Novice » Varnost » Uradna stran monera delila viruse, ki so kradli kriptovalute
poweroff ::
Se pravi je tukaj bistveno, da nam Certum (ali pa Microsoft) potrjuje, da je ta Stefan res Stefan.
OK, v primeru Janeza Novaka, ki ima svoj certifikat podpisan s strani države, pač vemo, da je ta Janez Novak res Janez Novak. Zakaj? Ker ga je država preverila. Moral je na upravno enoto, kjer je pokazal izkaznico.
Kako je pa v primeru Microsofta? Razvijalec pošlje svoje podatke? Izpisek iz poslovnega registra morda? Pa imajo povsod po svetu poslovne registre? Urejene matične knjige?
Kako Microsoft podpiše certifikat nekomu iz Afrike? Ali Republike Srbske?
To je tisto, kar je tukaj bistveno. In tega MrStein očitno ne razume.
OK, v primeru Janeza Novaka, ki ima svoj certifikat podpisan s strani države, pač vemo, da je ta Janez Novak res Janez Novak. Zakaj? Ker ga je država preverila. Moral je na upravno enoto, kjer je pokazal izkaznico.
Kako je pa v primeru Microsofta? Razvijalec pošlje svoje podatke? Izpisek iz poslovnega registra morda? Pa imajo povsod po svetu poslovne registre? Urejene matične knjige?
Kako Microsoft podpiše certifikat nekomu iz Afrike? Ali Republike Srbske?
To je tisto, kar je tukaj bistveno. In tega MrStein očitno ne razume.
sudo poweroff
darkolord ::
Microsoft ne podpisuje certifikatov razvijalcem. Ne vem zakaj še vedno vztrajaš pri tem.
Če hočeš, da bo certifikat povsod tretiran kot veljaven, ga mora podpisati eden izmed CA-jev, ki so privzeto v seznamu Trusted CA-jev. Če ne želiš, da ti npr. Windows SmartScreen teži, mora certifikat biti EV (Extended Validation), kjer je postopek preverjanja istovetnosti precej bolj strikten in se ga vsi po-defaultu-Trusted-CAji morajo zelo dobro držati, kar se tudi redno preverja, sicer tvegajo izločitev iz seznama (in propad).
Če hočeš, da bo certifikat povsod tretiran kot veljaven, ga mora podpisati eden izmed CA-jev, ki so privzeto v seznamu Trusted CA-jev. Če ne želiš, da ti npr. Windows SmartScreen teži, mora certifikat biti EV (Extended Validation), kjer je postopek preverjanja istovetnosti precej bolj strikten in se ga vsi po-defaultu-Trusted-CAji morajo zelo dobro držati, kar se tudi redno preverja, sicer tvegajo izločitev iz seznama (in propad).
Zgodovina sprememb…
- spremenilo: darkolord ()
MrStein ::
Ja, super, en naj ponaredi TSVN.exe, z veljavnim (vsaj navidez) in smo končali.
Pa še monero.exe (ali kak se fajl imenuje), da smo on topic.
Pa še monero.exe (ali kak se fajl imenuje), da smo on topic.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
SeMiNeSanja ::
Microsoft ne podpisuje certifikatov razvijalcem. Ne vem zakaj še vedno vztrajaš pri tem.
Če hočeš, da bo certifikat povsod tretiran kot veljaven, ga mora podpisati eden izmed CA-jev, ki so privzeto v seznamu Trusted CA-jev. Če ne želiš, da ti npr. Windows SmartScreen teži, mora certifikat biti EV (Extended Validation), kjer je postopek preverjanja istovetnosti precej bolj strikten in se ga vsi po-defaultu-Trusted-CAji morajo zelo dobro držati, kar se tudi redno preverja, sicer tvegajo izločitev iz seznama (in propad).
To je že res...ampak to je TEORIJA.
Še banke marsičesa ne uspevajo preverjati, država ne najde lastnikov podjetij, itd. itd. Kako pa naj nek EV s 100% zanesljivostjo preveri Janeza Novaka, da mu ni posredoval ponarejena dokazila o identiteti?
Pri drugih, 'manj striktnih' tipih validacije, pa imaš vse divje...od community do mailbox 'potrditev'. Imam certifikat za Gmail mail account, pa sem rabil samo potrditi mail, da je prispel na ta account. Če sem res Janez ali pa mogoče celo Pepca, pa ni nihče preveril.
