Simplifying projects

[antonkalinin-ml]

Упрощение требований к заданиям 3 и 4.

Здесь я не добавлял шаблоны проектов, это займет время. Ломать не строить :).

Кое-где расписал требования к серверу после опыта прошлых ревью. Возможно, они стали немного сложнее, если существовали другие, более простые легальные варианты реализовать те же требования.

• не надо запрещать wai-extras, там вроде бы лежит парсилка multipart/form-data. И вообще мы теперь либы не запрещаем по максимуму, как раньше.
• определиться, какой механизм рекомендуем для соли хешей паролей. (Мы соль не требуем, лишь рекомендуем). Я бы предложил HMAC, куда в качестве соли подается user_id, но я не в курсе, какой подход считается современным. Для HMAC точно есть библиотечная функция в cryptonite.

Issues: #4, #5

[olegromashin]

Если делать правильно, то одного хеширования недостаточно, нужно с солью

Предлагаю просто так и написать, что соль необязательна, но вообще нужно хешировать используя соль. А мы решили немного упростить этот пункт, потому что это новая сложная тема и можно сделать это задание без соли, чтобы немного освоиться. На реальных проектах так нельзя, здесь на ревью мы примем такое решение.

[antonkalinin-ml]

В качестве соли для хеша предложил использовать HMAC - как думаете, пойдет? Я никогда пароли не солил, так что не в курсе современных подходов. HMAC сама по себе надежная схема, если брать длинную и рандомную соль (длиной с хеш),. То, что предлагают в википедии - детский сад с приклеиванием небольшой случайной строки, это ерунда какая-то, на мой непрофессиональный взгляд.

+ @evgeny-osipenko

[antonkalinin-ml]

Есть еще проще вариант для соли: user_id. Соль не должна повторяться, это вроде единственное требование к ней, длина как таковая не важна нет, важна, чтобы пароль нельзя было подобрать по радужной таблице. user_id годится только для того, чтобы у разных юзеров с одинаковым паролем были разные хеши паролей. Безопаснее рандомная соль достаточной длины.

[olegromashin]

Я думаю если всё же пихать соль в задание, то придётся всё-таки разобраться что это и как это. Я вижу тут самыми оптимальными два варианта:

1. Пишем, что можно делать без соли, но так нельзя, просто здесь пока попробуйте так справиться.
2. Не пишем про соль, пусть изучают и делают как положено.

[evgeny-osipenko]

В качестве соли для хеша предложил использовать HMAC - как думаете, пойдет? Я никогда пароли не солил, так что не в курсе современных подходов. HMAC сама по себе надежная схема, если брать длинную и рандомную соль (длиной с хеш),. То, что предлагают в википедии - детский сад с приклеиванием небольшой случайной строки, это ерунда какая-то, на мой непрофессиональный взгляд.

• @evgeny-osipenko

https://security.stackexchange.com/questions/211/how-to-securely-hash-passwords - интернет в 2013 году рекомендовал использовать PBKDF2.

В криптоните есть модуль прямо под этот алгоритм: https://hackage.haskell.org/package/cryptonite-0.30/docs/Crypto-KDF-PBKDF2.html

[antonkalinin-ml]

Спасибо, все поправил, мержу.