Я понял, что вы знаете о макро в доте. А микро?
Что лучше — добить пару своих крипов или одного чужого? Беречь ближний койл? Стоит ли отводить крипов за вышку или под вышку? Вражеский герой пошел проверять руну — идти биться или проверить другую сторону. Бот эти вопросы так или иначе решает. Не за счёт реакции.
Отвечу тезисно.
1) Открытый исходный код != безопасный
2) То, что я могу что-то прошить не означает, что в этом устройстве нет закладок.
3) Ваше опровержение строится на том факте, что вы не написали такую логику? Я так понимаю, что вы гарантируете отсутствие ВООБЩЕ ЛЮБЫХ ошибок?
4) Безопасникам давно известно, что сумма безопасности у удобства величина постоянная. Если у вас повышается удобство использование двери, то несложно догадаться что происходит с безопасностью.
Я рад, что к вопросам безопасности вы относитесь серьезно. Но про повышение взломостойкости не говорю даже я в своей статье. Мои мысли только о том, как бы ее не понизить.
А загрузчик тоже прошивать?
А прошивку модема тоже прошивать?
А как починить, если во время загрузки загрузчика рубануло напряжение?
А что делать, если 90% железячников пишет свой код, что его дай бог один единственный тулчейн на одной единственной платформе собирает.
Я перечитал ваш комментарий и на некоторые вопросы получил ответ.
На самом деле все дело только в удобстве. Мы обсуждаем ситуацию, что человек будет заниматься выстукиванием кода по двери и пришли уже к PUK-коду. Так недалеко и до PIN2, PUK2.
Вернемся к исходному тезису — добавлять аварийный режим опасно. То, что мы к нему наворачиваем и временные задержки и PUK по-моему только подтверждает это.
Сделать можно и защищенно, но это нетривиально.
1) Из контекста, имелась в виду разница в том, где обработка идет цифровых данных (конкретно байты кода) или аналоговых (постукивания). В аналоговом больше вариантов ошибиться зная код (недостаточно сильно стукнуть или замешкавшись сделать большую паузу).
2) Поскольку аварийный режим используется при потере меток и подобных событиях, то он считается изначально включенным. Или как система узнает, что хозяин потерял.
Если нет обратной связи, то как хозяин узнает, что он ввел все корректно?
PIN и PUK вроде на симках, а не типичных screenlock'ах только пин, и если оно заблокировалось, то извольте ждать.
1) В цифровых системах допустимо. А в аналоговых вы больше создадите проблем реальному пользователю.
2) Злоумышленник придет и будет колотить в дверь 5 минут подряд. Настоящий хозяин квартиры не сможет попасть в нее ближайшее 100 лет?
Прошу прощения. Из вашего комментария я заметил одну вещь, о которой не сразу подумал. Под опытным барабанщиком я понимал не человека с музыкальным слухом (что он услышит код), а человека который может четко и быстро «выстучать» любой нужный ему ритм и последовательность ударов.
Расчет для длины 7 в соседней ветке. Для вашей длины в 18 символов, конечно перебор условно бесконечный. Но повторю из той же ветки:
Вы понимаете, что если ваше условие будет выстучать симфонию за 3 секунды, то уже человек вряд ли сможет такой код ввести?
У вас алфавит кода из 3 символов (0 — короткий импульс, 1 — длинный импульс, 2 — подождать секунду).
Указанный вами пароль 0012211 — 7 символов. Всего 3^7 = 2187 вариантов. Проверка варианта в худшем случае занимает 7 секунд. Это 15309 секунд, что чуть больше 4 часов. А теперь поймем, что средний вариант будет за половину времени, и что только один вариант занимает 7 секунд, а все остальные строго меньше.
Даю вашему паролю около часа на подбор.
В статье указано, что кроме фиксации «версии компилятора и линковщика» нужно взять еще кучу параметров сборки, и дополнительно ручками смотреть бинарный дифф.
Задача не элементарная а решение, которое вы предложили, поверхностно.
Что лучше — добить пару своих крипов или одного чужого? Беречь ближний койл? Стоит ли отводить крипов за вышку или под вышку? Вражеский герой пошел проверять руну — идти биться или проверить другую сторону. Бот эти вопросы так или иначе решает. Не за счёт реакции.
1) Открытый исходный код != безопасный
2) То, что я могу что-то прошить не означает, что в этом устройстве нет закладок.
3) Ваше опровержение строится на том факте, что вы не написали такую логику? Я так понимаю, что вы гарантируете отсутствие ВООБЩЕ ЛЮБЫХ ошибок?
4) Безопасникам давно известно, что сумма безопасности у удобства величина постоянная. Если у вас повышается удобство использование двери, то несложно догадаться что происходит с безопасностью.
Я рад, что к вопросам безопасности вы относитесь серьезно. Но про повышение взломостойкости не говорю даже я в своей статье. Мои мысли только о том, как бы ее не понизить.
А прошивку модема тоже прошивать?
А как починить, если во время загрузки загрузчика рубануло напряжение?
А что делать, если 90% железячников пишет свой код, что его дай бог один единственный тулчейн на одной единственной платформе собирает.
На самом деле все дело только в удобстве. Мы обсуждаем ситуацию, что человек будет заниматься выстукиванием кода по двери и пришли уже к PUK-коду. Так недалеко и до PIN2, PUK2.
Вернемся к исходному тезису — добавлять аварийный режим опасно. То, что мы к нему наворачиваем и временные задержки и PUK по-моему только подтверждает это.
Сделать можно и защищенно, но это нетривиально.
2) Поскольку аварийный режим используется при потере меток и подобных событиях, то он считается изначально включенным. Или как система узнает, что хозяин потерял.
Если нет обратной связи, то как хозяин узнает, что он ввел все корректно?
PIN и PUK вроде на симках, а не типичных screenlock'ах только пин, и если оно заблокировалось, то извольте ждать.
2) Злоумышленник придет и будет колотить в дверь 5 минут подряд. Настоящий хозяин квартиры не сможет попасть в нее ближайшее 100 лет?
Вы понимаете, что если ваше условие будет выстучать симфонию за 3 секунды, то уже человек вряд ли сможет такой код ввести?
Указанный вами пароль 0012211 — 7 символов. Всего 3^7 = 2187 вариантов. Проверка варианта в худшем случае занимает 7 секунд. Это 15309 секунд, что чуть больше 4 часов. А теперь поймем, что средний вариант будет за половину времени, и что только один вариант занимает 7 секунд, а все остальные строго меньше.
Даю вашему паролю около часа на подбор.
Задача не элементарная а решение, которое вы предложили, поверхностно.
2) Он уже открыл дверь, что еще надо?