On 2013-01-23, M.M. <m...@g...com> wrote:
> W dniu środa, 23 stycznia 2013 16:53:14 UTC+1 użytkownik Stachu 'Dozzie' K.
napisał:
>
>> Nie od jako�ci zabezpiecze�, tylko od pewno�ci tej osoby co do
>> zabezpiecze�. Ty jeste� laikiem i autorem, wi�c masz znacznie wy�sze
>> zaufanie do tego systemu ni� mia�by obcy ekspert w tej samej sytuacji.
> No ale chłopie co z tego, powiedz mi co z tego? Mam sobie zafundować kilkuletni
> kurs z kryptografii, albo zatrudnić kilku specjalistów za nie wiadomo jakie
> pensje, bo trzeba zabezpieczyć system który jest mało opłacalny?

Nie. Wystarczy jedynie, że nie będziesz się powoływać na ten system przy
pokazywaniu, że się znasz na kryptografii. Przypominam, że od tego się
ta gałąź wątku zaczęła.

> Czy może sugerujesz że Ty przyjedziesz do mnie do pracy za pół darmo?
> Czego mam się nauczyć z tej dyskusji?

Nie wiem, może sensownego doboru argumentów? Bo pokazywanie systemu,
którego kryptolog nawet kijem nie dotykał, jako "systemu z lepszą
kryptografią, który zrobiłem" sensownym argumentem nie jest.

> Przecież zacząłem ją od tego, że
> budżet był bardzo kiepski i trzeba było wymyślić coś w adekwatnym
> wymiarze czasu i kosztów. Zrobiłem coś co uznałem za dobre i jak do tej
> pory spełnia swoje zadanie, a mało tego, jest jeszcze system dupochronów i
> to, co prawda niewiele, ale zarabia na siebie.

Ale zdajesz sobie sprawę, że poprawność techniczna i zarabianie na
siebie nie są w związku przyczynowo-skutkowym w żadnej konfiguracji?

> Za samą analizę zabezpieczeń
> dwie firmy zawołały więcej niż wynosił budżet CAŁEGO projektu. Powtarzasz w
> kółko to samo jak zdarta płyta, a ja nic dzięki temu nie mogę zmienić
> na lepsze.

Powtarzam w kółko to samo, bo do ciebie nie dociera. Ja nie chcę, żebyś
zmieniał ten system. Zarabia na siebie -- i to jego podstawowy cel (z
perspektywy wytwórcy).

Ja cały czas mówię jedynie, że to nie dowodzi, że znasz się na
kryptografii czy zabezpieczeniach komputerowych. Mogłoby to być jakąś
przesłanką w tej materii, gdyby jakiś ekspert ocenił ten system jako
dobry, ale póki co, to nie dowodzi dokładnie nic. Twoja analiza się nie
liczy, bo nie jesteś ekspertem i nie jesteś -- jako autor -- obiektywny.

--
Secunia non olet.
Stanislaw Klekot

do góry

On 2013-01-22 16:04, Michoo wrote:
> On 22.01.2013 10:55, Maciej Sobczak wrote:
>
> "... Ale serio - to jest maksymalnie bezpieczne więc jak zgubicie hasło
> to jesteście udupieni i my nic nie damy rady zrobić... Poważnie...Przy
> długim haśle kilkadziesiąt tysięcy i nawet kilka miesięcy..." Nagle
> bezpieczeństwo przestaje być tak "kluczową" kwestią ;)
>
Dokladnie tak. Ludzie siedzacy stricte w security sa zboczeni i
najchetniej by wylaczyli serwer i zakopali pod ziemia. Zapominaja o
czyms takim jak risk management i do czego ten serwer ma sluzyc przede
wszystkim.

Pozdrawiam

Marek

do góry

W dniu środa, 23 stycznia 2013 19:07:10 UTC+1 użytkownik Stachu 'Dozzie' K. napisał:
> Nie. Wystarczy jedynie, �e nie b�dziesz si� powo�ywa� na ten system przy
> pokazywaniu, �e si� znasz na kryptografii. Przypominam, �e od tego si�
> ta ga��� w�tku zacz�a.
System jest bezpieczny, a wlasciwie bezpieczne sa te czesci ktore
opracowalem, ale nie wynika to tylko z ALGORYTMU KRYPOGRAFICZNEGO w
znaczeniu w jakim najczesciej sie uzywa pojecia "algorytm kryptograficzny".
Niemniej jakby wziac za algorytm nie pojedyczy program komputerowy, ale
caly proces opracowania danych to bezpieczeństwo wynika z algorytmu
kryptograficznego. Nie mam sobie nic do zarzucenia, no może jedynie
poza tym, że nie bardzo mogę pisać o szczegółach.

Pozdrawiam

do góry

On 2013-01-23 19:07, Stachu 'Dozzie' K. wrote:
> On 2013-01-23, M.M. <m...@g...com> wrote:
> dobry, ale póki co, to nie dowodzi dokładnie nic. Twoja analiza się nie
> liczy, bo nie jesteś ekspertem i nie jesteś -- jako autor -- obiektywny.
>
A Ty jestes ? Masz jeszcze mniejsze przelozenie bo wydaje sie byc iz
jestes teoretykiem. Czasem security by obscurity lepiej dziala niz
najlepsze algorytmy kryptograficzne. Lekko zmodyfikowany znany algorytmn
(byle nie go nie popsuc) i 90% chacherow odpada.


