Имя:    Пароль:      Помнить меня       
Unsorted   ~  unsorted  ~  Новости unsorted  ~  Доверенные пользователи
На страницу «  1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76  »

Как вы относитесь к нововведению?
Положительно
36%
 36%  [ 468 ]
Отрицательно
35%
 35%  [ 454 ]
Безразлично
28%
 28%  [ 369 ]
Всего проголосовало : 1291

Олег
Сообщение  31 Янв 2016, 1:48  Ссылка : Ответить с цитатой
Возраст: 45 Пол: Мужской  Доверенный пользователь
C нами с 27.03.2005
Репутация: 205.3

DALDON, попробуйте ответить (сами себе) на вопрос: у Вас есть алгоритм, преобразующий за секунду номер телефона в хеш; как Вы с помощью этого алгоритма и списка хешей собираетесь выяснить, какие из миллиардов возможных номеров присутствуют в списке?

P.S. Соль никак не мешает выяснить наличие данного номера: при фиксированном алгоритме и фиксированном значении соли результат хеширования одного номера будет во второй раз точно таким же, как и в первый, что и проверяется при вводе существующего номера.

P.P.S. Раз уж тут годами пережёвывается одна и та же жвачка, позволю себе напомнить вопрос, который кажется мне более интересным, чем технические детали. Какую пользу можно извлечь из полученного списка? Предположим, некто «хакнул сайт и украл телефоны»; теперь он обладает списком из нескольких тысяч номеров мобильных телефонов. В чём преимущество этого списка по сравнению со списком случайных чисел соответствующей длины? Присутствие номера в базе не только не означает, что его хозяин живёт в окрестностях жукорамы (что с натяжкой могло бы обладать какой-то маркетинговой ценностью), но даже вовсе не гарантирует, что такой номер сейчас существует и/или принадлежит тому же человеку, который набрался «отчаянной храбрости» использовать его на сайте много лет назад. Зачем заморачиваться взломом, когда можно за секунду нагенерить в сто раз больше этого добра?

_____________________________
Уточняйте значение слов, и вы избавите человечество от половины своих заблуждений. Рене Декарт
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : E-mail
DALDON
Сообщение  31 Янв 2016, 2:14  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

Олег, я не вижу, никакой, хоть сколько-нибудь практической цели в затее администрации (на 2016 год!). Гугл выкидывает тучу номеров для того, чтобы пройти регистрацию. - И о чудо! - Я попробовал с пяток - и на все мои попытки, я получил, что номер уже используется. (Собственно, именно по-этому я и поднял снова сей вопрос). То есть, сейчас на форуме нету никаких задержек от указания не верного номера. Да и дубликаты номеров, определяются - мгновенно! Что знаете-ли... Навело меня на чисто технический вопрос, собственно, а как же так? - Рассказывают, что много всяких хешей, солей и т.д. - А тут, раз, и за минуту, я пять номеров и перебрал. Так, что, я не стесняясь быть тупым - спрашиваю.


В общем (ИМХО), по состоянию на 2016 год, затея с номерами, (во многом, но не полностью) бессмысленная. https://www.google.ru/?gfe_rd=cr&ei=60KtVqvbOY3lwAPq_ZCICw&gws_rd=ssl#newwindow=1&q=sms+number+for+verification —- Вводя различные номера, я понял, что и формат номеров не очень строгий. Хотя, конечно, не каждый будет морочиться. Да и свободных номеров, которых тут ещё нету, не столь много...

Понятное дело, что в свете, того, что тут мало того, что куча дохлых номеров, так ещё и львиная доля левых указана. И взлом базы - в общем, то не приведёт ни к каким проблемам. Именно понимая это, я ставлю вопрос, в исключительно техническом ключе. И хочу получить уже наконец чисто технический ответ. Вида, берём номер, солим, делаем 256 итераций sha-256. - Вот если будет такой ответ, то я наконец-то удовлетворюсь. И таки можно будет уже более чётко понимать. А то вроде говорят про хеши, и всё прочее. Но как-то ясности, до сих пор нету.
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
MajorQ
Сообщение  31 Янв 2016, 8:06  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.06.2005
Репутация: 548.8

DALDON писал(а):
MajorQ писал(а):
алгоритм хэширования настолько сложен?
Ну да, вот тут мне рассказывают, что он нереально сложен... А, я просто не могу понять в чём его сложность. Но мне все говорят, что я дурной. А я всего-лишь хочу в техническом плане уточнить его сложность. Ибо, по логам отправки СМС - можно спокойно иметь все номера в plain text. Да и вообще, можно их и хранить в открытом тексте... - Это уже на усмотрение Администрации. У меня же, исключительно технический вопрос! Но я не могу получить на него, прямого, и ясного ответа. Как за секунду можно отковырять совпадение в базе, и при этом иметь нереально сложный алгоритм хеширования - я не понимаю.
Алгоритм хэширования прост: чего сложного в sha256 с солью? Пусть даже много итераций. Времени много не сожрет. В чем сложность поиска хэша в таблице БД? Причем длина таблицы и 100000 записей не превысит. Это столь тяжелая процедура?

