Python-сообщество

koder
Если это так то разрботчиков TG пора под суд общественности, а потом на программистскую виселицу за полную некомпетентность, хотя IMO там все ок.

пароль действительно храниться в БД ОТКРЫТЫМ, но через инет пользователям отправляется/принимается “ключ” и “код” сессии, с самим же паролем работает только сервер.

slivlen
Спроси Гугл
или вот еще и еще
http://www.cs.usask.ca/work/408/06group6/1way.html

sliven ну Ты же понимаеш что кроме последнего это все заборы(на которых пишут то хотят).
Можно еще понять “одностороннее шифрование” в кавычках(как “Ласковый май” ).
Вот определения шифрования:
http://www.britannica.com/ebc/article-9362292
http://ru.wikipedia.org/wiki/Шифрование
http://dict.die.net/encryption/
http://dret.net/glossary/encryption
или вообще лучше
http://www.google.com/search?hl=ru&ie=UTF-8&oe=UTF-8&q=definition:encryption
во всех этих определениях указывается на невозможность получения исходных данных, не зная
определенной информации(=> ее возможно получить зная эту самую информацию) и о существовании обратного алгоритма. Завтра из БЭC статью притащу.
О хешах говорят что это односторонне шифрование, но это всего лишь
распространенная ошибка связанная со отсутствием достаточного знанием темы
и повсеместном применении хешей для подписывания документов.

pythonwin
пароль действительно храниться в БД ОТКРЫТЫМ.

Если в таблице хранится открытым текстом пароль то это очень паршиво, независимо от того
передается он по сети или нет. Это означает что админ может его без проблем подсмотреть
(чужой а не только свой). А многие люди(например я) используют один пароль во многих местах
(не везде конечно, но во многих), ну в общем на эту тему уже написанно неимоверно много(“да только все невпрок” текст (с)Крылов). И в случае SQL-injection(или другого взлома ) все закончится не дефейсом а куда более плачевно. Интересно что они(разарботчики TG) по этому поводу говорят.

Кстати на странице
http://docs.turbogears.org/1.0/IdentityManagment
последний пост как раз об этом но что-то писаки молчат.

koder
О хешах говорят что это односторонне шифрование, но это всего лишь
распространенная ошибка связанная со отсутствием достаточного знанием темы
и повсеместном применении хешей для подписывания документов.

Ну в этом ты, наверное, прав, только для подписи обычно применяют ассиметричное шифрование(для защиты хеша).

slivlen
Ну в этом ты, наверное, прав, только для подписи обычно применяют ассиметричное шифрование

Бывет. А если документ большой(например видеозапись) то вместо него подписывают
хеш(когда MD5 накрылся Австал. ГАИ на этом сильно погорело).

koder
А если документ большой(например видеозапись) то вместо него подписывают
хеш

Я как раз об этом добавил в своем посте, пока ты на мой отвечал :)

koder
Кстати на странице
http://docs.turbogears.org/1.0/IdentityManagment
последний пост как раз об этом но что-то писаки молчат.

koder
Интересно что они(разарботчики TG) по этому поводу говорят.

запостил в http://groups.google.com/group/turbogears, но пока ответа нет. :(

если есть у кого-то из джангистов - опишите пожалуйста подробно идентификацию в джанго, но при этом работу/хранение с шифрованным паролем а не с открытым. :)

Я счас напишу в общих чертах, а дома гляну а сырци и точно скажу:
1)При регистрации нового пользователя с введенного пароля снимается хеш-сумма,

slivlen
В django хранится хеш(sha1).

которая записывается в базу, после чего про пароль система забывет.
2)При авторизации пользователя с введенного им пароля снимается тот-же хеш,
который сравнивается со значением хеша из базы данных.
Соответственно если хеши совпадают, то считается что и пароли совпадают,
если же хеши не совпадают то пароли точно не совпадают.

Единственное что не очень удобно - это то, что в админке ползователей надо вводить уже готовый хеш а не пароль. :(