-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news1.cyf-kr.edu.pl!news.nas
k.pl!news.nask.org.pl!news.unit0.net!weretis.net!feeder4.news.weretis.net!feede
r1.news.weretis.net!news.solani.org!.POSTED!not-for-mail
From: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
Newsgroups: pl.comp.programming
Subject: Re: kodowanie haseł
Date: Tue, 22 Jan 2013 14:34:28 +0000 (UTC)
Organization: solani.org
Lines: 107
Message-ID: <s...@j...net>
References: <kdh7i5$ol5$1@node1.news.atman.pl> <kdh8tg$klt$1@node2.news.atman.pl>
<kdj1b1$sfk$1@news.task.gda.pl>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<9...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<4...@g...com>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: solani.org 1358865268 2102
eJwFwYEBwCAIA7CXZG0RzgEd/59gIrj52XQ5NZpIhrA5EU3clC1BuHb+kposZTTaJnvVdx/90BB6
(22 Jan 2013 14:34:28 GMT)
X-Complaints-To: a...@n...solani.org
NNTP-Posting-Date: Tue, 22 Jan 2013 14:34:28 +0000 (UTC)
User-Agent: slrn/pre1.0.0-18 (Linux)
X-User-ID: eJwFwYEBACAEBMCVCJ/Gecn+I3QXBsXdjoDHxHS9tFV+0JczPEJvCoPZfAWNhOk6xislWz87lR
Gp
Cancel-Lock: sha1:gYMDsPs8QTmVBc507cAYPmmFl80=
X-NNTP-Posting-Host: eJwFwYEBwDAEBMCVfPAYhzT2H6F3rgRvGJ3m6zuWVfpt7LlaKRqNYyAqL94MH0Zc
2NIyTf4M8hCU
Xref: news-archive.icm.edu.pl pl.comp.programming:201752
[ ukryj nagłówki ]On 2013-01-22, M.M. <m...@g...com> wrote:
> W dniu wtorek, 22 stycznia 2013 14:24:55 UTC+1 użytkownik Stachu 'Dozzie' K.
napisał:
>>
>>
>> Dlatego, że ten ktoś wyciąga przykład tego systemu jako dowód swojej
>> biegłości (?) w kryptografii czy bezpieczeństwie komputerowym w ogóle.
>> Chcę zatem się dowiedzieć, na ile ten dowód jest wiarygodny, tzn. na ile
>> rzeczony system został oceniony przez ludzi, o których wiadomo, że są
>> kompetentni.
> W zabezpieczeniach duże znaczenie, a może najważniejsze, ma ekonomia.
Nie, mój drogi. W opracowywaniu zabezpieczeń ma znaczenie koszt
wytworzenia tego zabezpieczenia. Ekonomia ma znaczenie dopiero
w zarządzaniu ryzykiem. Mylisz dwa światy.
> W razie problemów z powodu nie wykonania obowiązków ponoszą odpowiedzialność
> finansową osoby którym te obowiązki powierzono. W razie jak nie zadziała
> system wypełniania obowiązków, odpowiedzialność finansową ponoszę ja.
> Ja się na to zgodziłem, osoby które otrzymały obowiązki się zgodziły,
> odbiorca projektu na to się zgodził. Czyli od strony ekonomicznej dowód
> jest w 100% wiarygodny i wszyscy są zadowoleni.
Mylisz dwie rzeczy. Jedną jest czy dowód jest wiarygodny, a drugą jest
adekwatność zabezpieczenia (tu: domorosłego, najwyraźniej
nieposiadającego sensownej analizy bezpieczeństwa) do ryzyka.
> Co jeszcze ważne, system może
> administrować firma zewnętrzna,
Firma może "zarządzać ten system"? Czy "tym systemem"? Polska język
trudna język.
> która nie musi ponosić odpowiedzialności
> za to że ich pracownik, który ma fizyczny dostęp do komputera, okaże się
> nieuczciwy i np. zabierze twardy dysk do domu.
>
> Co do oceny przez specjalistów od zabezpieczeń to takiej w ogóle nie było,
> gdyż po wycenie ( z tego co pamiętam w cenie była też odpowiedzialność
> finansowa ) wszelkie oferty były absolutnie nie do przyjęcia, jak już
> pisałem, ceny przewyższały cały projekt wielokrotnie.
No własnie. Brak kiepskiej analizy bezpieczeństwa jest ryzykiem. Ryzyko
twojego fuckupu zostało pewnie wliczone, ale to nie znaczy, że system
jest bezpieczny. Po prostu stwierdzono, że nie musi być bezpieczny (i to
jest w porządku; nie wszystko musi być ogrodzone zasiekami i polem
minowym).
