Re: kodowanie haseł - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.programming › kodowanie haseł › Re: kodowanie haseł

X-Received: by 10.182.86.168 with SMTP id q8mr128167obz.3.1358866677376; Tue, 22 Jan
2013 06:57:57 -0800 (PST)
X-Received: by 10.182.86.168 with SMTP id q8mr128167obz.3.1358866677376; Tue, 22 Jan
2013 06:57:57 -0800 (PST)
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!wsisiz.edu.pl!newsfeed.neostrada.pl!unt-exc-01.news.neostrada.pl!nx02.
iad01.newshosting.com!newshosting.com!69.16.185.11.MISMATCH!npeer01.iad.highwin
ds-media.com!news.highwinds-media.com!feed-me.highwinds-media.com!p13no5936021q
ai.0!news-out.google.com!k2ni1457qap.0!nntp.google.com!p13no4125161qai.0!postne
ws.google.com!glegroupsg2000goo.googlegroups.com!not-for-mail
Newsgroups: pl.comp.programming
Date: Tue, 22 Jan 2013 06:57:57 -0800 (PST)
In-Reply-To: <s...@j...net>
Complaints-To: g...@g...com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=89.229.34.123;
posting-account=xjvq9QoAAAATMPC2X3btlHd_LkaJo_rj
NNTP-Posting-Host: 89.229.34.123
References: <kdh7i5$ol5$1@node1.news.atman.pl> <kdh8tg$klt$1@node2.news.atman.pl>
<kdj1b1$sfk$1@news.task.gda.pl>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<9...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<4...@g...com>
<s...@j...net>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <0...@g...com>
Subject: Re: kodowanie haseł
From: "M.M." <m...@g...com>
Injection-Date: Tue, 22 Jan 2013 14:57:57 +0000
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Received-Bytes: 4099
Xref: news-archive.icm.edu.pl pl.comp.programming:201755
[ ukryj nagłówki ]
W dniu wtorek, 22 stycznia 2013 15:34:28 UTC+1 użytkownik Stachu 'Dozzie' K. napisał:
>
> No własnie. Brak kiepskiej analizy bezpieczeństwa jest ryzykiem. Ryzyko
> twojego fuckupu zostało pewnie wliczone, ale to nie znaczy, że system
> jest bezpieczny. Po prostu stwierdzono, że nie musi być bezpieczny (i to
> jest w porządku; nie wszystko musi być ogrodzone zasiekami i polem
> minowym).
Jest bezpieczny chociazby z powodu odpowiedzialnosci finansowej za
niego.

> Częsty błąd laików. To, że dowód jest prosty jeszcze nie znaczy, że
> obejmuje wszystkie potrzebne przypadki i możliwe ataki.
Ale właśnie prostota polega na tym, że możliwych przypadków jest mało.

> A skąd ten pomysł? Może zawodowiec będzie miał możliwość przeprowadzenia
> ataku tylko w tym jednym miejscu?
To system nadal jest bezpieczny, bo wtedy ja pokrywam koszty za straty.

> Już pisałem: twoje odczucie jako autora jest nieistotne. Ty jesteś
> przekonany o tym, że obsłużyłeś wszystkie możliwe (albo choćby sensowne)
> scenariusze, bo inaczej włączyłbyś to, czego brakuje, do systemu.
> Sytuacja taka sama jak z testowaniem softu: autor kodu nie powinien tego
> robić sam.
W czym problem? Wielokrotnie, a w przypadku prostego softu niemal zawsze,
udawało mi się obsłużyć wszystkie przypadki.

> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy rozbić
> (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
> dyskwalifikuje analizę.
Jedno z drugim nie może współistnieć. Albo analiza dobra i dobry produkt, albo
w analizie coś pomiąłem i produkt do dupy.

> Aha. Czyli w sumie żaden argument, ot, taka anegdota do opowiadania
> w towarzystwie. Gościu może po prostu nie miał motywacji (pieniądze?
> sława? nauczenie się czegoś nowego? dobra łamigłówka? chęć popisania
> się?), żeby się tym w ogóle zająć, może był za głupi, a może algorytm
> rzeczywiście taki wypasiony.
Argumentował że jego doświadczenie/wykształcenie jest spore, a
sposób łamania banalny - potem nie złamał.

Pozdrawiam