Источник: #comment_200371384

Позавчера ездил в город, договорился со знакомым, что переночую у него. На улице метет, автобусы из города не выпускают, на дорогах гололед и кучи снега... Порешал дела, зашел в магазин, взять продуктов на ужин, созвонились. Он говорит, сча подлечу и к нему поедем. Встретились, купили что надо, сели в машину. Я по привычке пристегиваюсь он: "Нахера"?

Ну как нахера - безопасность же - я в своей всегда пристегиваюсь и пассажиров заставляю. Он: "Я никогда не пристегиваюсь. В городе пристегиваться опасно, так как большая часть ДТП боковые столкновения - тупо ремнем разрезать может, а так может выбросить удачно". Ну я все равно не отстегиваюсь, едем, общаемся. Машину странно потряхивает из стороны в сторону.

Короче, он катается на машине своего друга уже 2 года. Друга лишили за пьяную езду, скоро срок заканчивается. Страховки и техосмотра уже год как нет. В прошлом году пришлось делать, так как поставил тачку на 20 минут рядом с автобусной остановкой и попал под рейд полиции, забрали на штрафстоянку. Говорит выбор был, или эвакуатором забирать, или делать доки и самому забирать. Эвакуатор дорого - 3 тыс. Документы примерно так же, но зато на год. Машину забрал, потом срок страховки и техосмотра истек. Все. Так и катается без доков.

Почему машину потряхивает? Да потому что резина - бублики - летняя, лысая, и похоже уже кое-где с грыжами - новую зимнюю купить - а зачем, машина-то не его. При этом в ДТП, говорит ни разу не попадал. Аккуратная езда - ептыть, стаж вождения, все дела. За все время, пока катается, его ни разу не останавливали ДПС. Везунчик короче. Водит он и впрямь неплохо по городу, для такой экстремальной машины. Но, епть, вот это вот все вместе, дает странное послевкусие - когда даже с пристегнутым ремнем чувствуешь что ты нихрена не в безопасности.

Предисловие

Нормальные люди, которые создают сайты, беспокоятся о безопасности пользователя. Какой бы пароль у вас не был бы, шифруется при помощи алгоритма md5, которые не особо-то просто и вообще возможно дешифровать и хранится в базе в виде md5.

Примеры шифрования md5:

q1w2e3r4: c62d929e7b7e7b6165923a5dfc60cb56

Serega200188: f7a225c125d4ac254f71b389e0882e5a

a: 0cc175b9c0f1b6a831c399e269772661

hard!(PasS)worD_01nm%$: 0ffdde5638df6c56c8cb6f1f7cc1fece

Как видите, md5 плевать на длину вашего пароля зашифрованной строки, результат всегда имеет одну и ту же длину.

Суть

С этим разобрались. Но как узнать, верный ли пароль вводит пользователь? Очень просто! При регистрации пользователь вводит пароль и вводит его второй раз. Сервер не сравнивает пароли, он сравнивает md5 этих паролей. Он нигде их не хранит и не записывает, пока не зашифрует в md5. Сервер хранит в базе данных не ваш пароль, а его md5. А когда вы логинитесь на сайт, где зареганы, сервер сравнивает md5 введенного вами пароля с md5 в базе данных. Вроде бы ясно объяснил. Испокон веков так делали и до сих пор делают.

Но я бы не писал бы этот пост, если бы не...рег.ру.

Вот такое письмо мне только что пришло на почту:

А теперь вопрос: какого черта они знают мой пароль? По md5 они не могли понять ни его длину, ни из каких символов он состоит. Значит они хранят мой пароль в незашифрованном виде, что уже априори небезопасно.

И я уже подозреваю, что будет дальше, замрите в предвкушении 😉

Я иду в свой личный кабинет, чтобы сменить пароль, но...

Они не хотят принимать греческие цифры в качестве символов пароля. Я всего лишь написал туда слово "ἱερογλύφος" (греч. "иероглиф"). Проблема в том, что скрипт проверяет пароль, то есть смотрит его. Это тоже не дает мне оснований полагать, что это безопасно.

Молодцы рег.ру, так держать!

(#comment_138895929)