Em 27 de novembro de 2011 13:22, Gabriel Andrade <[email protected]>escreveu:
> > On Nov 26, 2011, at 8:40 PM, Lucas Moraes wrote: > > > Eden eu sempre usei esse módulo, dessa vez que não funcionou, como eu já > disse no meu outro comentário, testei o mesmo código em outra app e > funcionou normal o módulo. > > Link da app: > > > https://docs.google.com/open?id=0B4hZ93M612nnZmRjNjdjMTItMTkwZi00M2JjLWFmYmEtYzU2MDdlZTQyNWE5 > > Falou. > > > > > > Como alguém vai poder te ajudar se você tá mostrando a app que tá > funcionando? Ajude a quem quer te ajudar mostrando o máximo de > informação possível. Se for um erro seu, a gente te mostra como não > repetí-lo novamente. Se for um bug, o mantenedor e contribuidor desse > módulo que, por sinal, participa desta lista [1], vai ter o maior > prazer em consertar. > > Gabiruh, eu respeito o artigo mas não concordo, já que ele mesmo afirma que a única vantagem do Bcrypt é ser menos eficiente do que o MD*/SH*. Ambas as soluções não são resolvem o problema do ataque de força bruta. É muito mais eficiente para aplicação definir um delay de X segundos quando a senha estiver errada. Pelo artigo, só vejo vantagem do bcrypt se eu estiver executando a aplicação que armazenam localmente este tipo de informação, aí a lentidão do algorítimo (que ele mesmo afirmar - lento dos infernos) vai dificultar uma força bruta local e não vai atrapalhar o desempenho de um servidor centralizando este processamento (como num servidor web). > Outra coisa: caso você realmente se importe com segurança, deveria usar > Crypt::Eksblowfish::Bcrypt como encode_class. MD5 e SHA1 são métodos > "fáceis" de quebrar [2], grosso modo. > > > 1 - https://metacpan.org/author/WREIS > 2 - http://codahale.com/how-to-safely-store-a-password/ > > =begin disclaimer > Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ > SaoPaulo-pm mailing list: [email protected] > L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> > =end disclaimer > > -- "o animal satisfeito dorme". - Guimarães Rosa
=begin disclaimer Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ SaoPaulo-pm mailing list: [email protected] L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> =end disclaimer
