А на самом-то деле этого можно было избежать, если бы они не пиздели насчёт своего убергитлершифрования. Генерится рандомный ключ, шифруется юзерским паролем и всё. А данные шифруются этим рандомным. Сразу паролем шифровать мало того, что чревато, так еще и при смене перешифровывать все файлы — на хуй надо, а один ключик перезашифровать как нехуй. И хранить бэкап этого рандомного, шифрованного с помощью админского пароля, чтобы можно было восстановить проёбанный юзером пароль. Бля, это элементарно, но это что-то никто не делает.
Если бы у них была описанная мной схема, всё просто перестало бы работать. Физически. А раз нет, значит, пароль выполняет только аутентифицирующую, но не ключевую функцию. То есть, просто флажок «можно/нельзя», что неприемлемо в вопросах криптографии.
9 comments
recommend
bookmark
subscribe
да кому ты нахуй нужен
хз. вдруг и нужен.
А на самом-то деле этого можно было избежать, если бы они не пиздели насчёт своего убергитлершифрования. Генерится рандомный ключ, шифруется юзерским паролем и всё. А данные шифруются этим рандомным. Сразу паролем шифровать мало того, что чревато, так еще и при смене перешифровывать все файлы — на хуй надо, а один ключик перезашифровать как нехуй. И хранить бэкап этого рандомного, шифрованного с помощью админского пароля, чтобы можно было восстановить проёбанный юзером пароль. Бля, это элементарно, но это что-то никто не делает.
еще один эксперт
Обоснуй.
походу убрали проверку паролей.
анус себе дёрни, пёс :3
Если бы у них была описанная мной схема, всё просто перестало бы работать. Физически. А раз нет, значит, пароль выполняет только аутентифицирующую, но не ключевую функцию. То есть, просто флажок «можно/нельзя», что неприемлемо в вопросах криптографии.
Дропбокс не нужен же