W dniu 2020-06-05 o 13:13, J.F. pisze:

> No ... dawniej to sie troche klocilo z idea www.

Nie znam idei www. Myślałem, że jak przeglądarka ma tryb z kłódeczką to
znaczy, że takie podstawowe rzeczy też ma w sobie.

> W dodatku ... jedno haslo do wszystkiego, i moze nawet jeden login ...
> myslisz sobie, ze zrobili to poprawnie tak jak wyzej, a jeden serwer
> wcale nie, hackerzy go przejmuja i lezysz na calej linii.

Dlaczego?
Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści hasła.

> Albo nie przejmuja, tylko zakladaja :-)

Co im to da, jeśli przeglądarka nie wypuści hasła.
P.G.

do góry

W dniu 2020-06-05 o 13:21, J.F. pisze:

> No widzisz - DES z Unixa wydawal sie bezpieczny, a juz od dawna nie jest.

W systemach należy stosować algorytmy, dla których przewiduje się, że
będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
rzędu następne 10..20 lat.

>>>> Atak na jednego użytkownika nie naruszałby bezpieczeństwa pozostałych.
>>
>>> W zasadzie nie narusza.
>
>> Ja pisałem o tym, że wtedy daje się zaatakować tylko pojedynczego
>> użytkownika (na jego klawiaturze) i 'nie naruszałby' należało rozumieć
>> jako 'nie narusza', ale użyłem takiej formy bo pisałem o hipotetycznym
>> zdarzeniu, a nie faktycznie mającym miejsce.
>
> Ale chodzi mi o to, ze atak na jednego uzytkownika, np podsluchanie
> klawiatury, nie narusza innych uzytkownikow.
> Bo co z tego, ze mozesz sie zalogowac na tego uzytkownika do sklepu ?

Obaj piszemy o tym samym.

>>> Chyba, ze blokuja IP z ktorego jest za duzo pomylek ...
>
>> Pozostaje bezpieczne pod warunkiem ograniczenia 'pasma ataku'.
>> Zablokowanie konta po 3 nieudanych próbach to takie ograniczenie.
>
> Ale nie bede probowal 3 razy. Sprawdze raz i odloze na miesiac.
> A w miedzyczasie sprawdze milion innych uzytkownikow.
> I gdzies trafie ..

Masz rację - powinni wykrywać i blokować IP.
P.G.

do góry

Piotr Gałka <p...@c...pl> writes:

> W dniu 2020-06-05 o 13:21, J.F. pisze:
>
>> No widzisz - DES z Unixa wydawal sie bezpieczny, a juz od dawna nie jest.
>
> W systemach należy stosować algorytmy, dla których przewiduje się, że
> będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
> rzędu następne 10..20 lat.
Taaa. Jasne. I oczywiście przewidzisz, że nikt Twojego super-duper
bezpiecznego algorytmu nie złamie.
[...]
>>
>>> Pozostaje bezpieczne pod warunkiem ograniczenia 'pasma
>>> ataku'. Zablokowanie konta po 3 nieudanych próbach to takie
>>> ograniczenie.
>>
>> Ale nie bede probowal 3 razy. Sprawdze raz i odloze na miesiac.
>> A w miedzyczasie sprawdze milion innych uzytkownikow.
>> I gdzies trafie ..
>
> Masz rację - powinni wykrywać i blokować IP.

W dobie vpc za $5/mon, tworzonych automatycznie w mniej niż 10min?
Co ci to da?
KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rbdb6r$meb$1$P...@n...chmurka.ne
t...
W dniu 2020-06-05 o 13:21, J.F. pisze:
>> No widzisz - DES z Unixa wydawal sie bezpieczny, a juz od dawna nie
>> jest.
>W systemach należy stosować algorytmy, dla których przewiduje się, że
>będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
>rzędu następne 10..20 lat.

A za 10 lat co ? System nadal dziala, to ulepszamy algorytm ?
A jak nie ulepsza i hackerzy sie dorwa do Twoich hasel ?

>>>>> Atak na jednego użytkownika nie naruszałby bezpieczeństwa
>>>>> pozostałych.
>>>> W zasadzie nie narusza.
>
>>> Ja pisałem o tym, że wtedy daje się zaatakować tylko pojedynczego
>>> użytkownika (na jego klawiaturze) i 'nie naruszałby' należało
>>> rozumieć jako 'nie narusza', ale użyłem takiej formy bo pisałem o
>>> hipotetycznym zdarzeniu, a nie faktycznie mającym miejsce.
>
>> Ale chodzi mi o to, ze atak na jednego uzytkownika, np podsluchanie
>> klawiatury, nie narusza innych uzytkownikow.
>> Bo co z tego, ze mozesz sie zalogowac na tego uzytkownika do sklepu
>> ?

