On 2013-01-23, M.M. <m...@g...com> wrote:
> W dniu wtorek, 22 stycznia 2013 17:27:29 UTC+1 użytkownik Stachu 'Dozzie' K.
napisał:
>> Nie, m�j drogi. Prawny dupochron nie wp�ywa bezpo�rednio na
>> bezpiecze�stwo systemu, s�u�y jedynie ukierunkowaniu konsekwencji. Znowu
>> mieszasz dwa r�ne �wiaty.
> Jak mi ukradna samochod, to moge kupic nowy za odszkodowanie, czyli
> pomimo kradziezy mam samochod nadal. To na pewno nie wyplywa bezposrednio
> na bezpieczenstwo?

Oczywiście że nie wpływa. Po pierwsze, przez pewien czas nie masz
samochodu w ogóle. Po drugie, oprócz samochodu ukradli ci wszystko, co
w nim było -- za to odszkodowania nie dostaniesz. Po trzecie, nie masz
gwarancji, że to odszkodowanie w ogóle dostaniesz. Firmy ubezpieczeniowe
są znane z uchylania się przed płaceniem.

>> Przypadk�w przewidzianych. Sk�d wiadomo �e obs�u�y�e� wszystkie
>> przypadki, w tym te nieoczywiste? Jako laik mo�esz sobie nie zdawa�
>> sprawy ze wszystkich metod wyciekania danych. Specjalistom siďż˝ rzadko
>> udaje wszystko przewidzie�, a ty uwa�asz, �e tobie akurat jednemu si�
>> uda�o?
> Nie musialem przewidziec wszystkich przypadkow. Za bezpieczenstwo systemow
> operacyjnych, siei i innego badziewia instalowanego na komputerach
> odpowiada ktos inny, a wlasciwie to nawet nie wiem czy odpowiada. Wzialem
> odpowiedzialnosc tylko za swoja robote.

Co więcej, podjąłeś ryzyko, mimo że nie dysponujesz dowodem ani nawet
solidnym argumentem, że system rzeczywiście jest bezpieczny. Widać
jesteś pewny swego (to akurat nie jest samo z siebie złe). Tylko pewność
siebie i obietnica rekompensaty nie powodują, że system jest bezpieczny.
Odcięcie dostępu z zewnątrz też nie powoduje, ze system automatycznie
staje się bezpieczny, a jedynie _zabezpieczony_.

>> Nie. To nie jest system bezpieczny, tylko ubezpieczony prawnie.
>> Analogicznie, je�li *ubezpieczysz* samoch�d od kradzie�y, to jeszcze nie
>> znaczy, �e jest *zabezpieczony*. Nie znaczy jeszcze, �e mo�esz nie
>> zamykaďż˝ drzwi.
> Nie twierdze ze moge drzwi zostawiac otwarte. Jest wrecz przeciwnie, system
> dziala, jesli jest spelniony dlugi szereg zalozen.

Czyli dupochron do dupochronu. Ale to nie dotyczy tego akurat fragmentu
wątku. Czy ty właściwie odróżniasz ubezpieczenie od zabezpieczenia?

--
Secunia non olet.
Stanislaw Klekot

do góry

W dniu środa, 23 stycznia 2013 10:32:43 UTC+1 użytkownik Stachu 'Dozzie' K. napisał:
> Czyli dupochron do dupochronu. Ale to nie dotyczy tego akurat fragmentu
> w�tku. Czy ty w�a�ciwie odr�niasz ubezpieczenie od zabezpieczenia?
W praktyce dobre ubezpieczenie i dobre powierzanie odpowiedzialności często
bywa ważniejsze od dobrych zabezpieczeń. Czy rozróżniam? Tak, rozróżniam,
niemniej znalezienie osoby chętnej do podjęcia odpowiedzialność (czyli
ubezpieczenie) zależy w dużej mierzy od jakości zabezpieczeń - z
tego powodu o tym wspominałem, a nie dlatego że mylę te dwa pojęcia.

