mboost-dp1
Fuldsides Microsoft popup reklame på newz?
Montago (498) skrev:apkat (493) skrev:
Er det noget du selv har fundet på?
AES kryptering: nej
at bruge pass som key: ja
En god tommelfingerregel er at hvis man ikke er ekspert i kryptologi så opfinder man ikke sine egne "smarte" metoder, fordi det "bare lige er smart det her - hvorfor har ingen tænkt på det?".
Montago (498) skrev:men i stedet for at påstå det giver dårlig sikkerhed, så fortæl mig da hvordan du bryder denne metode.
At jeg, med min meget begrænsede viden om kryptologi (såvel som matematik) ikke kan bryde det, betyder på ingen måde det er sikkert.
#492 & 498
Der skal naturligvis bruges random salt som er forskellig per brugers ellers er det meget skidt.
Med hensyn til sikkerhed, så må du overveje hvad du har mest tillid til:
* en anerkendt hashing algoritme som er designet til formålet og som diverse matematikere/dataloger har analyseret på i årevis uden at finde svagheder
* en hashing algoritme som er stykket sammen af noget beregnet til et helt andet formål og som der ikke lige var nogen på et tilfældigt web site der kunne se et problem ved
Der skal naturligvis bruges random salt som er forskellig per brugers ellers er det meget skidt.
Med hensyn til sikkerhed, så må du overveje hvad du har mest tillid til:
* en anerkendt hashing algoritme som er designet til formålet og som diverse matematikere/dataloger har analyseret på i årevis uden at finde svagheder
* en hashing algoritme som er stykket sammen af noget beregnet til et helt andet formål og som der ikke lige var nogen på et tilfældigt web site der kunne se et problem ved
Montago (499) skrev:
men ok... teknisk set gemmer jeg passwordet, så man i teorien kan bruteforce hver enkelt password hvorved man så FÅR passwordet ud igen.
...
hvis jeg gemte Hashværdien i stedet kunne man bruteforce med rainbowtables. Og ville aldrig kunne få fat i nogen passwords.
Jeg tror ikke at forskellen er så stor.
Hvis du finder et password med samme hash er der nok i praksis meget stor sandsynlighed for at det er det originale password (ihvertfald med rimeligt korte passwords).
myplacedk (500) skrev:Og man gemmer ikke passwords! Man gemmer hashes af passwords!
Hans forslag kan godt betragtes som en hash.
myplacedk (500) skrev:Det er vist gang på gang, at sådan fungerer sikkerhed ikke. Man kan ikke bare fyre et eller andet af som hverken en selv eller sine venner kan se noget hul i, og så tro det er i orden.
Jep.
Montago (498) skrev:men i stedet for at påstå det giver dårlig sikkerhed, så fortæl mig da hvordan du bryder denne metode.
Problemet er, at du bruger krypteringen som en hashfunktion, og jeg (og andre) er ikke overbevist om at det er en kryptografisk hashfunktion (dvs. at algoritmen er velegnet til kryptografisk hashing - nogle hashfunktioner har matematiske sårbarheder, som letter et angreb).
Derfor er din hjemmelavede metode potentielt sårbar overfor angrebstyper ingen af os umiddelbart kan overskue.
Og derfor er det meget bedre at bruge de gængse metoder som er blåstemplet af kryptografiske eksperter.
arne_v (502) skrev:Der skal naturligvis bruges random salt som er forskellig per brugers ellers er det meget skidt.
hjælper det noget?
jeg er jo nødt til at gemme saltet sammen med brugerens AES Passowrd.
#498
Artiklen fortæller præcis det som jeg siger, at man kan bryde hashede password, såvel som krypterede.