Kot sem že prej enkrat rekel, je vse v ZAUPANJU. Nenazadnje se vsa stvar tako tudi imenuje 'Chain of Trust'... kdo komu zaupa in koliko.
A ne glede na vse - Kako naj jaz kot uporabnik XY vem, da je nek dll v resnici spisal Janez Novak, ne pa Lojze Mlinar, ki ga je 'požegnal' s svojim podpisom? Kako naj vem, da bi tisti dll moral biti podpisan od Janeza Novaka, da bi bil 'ta pravi'? Ne morem!
In kdo dejansko gre vsako komponento pregledovati in za vsako komponento ve, kdo bi moral biti njen avtor?
Če bi to bilo tako 'samoumevno' in enostavno, potem poleg download-a nebi nihče rabil objavljati hash-a. Problem je le, da tudi hash ni problem spremeniti na tistega od fake paketa, če si že tako daleč prišel, da si uspel fake paket naložiti.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
SeMiNeSanja ::
Ali mi lahko kdo razloži, kaj je s tem Jype-om narobe v njegovi glavi?
Jaz skozi celo temo eno reč govorim....on pa trola, kot da bi pisal čisto nekaj drugega. Ali je tip na tabletah in mu jih je zmanjkalo?
Prekleto mi preseda njegovo trolanje in osebno spodjebavanje - ob tem, da v celi temi razen enega linka, ki ga je naguglal ni dodal popolnoma nič drugega kot trolanje.
Jaz skozi celo temo eno reč govorim....on pa trola, kot da bi pisal čisto nekaj drugega. Ali je tip na tabletah in mu jih je zmanjkalo?
Prekleto mi preseda njegovo trolanje in osebno spodjebavanje - ob tem, da v celi temi razen enega linka, ki ga je naguglal ni dodal popolnoma nič drugega kot trolanje.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
kow ::
Ja, super, en naj ponaredi TSVN.exe, z veljavnim (vsaj navidez) in smo končali.
Pa še monero.exe (ali kak se fajl imenuje), da smo on topic.
Se vedno nisi odgovoril kako bos preprecil zlorabo s strani certuma? Kaj jim preprecuje, da naredijo certifikat z imenom stefan in zbuildajo in podpisejo TSVN.EXE?
jype ::
SeMiNeSanja je izjavil:
Ali mi lahko kdo razloži, kaj je s tem Jype-om narobe v njegovi glavi?Vedno je težava v glavah drugih, ko se ti motiš.
Si si že prebral, kako deluje kredibilno podpisovanje kode?
Zgodovina sprememb…
- predlagalo izbris: SeMiNeSanja ()
poweroff ::
Microsoft ne podpisuje certifikatov razvijalcem. Ne vem zakaj še vedno vztrajaš pri tem.
Če hočeš, da bo certifikat povsod tretiran kot veljaven, ga mora podpisati eden izmed CA-jev, ki so privzeto v seznamu Trusted CA-jev. Če ne želiš, da ti npr. Windows SmartScreen teži, mora certifikat biti EV (Extended Validation), kjer je postopek preverjanja istovetnosti precej bolj strikten in se ga vsi po-defaultu-Trusted-CAji morajo zelo dobro držati, kar se tudi redno preverja, sicer tvegajo izločitev iz seznama (in propad).
OK, kolikor vem, je Microsoft včasih (pred leti) dejansko podpisoval certifikate.
Se strinjam, da je postopek pri EV precej bolj strikten... ampak še enkrat. Ne pozabit, da je svet velik. V Evropi so zadeve še kolikor toliko urejene. Kaj pa Azija? Afrika? Tam ni (vsaj povsod ne) registrov podjetij, hell, še registrov prebivalstva nimajo.
sudo poweroff
MrStein ::
Kako si tehnično predstavljaš, da binary izračuna in preveri svoj hash, pri čemer moraš hash v binary zapisati na tak način, da bo končni hash točno enak tistemu, ki ga bo binary izračunal iz sebe?
