О паролях, бекапах, хостингах и системах управления сайтами

88 смотр.

О паролях, бекапах, хостингах и системах управления сайтами
Все уже слышали, что замечательный сайтик, который собрал сотни тысяч пользователей по всему миру проебал ваши пароли? Если нет, то почитайте новости. Линкедин сохранял пароли с помощью криптологического алгоритма, созданного в 90-ые. Сейчас взломать этот алгоритм можно на домашнем четырёх ядерном процессоре за несколько дней.

О том, как каждый из вас будет спасать теперь свои связки логин/пароль на других сайтах думайте сами. Вопрос стоит не в этом. Я позволил себе узнать, что ни у вордпресса, ни у тайпо3, ни у джумлы нет нормальной защиты паролей пользователей. Стоит признать, что до Друпала7 пароли и в друпале были сохранены не лучшим образом. Но теперь как бы всё ахуенчик. Многие мои коллеги считают, что собственная CMS много лучше, чем система, которую юзают все подряд. Я считаю, что через собственную CMS или собственный метод криптоалгоритма для паролей обязан пройти каждый PHP-прогер на стадии обучения.

Но если, человек в зрелом возрасте говорит о собственной веб или крипто- разработке, то он или гений или шут. Статистика говорит в пользу распространённых систем с открытым кодом. Стоит заметить, что «собственные» разработки многих фирм, при пристальном рассмотрении оказывались например Джумлой. И за примерами далеко ходить не надо. В Могилёве наши коллеги активно впихивают устаревшую джумлу клиентам как супер-пупер разработку и не краснеют.

Если вы не были зареганы на Линкедин, то париться вам стоит уже сейчас, не дожидаясь бани. Минимум треть расейских хостингов хранит бекапы так, что они доступны любому любопытному прогеру. А в бекапах 99% сайтов хранит как бы закешированные пароли.

У меня есть доступы к примерно 3000 сайтам рунета. Среди них некоторые блоги на вордпрессе моих друзей. Которым мы уже постарались сообщить, что им стоит поменять хостинг, пароль, CMS или всё вместе.

88 смотр.

Добавить комментарий