Ох не стал бы я генерировать пары ключей на чужом сервере. Паранойя конечно, но кто помешает им теперь подписывать почту вашим ключом? Или продать ключ кому-то другому?
openssl.exe genrsa -out tstpriv.pem 1024 — генерим секретный ключ (1024 — длина ключа).
openssl.exe rsa -pubout -in tstpriv.pem -out tstpub.pem — получаем публичный ключ из секретного
Не знаю, как там мировые практики, а на Украинских АЭС всё критическое управление вынесено в железо (при чем, местами ещё встречается логика на реле). На виндах там только некритичный мониторинг и сбор статистики.
Точнее, даже не реализацию, а некорректное использование. Да ещё и с сигнализацией ошибки паддинга (согласно PKCS#5). Т.е. если ваш сервер будет прямо говорить, что в зашифрованных данных ошибка паддинга — то да, его взломают.
А собственно кто-то читал статью по ссылке? Там вообще то описан метод расшифровки и шифрования данных, не имея ключа, а ориентируясь исключительно по ответам сервера. Каким образом из этого можно получить ключ — для меня неясно.
Кроме того для расшифровки/шифрования одного блока нужно выполнить 128*(размер блока) запросов к серверу. Это первое.
Второе: метод не зависит от выбранного алгоритма шифрования. Зато зависит от режима шифрования (потому что все используют CBC и надеются таким образом обеспечить не только шифрование но и подлинность данных). Если бы использовали CBC совместно с MAC подписью — таких проблем не было бы.
Учитывая, что и AES и 3DES — блочные шифры, нет разницы, какой из них использовать. .NET всё равно будет использовать режим шифрования CBC для подтверждения подлинности кук.
В общем, проблема действительно есть, но не та, которая описана в статье.
набор функций, которые мы должны реализовать, чтобы позволить заданному уровню опыта создавать требуемые ценности, отвечающие целям подразделения.
Папа, с кем ты только что разговаривал? (с)
Нет, я кажется понял что здесь написано. Но на уровне интуиции.
Почему-то оно мне напомнило тексты саентологов. Тоже куча красивых слов, которые плохо поддаются пониманию.
[Зануда MODE ON]
На самом деле таким девайсом будет очень сложно уничтожить информацию с накопителя. Размер собственно кристала памяти — около 13х13мм. Все остальное — это просто корпус и разводка на ножки микросхемы. Так что даже если покорежить корпус микросхемы — при большом желании можно попытаться вырезать кристалл и подключиться к нему напрямую.
[Зануда MODE OFF]
Правда, это уже сюжет боевика про шпионов :)
Но всё равно — надежнее запихнуть в микроволновку.
Или убедиться, что микросхема памяти разломана ровно пополам.
Ну наверное мы мыслим немного по разному.
Я понимаю, что психологически — почти не видно разницы между $300 и $305. И человек, даже решив, что больше $300 не потратит, всё равно будет делать ставку на $305. А потом на $306, $310, $315 (ведь почти уже выиграл девайс своей мечты!). Азарт-с.
Но, мне кажется, что аукцион — не место для азарта. Ибо деньги то свои, кровные. Не купил за $300 в этот раз, куплю за $240 в следующий.
Что наша жизнь? Игра…
Кстати, всё никак не могу понять, зачем использовать снайперы, если есть п.4 (ebay сам делает ставки)?
Т.е. если я готов потратить на телефон $300 и ни центом больше — я сделаю ставку на $300. Выиграю за меньшую сумму — хорошо. Мою ставку побьют — что ж, значит побили бы в любом случае.
Зачем тогда использовать снайпер? Он за 3 секунды до конца аукциона сделает мою ставку $300, но тут оказалось, что кто-то другой ещё позавчера поставил $310. Я в любом случае не выигрываю лот. Что со снайпером, что без.
Большая нагрузка на сервер и канал. Это же придется перекачивать все картинки через свой сервер. Уж лучше открыть собственной картинкохранилище для нужд сайта, как на dirty.ru, например.
А по моему — очень даже хорошо. У вас часто возникают задачи хранения разных логически несвязанных типов в одной переменной?
Если ввести в C++ динамическую типизацию — это получится совсем другой язык.
упс, не дописал :(
Так вот, что бы компилятор запихнул в .conststring надо сделать вообще вот так:
static const char *s = «ABCD»;
Ибо в другом случае я могу по дурости передать ссылку на строку за пределы модуля, а что там будет с ней — одному Б-гу известно.
Немного параноидально, но в целом правильно. Это конечно же относится к C. В C++ было бы по другому.
openssl.exe genrsa -out tstpriv.pem 1024 — генерим секретный ключ (1024 — длина ключа).
openssl.exe rsa -pubout -in tstpriv.pem -out tstpub.pem — получаем публичный ключ из секретного
Кроме того для расшифровки/шифрования одного блока нужно выполнить 128*(размер блока) запросов к серверу. Это первое.
Второе: метод не зависит от выбранного алгоритма шифрования. Зато зависит от режима шифрования (потому что все используют CBC и надеются таким образом обеспечить не только шифрование но и подлинность данных). Если бы использовали CBC совместно с MAC подписью — таких проблем не было бы.
Учитывая, что и AES и 3DES — блочные шифры, нет разницы, какой из них использовать. .NET всё равно будет использовать режим шифрования CBC для подтверждения подлинности кук.
В общем, проблема действительно есть, но не та, которая описана в статье.
Папа, с кем ты только что разговаривал? (с)
Нет, я кажется понял что здесь написано. Но на уровне интуиции.
Почему-то оно мне напомнило тексты саентологов. Тоже куча красивых слов, которые плохо поддаются пониманию.
На самом деле таким девайсом будет очень сложно уничтожить информацию с накопителя. Размер собственно кристала памяти — около 13х13мм. Все остальное — это просто корпус и разводка на ножки микросхемы. Так что даже если покорежить корпус микросхемы — при большом желании можно попытаться вырезать кристалл и подключиться к нему напрямую.
[Зануда MODE OFF]
Правда, это уже сюжет боевика про шпионов :)
Но всё равно — надежнее запихнуть в микроволновку.
Или убедиться, что микросхема памяти разломана ровно пополам.
Я конечно не большой специалист в SEO, но разве это не будет считаться клоакингом, со всеми вытекающими?
Я понимаю, что психологически — почти не видно разницы между $300 и $305. И человек, даже решив, что больше $300 не потратит, всё равно будет делать ставку на $305. А потом на $306, $310, $315 (ведь почти уже выиграл девайс своей мечты!). Азарт-с.
Но, мне кажется, что аукцион — не место для азарта. Ибо деньги то свои, кровные. Не купил за $300 в этот раз, куплю за $240 в следующий.
Что наша жизнь? Игра…
Т.е. если я готов потратить на телефон $300 и ни центом больше — я сделаю ставку на $300. Выиграю за меньшую сумму — хорошо. Мою ставку побьют — что ж, значит побили бы в любом случае.
Зачем тогда использовать снайпер? Он за 3 секунды до конца аукциона сделает мою ставку $300, но тут оказалось, что кто-то другой ещё позавчера поставил $310. Я в любом случае не выигрываю лот. Что со снайпером, что без.
Если ввести в C++ динамическую типизацию — это получится совсем другой язык.
Так вот, что бы компилятор запихнул в .conststring надо сделать вообще вот так:
static const char *s = «ABCD»;
Ибо в другом случае я могу по дурости передать ссылку на строку за пределы модуля, а что там будет с ней — одному Б-гу известно.
Немного параноидально, но в целом правильно. Это конечно же относится к C. В C++ было бы по другому.