-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news1.cyf-kr.edu.pl!news.nas
k.pl!news.nask.org.pl!news.internetia.pl!not-for-mail
From: Michoo <m...@v...pl>
Newsgroups: pl.comp.programming
Subject: Re: kodowanie haseł
Date: Tue, 22 Jan 2013 16:04:03 +0100
Organization: Netia S.A.
Lines: 47
Message-ID: <kdma6v$j3h$1@mx1.internetia.pl>
References: <kdh7i5$ol5$1@node1.news.atman.pl>
<0...@g...com>
<s...@j...net>
<e...@g...com>
NNTP-Posting-Host: 83.238.197.12
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: mx1.internetia.pl 1358867487 19569 83.238.197.12 (22 Jan 2013 15:11:27 GMT)
X-Complaints-To: a...@i...pl
NNTP-Posting-Date: Tue, 22 Jan 2013 15:11:27 +0000 (UTC)
In-Reply-To: <e...@g...com>
X-Tech-Contact: u...@i...pl
User-Agent: Mozilla/5.0 (X11; Linux i686 on x86_64; rv:10.0.6esrpre) Gecko/20120817
Icedove/10.0.6
X-Server-Info: http://www.internetia.pl/
Xref: news-archive.icm.edu.pl pl.comp.programming:201756
[ ukryj nagłówki ]On 22.01.2013 10:55, Maciej Sobczak wrote:
> W dniu poniedziałek, 21 stycznia 2013 23:46:29 UTC+1 użytkownik Stachu 'Dozzie' K.
napisał:
>
>> Ano po to, Maćku, żeby utrata bazy haseł użytkowników z jednej
>> aplikacji czy serwisie nie prowadziła (zbyt łatwo) do kompromitacji kont
>> tych samych ludzi w innych serwisach.
>
> Rozumiem.
>
> Co prawda założenie, że baza haseł zostanie utracona, powoduje u
> mnie
> dyskomfort. Mówimy o systemie, który my sami tworzymy (bo tylko wtedy
> mamy wybór, jak przechować hasła) a skoro my sami go tworzymy, to jak
> możemy zakładać, że utracimy bazę? Rozumiem, że jest to część
> zarządzania ryzykiem i minimalizujemy straty w przypadku katastrofy,
> przed którą nie zapewniliśmy 100% ochrony.
Jeżeli masz serwis w sieci to niestety musisz założyć, że prędzej czy
później możesz wpaść na 0day w jakimś frameworku. Wtedy warto
minimalizować zniszczenia.
>
> Natomiast nadal pozostaje pytanie o pozostałą zawartość bazy. Czy
> jeżeli rozwiążemy *jakoś* (temat otwarty) problem tej pozostałej części,
> to czy nadal jest sens przejmować się hasłami, skoro rozwiązanie dla
> całej bazy może objąć również hasła?
Jedno z rozwiązań na klientów typu "dlaczego mamy wam zaufać w
bezpieczeństwie danych?" (w lekkim uproszczeniu):
- klucz generowany z hasła usera
- dane w bazie szyfrowane kluczem
- hasło przesyłane clear-textem po SSLu, generowany klucz, jak się nim
zdeszyfruje "access granted" to znaczy, że jest prawidłowe ;)
Zostaje jedna kwestia - klient musi podpisać, że "W przypadku zagubienia
hasła nie istnieje możliwość odzyskania danych. Zabezpieczenie to
zostaje włączone na życzenie Klienta i Klient w pełni zdaje sobie sprawę
z konsekwencji zagubienia hasła."
"... Ale serio - to jest maksymalnie bezpieczne więc jak zgubicie hasło
to jesteście udupieni i my nic nie damy rady zrobić... Poważnie...Przy
długim haśle kilkadziesiąt tysięcy i nawet kilka miesięcy..." Nagle
bezpieczeństwo przestaje być tak "kluczową" kwestią ;)
--
Pozdrawiam
Michoo
Następne wpisy z tego wątku
- 22.01.13 16:07 bartekltg
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
- 22.01.13 16:38 Michoo
- 22.01.13 16:38 M.M.
- 22.01.13 16:41 M.M.
- 22.01.13 16:51 M.M.
- 22.01.13 17:27 Stachu 'Dozzie' K.
- 22.01.13 17:29 Stachu 'Dozzie' K.
- 22.01.13 22:13 PK
- 22.01.13 22:35 Stachu 'Dozzie' K.
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-07-01 W-wa naklejki wjazd do centrum
- 2024-07-01 ładowarka zmarła
- 2024-07-01 Koder szuka pracy. Koduję w j.: Asembler, C, C++ (z Qt) i D.
- 2024-07-01 Kraków => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-07-01 Białystok => Full Stack Web Developer (.Net Core, Angular6+) <=
- 2024-07-01 Berlin => Technical Rollouter (Radio Systems Software Installation and
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Gdańsk => Programista Full Stack .Net <=
- 2024-07-01 Zabrze => Junior HelpDesk <=
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Bielsko-Biała => Expert Migration Architect (Azure) <=
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-07-01 CA -- problem z logowaniem