我不是在谈论服务器端 node.js。
我想对我网站客户端的 key 使用慢散列算法。我找到了 SHA-256 的实现哪个seem to be reliable .我还找到了this question这导致了 OP creating his own library .
但是,我不确定我是否应该只进行多轮 SHA 散列或信任其中的一些代码,因为我不是安全专家而且它似乎没有大量的追随者只是被“盯着” 36 人。
在这种情况下最好的选择是什么?一旦我选择了某些东西,我(基本上)就不能改变方法。
我想要一个慢散列(不是加密)算法,我宁愿它产生一个短字符串。例如,60 个字符的慢速 bcrypt 与 70 个字符的快速 SHA-256。
最佳答案
目前有三种 key 派生函数被广泛认为可以抵御暴力破解尝试。 key 派生函数与常规哈希算法略有不同,因为它们设计速度较慢,即使面对现代基于 GPU 的计算也是如此。
我将按照理论上安全性的顺序列出它们:
PBKDF2由RSA设计,基于SHA,是NIST推荐的算法。有 a couple implementations您可以在浏览器中使用。
Node 用户注意:Node 的crypto 模块有一个built-in PBKDF2 function。 .用那个。
bcrypt ,基于 Blowfish,比 PBKDF2 稍微更安全。它已经过相对良好的测试和验证,安全,但没有任何标准机构的批准印章,如果您考虑的话。有 a generic JS implementation here .
Node 用户注意:使用 node.bcrypt ,它在单独的线程上执行计算量大的东西。
最后,scrypt是理论上最安全(最慢)的 KDF。不幸的是,该算法非常新,因此尚未经过密码学界的严格研究和测试验证。然而,它是 on track to become a IETF standard .
由于算法太新,很难找到实现。我只能找到 this half-baked one .虽然安全优势非常有前途,但在算法本身及其实现都经过安全验证之前,我不建议使用 scrypt。
这三者实际上如何比较? scrypt paper有比较:
实际上,即使是 PBKDF2 也使得除政府之外的任何人破解单个 8 字符密码的成本过高。
关于javascript - 是否有像 bcrypt 这样的慢速 Javascript 哈希算法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13275187/
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife
我有一个这样的哈希数组:[{:foo=>2,:date=>Sat,01Sep2014},{:foo2=>2,:date=>Sat,02Sep2014},{:foo3=>3,:date=>Sat,01Sep2014},{:foo4=>4,:date=>Sat,03Sep2014},{:foo5=>5,:date=>Sat,02Sep2014}]如果:date相同,我想合并哈希值。我对上面数组的期望是:[{:foo=>2,:foo3=>3,:date=>Sat,01Sep2014},{:foo2=>2,:foo5=>5:date=>Sat,02Sep2014},{:foo4=>4,:dat
我有一个包含多个键的散列和一个字符串,该字符串不包含散列中的任何键或包含一个键。h={"k1"=>"v1","k2"=>"v2","k3"=>"v3"}s="thisisanexamplestringthatmightoccurwithakeysomewhereinthestringk1(withspecialcharacterslike(^&*$#@!^&&*))"检查s是否包含h中的任何键的最佳方法是什么,如果包含,则返回它包含的键的值?例如,对于上面的h和s的例子,输出应该是v1。编辑:只有字符串是用户定义的。哈希将始终相同。 最佳答案
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查
我的日期格式如下:"%d-%m-%Y"(例如,今天的日期为07-09-2015),我想看看是不是在过去的七天内。谁能推荐一种方法? 最佳答案 你可以这样做:require"date"Date.today-7 关于ruby-检查日期是否在过去7天内,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/32438063/
这里有一个很好的答案解释了如何在Ruby中下载文件而不将其加载到内存中:https://stackoverflow.com/a/29743394/4852737require'open-uri'download=open('http://example.com/image.png')IO.copy_stream(download,'~/image.png')我如何验证下载文件的IO.copy_stream调用是否真的成功——这意味着下载的文件与我打算下载的文件完全相同,而不是下载一半的损坏文件?documentation说IO.copy_stream返回它复制的字节数,但是当我还没有下
我使用Ember作为我的前端和GrapeAPI来为我的API提供服务。前端发送类似:{"service"=>{"name"=>"Name","duration"=>"30","user"=>nil,"organization"=>"org","category"=>nil,"description"=>"description","disabled"=>true,"color"=>nil,"availabilities"=>[{"day"=>"Saturday","enabled"=>false,"timeSlots"=>[{"startAt"=>"09:00AM","endAt"=>
我们的git存储库中目前有一个Gemfile。但是,有一个gem我只在我的环境中本地使用(我的团队不使用它)。为了使用它,我必须将它添加到我们的Gemfile中,但每次我checkout到我们的master/dev主分支时,由于与跟踪的gemfile冲突,我必须删除它。我想要的是类似Gemfile.local的东西,它将继承从Gemfile导入的gems,但也允许在那里导入新的gems以供使用只有我的机器。此文件将在.gitignore中被忽略。这可能吗? 最佳答案 设置BUNDLE_GEMFILE环境变量:BUNDLE_GEMFI
这似乎非常适得其反,因为太多的gem会在window上破裂。我一直在处理很多mysql和ruby-mysqlgem问题(gem本身发生段错误,一个名为UnixSocket的类显然在Windows机器上不能正常工作,等等)。我只是在浪费时间吗?我应该转向不同的脚本语言吗? 最佳答案 我在Windows上使用Ruby的经验很少,但是当我开始使用Ruby时,我是在Windows上,我的总体印象是它不是Windows原生系统。因此,在主要使用Windows多年之后,开始使用Ruby促使我切换回原来的系统Unix,这次是Linux。Rub