_____________________________
Меня никогда не оскорбляли сатанисты за то, что я не верю в их Дьявола. Это делали только любящие христиане за то, что я не верю в их бога. (с)
Рики Джервейс
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : Сайт
DALDON
Сообщение  31 Янв 2016, 10:42  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

MajorQ писал(а):
Алгоритм хэширования прост: чего сложного в sha256 с солью? Пусть даже много итераций. Времени много не сожрет. В чем сложность поиска хэша в таблице БД? Причем длина таблицы и 100000 записей не превысит. Это столь тяжелая процедура?
Да нет конечно. Но в случае с телефонными номерами, тогда выходит, что вся эта процедура - бесполезна. Разницы между хранением в простом тексте и хранения номера в виде статической соли + sha - нету (ИМХО). Просто вроде говорят, что дескать тут всё настолько секретно, и что администрация не может знать у кого какие номера... А я как-то не могу понять, как такое возможно.
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
MajorQ
Сообщение  31 Янв 2016, 12:58  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.06.2005
Репутация: 548.8

DALDON, вы не можете отличить хэш от номера телефона? Хэш не обратим по факту. Зная хэш телефона и ник пользователя нельзя установить номер телефона пользователя. В этом отличие от хранения телефонов в открытом виде. Что непонятного?

_____________________________
Меня никогда не оскорбляли сатанисты за то, что я не верю в их Дьявола. Это делали только любящие христиане за то, что я не верю в их бога. (с)
Рики Джервейс
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : Сайт
Рыся
Сообщение  31 Янв 2016, 13:26  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 15.04.2005
Репутация: 133.2

DALDON, да, допустим произошла плохая вещь и злоумышленник угнал дамп хэшей и алгоритм хэширования. Потратив некоторое время он восстановил какие-то (возможно даже все, железо щаз быстрое) номера из хэша. Теперь у злоумышленника есть информация о том, что номера телефонов соответствующие хэшам активны (или были активны на момент "доверяции"). Но нет никакой информации о том, кому принадлежит этот телефон (да и немного их на ансортеде), правда можно с большой долей вероятности считать, что абонент живёт в Жуковском, Раменском или близлежащих окресностях. То есть информация почти бесполезная. Я думаю, что с таким количеством абонентов у сотовых операторов выбраный наугад телефонный номер будет активным с 95% вероятности. Таргетировать рекламу нельзя, поскольку неизвестны социальные связи номера (ну только если что-то жукорамо специфичное, но имхо это мелковато).

P.S. Я опоздун, Олег уже всё объяснил. Но всё равно я старался. Не буду удалять. Смайлик

_____________________________
Время не существует, у него нет физического носителя в природе. Его выдумал человек, чтобы измерять скорость.
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : E-mail : JabberID
DStar17
Сообщение  31 Янв 2016, 22:12  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 15.07.2005
Репутация: 133.9

Повторное использование номера после его продажи допускается?

_____________________________
С дивана видно всё, ты так и знай!
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
MajorQ
Сообщение  31 Янв 2016, 22:45  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.06.2005
Репутация: 548.8

DStar17, нет, конечно. Хэш уже есть в таблице. При попытке скормить этот номер движку хэш будет найден и придет закономерный отлуп.

_____________________________
Меня никогда не оскорбляли сатанисты за то, что я не верю в их Дьявола. Это делали только любящие христиане за то, что я не верю в их бога. (с)
Рики Джервейс
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : Сайт
DALDON
Сообщение  31 Янв 2016, 23:06  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

MajorQ писал(а):
вы не можете отличить хэш от номера телефона? Хэш не обратим по факту. Зная хэш телефона и ник пользователя нельзя установить номер телефона пользователя. В этом отличие от хранения телефонов в открытом виде. Что непонятного?
Эм... В случае, того, что я знаю, что формат телефона, вполне себе величина (в частном случае, РФ) конечная, я за 15 минут из хешей выужу все номера обратно. Как-то так. То есть, конкретно в данном случае хэш более чем обратим.

DStar17 писал(а):
Повторное использование номера после его продажи допускается?
Именно, сей факт, факт того, что не допускается и ставит крест на идее хешей от телефонов. Ибо обратно из этого хеша достать их не сложно. Хотя мне тут ну прям все вот как один говорят, что это не возможно...