Pozdrawiam

Marek

do góry

W dniu czwartek, 24 stycznia 2013 10:37:54 UTC+1 użytkownik Marek Borowski napisał:
> > dobry, ale p�ki co, to nie dowodzi dok�adnie nic. Twoja analiza si� nie
> > liczy, bo nie jesteďż˝ ekspertem i nie jesteďż˝ -- jako autor -- obiektywny.
>
> A Ty jestes ? Masz jeszcze mniejsze przelozenie bo wydaje sie byc iz
> jestes teoretykiem.
Stachu ma racje, ale nerwi mnie, ze tej racji nie moge nijak zastosowac
w praktyce, chyba zebym dolozyl z wlasnej kieszeni do interesu. Nie moge
wziac z tego zadnej nauki.

Padly ciekawe tematy, jak chocby zastosowania algorytmu MD5 w kryptografii,
pod warunkiem ze wie sie jak stosowac. Dla mnie ten algorytm odpada
calkowicie, uzywam go tylko przy zalozeniu ze nikt zlosliwie danych nie
zmodyfikowal. Chetnie dowiedzial jak sie go stosuje.

Druga sprawa to problem nieuczciwego administratora. Jak sie zawodowcy
przed tym bronia? Algorytm jest super dobry, ale zanim dane zostana
zaszyfrowane, to moze je obejrzec administrator. Co na to poradzic?
Ten problem chyba trzeba najpierw rozwiazac, a dopiero potem szukac
dobrych algorytmow.

Pozdrawiam

do góry

Dnia Thu, 24 Jan 2013 10:37:54 +0100, Marek Borowski wyszeptal:

> On 2013-01-23 19:07, Stachu 'Dozzie' K. wrote:
>> On 2013-01-23, M.M. <m...@g...com> wrote:
>> dobry, ale póki co, to nie dowodzi dokładnie nic. Twoja analiza się nie
>> liczy, bo nie jesteś ekspertem i nie jesteś -- jako autor --
>> obiektywny.
>>
> A Ty jestes ?

Obiektywny mógłby być jedynie nie zależny konsultant z przygotowaniem
z bezpieczeństwa. Dokładnie tak jak z produkcją oprogramowania:
kto by kupił oprogramowanie, którego bezbłędność zapewnia producent?
Producent nie jest obiektywny, powinno być sprawdzone przez niezależnego
eksperta z przygotowaniem z programowania. Wtedy dopiero mogłoby się
okazać, że pisząc analizy autorzy nie byli obiektywni do końca, a
całe oprogramowanie należy przepisać od początku, oczywiście tym
razem przez kogoś z przygotowaniem z programowania.

--
Edek

do góry

On 2013-01-24 11:16, M.M. wrote:
> W dniu czwartek, 24 stycznia 2013 10:37:54 UTC+1 użytkownik Marek Borowski napisał:
>
> Druga sprawa to problem nieuczciwego administratora. Jak sie zawodowcy
> przed tym bronia? Algorytm jest super dobry, ale zanim dane zostana
Administrator nie zarabia n*srednia krajowa dlatego ze administracja
jest trudna, a raczej dlatego iz jest to osoba zaufania. Jak ktos chce
przytanic i zatrudnia na tej pozycji przypadkowych ludzi to jego
problem. Profesjonalny administrator zdaje sobie sprawe iz jak straci
zaufanie to jest skonczony w zawodzie.

Pozdrawiam

Marek

do góry

W dniu czwartek, 24 stycznia 2013 11:34:19 UTC+1 użytkownik Edek Pienkowski napisał:

> Obiektywny m�g�by by� jedynie nie zale�ny konsultant z przygotowaniem
> z bezpiecze�stwa.
Zgoda, ale skad brac niezaleznych, nieulegajacych wplywom, dobrze
przygotowanych i pracujacych za niskie stawki konsultantow?


> Dok�adnie tak jak z produkcj� oprogramowania: kto by kupi�
> oprogramowanie, kt�rego bezb��dno�� zapewnia producent?
Myslalem ze to luksus jesli chociaz producent zapewnia bezblednosc :D


> Producent nie jest obiektywny, powinno by� sprawdzone przez niezale�nego
> eksperta z przygotowaniem z programowania. Wtedy dopiero mog�oby si�
> okaza�, �e pisz�c analizy autorzy nie byli obiektywni do ko�ca, a
> ca�e oprogramowanie nale�y przepisa� od pocz�tku, oczywi�cie tym
> razem przez kogoďż˝ z przygotowaniem z programowania.
Duzo rzeczy "powinno" byc, jednak problem w tym, ze czas ekspertow kosztuje i
to duzo.

Pozdrawiam

do góry

W dniu czwartek, 24 stycznia 2013 12:09:55 UTC+1 użytkownik Marek Borowski napisał:
> > Druga sprawa to problem nieuczciwego administratora. Jak sie zawodowcy
> > przed tym bronia? Algorytm jest super dobry, ale zanim dane zostana
> Administrator nie zarabia n*srednia krajowa dlatego ze administracja
> jest trudna, a raczej dlatego iz jest to osoba zaufania. Jak ktos chce
> przytanic i zatrudnia na tej pozycji przypadkowych ludzi to jego
> problem. Profesjonalny administrator zdaje sobie sprawe iz jak straci
> zaufanie to jest skonczony w zawodzie.
Co zrobić gdy wymagającemu klientowi to nie wystarcza?
Pozdrawiam

do góry

On Thu, 24 Jan 2013 12:09:55 +0100, Marek Borowski
<m...@...borowski.com> wrote:
> Administrator nie zarabia n*srednia krajowa dlatego ze
administracja
> jest trudna, a raczej dlatego iz jest to osoba zaufania. Jak ktos
chce
> przytanic i zatrudnia na tej pozycji przypadkowych ludzi to jego
> problem. Profesjonalny administrator zdaje sobie sprawe iz jak
straci
> zaufanie to jest skonczony w zawodzie.

Jakbym mógł zarobić 10mln USD sprzedając poufne dane, to guzik by
mnie obchodziło bycie skończonym w zawodzie. ..

RW

do góry