«Сейчас браузеры запоминают мой пароль так, что не мне приходится его каждый раз вручную вводить.» компрометация устройства/браузера приводит к доступу ко всем вашим учетным записям. Просто подумайте сколько времени после обнаружения компрометации вам понадобится чтобы поменять все пароли? С данным подходом компрометация приложения/устройства максимум дает выигрыш в переборе. Но перебор не происходит моментально и с учетом защиты самих сайтов времязатратен — больше времени на смену паролей.
Открытость алгоритма тут не дает никакого выигрыша вообще. Открытость схемы(матрицы) же дает колоссальный выигрыш при переборе, но схему еще надо получить, например из зашифрованного ключом хранилища.
ЗЫ: А уж автозаполнение форм паролями полученными таким путем сделать не проблема в эпоху браузеров с плагинами.
Да, все так и есть. Точнее будет как с XML 2 имплементации: stream reader и DOM. Надеюсь на скорейшее появление в Qt. Чуть не забыл, за статью спасибо! :)
Простите, в мой комментарий можно читать сериализовали/десериализовали. Если я правильно понял вы использовали QJSON документ в своем приложении.
Просто если использовать QJSONDocument это несколько меняет подход, по скольку для десериализации в общем случае не обязательно строить полное дерево JSON документа как этой делает QJSONDocument(лишние накладные расходы). Я думал в Qt появился какой-то механизм который позволяет десериализовать JSON потоком.
Не понимаю причем тут 128 бит, если это на деле 32 ASCII символа -> 256 бит или вы запихиваете сайту бинарные данные?:) Только вот если при брутфорсе знать про md5 то словарь сокращается до 16 слов, что далеко не прибавляет ему криптостойкости. Впрочем как и при раскрытии матрицы в методе описанном в статье.
у md5 есть недостаток — отсутствие, например, спецсимволов и верхнего регистра, которые зачастую являются обязательным условием для регистрации в ресурсе.
Если не секрет, а чем именно вы сериализовали в Qt? Я не помню, чтобы там был соответствующий функционал, заглянул в документацию вроде только парсеры.
Мой диплом как раз заключался в проектировании библиотек/приложении(инженерная специальность), которое я написал для десктопа и андроида. Оно копировало пароль в буфер обмена(заведомо предполагая, что к буферу обмена система просто так доступ не дает) и после чего например в браузере вы можете вставить его в поле ввода паролей. В случае с менеджером паролей злоумышленнику надо знать только пароль от самого менеджера. Со схемой которая описана выше, ему надо знать методику по которой вы «именуете» ресурсы на которых планируете вводить пароль.
Надо еще конечно почитать оригинал, но помимо «признака» я примешивал стандартный пароль в качестве «соли», это дает чуть большую степень защиты при несанкционированном доступа к самим схемам(матрицам).
Кусок моего диплома 2011 года, 1 в 1 :) Криптоустойчивость таких паролей очень низкая, а при раскрытии матрицы дает очень плачевный доступ к быстрому брутфорсу. Но преимуществом является машинонезависимость при наличии схемы(матрицы) и понимания алгоритма, и «генерация» паролей с заданной сложностью(наличие спецсимволов/цифр/букв, длина, уникальность)
У меня дома сервер сделанный из samsung NC10. Для файлоскладирования и git'а вполне годится, если влить туда 2-3 гига опертивки. Единственная проблема это подключение дополнительных жестких дисков. Но пока мне хватает и того что был в почившем нетбуке. Для работы 24/7 вполне годится и не кушает слишком много электроэнергии. Раньше был собранный из старого десктопа основанный P4, счета за электроэнергию не радовали. Чуть не забыл, вместо бесперебойника родная батарейка :)
Никогда не понимал, зачем ротаторы и джойстики приводят к какому-нибудь mouse/keyboard-like устройству для последующей работы с ним в Qt. Обычно на том конце все равно висит до мозга костей кастомный обработчик, который обрабатывает подобного рода евенты для перемещения фокуса например. Я бы сделал свой собственный RotaryEvent определил бы в нем direction, value(можно еще velocity например если драйвер и устройство умеют). С QPA это делается так же легко как и с QWS :)
Насчет неспешного обновления вы немного не правы. Сообщество очень даже вливается на мейнлайн, но это сообщество, а не производтель SoC. Но основной занозой остается OpenGL стэк Mali, который кроме как от ARM и Allwinner ни от кого получить нереально :(
Allwinner косячат, причем очень жестко. Поддержка софта чуть больше чем никакая. Очень расстраивают они меня. Взял в свое время Cubieboard все отлично и сдорово, но кроме пристарелого sunxi(читай ядро линукс) и андроида на нее скастомизировать что либо тяжело. Написал в службу поддержки с просьбой дать обновленный OpenGL стэк, пока молчат :( Просто для всех кто решил принеприменно прикупить себе такую. А так девайс более чем достойный за 15$.
Открытость алгоритма тут не дает никакого выигрыша вообще. Открытость схемы(матрицы) же дает колоссальный выигрыш при переборе, но схему еще надо получить, например из зашифрованного ключом хранилища.
ЗЫ: А уж автозаполнение форм паролями полученными таким путем сделать не проблема в эпоху браузеров с плагинами.
Просто если использовать QJSONDocument это несколько меняет подход, по скольку для десериализации в общем случае не обязательно строить полное дерево JSON документа как этой делает QJSONDocument(лишние накладные расходы). Я думал в Qt появился какой-то механизм который позволяет десериализовать JSON потоком.