четверг, 19 июля 2012
16:56

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
Так! Сегодня надо закончить. Воть. Я сказал. Осталось сделать.

Хочу backend-разработку, надоело извращаться, чтобы усё везде одинаково выглядело. И главное, я бы понял если там чего замороченного было. Но, ёпт, на элементарном диве браузеры дерутся.
Опера и Огнелис показывают как надо, а Сафари и Хром извращаются.

В одном случае к ширине дива добавляется внутренний отступ ("поля" текста внутри дива) и он в результате становится не 150px, а 150px+поля.
В другом случае, чётко задана высота дива, но Хром с Сафари подгоняют нижнюю границу к краю содержимого. То бишь, вместо граница содержимого+свободное пространство+поля, получается граница содержимого+поля.

Абзац в общем, поэтому я и не хочу заниматься вёрсткой. А ещё потому, что у меня "вкуса" нет, чтобы усё красиво делать.

Сижу вот и думаю, накопать что ли какой css-reset, чтобы Хромого с Сафари образумить? Вот только как запрос сформировать, чтобы поисковик понял чего я хочу?

@темы: | life |, | work |

URL
Комментарии
19.07.2012 в 17:05

sam_banshee
Дайте мне эльфа... за горло подержать...
попробуй каконить бутстрап.
URL
19.07.2012 в 17:35

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, А... для идиотов - это что? Если имеется в виду css-reset, то несколько уже попробовал - толку ноль.
URL
19.07.2012 в 17:37

sam_banshee
Дайте мне эльфа... за горло подержать...
я имел в виду какойнить готвоый css-фреймворк, типа того же твиттеровского bootstrap. twitter.github.com/bootstrap/
URL
19.07.2012 в 17:42

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Оу. Тама как-то дохрена всего и всё в строчку)))
URL
19.07.2012 в 17:51

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, ну считается неплохим. Есть еще какие-то варианты, как динамические, так и не очень, но я о них только краем уха и названия не подскажу.
URL
19.07.2012 в 17:52

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, смотри не минимизированные версии
URL
19.07.2012 в 17:58

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Ну, одну проблему я решил - с нижней границей дива. Тупо убрал принудительную высоту и теперь поля везде одинаковые. Видимо дело было в приоритетах. Для оперы с огнелисом высота приоритетней, а для хрома и сафари - поля. В итоге одно перебивало другое.

Сейчас попробую извратиться и решить вопрос с дивом-кнопкой.
URL
19.07.2012 в 18:00

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, ну сматри сам. Но использование фреймов в вебе очень помогает... говорю как одмин! :)
URL
19.07.2012 в 18:12

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Не спорю, но не для создания же формочки авторизации))
URL
19.07.2012 в 18:22

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, там есть и этот стиль.
URL
19.07.2012 в 18:26

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Ну, я придерживаюсь правила - меньше использовать сторонний код, больше свой. Ибо в своём знаешь что где, а в чужом хрен его где чего. Особенно с их привычкой в одну строку всё писать.
URL
19.07.2012 в 18:28

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, о! А реализацию хеширования и соли ты тоже сам пишешь?
URL
19.07.2012 в 18:29

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Эм, а енто что?
URL
19.07.2012 в 18:30

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, только не говори что пароли ты плейнтеткстом передаешь и так в базе хранишь! ^_^
URL
19.07.2012 в 18:33

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, :shy: я с шифрованием ещё не разбирался, мне тогда тупо некогда было.
URL
19.07.2012 в 18:35

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, омайнготт. Даже md5 не делаешь? Хотя бы без соли?
URL
19.07.2012 в 18:38

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, омайнготт Он самый(((
URL
19.07.2012 в 18:41

sam_banshee
Дайте мне эльфа... за горло подержать...
oh dear, dear. Это же... ужасно. срочно SHA-512, лучше bcrypt и соответвующие модули, желательно over https и с солью.
en.wikipedia.org/wiki/Bcrypt
URL
19.07.2012 в 18:42

sam_banshee
Дайте мне эльфа... за горло подержать...
URL
19.07.2012 в 18:48

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Отставить панику. В базе переделаю (когда буду всю систему переделывать в августе) чтобы пароли в зашифрованном виде были, а насчёт передачи - в чём паника?
URL
19.07.2012 в 19:06

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, простейший вариант: открытый вайфай в кафешке.ЛЮБОЙ может запросто читать весь твой траффик, кроме https.Открытый вайфай дома, несекьюрная прокся в общаге - и все. Ладно, откровения из чатика сбегут (кстати, Скайп шифрует, а вот база у него sqlite без намека на шифрование) а пароли к админке? А там доступ к базе и ЗДРАВСТВУЙ ДЕФЕЙС МАСШТАБА СОНИ.
Т.е. если без https, то соль - хорошее решение.
URL
19.07.2012 в 19:21

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Нуууу....