#505, #501
det er RFC 2898, ikke noget jeg selv har fundet på
public static string Encrypt(string seed, string password, string input)
{
if (seed.Length < 8)
throw new ArgumentOutOfRangeException("The seed must be at least 8 characters long");
byte[] bArr1 = Encoding.UTF8.GetBytes(input);
byte[] bArr2 = Encoding.UTF8.GetBytes(seed);
Rfc2898DeriveBytes rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, bArr2);
AesManaged aesManaged = new AesManaged();
aesManaged.BlockSize = aesManaged.LegalBlockSizes[0].MaxSize;
aesManaged.KeySize = aesManaged.LegalKeySizes[0].MaxSize;
aesManaged.Key = rfc2898DeriveBytes.GetBytes(aesManaged.KeySize / 8);
aesManaged.IV = rfc2898DeriveBytes.GetBytes(aesManaged.BlockSize / 8);
ICryptoTransform icryptoTransform = aesManaged.CreateEncryptor();
MemoryStream memoryStream = new MemoryStream();
CryptoStream cryptoStream = new CryptoStream(memoryStream, icryptoTransform, CryptoStreamMode.Write);
cryptoStream.Write(bArr1, 0, bArr1.Length);
cryptoStream.Flush();
cryptoStream.FlushFinalBlock();
//cryptoStream.Close();
memoryStream.Position = 0;
memoryStream.Length.Dump();
return Convert.ToBase64String(memoryStream.ToArray());
}
Montago (510) skrev:hah... #509
du er et certificat :D
Er jeg et cert o_O
Hold da kæft jeg skal fucke med NemID i aften så :D
@Montago
Hvad er fordelen ved at kryptere passwords med sig selv som nøgle ?
Du kan jo alligevel ikke få fat i passwordet, hvis en bruger har glemt det, hvilket jeg troede var den oprindelige årsag til at kryptere dem.
Tænk engang, hvis du ved at bruge samme krypteringsnøgle og dekrypteret data skaber en slags symmetri i det krypterede data, som kan bruges til at finde passwordet. - Mattematik på højere end mit plan.
Hvis du både tilsætter en random-bruger-unik salt og en site salt, skulle du være ret godt sikret mod rainbow tables.
Med et site salt, er det ikke nok med database adgang. Man skal også have site saltet, som kræver adgang til site sovsen, hvor i salten findes.
Bruger saltet og checksumen vil fx. begge være tilgængelige i en database backup fil.
Hvad er fordelen ved at kryptere passwords med sig selv som nøgle ?
Du kan jo alligevel ikke få fat i passwordet, hvis en bruger har glemt det, hvilket jeg troede var den oprindelige årsag til at kryptere dem.
Tænk engang, hvis du ved at bruge samme krypteringsnøgle og dekrypteret data skaber en slags symmetri i det krypterede data, som kan bruges til at finde passwordet. - Mattematik på højere end mit plan.
Hvis du både tilsætter en random-bruger-unik salt og en site salt, skulle du være ret godt sikret mod rainbow tables.
Med et site salt, er det ikke nok med database adgang. Man skal også have site saltet, som kræver adgang til site sovsen, hvor i salten findes.
Bruger saltet og checksumen vil fx. begge være tilgængelige i en database backup fil.
Jeg kan godt lide at alle går så sindssyg meget op i at password bliver gemt og beskyttet så overdrevet godt at selv NSA, FBI og CIA giver op..
Men hvad jeg gør med alle de andre data er i komplet ligeglade med..
Email står jo som klar tekst sammen med alle andre data som bliver indtastet af brugeren selv...
hehehohoHOHO MUHAHAHAHAHAHAHA RARAARA A HAHAHAHAHAH !!!!
Men hvad jeg gør med alle de andre data er i komplet ligeglade med..
Email står jo som klar tekst sammen med alle andre data som bliver indtastet af brugeren selv...
hehehohoHOHO MUHAHAHAHAHAHAHA RARAARA A HAHAHAHAHAH !!!!
Montago (513) skrev:Jeg kan godt lide at alle går så sindssyg meget op i at password bliver gemt og beskyttet så overdrevet godt at selv NSA, FBI og CIA giver op..
Men hvad jeg gør med alle de andre data er i komplet ligeglade med..
