-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news1.cyf-kr.edu.pl!news.nas
k.pl!news.nask.org.pl!news.unit0.net!weretis.net!feeder4.news.weretis.net!feede
r1.news.weretis.net!news.solani.org!.POSTED!not-for-mail
From: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
Newsgroups: pl.comp.programming
Subject: Re: kodowanie haseł
Date: Tue, 22 Jan 2013 16:27:29 +0000 (UTC)
Organization: solani.org
Lines: 72
Message-ID: <s...@j...net>
References: <kdh7i5$ol5$1@node1.news.atman.pl> <kdh8tg$klt$1@node2.news.atman.pl>
<kdj1b1$sfk$1@news.task.gda.pl>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<9...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<4...@g...com>
<s...@j...net>
<0...@g...com>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: solani.org 1358872049 12045
eJwFwYkBgDAIA8CVQJOA47Q8+4/gHV+5KiAKXK77mWzcXazd51pGuQ+mgsVzxro7hdRnhOYHMUERjg==
(22 Jan 2013 16:27:29 GMT)
X-Complaints-To: a...@n...solani.org
NNTP-Posting-Date: Tue, 22 Jan 2013 16:27:29 +0000 (UTC)
User-Agent: slrn/pre1.0.0-18 (Linux)
X-User-ID: eJwFwYEBwDAEBMCVEL6MIy/2H6F3caDg5wh4bKwN7x6pFnhbyRTZxmuj6AfVzOQ8GXW5qP0BKX
MRfQ==
Cancel-Lock: sha1:zRxHYn4QWWqL91z6bwZ5sx/nnB8=
X-NNTP-Posting-Host: eJwFwQEBwCAMAzBLdF/LkQMb9S+BhJ+gmikqadpn4UJSJDxXUB43fwUQhToc3c19
upzG3g8OQhFS
Xref: news-archive.icm.edu.pl pl.comp.programming:201768
[ ukryj nagłówki ]On 2013-01-22, M.M. <m...@g...com> wrote:
> W dniu wtorek, 22 stycznia 2013 15:34:28 UTC+1 użytkownik Stachu 'Dozzie' K.
napisał:
>>
>> No własnie. Brak kiepskiej analizy bezpieczeństwa jest ryzykiem. Ryzyko
>> twojego fuckupu zostało pewnie wliczone, ale to nie znaczy, że system
>> jest bezpieczny. Po prostu stwierdzono, że nie musi być bezpieczny (i to
>> jest w porządku; nie wszystko musi być ogrodzone zasiekami i polem
>> minowym).
> Jest bezpieczny chociazby z powodu odpowiedzialnosci finansowej za
> niego.
Nie, mój drogi. Prawny dupochron nie wpływa bezpośrednio na
bezpieczeństwo systemu, służy jedynie ukierunkowaniu konsekwencji. Znowu
mieszasz dwa różne światy.
>> Częsty błąd laików. To, że dowód jest prosty jeszcze nie znaczy, że
>> obejmuje wszystkie potrzebne przypadki i możliwe ataki.
> Ale właśnie prostota polega na tym, że możliwych przypadków jest mało.
Przypadków przewidzianych. Skąd wiadomo że obsłużyłeś wszystkie
przypadki, w tym te nieoczywiste? Jako laik możesz sobie nie zdawać
sprawy ze wszystkich metod wyciekania danych. Specjalistom się rzadko
udaje wszystko przewidzieć, a ty uważasz, że tobie akurat jednemu się
udało?
>> A skąd ten pomysł? Może zawodowiec będzie miał możliwość przeprowadzenia
>> ataku tylko w tym jednym miejscu?
> To system nadal jest bezpieczny, bo wtedy ja pokrywam koszty za straty.
Nie. To nie jest system bezpieczny, tylko ubezpieczony prawnie.
Analogicznie, jeśli *ubezpieczysz* samochód od kradzieży, to jeszcze nie
znaczy, że jest *zabezpieczony*. Nie znaczy jeszcze, że możesz nie
zamykać drzwi.
>> Już pisałem: twoje odczucie jako autora jest nieistotne. Ty jesteś
>> przekonany o tym, że obsłużyłeś wszystkie możliwe (albo choćby sensowne)
>> scenariusze, bo inaczej włączyłbyś to, czego brakuje, do systemu.
>> Sytuacja taka sama jak z testowaniem softu: autor kodu nie powinien tego
>> robić sam.
> W czym problem? Wielokrotnie, a w przypadku prostego softu niemal zawsze,
> udawało mi się obsłużyć wszystkie przypadki.
W tym, że wtedy pisałeś soft, a nie tworzyłeś kryptosystemy.
Z kryptosystemów najprawdopodobniej jesteś dupa (nie masz przeszkolenia,
a w samorodny talent w tym przypadku nie wierzę) i nie ma podstaw
sądzić, że udało ci się wszystko przewidzieć.
>> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy rozbić
>> (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
>> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
>> dyskwalifikuje analizę.
> Jedno z drugim nie może współistnieć. Albo analiza dobra i dobry produkt, albo
> w analizie coś pomiąłem i produkt do dupy.
Ty to stwierdziłeś. Ja jedynie dyskwalifikuję twoją analizę (z dwóch
ważnych powodów podanych wyżej).
>> Aha. Czyli w sumie żaden argument, ot, taka anegdota do opowiadania
>> w towarzystwie. Gościu może po prostu nie miał motywacji (pieniądze?
>> sława? nauczenie się czegoś nowego? dobra łamigłówka? chęć popisania
>> się?), żeby się tym w ogóle zająć, może był za głupi, a może algorytm
>> rzeczywiście taki wypasiony.
> Argumentował że jego doświadczenie/wykształcenie jest spore, a
> sposób łamania banalny - potem nie złamał.
Nadal: może nie miał motywacji, żeby w ogóle myśleć o tej sprawie? Tak
przedstawiona historia jest jedynie anegdotą i nie ma żadnej wartości
jako argument za twoimi zdolnościami kryptograficznymi.
--
Secunia non olet.
Stanislaw Klekot
Następne wpisy z tego wątku
- 22.01.13 17:29 Stachu 'Dozzie' K.
- 22.01.13 22:13 PK
- 22.01.13 22:35 Stachu 'Dozzie' K.
- 23.01.13 01:03 M.M.
- 23.01.13 02:54 M.M.
- 23.01.13 10:32 Stachu 'Dozzie' K.
- 23.01.13 13:06 M.M.
- 23.01.13 13:36 Edek Pienkowski
- 23.01.13 13:58 Michoo
- 23.01.13 14:58 M.M.
- 23.01.13 16:53 Stachu 'Dozzie' K.
- 23.01.13 16:55 Stachu 'Dozzie' K.
- 23.01.13 17:13 Edek Pienkowski
- 23.01.13 17:20 Stachu 'Dozzie' K.
- 23.01.13 17:51 M.M.
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-07-01 W-wa naklejki wjazd do centrum
- 2024-07-01 ładowarka zmarła
- 2024-07-01 Koder szuka pracy. Koduję w j.: Asembler, C, C++ (z Qt) i D.
- 2024-07-01 Kraków => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-07-01 Białystok => Full Stack Web Developer (.Net Core, Angular6+) <=
- 2024-07-01 Berlin => Technical Rollouter (Radio Systems Software Installation and
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Gdańsk => Programista Full Stack .Net <=
- 2024-07-01 Zabrze => Junior HelpDesk <=
- 2024-07-01 Warszawa => Key Account Manager <=
- 2024-07-01 Bielsko-Biała => Expert Migration Architect (Azure) <=
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-07-01 CA -- problem z logowaniem