![]() |
Как не просрать настройку хешей — базовые моменты
Ребята, кто часто танцует с хешированием — замечали, что ошибиться проще простого? Вот пару пунктов, которые сам всегда проверяю, чтобы потом по мелочи не гореть:
1. Алгоритм точно выбран? MD5/sha1 уже в топе “не юзать”, когда надо хоть какая-то безопасность. Лучше хотя бы sha256. 2. Солить или не солить — вот в чем вопрос. Если без соли, то шанс получить коллизии и утечки растет. Проверяю, что соль стоит и как она применяется. 3. Повторное хеширование, и не просто “для безопасности”, а реально грамотно. Просто обёртывать хеш в хеш — не всегда пушка, надо знать зачем. 4. Если дергаешь старые хеши — часто забываешь, какой именно кодировка/формат был использован. Это тоже ловушка. 5. Проверка итогов с ключом и без, иногда помогает понять, что сломалось. У меня были случаи, когда из-за неграмотной последовательности соления и хеширования все падало, а казалось — мелочь. Кто еще сталкивался с подобным? Какие грабли чаще всего? |
Часто сам ловлю на том, что меняешь алгоритм на более новый, а в старом коде забываешь поправить. Соление — это да, без него хеши скорее опасны, а не надёжны. И еще момент: порядок применения соли и самой хеш-функции реально влияет, нельзя просто вперемешку делать — потом фиг разберёшься, почему всё не валится.
|
| Время: 04:15 |