Email står jo som klar tekst sammen med alle andre data som bliver indtastet af brugeren selv...
hehehohoHOHO MUHAHAHAHAHAHAHA RARAARA A HAHAHAHAHAH !!!!
Jeg er glad for at det er dig som der står for projektet.
Montago (513) skrev:Jeg kan godt lide at alle går så sindssyg meget op i at password bliver gemt og beskyttet så overdrevet godt at selv NSA, FBI og CIA giver op..
Man kan vel lige så godt gøre det ordenligt første gang.
Montago (513) skrev:Men hvad jeg gør med alle de andre data er i komplet ligeglade med..
Er jeg ikke.
Montago (513) skrev:Email står jo som klar tekst sammen med alle andre data som bliver indtastet af brugeren selv...
:(
Montago (513) skrev:hehehohoHOHO MUHAHAHAHAHAHAHA RARAARA A HAHAHAHAHAH !!!!
wat?
Montago (513) skrev:Jeg kan godt lide at alle går så sindssyg meget op i at password bliver gemt og beskyttet så overdrevet godt at selv NSA, FBI og CIA giver op..
Der har jo været en del sager med lækkede passwords på det sidste, så selvfølgelig er emnet hot.
Montago (513) skrev:Men hvad jeg gør med alle de andre data er i komplet ligeglade med..
Næh.
Men du har jo ikke postet noget information om hvordan du håndterer andre data så svært at kommentere på.
Montago (513) skrev:Email står jo som klar tekst sammen med alle andre data som bliver indtastet af brugeren selv...
Data som brugerne forventer beskyttet bør krypteres.
Men i modsætning til password har du behov for at kunne få originale data frem igen.
#513
Det er fordi det kraever stort set ingenting at gemme et password korrekt i dag.
Metoderne er beskrevet utallige steder med do's and don'ts.
Do it right, or don't make apps.
Det tror jeg naeppe der er nogen her der er ligeglade med, men det er langt fra saa kritisk som passwords.
Ja. Ofte er det fint naar du ikke gemmer CPR nummer, etc.
Eller hvis du bare laver facebook-auth (fx) saa gemmer du bare email og password, saa ligger resten jo hos facebook.
Jeg kan godt lide at alle går så sindssyg meget op i at password bliver gemt og beskyttet så overdrevet godt at selv NSA, FBI og CIA giver op..
Det er fordi det kraever stort set ingenting at gemme et password korrekt i dag.
Metoderne er beskrevet utallige steder med do's and don'ts.
Do it right, or don't make apps.
Men hvad jeg gør med alle de andre data er i komplet ligeglade med..
Det tror jeg naeppe der er nogen her der er ligeglade med, men det er langt fra saa kritisk som passwords.
Email står jo som klar tekst sammen med alle andre data som bliver indtastet af brugeren selv...
Ja. Ofte er det fint naar du ikke gemmer CPR nummer, etc.
Eller hvis du bare laver facebook-auth (fx) saa gemmer du bare email og password, saa ligger resten jo hos facebook.
Når sitet bliver lanceret, foreslår jeg at vi laver en kæmpe kampagne, specielt her på newz. Har vi ikke råd til at købe en reklameplads, så vi får en fuldsides pop-up reklame, der fortæller om fordele ved at hoppe over til os.
"Er DU klar til fremtidens IT-nyheder? PS. vi lover, at Claes Bang ikke kommer"
"Er DU klar til fremtidens IT-nyheder? PS. vi lover, at Claes Bang ikke kommer"
#521 Man burde købe en fuldsides reklame:
"Træt af irriterende fuldsides reklamer som denne? Dem ser du ikke hos os."
"Træt af irriterende fuldsides reklamer som denne? Dem ser du ikke hos os."
Kan ikke overskue om det er blevet besvaret før, men hvad skal betale for driften af IT Storm? Adwords?