Naloga za študenta prvega letnika. Bom čez pet minut, samo da do konca nova sporočila v temi preberem. (pa za jezik se odločim)
(govora je sicer bilo o podpisu, ampak.. korak po korak)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Kako si tehnično predstavljaš, da binary izračuna in preveri svoj hash, pri čemer moraš hash v binary zapisati na tak način, da bo končni hash točno enak tistemu, ki ga bo binary izračunal iz sebe?
Naloga za študenta prvega letnika. Bom čez pet minut, samo da do konca nova sporočila v temi preberem. (pa za jezik se odločim)
(govora je sicer bilo o podpisu, ampak.. korak po korak)
LOL, komaj čakam.
Hint: ko v samega sebe zapišeš hash, se hash tebe spremeni, pa saj to veš, ne?
sudo poweroff
MrStein ::
https://src.getmonero.org/resources/use...
(datoteka s hashi je podpisana)
Na download strani ni: https://web.getmonero.org/downloads/
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Facebook dev ::
Mrsteinu je ta koncept hashiranja in zapisivanja samega sebe vase malcek nejasen. In mu ni jasn, da je to zahtevna naloga.
jype ::
Ma, trivialno je: Dodajaš hashe, dokler ne prideš do tistega hasha, pri katerem ima datoteka z dodanim hashem enak hash, kot brez njega.
Pravi strokovnjaki računalniške znanosti razumejo, da je trak v turingovem stroju neskončen, koncept časa pa v teoriji itak sploh ne obstaja.
Pravi strokovnjaki računalniške znanosti razumejo, da je trak v turingovem stroju neskončen, koncept časa pa v teoriji itak sploh ne obstaja.
Facebook dev ::
Za fiksno izbiro hash funkcije, pa je verjetnost, da je problem neresljiv velika 1/e oziroma malo vec kot 30%.
jype ::
No, da ne bomo res samo neumnosti pisali, na, SeMiNeSanja, zahvališ se mi lahko pozneje: https://jisajournal.springeropen.com/ar...
MrStein ::
evo:
Seveda mu je jasno, da je za laike zahtevna naloga. Za računalničarje je to par minut dela.
PS: Če je tu kaj white space malo drugačen in seveda hash ne velja več, lahko dam zazipano nekam. Povejte kam.
Eh, pa še bug je: piše "prekinjam izvajanje1" namesto "prekinjam izvajanje!"
#!/bin/sh #282a4f6243830c5f1d8945aa52a9d884# # compute file hash hash=$(( head -c 11 $0 ; tail -c +44 $0 ) | md5sum | awk '{print $1}') echo izracunan hash je $hash # read stored hash ehash=$( head -c 43 $0 | tail -c 32 ) echo pricakovan hash je $ehash if [ "$hash" != "$ehash" ] then echo ni enako, prekinjam izvajanje1 exit fi echo vse zgleda OK, zacenjam izvajati program #do something echo danes je datum $(date)
Facebook dev je izjavil:
Mrsteinu je ta koncept hashiranja in zapisivanja samega sebe vase malcek nejasen. In mu ni jasn, da je to zahtevna naloga.
Seveda mu je jasno, da je za laike zahtevna naloga. Za računalničarje je to par minut dela.
PS: Če je tu kaj white space malo drugačen in seveda hash ne velja več, lahko dam zazipano nekam. Povejte kam.
Eh, pa še bug je: piše "prekinjam izvajanje1" namesto "prekinjam izvajanje!"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
jype ::
poweroff ::
O, LOL! Pa ti se norca delaš človek. Iz samega sebe.
Kot prvo - si sploh pognal tole skripto?
Kot prvo - si sploh pognal tole skripto?
sudo poweroff
MrStein ::
Vse kar jaz napišem, je preverjeno.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Torej, rečem takole:
In dobim hash:
Zdaj v MrSteinovi "skripti" zamenjam:
s temle:
In rečem spet:
Glej ga zlomka... hash je sedaj drugačen:
Zdaj,... tole lahko ponovim tisočkrat, pa bo vedno isto.
