Re: kodowanie haseł - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.programming › kodowanie haseł › Re: kodowanie haseł

Path: news-archive.icm.edu.pl!news.icm.edu.pl!pwr.wroc.pl!news.wcss.wroc.pl!newsfeed.
pionier.net.pl!newsfeed.straub-nv.de!weretis.net!feeder4.news.weretis.net!rt.uk
.eu.org!aioe.org!.POSTED!not-for-mail
From: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
Newsgroups: pl.comp.programming
Subject: Re: kodowanie haseł
Date: Wed, 23 Jan 2013 16:20:42 +0000 (UTC)
Organization: Aioe.org NNTP Server
Lines: 49
Message-ID: <s...@j...net>
References: <kdh7i5$ol5$1@node1.news.atman.pl> <kdh8tg$klt$1@node2.news.atman.pl>
<kdj1b1$sfk$1@news.task.gda.pl>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<9...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<f...@g...com>
<s...@j...net>
<4...@g...com>
<s...@j...net>
<0...@g...com>
<s...@j...net> <kdolh3$n71$1@node2.news.atman.pl>
<s...@j...net> <kdp282$ncj$1@node1.news.atman.pl>
NNTP-Posting-Host: 32kR2H3mw0v3HL1sSnS9/A.user.speranza.aioe.org
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Complaints-To: a...@a...org
User-Agent: slrn/pre1.0.0-18 (Linux)
X-Notice: Filtered by postfilter v. 0.8.2
Xref: news-archive.icm.edu.pl pl.comp.programming:201792
[ ukryj nagłówki ]
On 2013-01-23, Edek Pienkowski <e...@g...com> wrote:
> Dnia Wed, 23 Jan 2013 15:55:40 +0000, Stachu 'Dozzie' K. wyszeptal:
>
>> On 2013-01-23, Edek Pienkowski <e...@g...com> wrote:
>>> Dnia Tue, 22 Jan 2013 16:27:29 +0000, Stachu 'Dozzie' K. wyszeptal:
>>>
>>>>>> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy
>>>>>> rozbić (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
>>>>>> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
>>>>>> dyskwalifikuje analizę.
> [...]
>>> Mały dowód. Gdyby "nie był autorem i miał przygotowanie z
>>> bezpieczeństwa",
>>> czy analiza byłaby lepsza, czy tylko ktoś miałby lepszy dupochron:
>>> "nasz system został sprawdzony przez niezależnego konsultanta,
>>> który ma przygotowanie z bezpieczeństwa"?
>>
>> Byłaby większa szansa, że analiza jest dobra.
>
> Bo? I gdzie tu jest to prawdopodobieństwo, którego nie dostrzegam?

Ujmę to tak: jeśli specjalista robi coś ze swojej dziedziny, to raczej
zrobi to poprawnie. Jeśli laik coś robi z dziedziny specjalisty, to czy
uważasz, że zrobi to równie dobrze? To każ napisać program sekretarce,
skoro równie dobrze sobie poradzi co ty.

>>> Nie wspominając już o możliwej sytuacji, że taka analiza może zostać
>>> przeprowadzona bez konieczności informowania wszystkich
>>> zainteresowanych.
>>
>> Oczywiście. Tylko MM wyciągnął przykład systemu, który napisał i którego
>> nikt kompetentny w bezpieczeństwie nie przeanalizował (przynajmniej za
>> wiedzą MM), jako potwierdzenie swoich zdolności kryptograficznych.
>> Przyznaj sam: wysoce to wątpliwe potwierdzenie.
>
> Wiele spraw w informatyce opiera się na zaufaniu. Często na zasadzie
> "wiesz jak to zrobić?" "tak".

No i? Co to ma do rzeczy? MM chciał pokazać swoje zdolności pokazując
system, o którym nie wiadomo, czy jest kryptograficznie poprawny.

Jeśli powiem, że jestem zajebistym księgowym, bo kiedyś wypełniłem
dokumenty dla urzędu skarbowego spółki akcyjnej, ale ich nie posłałem
ani do zawodowego księgowego, ani do samego US, to czy uznasz mnie za
zajebistego księgowego?

--
Secunia non olet.
Stanislaw Klekot