#524
Jeg laver en donor knap hvor du kan sende nyrer, hjerte og benmarv afsted til driften...
har jeg forresten fortalt at serveren er af mærket Zerg tech ?
Jeg laver en donor knap hvor du kan sende nyrer, hjerte og benmarv afsted til driften...
har jeg forresten fortalt at serveren er af mærket Zerg tech ?
trylleklovn (522) skrev:#521 Man burde købe en fuldsides reklame:
"Træt af irriterende fuldsides reklamer som denne? Dem ser du ikke hos os."
newz kunne lære noget af Spotify. Det er jo præcis, det de siger i deres reklamer - betal eller få reklamer mellem dine sange. Og folk køber jo lortet; jeg kender masser med et Premium-abonnement.
Som newz-betaler kunne man måske endda få en velfungerende mobilversion med i pakken. newz Premium burde være vejen frem, men lytter I?
Snart er Newz totalt solgt til Microsoft...
Nu de satme også begyndt at lægger reklamer på i form af nyheder !
det bliver mere og mere klamt det her site....
Nu de satme også begyndt at lægger reklamer på i form af nyheder !
det bliver mere og mere klamt det her site....
Jeg vil hellere end gerne hjælpe med vedligehold! Men kan dog ikke selv kode fra bunden i andet end HTML (dvs, skal have et template til asp/php osv)
#hashing via AES encrypt med sig selv som key
Der er ihvertfald en mindre heldig egenskab ved ideen.
For AES gælder det generelt at:
1-16 byte input => 16 byte output
17-32 byte input => 32 byte output
Med et 8 byte prefix/seed/salt foran password betyder det at:
1-8 byte password => 16 byte output
9-24 byte password => 32 byte output
D.v.s. at det er nemt at se hvilke passwords der er så korte at brute force kan være en mulighed.
Der er ihvertfald en mindre heldig egenskab ved ideen.
For AES gælder det generelt at:
1-16 byte input => 16 byte output
17-32 byte input => 32 byte output
Med et 8 byte prefix/seed/salt foran password betyder det at:
1-8 byte password => 16 byte output
9-24 byte password => 32 byte output
D.v.s. at det er nemt at se hvilke passwords der er så korte at brute force kan være en mulighed.
#532
Kunne man ikke i teorien løse det problem med padding?
Selvom jeg ikke kan se pointen i at bruge AES til noget det ikke er beregnet til, istedet for at benytte fx SHA256 e.l. (så længe du ikke bruger SHA1 eller MD5, de er begge usikre).
#531, #527
Ville gerne hjælpe, men som andre har påpeget så lukker du lidt dig selv inde ved at vælge et lukke framework, og en lukket udviklingsmodel.
Desværre kan wikidot åbenbart ikke lide os, men der må være andre, mere åbne løsninger.
Kunne man ikke i teorien løse det problem med padding?
Selvom jeg ikke kan se pointen i at bruge AES til noget det ikke er beregnet til, istedet for at benytte fx SHA256 e.l. (så længe du ikke bruger SHA1 eller MD5, de er begge usikre).
#531, #527
Ville gerne hjælpe, men som andre har påpeget så lukker du lidt dig selv inde ved at vælge et lukke framework, og en lukket udviklingsmodel.
Desværre kan wikidot åbenbart ikke lide os, men der må være andre, mere åbne løsninger.
Du har "[kigget] en tekst hurtigt og overfladisk igennem for at danne sig et foreløbigt indtryk af dens indhold" meget grundigt. Javel.
Når først et site begynder at bruge den slags reklamer, så skriver jeg det site i min adblocker.
Det er jo så bare konsekvensen af den slags. Men lidt trist at det også skal sættes firewall op på min mobil til at blokkere den slags så den kan se siden overhovedet. Min tablet kan jeg da heldigvis godt komme uden om den med, men kun fordi dem har touchpad.
Og siden det åbenbart skal fortsætte med at komme den slags reklamer i ny og næ, så må Newz.dk fortsætte som en reklame fri side. Men siden det åbenbart kan løbe rundt, så er der åbenbart ikke et flertal der vil eller kan gøre som jeg gør.