Je pa res, kar je rekel Jype... če tole vajo ponavljaš dovolj časa (in dodajaš še druge spremembe), boš mogoče celo prišel do kolizije in to bo uspelo.
md5sum has.sh
In dobim hash:
ceb79abf96ff19b6e5077118c54a7809 has.sh
Zdaj v MrSteinovi "skripti" zamenjam:
#282a4f6243830c5f1d8945aa52a9d884#
s temle:
#ceb79abf96ff19b6e5077118c54a7809#
In rečem spet:
md5sum has.sh
Glej ga zlomka... hash je sedaj drugačen:
acb43cfa9a31c9f27734d10b93e0377e has.sh
Zdaj,... tole lahko ponovim tisočkrat, pa bo vedno isto.
Je pa res, kar je rekel Jype... če tole vajo ponavljaš dovolj časa (in dodajaš še druge spremembe), boš mogoče celo prišel do kolizije in to bo uspelo.
sudo poweroff
MrStein ::
evo:Pohvalno, ampak hash žal ne ščiti samega sebe pred spremembami,
Seveda ščiti.
Torej sami kavč teoretiki, probal pa ni noben?
(nisem presenečen)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
kow ::
https://src.getmonero.org/resources/use...
(datoteka s hashi je podpisana)
Na download strani ni: https://web.getmonero.org/downloads/
Kako ni?
https://web.getmonero.org/downloads/has...
Facebook dev ::
Samo še nekaj. Tudi če bi v teoriji to naredil, problem je zahteven, ker je komputacijsko zahteven. Ne ker ga bi bilo težko implementirat.
Logika bi bila sledeča. Na koncu svojega filea bi po vrsti dodajal vsak možen hash in hashiral celotno datoteko. Če je izračunan hash enak temu, katerega si dodal, si končal.
To napisat je izjemno trivialno. Sedaj pa k komputacijskemu delu:
Verjetnost, da problem sploh ni rešljiv je 1/e. Pa recimo da je. Vseh možnih 16 mestnih hashev je 16^16 = 2^64 kar je priblizno 10^20. Za težjo nalogo ti pustim, da izračunaš kakšna je pričakovana vrednost hashov, ki jih je potrebno preverit, da boš končno našel kolizijo, ampak ta številka je ogromna. Četudi ti izračunaš 10^7 hashev na sekundo, ti bo vse skupaj vzelo ogromno časa. Pa si zamisli sedaj, da ti želiš "zakleniti" datoteko v primeru ko je problem nerešljiv. To pomeni, da boš moral naredit 10^20 hashiranj (ker boš moral iti čez vse in nič ne bo delovalo). Koliko časa bo tvoj program potreboval za to?
Logika bi bila sledeča. Na koncu svojega filea bi po vrsti dodajal vsak možen hash in hashiral celotno datoteko. Če je izračunan hash enak temu, katerega si dodal, si končal.
To napisat je izjemno trivialno. Sedaj pa k komputacijskemu delu:
Verjetnost, da problem sploh ni rešljiv je 1/e. Pa recimo da je. Vseh možnih 16 mestnih hashev je 16^16 = 2^64 kar je priblizno 10^20. Za težjo nalogo ti pustim, da izračunaš kakšna je pričakovana vrednost hashov, ki jih je potrebno preverit, da boš končno našel kolizijo, ampak ta številka je ogromna. Četudi ti izračunaš 10^7 hashev na sekundo, ti bo vse skupaj vzelo ogromno časa. Pa si zamisli sedaj, da ti želiš "zakleniti" datoteko v primeru ko je problem nerešljiv. To pomeni, da boš moral naredit 10^20 hashiranj (ker boš moral iti čez vse in nič ne bo delovalo). Koliko časa bo tvoj program potreboval za to?
Facebook dev ::
Glede zaščite bi se moral pa potencialni hacker potruditi ravno toliko kolikor si se ti. Torej spremeniti bi moral kodo in nato čekirati vse hashe in jih dodajati v datoteko, datoteko hashirati in preverjat, ali se hash ujema.
MrStein ::
Čestitam!
Facebook dev je ugotovil tisto, kar študenti prvega letnika že vedo: uporaba hash-ev kot zaščite pred manipulacijami je bedasta! (OK, nesmiselna)
Velja, če hash pride po isti poti kot payload.
Mimogrede, pravilna dolžina fajla je 433 bajtov, unix style newline.
Če ste drugače kopirali in javi, da vsebina ni pravilna, pomeni da... pravilno deluje!
