Re: kodowanie haseł - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.programming › kodowanie haseł › Re: kodowanie haseł

Data: 2013-01-22 15:57:57
Temat: Re: kodowanie haseł
Od: "M.M." <m...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
W dniu wtorek, 22 stycznia 2013 15:34:28 UTC+1 użytkownik Stachu 'Dozzie' K. napisał:
>
> No własnie. Brak kiepskiej analizy bezpieczeństwa jest ryzykiem. Ryzyko
> twojego fuckupu zostało pewnie wliczone, ale to nie znaczy, że system
> jest bezpieczny. Po prostu stwierdzono, że nie musi być bezpieczny (i to
> jest w porządku; nie wszystko musi być ogrodzone zasiekami i polem
> minowym).
Jest bezpieczny chociazby z powodu odpowiedzialnosci finansowej za
niego.

> Częsty błąd laików. To, że dowód jest prosty jeszcze nie znaczy, że
> obejmuje wszystkie potrzebne przypadki i możliwe ataki.
Ale właśnie prostota polega na tym, że możliwych przypadków jest mało.

> A skąd ten pomysł? Może zawodowiec będzie miał możliwość przeprowadzenia
> ataku tylko w tym jednym miejscu?
To system nadal jest bezpieczny, bo wtedy ja pokrywam koszty za straty.

> Już pisałem: twoje odczucie jako autora jest nieistotne. Ty jesteś
> przekonany o tym, że obsłużyłeś wszystkie możliwe (albo choćby sensowne)
> scenariusze, bo inaczej włączyłbyś to, czego brakuje, do systemu.
> Sytuacja taka sama jak z testowaniem softu: autor kodu nie powinien tego
> robić sam.
W czym problem? Wielokrotnie, a w przypadku prostego softu niemal zawsze,
udawało mi się obsłużyć wszystkie przypadki.

> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy rozbić
> (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
> dyskwalifikuje analizę.
Jedno z drugim nie może współistnieć. Albo analiza dobra i dobry produkt, albo
w analizie coś pomiąłem i produkt do dupy.

> Aha. Czyli w sumie żaden argument, ot, taka anegdota do opowiadania
> w towarzystwie. Gościu może po prostu nie miał motywacji (pieniądze?
> sława? nauczenie się czegoś nowego? dobra łamigłówka? chęć popisania
> się?), żeby się tym w ogóle zająć, może był za głupi, a może algorytm
> rzeczywiście taki wypasiony.
Argumentował że jego doświadczenie/wykształcenie jest spore, a
sposób łamania banalny - potem nie złamał.

Pozdrawiam