>Obaj piszemy o tym samym.

No to w starym unixie naruszal, bo mogac sie zalogowac do systemu
mozna odczytac zahaszowane hasla wszystkich,
ale w wiekszosc wspolczesnych systemow juz niewiele da - dostap do
jednego uzytkownika w sklepie, banku, poczcie, grze - innych nie
naraza.

>>>> Chyba, ze blokuja IP z ktorego jest za duzo pomylek ...
>
>>> Pozostaje bezpieczne pod warunkiem ograniczenia 'pasma ataku'.
>>> Zablokowanie konta po 3 nieudanych próbach to takie ograniczenie.
>
>> Ale nie bede probowal 3 razy. Sprawdze raz i odloze na miesiac.
>> A w miedzyczasie sprawdze milion innych uzytkownikow.
>> I gdzies trafie ..

>Masz rację - powinni wykrywać i blokować IP.

Gorzej, jak to jakis zbiorczy, z Plusa czy Orange :-(

J.

do góry

Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rbdaul$mbd$1$P...@n...chmurka.ne
t...
W dniu 2020-06-05 o 13:13, J.F. pisze:
>> No ... dawniej to sie troche klocilo z idea www.

>Nie znam idei www. Myślałem, że jak przeglądarka ma tryb z kłódeczką
>to znaczy, że takie podstawowe rzeczy też ma w sobie.

>> W dodatku ... jedno haslo do wszystkiego, i moze nawet jeden login
>> ... myslisz sobie, ze zrobili to poprawnie tak jak wyzej, a jeden
>> serwer wcale nie, hackerzy go przejmuja i lezysz na calej linii.

>Dlaczego?
>Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści
>hasła.

Ale nie jest ... choc istotnie mogla by byc.

>> Albo nie przejmuja, tylko zakladaja :-)

>Co im to da, jeśli przeglądarka nie wypuści hasła.

No, beda mogli sobie zgromadzic wiele odpowiedzi na rozne salty.
i moze podpasuje im do jakiegos innego systemu ... choc jak salt
bedzie dlugi, to moze byc wystarczajaco niemozliwe.

J.

do góry

W dniu 2020-06-05 o 13:53, Kamil Jońca pisze:

>> W systemach należy stosować algorytmy, dla których przewiduje się, że
>> będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
>> rzędu następne 10..20 lat.
> Taaa. Jasne. I oczywiście przewidzisz, że nikt Twojego super-duper
> bezpiecznego algorytmu nie złamie.

Nie mojego, tylko jakiegoś opracowanego i sprawdzonego przez znających
się na tym i umiejących oszacować ich bezpieczeństwo.
Nie mam na myśli złamania na skutek błędu w algorytmie tylko złamanie
siłowe na skutek rozwoju możliwości komputerów.
Oczywiście jak odkryty zostałby błąd w algorytmie to byłby problem, ale
jeśli znający się na tym szukają od lat błędów w znanych algorytmach i
nic nie znajdują to mogę jedynie ufać, że jest też duża szansa, że w
najbliższych latach nie znajdą.

>> Masz rację - powinni wykrywać i blokować IP.
>
> W dobie vpc za $5/mon, tworzonych automatycznie w mniej niż 10min?
> Co ci to da?

Na tym się nie znam i nie za dokładnie wiem o czym piszesz. Ale jeśli to
oznacza, że każdy kolejny atak (czy kilka po których nastąpi
zablokowanie) można przeprowadzić co 10 minut to jednak jest to bardzo
istotne ograniczenie pasma ataku.
P.G.

do góry

W dniu 2020-06-05 o 14:33, J.F. pisze:

>> W systemach należy stosować algorytmy, dla których przewiduje się, że
>> będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
>> rzędu następne 10..20 lat.
>
> A za 10 lat co ? System nadal dziala, to ulepszamy algorytm ?

Tak. np. wydłużamy klucze.

> A jak nie ulepsza i hackerzy sie dorwa do Twoich hasel ?

Każdym systemem ktoś zarządza - powinien mieć określone obowiązki i się
z nich wywiązywać.
P.G.

do góry

Piotr Gałka <p...@c...pl> writes:

> W dniu 2020-06-05 o 13:53, Kamil Jońca pisze:
>
>>> W systemach należy stosować algorytmy, dla których przewiduje się, że
>>> będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
>>> rzędu następne 10..20 lat.
>> Taaa. Jasne. I oczywiście przewidzisz, że nikt Twojego super-duper
>> bezpiecznego algorytmu nie złamie.
>
> Nie mojego, tylko jakiegoś opracowanego i sprawdzonego przez znających
> się na tym i umiejących oszacować ich bezpieczeństwo.
> Nie mam na myśli złamania na skutek błędu w algorytmie tylko złamanie
> siłowe na skutek rozwoju możliwości komputerów.
> Oczywiście jak odkryty zostałby błąd w algorytmie to byłby problem,
> ale jeśli znający się na tym szukają od lat błędów w znanych
> algorytmach i nic nie znajdują to mogę jedynie ufać, że jest też duża
> szansa, że w najbliższych latach nie znajdą.

sha-1, md5 też były opracowane przez "znających się". I co? A może
myślisz, że ludzie od SSL v3 celowo zrobili go słabym i podatnym na
złamanie?


