Post #90

Вы всё еще проверяете секретные данные оператором сравнения? >>> if password == user_password: >>> ... Это небезопасный способ сравнения для стендалон приложений. Он уязвим к такому типу атаки как timing attack, позволяющий делать выводы и угадывать пароль на основании времени проверки. Чтобы сделать безопасное сравнение используйте метод secrets.compare_digest(). Он защитит операцию проверки от подобных атак. >>> import secrets >>> if secrets.compare_digest(password, user_password): >>> ... Возможно вы ранее слышали про метод hmac.compare_digest(). Он не только делает то же самое, это один и тот же метод! >>> import secrets >>> import hmac >>> hmac.compare_digest is secrets.compare_digest True #libs