Pozdrawiam

do góry

Dnia Tue, 22 Jan 2013 16:27:29 +0000, Stachu 'Dozzie' K. wyszeptal:

>>> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy rozbić
>>> (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
>>> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
>>> dyskwalifikuje analizę.
>> Jedno z drugim nie może współistnieć. Albo analiza dobra i dobry
>> produkt, albo w analizie coś pomiąłem i produkt do dupy.
>
> Ty to stwierdziłeś. Ja jedynie dyskwalifikuję twoją analizę (z dwóch
> ważnych powodów podanych wyżej).

Mały dowód. Gdyby "nie był autorem i miał przygotowanie z bezpieczeństwa",
czy analiza byłaby lepsza, czy tylko ktoś miałby lepszy dupochron:
"nasz system został sprawdzony przez niezależnego konsultanta,
który ma przygotowanie z bezpieczeństwa"?

Nie wspominając już o możliwej sytuacji, że taka analiza może zostać
przeprowadzona bez konieczności informowania wszystkich zainteresowanych.

--
Edek

do góry

On 23.01.2013 02:54, M.M. wrote:
> W dniu wtorek, 22 stycznia 2013 16:20:53 UTC+1 użytkownik bartekltg napisał:
>
>> Kiedyś na wydziale informatyki spotkałem gościa, co właśnie
>> kończył zdobywać papier potwierdzający wykształcenie i święcie
>> wierzył,że jak będzie liczył na GPU to pokona algorytm na
>> procesorze o lepszej złożoności, niezależnie od wielkości danych;)
>
> W sumie to ciekawe, miałem podobną rozmowę i to niezbyt dawno,
> może ze 3 miesiące temu. Facet dawno po studiach, pracuje w
> zawodzie, z tego co wiem, nieźle zarabia, itd. Rozmawiamy o
> łamaniu hasła burteforcem. Mówi że ma CUDE i na tym to można
> wszystko policzyć. Zastanowiłem się, myślę że może źle
> coś oszacowałem i mówię, no to ewentualnie można zwiększyć
> rozmiar hasła o jedno albo dwa znaki i już nie policzysz.
> On na to: na CUDA? wiesz ile to ma procesorów?
>
> Nie wiem ile to ma procesorów, ale najwyraźniej w jego
> wersji ilość procesorów rośnie wraz z ilością danych i
> to rośnie wykładniczo:D

Jedna karta za ~1000 pln to np 500 procesorów.

Zależy wiec z jakich warunków początkowych rośnie wykładniczo:
- z jednej do dwóch
- z 4 do 8
- z 16 do 32

--
Pozdrawiam
Michoo

do góry

W dniu środa, 23 stycznia 2013 13:58:42 UTC+1 użytkownik Michoo napisał:
> Jedna karta za ~1000 pln to np 500 procesor�w.
Plus 2-3tys pln za energie elektryczna jesli liczy 365/rok.

> Zale�y wiec z jakich warunk�w pocz�tkowych ro�nie wyk�adniczo:
> - z jednej do dw�ch
> - z 4 do 8
> - z 16 do 32
Bez konca :D


Kupilem sobie kilka tyg temu ksiazke Helionu "CUDA w przykładach", nie
mam czasu zajrzeć do niej... warto w ogóle? Zna ktoś te pozycje?

Pozdrawiam

do góry

On 2013-01-23, M.M. <m...@g...com> wrote:
> W dniu środa, 23 stycznia 2013 10:32:43 UTC+1 użytkownik Stachu 'Dozzie' K.
napisał:
>> Czyli dupochron do dupochronu. Ale to nie dotyczy tego akurat fragmentu
>> w�tku. Czy ty w�a�ciwie odr�niasz ubezpieczenie od zabezpieczenia?
> W praktyce dobre ubezpieczenie i dobre powierzanie odpowiedzialności często
> bywa ważniejsze od dobrych zabezpieczeń.

Ale nie o aspektach prawnych rozmawialiśmy, tylko o technicznych.

> Czy rozróżniam? Tak, rozróżniam,

Bo jakoś nie widać, skoro mowa o *zabezpieczeniach*, a ty uparcie
wracasz do "my odpowiadamy za to".