А я как-бы закономерно спрашиваю, в чём тогда смысл таких хешей, если они мать их обратимы..? При том обратимы, за вполне короткое время... (Ведь форум выдаст отлуп за секунду!) Но технически грамотного ответа, кроме как "сам дурак", я пока не получил. Подмигивание
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
MajorQ
Сообщение  31 Янв 2016, 23:09  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.06.2005
Репутация: 548.8

DALDON, я уже раз предлагал кому-то, предложу еще раз, теперь уже вам: попросите Балдахина дать вам хэш моего телефона и позвоните мне. Сей пост - мое добровольное разрешение на выдачу вам хэша моего телефона. Пока мне никто не позвонил...

Форум выдает отлуп не из-за обратимости, а из-за того, что заново вычислить хэш и найти его в БД - секундное дело. Никто не реверсит хэш, чтобы выдать отлуп. Впрочем, позвоните мне и убедите таким образом меня в обратном...

_____________________________
Меня никогда не оскорбляли сатанисты за то, что я не верю в их Дьявола. Это делали только любящие христиане за то, что я не верю в их бога. (с)
Рики Джервейс
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : Сайт
DALDON
Сообщение  31 Янв 2016, 23:17  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

MajorQ, ну тогда, мне ещё раз придётся повториться так же: речь идёт, не о просто хеше. А об дампе БД, и кода форума. - Да, разобраться будет не просто. Но... Одно дело, когда нам говорят, что из хеша ПРИНЦИПИАЛЬНО номера не выдрать, и ДАЖЕ сами админы форума этого сделать НЕ могут при сильном желании. - Другое, дело, СОВСЕМ ДРУГОЕ, когда становится ясно, что зная алгоритм формирования хеша - выдрать их обратно из него, не составит большого труда. - А вот, администрация, уж точно знает как этот хеш формируется. - Я как бы об этом говорю... - Не нужно считать всех идиотами.
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
MajorQ
Сообщение  31 Янв 2016, 23:21  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.06.2005
Репутация: 548.8

DALDON, это переливание из пустого в порожнее. Даже ГОСТ-овские алгоритмы шифрования широко известны и опубликованы, но тех, кто их реально декодировал, не зная "пароля," надо еще поискать. Так и тут ПРИНЦИПИАЛЬНО все можно отреверсить, но НА ПРАКТИКЕ же никто этого до сих пор не сделал. Если вы это сделаете и позвоните, то я сам буду упрашивать Балдахина стереть ко всем чертям эту таблицу...

_____________________________
Меня никогда не оскорбляли сатанисты за то, что я не верю в их Дьявола. Это делали только любящие христиане за то, что я не верю в их бога. (с)
Рики Джервейс
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : Сайт
Dio
Сообщение  31 Янв 2016, 23:38  Ссылка : Ответить с цитатой
Пол: Мужской 
C нами с 16.11.2006
Репутация: 455.1

зачем что-либо хешировать, если можно сразу сделать insert по полю телефона к phpbb_users таблице с привязкой?
MajorQ: можешь начинать звонить.
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
DALDON
Сообщение  31 Янв 2016, 23:40  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

MajorQ, ну когда внедряли эту штуку, нам в принципе говорили, что из хеша, даже администрация достать не сможет. Это во-первых. Во-вторых, по мимо, чисто технических аспектов, я привёл ссылку из гугла с free номерами телефонов для регистрации, и если взять эти номера, и попробовать вбить сюда - легко можно убедиться, что тут куча free номеров, уже занята. Что ставит двойной крест на всей этой затее с т.н. "доверенными пользователями".

Добавлено спустя 1 минуту 9 секунд:

Dio писал(а):
зачем что-либо хешировать, если можно сразу сделать insert по полю телефона к phpbb_users таблице с привязкой?
Вот и я не понимаю, к чему все эти глупости с хешами, если это всё обратимо... Юзер И собственно интересуюсь малость. Улыбочка
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
MajorQ
Сообщение  31 Янв 2016, 23:58  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.06.2005
Репутация: 548.8

Dio, ты не понял, это я жду звонка. Не я утверждаю, что хэш реверсится на раз-два, как бы...

DALDON, из того, что куча free номеров уже занята, как выводится утверждение о простоте и скорости реверса хэша? Вы ж упираете на то, что хэш не имеет смысла из-за простоты обратного вычисления номера. И как эта простота выводится из скорости прямого хэширования?

_____________________________
Меня никогда не оскорбляли сатанисты за то, что я не верю в их Дьявола. Это делали только любящие христиане за то, что я не верю в их бога. (с)
Рики Джервейс
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение : Сайт
Показать сообщения:   
На страницу «  1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76  »

Unsorted   ~  unsorted  ~  Новости unsorted  ~  Доверенные пользователи

Ответить на тему

Перейти:  





Powered by phpBB   © Unsorted Team  support@unsorted.me  promo@unsorted.me  Полезные скрипты