Да, достаточно сложный вектор. Но он, например, стал одной из важных ступенек для взлома Nvidia Tegra X1 (и в последствии Nintendo Switch =)). Там с помощью глитчинга сдампили «секретный» IROM, а уже потом нашли в нём уязвимость.
Скорее всего речь про glitching — понижение напряжения питания, которое приводит к недозарядке затворов внутри CMOS микросхемы и может привести к разным интересным последствиям: пропуск инструкций, арифметические ошибки… Ну и обычный краш =)
Тут идёт речь про усложнение атаки. Даже если нашли XSS, чтобы с ним что-то сделать недостаточно будет просто слить куки. Не стоит строить безопасность с одним «фронтом».
На самом деле речь идёт не о любом бесконечном цикле, а бесконечном цикле без side-эффектов, т. е. никак не меняющем состояние программы. Циклы же с side-эффектами вполне себе defined.
Да, пожалуй погорячился. Чтобы «взломать» одноразовый блокнот нужно иметь какой-то критерий говорящий о том, что расшифрованные данные — те, что надо. Без этого… у вас на руках будет страшное количество равноценных вариантов cleartext'a. Но всё ещё за конечное время =)
Но даже правильное применение хэш-функций при такой архитектуре не спасает паспортные данные от раскрытия, если противник имеет неограниченные ресурсы. Ведь человек получивший доступ к БД может за конечное время получить идентификаторы паспортов, т.к. проверка одного паспорта должна проходить конечное время.
Если противник имеет неограниченные ресурсы, то никакая криптография не работает. Все криптографические алгоритмы можно «взломать» за конечное время. Хорошие криптографические алгоритмы нельзя взломать за разумное время. Поэтому увеличение сложности вычисления хэшфункции с различными ухищрениями по усложнению распараллеливания (как делает PBKDF2, например) — достаточно разумный вариант улучшения этой программы с сохранением архитектуры.
Насколько я знаю, куки первым реализовал браузер Netscape, став стандартом де-факто. И у него действительно был файл (формат которого до сих пор используется), в котором он хранил куки.
Только если вы находясь в одной стране используете icloud зарегистрированный на номер в коде другой страны. Тогда брутить просто невозможно.
Это не совсем правда. Конечно, составить базу тут уже будет проблематично, но используя hashcat можно пробрутить весь 15-ти циферный диапазон на вполне пользовательской видеокарте (NVIDIA GeForce GTX 1060) за 8 дней. Вполне осуществимо, хотя уже и не так легко.
Не уверен насчёт полноразмерных компьютеров, но это точно работает на embedded устройствах. Они гораздо более предсказуемы. С них, например, можно сливать ключи шифрования RSA.
У авито достаточно параноидальный антифрод. Они сильно не хотят, чтобы к ним ходили парсеры, поэтому они банят IP, выделенные не под домашнее использование.
Потому что google — монополист и, обычно, государство заинтересовано в мерах по снижению доли монополиста на рынке.
Если противник имеет неограниченные ресурсы, то никакая криптография не работает. Все криптографические алгоритмы можно «взломать» за конечное время. Хорошие криптографические алгоритмы нельзя взломать за разумное время. Поэтому увеличение сложности вычисления хэшфункции с различными ухищрениями по усложнению распараллеливания (как делает PBKDF2, например) — достаточно разумный вариант улучшения этой программы с сохранением архитектуры.
Это не совсем правда. Конечно, составить базу тут уже будет проблематично, но используя hashcat можно пробрутить весь 15-ти циферный диапазон на вполне пользовательской видеокарте (NVIDIA GeForce GTX 1060) за 8 дней. Вполне осуществимо, хотя уже и не так легко.