1) Бекапы есть и делаются регулярно.
2) У меня вафельных устройств нема.
3) И тем более я не идиот чтобы сидя на халявной вафле где-то какие-то пароли вбивать)

Ху из соль, ты мне можешь сказать?

И да, тады ж вообще всё передавать шифрованным. Не только ведь пароли важными являются.

А енто значит доп. гемор с расшифровкой на стороне сервера и на стороне клиента. Что приводит нас к ещё большим тормозам.
URL
19.07.2012 в 19:44

sam_banshee
Дайте мне эльфа... за горло подержать...
В этом диалоге ты фундаментально не прав, это как отрицать математику. Шифровать надо базу обязательно, за исключением некоторых конкретных случаев. Например, с помощью уязвимости получат люди select *; и все. Сопрут ноут. Сниффнут пароль у кого другого и используют.
А соль поишши на вики, мне из магазина писать неудобно.
Шифровать желательно все, но как минимум - критическую информацию. Т.е. пароли :)
URL
19.07.2012 в 21:09

sam_banshee
Дайте мне эльфа... за горло подержать...
Итак, соль - это плейнтекстовая фигня, которая хранится на сервере.
Один из вариантов ее применения: каждому пользователю генерится уникальная соль, которая хранится в базе на сервере. Пароль пользователя при введении пересылается на сервер, там неким тайным образом складывается с солью, и получается хеш, и только его мы сравниваем с хранимым в базе.
Спасает от паролей типа 11111 и qwerty. Не очень спасает от просниффаного пароля, но оставляет злоумышленика в недоумении. en.wikipedia.org/wiki/Salt_%28cryptography%29
Более простой вариант соли - настроена для всего предложения.
URL
19.07.2012 в 21:42

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, А щито мне делать, если надо срочно по опредёленным людям их учётки глянуть? Я зыр-зыр в базу, а тама хеша везде, а не пароля.
URL
19.07.2012 в 21:50

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, не оправдание! Во первых, администратор не должен знать паролей пользователей, никак. Посмотреть ты можешь по базе и без пароля, в крайнем случае прилепи к топовой админской учетке имперсонацию - логин "от" имени пользователя. Во вторых - что тебе стоит записать значение хеша и соли, сбросить их, попользоваться, и вернуть назад?
Хранение паролей плейнтекстом, не использование хеша и соли - самая распространенная и самая страшная ошибка безопасности. Любое удобство от этого настолько мало по сравнению с угрозой... ну, это как топить буржуйку торием вперемешку с углем, лучше греет мол.
Самая большая проблема будет, что если таки утекут - в 80% случаев окажется что это пароли от учеток, и человек, получивший один-два пароля и логин, который, как я помню, сделан по мылу, получит доступ к мылу человека, и бай-бай бейби :)
Кстати, гугл (а так же майкрософт и прочие топ-игроки) шифрует пароль на стороне пользователя, и только потом шлет на свой сервер. Не знаю, делает ли он то же самое по https протоколу, но по http - точно. Почему бы и нет?..
URL
19.07.2012 в 22:07

Ryuzaki_rnd
Правильного ответа нет. Любой выбор приводит к жертвам, любое решение требует платы. | Лишь навык имеет значение.
sam_banshee, Имхо, шифрование на стороне клиента - это не айс. Ибо чел с шаловливыми ручками спокойно может посмотреть все скрипты и понять как оно зашифровалось.

Или можно как-то помимо js на стороне клиента шифровать?
URL
19.07.2012 в 22:13

sam_banshee
Дайте мне эльфа... за горло подержать...
Ryuzaki_rnd, ты можешь на стороне клиента шифровать, по сути, аналогом https - паблик ключом, пусть понимают, что хотят. В принципе, достаточно скремблнуть, чтобы не плейнтекстом, а шифровать на сервере.
Есть свободныне библиотеки для этого, хотя надо поискать. Ни в коем случае не пиши код для безопасности сам! Даже если ты просто скопируешь алгоритм, может много чего всплыть после имплементации.
Бери проверенные сторонние расширения, или средства языка.
URL
19.07.2012 в 22:19

sam_banshee
Дайте мне эльфа... за горло подержать...
sam_banshee, кстати, очень тупой вариант - присылать соль клиенту и хешировать у него. Хранить у себя хеш и соль.
Так перехватить пароль можно с клаиватуры.
Ну и идеальный вариант - соль к паролю генерирует специально синхронизированный аппаратный ключ, сервер проверяет оба. Максимум что ты сможешь стянуть - или ключ, или пароль.

Для системы заявок некоторый перебор, но все же, все же.
URL
19.07.2012 в 22:20

sam_banshee
Дайте мне эльфа... за горло подержать...
А вообще - на юдасити есть отличный курс по криптографии, настолько классный, что я в нем нихера не понимаю.
URL