Det er jo så bare konsekvensen af den slags. Men lidt trist at det også skal sættes firewall op på min mobil til at blokkere den slags så den kan se siden overhovedet. Min tablet kan jeg da heldigvis godt komme uden om den med, men kun fordi dem har touchpad.
Og siden det åbenbart skal fortsætte med at komme den slags reklamer i ny og næ, så må Newz.dk fortsætte som en reklame fri side. Men siden det åbenbart kan løbe rundt, så er der åbenbart ikke et flertal der vil eller kan gøre som jeg gør.
#532 #533 #537
skifter snart til Hash + Salt
-----------------
Update
- har ryddet lidt op i forumet og lavet en liste af tråde man deltager i
- har lavet om på email notifikationer så man kun får hvis man vil ha
- har fået HTML posting til at virke, så man kan post billeder, links og bruge fonte... (dog kun fed, italic og underline indtil videre)
tilføjer nok snart citering.
skifter snart til Hash + Salt
-----------------
Update
- har ryddet lidt op i forumet og lavet en liste af tråde man deltager i
- har lavet om på email notifikationer så man kun får hvis man vil ha
- har fået HTML posting til at virke, så man kan post billeder, links og bruge fonte... (dog kun fed, italic og underline indtil videre)
tilføjer nok snart citering.
#506
burde iøvrigt kunne laves som
ICryptoTransform icryptoTransform = aesManaged.CreateEncryptor();
MemoryStream memoryStream = new MemoryStream();
CryptoStream cryptoStream = new CryptoStream(memoryStream, icryptoTransform, CryptoStreamMode.Write);
cryptoStream.Write(bArr1, 0, bArr1.Length);
cryptoStream.Flush();
cryptoStream.FlushFinalBlock();
memoryStream.Position = 0;
return Convert.ToBase64String(memoryStream.ToArray());
burde iøvrigt kunne laves som
ICryptoTransform icryptoTransform = aesManaged.CreateEncryptor();
return Convert.ToBase64String(icryptoTransform.TransformFinalBlock(bArr1, 0, bArr1.Length));
#540
cool, det er nu ikke mig som har skrevet koden... men det forsimpler da metoden :)
kan grunden til at bruge memorystream ikke være at øge mængden af data ? ByteArrays har det jo med at blive spist i visse bufferstørrelser.
cool, det er nu ikke mig som har skrevet koden... men det forsimpler da metoden :)
kan grunden til at bruge memorystream ikke være at øge mængden af data ? ByteArrays har det jo med at blive spist i visse bufferstørrelser.
Kæft hvor der allerede gået hippie i den, den ene kører solo og folk er efter ham for what ever reason. Det andet hold, havede lavet en tromme cirkel og har absolut intet opnået what so ever, de har ikke engang styr på hvem der kommer med hashen til jam festen.
Det er typisk sådan nogle ting, man vil så meget godt, men det ender med snak og lidt kage. Det ligner fuldslædning den diskussion der var på kollegium jeg boede på, vi ville ha en blåplads, efter en ugen var vi nået frem til hvor den skulle ligge(3 valgmuligheder), afstemning bum. Men fuck da ikke om hele projektet dør på hvilket underlag der skulle være, om det skulle være perlesten eller græs!!, der går så tit alt for meget hippie i lortet i dag.
Det er typisk sådan nogle ting, man vil så meget godt, men det ender med snak og lidt kage. Det ligner fuldslædning den diskussion der var på kollegium jeg boede på, vi ville ha en blåplads, efter en ugen var vi nået frem til hvor den skulle ligge(3 valgmuligheder), afstemning bum. Men fuck da ikke om hele projektet dør på hvilket underlag der skulle være, om det skulle være perlesten eller græs!!, der går så tit alt for meget hippie i lortet i dag.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- newz.dk
Gå til bund