パスワードの保存、ハッシュ、ソルティング、「ペッパー」、MAC などについてよく読んでいます。新しい Web サイトとセキュリティを作成しようとしているからです。セキュリティは私にとって本当に重要ですが、検討している理由がいくつかあります現在は関係のない Google 認証 (または Facebook、OpenID など) を使用していませんが、ここまで来ました。
私は Google App Engine を初めて使用します。これが私の最初のプロジェクトになる予定です。「インスタンス時間」と、「CPU 時間」ではなく前述のクォータがあることについて少し混乱しています。さらに悪いことに、インスタンス時間の無料クォータが何であるかを理解できませんでした。
これが私がクォータについて心配している理由と、それが私のセキュリティ上の懸念と何の関係があるのかということです: 私があちこちで読んだ 1 つの推奨事項は、複数の反復を行い、パスワードを数回ハッシュすることです。はるかに多くの時間(数字はありませんが、https://security.stackexchange.com/のどこにでもあります)。
複数回の反復は CPU 時間に直接影響します。GAE に CPU 時間のクォータがある場合、ユーザーがログインするたびに 1000 回の反復を行うことは問題になる可能性があると思います。 15分後まで、GAEクォータドキュメントで読むと次のとおりです。
通常、インスタンスの使用量は、インスタンスの稼働時間に基づいて時間単位で請求されます。課金はインスタンスの起動時に開始され、インスタンスのシャットダウンから 15 分後に終了します。Admin Console の [パフォーマンス設定] タブで設定された最大アイドル インスタンス数までのアイドル インスタンスに対してのみ課金されます。ランタイム オーバーヘッドは、インスタンス メモリに対してカウントされます。
つまり、ユーザーがログイン (1000 回ハッシュ) した場合、サイトを引き続き使用すると、インスタンス時間は、全員がページを離れるまで + 15 分になりますか? これが本当なら、1000回繰り返しても、ユーザーがログインするのに「余分な」時間がかかることを除いて、割り当てに大きな影響はありませんが、私はそれを認識しており、それは価格です喜んで支払います。
私が行う反復の回数は、ユーザーがログインする時間を許容できるものにし、知覚できないものにするため、これについて心配する必要はありません。
私の質問は次のとおりです。
- 多くの反復を行うと、インスタンス時間に直接影響がありますか、またはインスタンス時間の合計方法に関する私の仮定は正しいですか?
- Google App Engine に CPU 時間の割り当てはありますか? 無料クォータはありますか?
- インスタンス時間の無料クォータとは何ですか?
答え:
- Moishe が回答を受け入れ、彼が尋ねた他の質問を見てください (回答はありませんが、有益なコメントがあります) 。 App Engine スケジューラはいつ新しいスレッドと新しいインスタンスを使用しますか?
- Google によると、CPU 時間の割り当てはありません: http://googleappengine.blogspot.com.es/2009/02/skys-almost-limit-high-cpu-is-no-more.html
- ここで質問番号 3 に対する回答を見つけました: Google App Engine Frontend Instance Hours Limit Reached