> Generalnie to dowód skuteczności nie jest zbytnio zawiły, jest wręcz
> prosty, dlatego bez szczegółowej wiedzy z dziedziny, uznałem go za
> poprawny.
Częsty błąd laików. To, że dowód jest prosty jeszcze nie znaczy, że
obejmuje wszystkie potrzebne przypadki i możliwe ataki.
>> Twoje odczucie jest nieistotne, bo jesteś autorem systemu. Jak pisałem,
>> nawet idiota jest w stanie stworzyć system, którego nie będzie umiał sam
>> złamać. To obrona przed atakami zawodowców jest miarą skuteczności.
> Zrozumiałem.
> Zawodowiec prawdopodobnie (na pewno) przeprowadziłby tańszy atak (znowu
> ekonomia) niż atak na te elementy systemu za które wziąłem odpowiedzialność.
A skąd ten pomysł? Może zawodowiec będzie miał możliwość przeprowadzenia
ataku tylko w tym jednym miejscu?
> Piszesz że moje odczucie jest nieistotne, tak czy inaczej, moje odczucie
> właśnie jest takie, że co innego jest wąskim gardłem i w razie ataku co
> innego zostanie rozwalone.
Już pisałem: twoje odczucie jako autora jest nieistotne. Ty jesteś
przekonany o tym, że obsłużyłeś wszystkie możliwe (albo choćby sensowne)
scenariusze, bo inaczej włączyłbyś to, czego brakuje, do systemu.
Sytuacja taka sama jak z testowaniem softu: autor kodu nie powinien tego
robić sam.
>> A o szczegóły, proszę zauważyć, na razie nie prosiłem. Prosiłem jedynie
>> o podanie a) jakiego rodzaju relacja łączyła autora systemu (ciebie)
>> z oceniającym bezpieczeństwo tego systemu i b) jakie kompetencje miał
>> oceniający, o ile to była inna osoba.
> Nie było innych osób.
Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy rozbić
(jesteś autorem i nie masz przygotowania z bezpieczeństwa).
Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
dyskwalifikuje analizę.
>> OK. Czy znał algorytm szyfrowania? Ile miał czasu na przygotowania
>> i prace? Jak dobrą miał motywację, żeby w ogóle się zajmować twoim
>> algorytmem? I czy zostały znalezione inne słabości twojego algorytmu? Bo
>> bezpieczeństwo to nie tylko niemożność odszyfrowania wiadomości przy
>> nieznanym kluczu.
>
> Nie wiem co on znał, a co nie znał. Nakreśliłem mu algorytm, a on w
> zachwycie powiedział, że to się łamie jakimś tam sposobem. Tłumaczę mu,
> że to jest niemożliwe, bo otrzyma wszystkie ciągi i każdy będzie równie
> dobry. On na to ze bzdury gadam, bo już nie takie rzeczy łamał. No to
> mu zaniosłem do złamania i nie doczekałem się rozwiązania do dziś.
Aha. Czyli w sumie żaden argument, ot, taka anegdota do opowiadania
w towarzystwie. Gościu może po prostu nie miał motywacji (pieniądze?
sława? nauczenie się czegoś nowego? dobra łamigłówka? chęć popisania
się?), żeby się tym w ogóle zająć, może był za głupi, a może algorytm
rzeczywiście taki wypasiony.
--
Secunia non olet.
Stanislaw Klekot
Następne wpisy z tego wątku
- 22.01.13 15:41 M.M.
- 22.01.13 15:45 Michoo
- 22.01.13 15:57 M.M.
- 22.01.13 16:04 Michoo
- 22.01.13 16:07 bartekltg
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
- 22.01.13 16:38 Michoo
- 22.01.13 16:38 M.M.
- 22.01.13 16:41 M.M.
- 22.01.13 16:51 M.M.
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-07-01 W-wa naklejki wjazd do centrum
- 2024-07-01 ładowarka zmarła
- 2024-07-01 Koder szuka pracy. Koduję w j.: Asembler, C, C++ (z Qt) i D.
- 2024-07-01 Kraków => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-07-01 Białystok => Full Stack Web Developer (.Net Core, Angular6+) <=
- 2024-07-01 Berlin => Technical Rollouter (Radio Systems Software Installation and
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Gdańsk => Programista Full Stack .Net <=
- 2024-07-01 Zabrze => Junior HelpDesk <=
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Bielsko-Biała => Expert Migration Architect (Azure) <=
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-07-01 CA -- problem z logowaniem