>
>>> Masz rację - powinni wykrywać i blokować IP.
>>
>> W dobie vpc za $5/mon, tworzonych automatycznie w mniej niż 10min?
>> Co ci to da?
>
> Na tym się nie znam i nie za dokładnie wiem o czym piszesz. Ale jeśli
> to oznacza, że każdy kolejny atak (czy kilka po których nastąpi
> zablokowanie) można przeprowadzić co 10 minut to jednak jest to bardzo
> istotne ograniczenie pasma ataku.

Nie, to tego nie oznacza. Oznacza, to tyle, że każdy, mający trochę[1]
wiedzy może szybko stać się zarządcą sieci wielu IP. Już pomijam
możliwość stworzenia botnetu.

KJ

[1] naprawdę trochę, wcale nie tak dużo.

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

W dniu 2020-06-05 o 14:37, J.F. pisze:

>> Dlaczego?
>> Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści hasła.
>
> Ale nie jest ... choc istotnie mogla by byc.

Ja po prostu nie znam się na tym. Zakładałem, że takie dostępne ogółowi
ludzi rzeczy są zrobione 'dobrze' i jakby były zrobione 'źle' to byłoby
o tym głośno.

To, że hasło nie wychodzi poza mój komputer wydawało mi się oczywistą
oczywistością i dlatego nie przyszło mi nawet do głowy poddać to w
wątpliwość.

Pierwsze wątpliwości pojawiły się jak spotkałem się z hasłem maskowanym,
ale wtedy to już chyba miałem konta w prawie wszystkich tych sklepach w
których mam teraz (nie ma tego dużo) i jakoś nie chciało mi się zmieniać.

>
>>> Albo nie przejmuja, tylko zakladaja :-)
>
>> Co im to da, jeśli przeglądarka nie wypuści hasła.
>
> No, beda mogli sobie zgromadzic wiele odpowiedzi na rozne salty.
> i moze podpasuje im do jakiegos innego systemu ... choc jak salt bedzie
> dlugi, to moze byc wystarczajaco niemozliwe.

Powinno być wystarczająco niemożliwe. Poza tym salt może też być dla
każdego klienta inny, generowany na podstawie jakichś danych danego
sklepu i jawnego loginu klienta.
P.G.

do góry

Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rbdihf$qt8$1$P...@n...chmurka.ne
t...
W dniu 2020-06-05 o 14:37, J.F. pisze:
>>> Dlaczego?
>>> Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści
>>> hasła.
>
>> Ale nie jest ... choc istotnie mogla by byc.

>Ja po prostu nie znam się na tym. Zakładałem, że takie dostępne
>ogółowi ludzi rzeczy są zrobione 'dobrze' i jakby były zrobione 'źle'
>to byłoby o tym głośno.
>To, że hasło nie wychodzi poza mój komputer wydawało mi się oczywistą
>oczywistością i dlatego nie przyszło mi nawet do głowy poddać to w
>wątpliwość.

A tymczasem "password" w takim podstawowym HTML oznacza jedynie, ze w
czasie wpisywania znaki sie nie pokazuja
https://www.w3schools.com/tags/att_input_type_passwo
rd.asp

No i przegladarka przechowuje te hasla, i wcale nie zahaszowane
jednostronnie, wiec masz kolejna dziure w bezpiecenstwie.

>>>> Albo nie przejmuja, tylko zakladaja :-)
>>> Co im to da, jeśli przeglądarka nie wypuści hasła.
>> No, beda mogli sobie zgromadzic wiele odpowiedzi na rozne salty.
>> i moze podpasuje im do jakiegos innego systemu ... choc jak salt
>> bedzie dlugi, to moze byc wystarczajaco niemozliwe.

>Powinno być wystarczająco niemożliwe. Poza tym salt może też być dla
>każdego klienta inny, generowany na podstawie jakichś danych danego
>sklepu i jawnego loginu klienta.

Tylko, zeby sie nie okazalo, ze zawsze taki sam, to mozna podsluchac i
uzyc w przyszlosci.

Dodatkowe szyfrowanie przez HTTPS powinno temu zapobiec ...

J.

do góry