прошу прощения за оффтопп:

slivlen
pythonwin написал:

я за авторизацию - но считаю, что хранить в БД нужно и пароль и хеш

Зачем???

как я понял хеш - это код сеанса или я ошибаюсь?

pythonwin
как я понял хеш - это код сеанса или я ошибаюсь?

pythonwin
пароль в БД храниться в зашифровонном виде

не хеш обычно как раз и называют зашифрованным паролем, хотя это неверно.
ХЕШ - это неск. измененный пароль - паролб узнать по нему низзя , но проверить можно

koder
не хеш обычно как раз и называют зашифрованным паролем, хотя это неверно.
ХЕШ - это неск. измененный пароль - паролб узнать по нему низзя , но проверить можно

т.е. зашифрованный, но только в одну сторону?

koder
не хеш обычно как раз и называют зашифрованным паролем, хотя это неверно.

Это верно, т.к. хеширование офциально называется однонаправленным шифрованием :)

slivlen
Это верно, т.к. хеширование офциально называется однонаправленным шифрованием smile

тогда можно вопрос?
насколько я знаю TG хранит ОТКРЫТЫЙ пароль в БД, а дело обстоит в Django?

1)

slivlen
однонаправленным шифрованием

ЭЭЭЭ по определению шифрование подразумевает наличие однозначного обратного преобразования,
возможно при наличии определенного ключа, именно это и является критерием шифрования(я нигде не писал слово “надежного”).
Оно не может быть однонаправленным.
2)

pythonwin
насколько я знаю TG хранит ОТКРЫТЫЙ пароль

Если это так то разрботчиков TG пора под суд общественности, а потом на программистскую виселицу за полную некомпетентность, хотя IMO там все ок.
Уже в первых юниксах(и, я просто уверен, что намного раньше) никто открытым текстом пароль не хранил. По модифицированному паролю DES'ом шифровали строку пробелов и именно это хранили в passwd. В Django открытого пароля точно нет, алгоритм не смотрел.

В django хранится хеш(sha1).

Блин, пока slivlen писал коммент, я подправил свой верхний пост немного

koder
Если это так то разрботчиков TG пора под суд общественности, а потом на программистскую виселицу за полную некомпетентность, хотя IMO там все ок.

в стандартном алгоритме идентификации (который описан на оф. чайте) никакого шифрования нет, хотя должен быть способ как дописать алгоритм, чтобы в БД хранился шифрованный пароль, а не открытый, как в стандартном.
Возможно уже есть такой код, но к сожелению пока я о нем я не знаю.

koder
ЭЭЭЭ по определению шифрование подразумевает наличие однозначного обратного преобразования,
возможно при наличии определенного ключа, именно это и является критерием шифрования(я нигде не писал слово “надежного”).
Оно не может быть однонаправленным.

Спроси Гугл
или вот еще и еще
http://www.cs.usask.ca/work/408/06group6/1way.html :)