> niemniej znalezienie osoby chętnej do podjęcia odpowiedzialność (czyli
> ubezpieczenie) zależy w dużej mierzy od jakości zabezpieczeń

Nie od jakości zabezpieczeń, tylko od pewności tej osoby co do
zabezpieczeń. Ty jesteś laikiem i autorem, więc masz znacznie wyższe
zaufanie do tego systemu niż miałby obcy ekspert w tej samej sytuacji.

--
Secunia non olet.
Stanislaw Klekot

do góry

On 2013-01-23, Edek Pienkowski <e...@g...com> wrote:
> Dnia Tue, 22 Jan 2013 16:27:29 +0000, Stachu 'Dozzie' K. wyszeptal:
>
>>>> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy rozbić
>>>> (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
>>>> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
>>>> dyskwalifikuje analizę.
>>> Jedno z drugim nie może współistnieć. Albo analiza dobra i dobry
>>> produkt, albo w analizie coś pomiąłem i produkt do dupy.
>>
>> Ty to stwierdziłeś. Ja jedynie dyskwalifikuję twoją analizę (z dwóch
>> ważnych powodów podanych wyżej).
>
> Mały dowód. Gdyby "nie był autorem i miał przygotowanie z bezpieczeństwa",
> czy analiza byłaby lepsza, czy tylko ktoś miałby lepszy dupochron:
> "nasz system został sprawdzony przez niezależnego konsultanta,
> który ma przygotowanie z bezpieczeństwa"?

Byłaby większa szansa, że analiza jest dobra.

> Nie wspominając już o możliwej sytuacji, że taka analiza może zostać
> przeprowadzona bez konieczności informowania wszystkich zainteresowanych.

Oczywiście. Tylko MM wyciągnął przykład systemu, który napisał i którego
nikt kompetentny w bezpieczeństwie nie przeanalizował (przynajmniej za
wiedzą MM), jako potwierdzenie swoich zdolności kryptograficznych.
Przyznaj sam: wysoce to wątpliwe potwierdzenie.

--
Secunia non olet.
Stanislaw Klekot

do góry

Dnia Wed, 23 Jan 2013 15:55:40 +0000, Stachu 'Dozzie' K. wyszeptal:

> On 2013-01-23, Edek Pienkowski <e...@g...com> wrote:
>> Dnia Tue, 22 Jan 2013 16:27:29 +0000, Stachu 'Dozzie' K. wyszeptal:
>>
>>>>> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy
>>>>> rozbić (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
>>>>> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
>>>>> dyskwalifikuje analizę.
[...]
>> Mały dowód. Gdyby "nie był autorem i miał przygotowanie z
>> bezpieczeństwa",
>> czy analiza byłaby lepsza, czy tylko ktoś miałby lepszy dupochron:
>> "nasz system został sprawdzony przez niezależnego konsultanta,
>> który ma przygotowanie z bezpieczeństwa"?
>
> Byłaby większa szansa, że analiza jest dobra.

Bo? I gdzie tu jest to prawdopodobieństwo, którego nie dostrzegam?

>> Nie wspominając już o możliwej sytuacji, że taka analiza może zostać
>> przeprowadzona bez konieczności informowania wszystkich
>> zainteresowanych.
>
> Oczywiście. Tylko MM wyciągnął przykład systemu, który napisał i którego
> nikt kompetentny w bezpieczeństwie nie przeanalizował (przynajmniej za
> wiedzą MM), jako potwierdzenie swoich zdolności kryptograficznych.
> Przyznaj sam: wysoce to wątpliwe potwierdzenie.

Wiele spraw w informatyce opiera się na zaufaniu. Często na zasadzie
"wiesz jak to zrobić?" "tak".

