-
Data: 2014-11-12 13:11:41
Temat: Re: Kryptografia w całej okazałości.
Od: bartekltg <b...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 12.11.2014 10:47, Krzychu wrote:
> W dniu 09.11.2014 o 15:51, bartekltg pisze:
>> Ciekawy kwiatek
>>
>> https://github.com/haiwen/ccnet/issues/35
>> https://github.com/haiwen/ccnet/blob/master/net/serv
er/user-mgr.c#L612
>>
>> /* -------- EmailUser Management -------- */
>> /* truly random sequece read from /dev/urandom. */
>> static unsigned char salt[8] = { 0xdb, 0x91, 0x45, 0xc3, 0x06, 0xc7,
>> 0xcc, 0x26 };
>>
>> I ta tabelka użyta jest przynajmniej w funkcji hash_password_salted.
>
> Nie jest to wcale takie złe. Co prawda gorsze od funkcji skrótu z losową
> solą, ale lepsze od funkcji skrótu bez soli.
Jasne.
> Atakujący nie posłuży się już ogólnodostępnymi rainbowtables, będzie
> musiał wytworzyć własne. A jeśli nie ma dostępu do kodu źródłowego (bo
> każda osoba wdrażająca ten kod może sól zmienić na własną) to nawet i
> tego nie zrobi.
Obawiam się, że tego nie robi, w koncu w kodzie napisali, że to
bardzo dobre bardzo losowe liczby. ;-)
A na serio, jeśli gdzieś w opisie nie ma wyraźnie napisanego:
w tej linijce i tym pliku podmień to a to, cieżko oczekiwać
od każdego użytkownika przeczytania całego kodu.
> Ja używam w swoich aplikacjach stałej soli + loginu jako sól. Szukałem
> informacji na temat używania loginu jako soli - czy są jakieś
> przeciwskazania - ale niestety nic nie znalazłem.
Przychodzi mi do głowy tylko to, że też jest krótki.
pzdr
bartekltg
Następne wpisy z tego wątku
- 12.11.14 13:13 Stachu 'Dozzie' K.
- 12.11.14 13:54 Krzychu
- 12.11.14 15:06 Piotr
- 12.11.14 15:41 Stachu 'Dozzie' K.
- 12.11.14 16:14 Krzychu
- 12.11.14 17:06 Stachu 'Dozzie' K.
- 12.11.14 17:36 Krzychu
- 12.11.14 17:47 M.M.
- 12.11.14 19:59 Piotr
- 12.11.14 20:26 Borneq
- 12.11.14 21:57 M.M.
- 12.11.14 21:59 M.M.
- 12.11.14 23:24 Stachu 'Dozzie' K.
- 12.11.14 23:48 M.M.
- 13.11.14 00:12 M.M.
Najnowsze wątki z tej grupy
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
Najnowsze wątki
- 2024-11-25 Karty przedpłacone (podarunkowe) Google Play - pytanie do korzystających
- 2024-11-26 wina Tóska
- 2024-11-26 Rewolucja/Rewelacja!
- 2024-11-25 grupa ożyła ;)
- 2024-11-24 Być jak Clint
- 2024-11-24 Rura kanalizacja konceptu Franke = problem
- 2024-11-25 Wrocław => Lead Java EE Developer <=
- 2024-11-25 Warszawa => Business Development Manager - Network and Network Securit
- 2024-11-25 Kraków => Programista Full Stack (.Net Core) <=
- 2024-11-25 Lublin => Senior PHP Developer <=
- 2024-11-25 Karlino => Konsultant wewnętrzny SAP (FI/CO) <=
- 2024-11-25 Warszawa => ECM Specialist / Consultant <=
- 2024-11-25 Katowice => Regionalny Kierownik Sprzedaży (OZE) <=
- 2024-11-25 Warszawa => Senior Frontend Developer (React + React Native) <=
- 2024-11-25 Lublin => Inżynier Serwisu Sprzętu Medycznego <=