-
Data: 2012-10-26 00:15:51
Temat: Re: All your keys are belong to us
Od: Edek Pienkowski <e...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Ponurą porą Thu, 25 Oct 2012 14:00:17 -0700, Roman W wyszeptał:
> http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
>
> "Our main conclusion is that SSL certificate validation is completely
> broken in many critical software applications and libraries."
>
> Wniosek: dywagacje n/t wyzszosci jednej metodologii produkcji
> oprogramowania nad
>
> druga nie maja sensu w kontekscie bezpieczenstwa, bo tak czy inaczej
> oprogramowanie pisza ludzie, a ludzie nie potrafia pisac bezpiecznego
> oprogramowania.
Stwierdziłem jednak, że to jest dość ciekawa sprawa, chyba organizacyjna.
Zacząć trzeba od tego, że ktoś do kryptografii musi mieć i wiedzę i
umiejętności. Zwłaszcza to drugie: w kryptografii (_użyciu_, nie
wymyślaniu) trzeba w 100% myśleć logicznie, z czym zastanawiająco wielu
programistów ma tak naprawdę spory problem. Potem, trzeba wybrać kogoś,
kto jednak ma wiedzę, ale to jest proste, wystarczy kazać skonstruować
odpowiedni chain-of-trust i zadać parę pytań typu "co to jest perfect
forward secrecy" albo "jak wymienić symetryczny klucz".
Tyle, że powyższe zazwyczaj nie ma żadnego znaczenia, bo tego nie wie
zarządzający projektem. Nawet jak ktoś będzie chciał i będzie miał okazję
wytłumaczyć, że to specjalna rola, większość nie zrozumie i oleje, a jak
się jeszcze powie, że "ta biblioteka zajmie 2-3 razy tyle czasu co
normalnie, a w zasadzie będzie kiedy robiący stwierdzi, że jest ok" to w
większości przypadków ktoś taki zostanie uznany za lekko niegroźnego
fanatyka i nic innego z tego nie wyniknie.
A potem jakiś truteń napisze sprawdzanie hmac(userStr+emailStr) czy
coś podobnie durnego.
--
Edek
Następne wpisy z tego wątku
- 26.10.12 00:18 Edek Pienkowski
- 26.10.12 00:16 Roman W
- 26.10.12 20:51 Marek Borowski
- 26.10.12 21:51 Baranosiu
- 26.10.12 21:51 Baranosiu
Najnowsze wątki z tej grupy
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
Najnowsze wątki
- 2024-10-22 Wciskania elektryków na siłę ciąg dalszy :(
- 2024-10-22 Wymarzony świat ev hejterów
- 2024-10-21 Autobus,, skuter czy Twizy
- 2024-10-21 Problem elektryków rozwiązany.
- 2024-10-21 Drukowanie bezprzewodowe - jaki interface ?
- 2024-10-22 Środa Wielkopolska => Konsultant SAP <=
- 2024-10-22 Poznań => International freight forwarder <=
- 2024-10-21 Kraków => Spedytor międzynarodowy <=
- 2024-10-21 Błonie => Sales Specialist <=
- 2024-10-21 Gdańsk => Full Stack web developer (obszar .Net Core, Angular6+) <=
- 2024-10-21 Kraków => Programista Full Stack (.Net Core) <=
- 2024-10-21 Zielona Góra => Power Electronics R&D Engineer <=
- 2024-10-21 Warszawa => Junior New Business Development Manager <=
- 2024-10-21 Gdynia => Spedytor Międzynarodowy Morski/Intermodalny <=
- 2024-10-21 Zielona Góra => Engineer Mechanic R&D <=