--
Edek

do góry

On 2013-01-23, Edek Pienkowski <e...@g...com> wrote:
> Dnia Wed, 23 Jan 2013 15:55:40 +0000, Stachu 'Dozzie' K. wyszeptal:
>
>> On 2013-01-23, Edek Pienkowski <e...@g...com> wrote:
>>> Dnia Tue, 22 Jan 2013 16:27:29 +0000, Stachu 'Dozzie' K. wyszeptal:
>>>
>>>>>> Właśnie. Dlatego twoją analizę bezpieczeństwa można o kant dupy
>>>>>> rozbić (jesteś autorem i nie masz przygotowania z bezpieczeństwa).
>>>>>> Zaznaczam, że to nie dyskwalifikuje samego produktu. To jedynie
>>>>>> dyskwalifikuje analizę.
> [...]
>>> Mały dowód. Gdyby "nie był autorem i miał przygotowanie z
>>> bezpieczeństwa",
>>> czy analiza byłaby lepsza, czy tylko ktoś miałby lepszy dupochron:
>>> "nasz system został sprawdzony przez niezależnego konsultanta,
>>> który ma przygotowanie z bezpieczeństwa"?
>>
>> Byłaby większa szansa, że analiza jest dobra.
>
> Bo? I gdzie tu jest to prawdopodobieństwo, którego nie dostrzegam?

Ujmę to tak: jeśli specjalista robi coś ze swojej dziedziny, to raczej
zrobi to poprawnie. Jeśli laik coś robi z dziedziny specjalisty, to czy
uważasz, że zrobi to równie dobrze? To każ napisać program sekretarce,
skoro równie dobrze sobie poradzi co ty.

>>> Nie wspominając już o możliwej sytuacji, że taka analiza może zostać
>>> przeprowadzona bez konieczności informowania wszystkich
>>> zainteresowanych.
>>
>> Oczywiście. Tylko MM wyciągnął przykład systemu, który napisał i którego
>> nikt kompetentny w bezpieczeństwie nie przeanalizował (przynajmniej za
>> wiedzą MM), jako potwierdzenie swoich zdolności kryptograficznych.
>> Przyznaj sam: wysoce to wątpliwe potwierdzenie.
>
> Wiele spraw w informatyce opiera się na zaufaniu. Często na zasadzie
> "wiesz jak to zrobić?" "tak".

No i? Co to ma do rzeczy? MM chciał pokazać swoje zdolności pokazując
system, o którym nie wiadomo, czy jest kryptograficznie poprawny.

Jeśli powiem, że jestem zajebistym księgowym, bo kiedyś wypełniłem
dokumenty dla urzędu skarbowego spółki akcyjnej, ale ich nie posłałem
ani do zawodowego księgowego, ani do samego US, to czy uznasz mnie za
zajebistego księgowego?

--
Secunia non olet.
Stanislaw Klekot

do góry

W dniu środa, 23 stycznia 2013 16:53:14 UTC+1 użytkownik Stachu 'Dozzie' K. napisał:

> Nie od jako�ci zabezpiecze�, tylko od pewno�ci tej osoby co do
> zabezpiecze�. Ty jeste� laikiem i autorem, wi�c masz znacznie wy�sze
> zaufanie do tego systemu ni� mia�by obcy ekspert w tej samej sytuacji.
No ale chłopie co z tego, powiedz mi co z tego? Mam sobie zafundować kilkuletni
kurs z kryptografii, albo zatrudnić kilku specjalistów za nie wiadomo jakie
pensje, bo trzeba zabezpieczyć system który jest mało opłacalny?
Czy może sugerujesz że Ty przyjedziesz do mnie do pracy za pół darmo?
Czego mam się nauczyć z tej dyskusji? Przecież zacząłem ją od tego, że
budżet był bardzo kiepski i trzeba było wymyślić coś w adekwatnym
wymiarze czasu i kosztów. Zrobiłem coś co uznałem za dobre i jak do tej
pory spełnia swoje zadanie, a mało tego, jest jeszcze system dupochronów i
to, co prawda niewiele, ale zarabia na siebie. Za samą analizę zabezpieczeń
dwie firmy zawołały więcej niż wynosił budżet CAŁEGO projektu. Powtarzasz w
kółko to samo jak zdarta płyta, a ja nic dzięki temu nie mogę zmienić
na lepsze.

do góry