык В него бы ещё объектно-ориентированн, Аноним, 07-Дек-18, 08:00 (39) //
- Боюсь, что поезд ушёл Ещё и оставив за собой огромный шлейф былой славы , nobody, 07-Дек-18, 09:23 (43)
- Ну вот да, перегрузки операторов зело не хватает , Онаним, 07-Дек-18, 09:30 (45)
- Зачем они тебе , Аноним, 07-Дек-18, 09:35 (48) //
  - Затем, чтобы можно было сделать так someArray- и увидеть все методы для работы, Аноним, 07-Дек-18, 10:09 (52)
Все-то я согласен с вами И все правильно пишите PHP плохой, PHP ужасный, функц, Попугай Кеша, 07-Дек-18, 10:25 (53) //
- Всякие расплодившиеся курсы программирования говорят, что можно быстро взять че, blblblblbl, 07-Дек-18, 10:58 (57) //
  - Нет Расплодившиеся курсы говорят, что человеки с улицы таки _покупают_ распло, Andrey Mitrofanov, 07-Дек-18, 11:01 (58)
  - Есть спрос - есть предложение Да, можно Если загрузить человека несложной работ, Попугай Кеша, 07-Дек-18, 11:02 (59) //
    - какой такой php, везде только и видно питон, го и жс скоро, очень скоро там бу, blblblblbl, 07-Дек-18, 13:31 (81)
тут скорей всего быстрота нужна разработки для клиента, PHP позволяет выстрелить, DmA, 07-Дек-18, 11:51 (67) //
- Сравните сложность настройки сервера на PHP цену за сервер с поддержкой PHP в , Попугай Кеша, 07-Дек-18, 12:10 (69) //
  - Разницы между настройкой nginx php-fpm или nginx python ruby, go нет, всё э, blblblblbl, 07-Дек-18, 13:27 (80) //
    - Shared уже не использует никто Я просто не знаю, расскажите, Попугай Кеша, 07-Дек-18, 14:55 (95)
      - скажу так - те, кто его используют, могли бы свою единственную страничку с телеф, пох, 07-Дек-18, 16:56 (114)
        
        Люди как не странно не любят обучаться По привычке платят Таких много , Попугай Кеша, 07-Дек-18, 17:03 (115)
    - Еще интересно за сколько вы Java развернете, Попугай Кеша, 07-Дек-18, 14:56 (96)
      - хз, у меня своего софта на джаве нет а вот эластик с полпинка заводится, стиль, blblblblbl, 07-Дек-18, 18:11 (123)
- грошовому клиенту нет необходимости задумываться о конечной стоимости - его са, пох, 07-Дек-18, 16:54 (113) //
  - это ж осваивание бюджета, ты что других причин постоянно передылывать сайт нет, blblblblbl, 07-Дек-18, 18:12 (125) //
    - а, точно - а поскольку менеджер каждый раз разный, то и карманная контора, выигр, пох, 08-Дек-18, 23:24 (138)
а я ещё на 5 6 сижу - , Аноним, 07-Дек-18, 12:57 (76) //
- провинциал , DmA, 07-Дек-18, 16:28 (109)
- У меня вот в компании только недавно подняли минимальную версию до 5 6 для выпус, Аноним, 07-Дек-18, 18:17 (126) //
  - а так ведь хочется обмазаться свеженьким , пох, 08-Дек-18, 23:24 (139)
Прелесть PHP - в его монолитном рантайме, в котором есть почти всё, что нужно дл, Аноним, 07-Дек-18, 13:24 (79)
https blog ripstech com 2018 phpbb3-phar-deserialization-to-remote-code-execut, Аноним, 07-Дек-18, 18:32 (128) //
- https rdot org forum showthread php t 4379, Аноним, 07-Дек-18, 18:40 (130) //
  - ой, прекрасно, еще и getimagesize ВНЕЗАПНО исполняет код - , нах, 11-Дек-18, 09:42 (141)
Если пых переписать на Rust, то он станет хипсторским и его перестанут называть , Аноним, 08-Дек-18, 22:52 (137) //
- предлагаю делать форк Если что, CoC я уже готов закоммитить С вас readme md Зад, нах, 11-Дек-18, 09:40 (140)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру