что за бред, не буду комментировать, удачи в разработке

" К таблицам в БД в принципе не должно быть прямого доступа." было бы странно обратное лол)) не понял к чему это

"Обрати внимание на зачем-то выброшенную тобой часть предложения" а тут проблема что человек либо за либо против, я увидел два противоречивых мнения в посте, о чем и решил сообщить. к "безопасность через неизвестость" у меня лояльное отношение, хм, такая техника обмазана грязью почем напрасно. проблема в том что зачастую её используют как основополагающий барьер защиты, которым она естественно совсем не является. а как дополнительный барьер она очень даже подходит, о чем собственно я и хотел донести говоря о грамотном хранении соли и нестандартных применениях алгоритмов хеширования

"то лучше вообще свой алгоритм хеширования навелосипедить" не учи людей плохому! не надо велосипедить свои алгоритмы хеширования, я уже написал в прошлом посте "не зная алгоритма использования хеш функции", нужно хеш функцию использовать необычно, саму хеш функцию изобретать не надо =)

"Если утекла база - утечет и соль." я уже говорил что не обязательно =)
1) адекватные люди не хранят соль там же где и хеш
2) база не обязательно находится на том же сервере где и сервис, который её использует
3) наличие данных хранящихся в базе не обязательно как то поможет в получение доступа к сервису, который их использует и где хранится соль

ээээ не хочу показаться грубым, но ты только что написал в_одном_посте "Надеяться на то, что соль не утечет - это security by obscurity" и тут же "то лучше вообще свой алгоритм хеширования навелосипедить - дело нехитрое, а потенциальный мамкин хакер обалдеет", упорот штоли)?

"имея хеш и способ его получения" способ получения не всегда известен, доступ к базе данных не гарантирует доступа к коду который её использует. не зная алгоритма использования хеш функции и/или соли(hash sals) процент подобранных паролей может и вовсе равнятся нулю. также у перебора(bruteforce) есть два важных критерия 1) время 2) хардварные ресурсы для перебора. допустим мы готовы потратить на перебор 1 месяц, если брать хеш функцию md5 и хеш функцию используемую в wordpress(sha1 если не ошибаюсь), то время на перебор будет колосально отличаться, в итоге банальное использование sha1 даст выгоду в том плане что взломщик сможет перебрать в разы меньше паролей. опять же если вдаваться в подробности, то процент удачно подобранных паролей, при равных факторах(хеш функция/алгоритм использования хеш функции/мощности железа/времени для перебора), будет значительно отличаться если сравнивать например форум любителей котят и какой нибудь habr или lor.

мне этот твит не нравится. как можно сравнивать человека с продажей какой то вещи, маркетинг это маркетинг, а человек это человек. автор твита явно долбоёб, от таких надо держаться подальше

ну может кому то больше повезло, в моем мухосранске в клубах было нормально, управляющий клубом не терпел беспредел(думаю из за того что тупо теряет прибыль). постоянно были очереди, кто за кем, "6 комп занимали? а через скока освободится?", вторая квака, анреал турнамент и для особо отчаянных герои(вторые вроде), а ну и контра потом появилась. эх =(

о провода у системника обтянуты, вот это уровень

всё я понял, он примерно в половине случаев сканил случайные адреса из класса С из текущей подсети А.В. https://gist.github.com/yorickdewid/a9fb98da3c367b360e36#file-blaster-c-L371

ну как бы да, один комп местный подхватит, вероятность не маленькая что пойдет дальше