Facebook dev je ugotovil tisto, kar študenti prvega letnika že vedo: uporaba hash-ev kot zaščite pred manipulacijami je bedasta! (OK, nesmiselna)
Velja, če hash pride po isti poti kot payload.
Mimogrede, pravilna dolžina fajla je 433 bajtov, unix style newline.
Če ste drugače kopirali in javi, da vsebina ni pravilna, pomeni da... pravilno deluje!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
poweroff ::
MrStein, prosim ne smeši več samega sebe.
Tisti tvoj džambo-mambo s head in tail naredi samo to, da pri hashiranju "odrežeš" ven vrstico s hashem in potem računaš hash nad ostalim.
To je seveda bullshit od "zaščite".
Odgovori raje na tole: https://slo-tech.com/forum/t755572/p652...
Kako boš rešil tale "glej ga zlomka" problem?
Tisti tvoj džambo-mambo s head in tail naredi samo to, da pri hashiranju "odrežeš" ven vrstico s hashem in potem računaš hash nad ostalim.
To je seveda bullshit od "zaščite".
Odgovori raje na tole: https://slo-tech.com/forum/t755572/p652...
Kako boš rešil tale "glej ga zlomka" problem?
sudo poweroff
jype ::
MrStein ::
Evo še base64 kodirano, da se ne lovite s copy paste:
Daj pol tako spremenjen program. Ni problema. Čakam.
Kaka magija pa bi preprečila, da zraven program.exe nepridipravi spremenijo še MDSUMS datoteko?
Čestitam tudi tebi!
(zdaj moraš samo še đajpa prepričat)
IyEvYmluL3NoCiMyODJhNGY2MjQzODMwYzVmMWQ4OTQ1YWE1MmE5ZDg4NCMKCiMgY29tcHV0ZSBm aWxlIGhhc2gKaGFzaD0kKCggaGVhZCAtYyAxMSAgJDAgOyB0YWlsIC1jICs0NCAkMCApIHwgbWQ1 c3VtIHwgYXdrICd7cHJpbnQgJDF9JykKCmVjaG8gaXpyYWN1bmFuIGhhc2ggamUgJGhhc2gKCiMg cmVhZCBzdG9yZWQgaGFzaAplaGFzaD0kKCBoZWFkIC1jIDQzICAkMCB8IHRhaWwgLWMgMzIgICkg CgplY2hvIHByaWNha292YW4gaGFzaCBqZSAkZWhhc2gKCmlmIFsgIiRoYXNoIiAhPSAiJGVoYXNo IiBdCnRoZW4KCWVjaG8gbmkgZW5ha28sIHByZWtpbmphbSBpenZhamFuamUxCglleGl0CmZpCgpl Y2hvIHZzZSB6Z2xlZGEgT0ssIHphY2VuamFtIGl6dmFqYXRpIHByb2dyYW0KCiNkbyBzb21ldGhp bmcKZWNobyBkYW5lcyBqZSBkYXR1bSAkKGRhdGUpCgoKCg==
Seveda ščiti.Ne, ne ščiti.
Daj pol tako spremenjen program. Ni problema. Čakam.
Facebook dev je ugotovil tisto, kar študenti prvega letnika že vedo: uporaba hash-ev kot zaščite pred manipulacijami je bedasta! (OK, nesmiselna)Ne, ni, ravno nasprotno.
Kaka magija pa bi preprečila, da zraven program.exe nepridipravi spremenijo še MDSUMS datoteko?
To je seveda bullshit od "zaščite".
Čestitam tudi tebi!
(zdaj moraš samo še đajpa prepričat)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
darkolord ::
Se strinjam, da je postopek pri EV precej bolj strikten... ampak še enkrat. Ne pozabit, da je svet velik. V Evropi so zadeve še kolikor toliko urejene. Kaj pa Azija? Afrika? Tam ni (vsaj povsod ne) registrov podjetij, hell, še registrov prebivalstva nimajo.Za vse velja enak postopek - primer tega postopka je v zadnjem extended validation guidelines. Če istovetnosti posameznika in firme ni mogoče zanesljivo preveriti, se EV certifikat pač ne izda.
Zgodovina sprememb…
- spremenilo: darkolord ()
jype ::
poweroff ::
MrStein, ne razumem kaj si hotel dokazati?
Razen tega, da si dokazal, da pojma nimaš. Ker to tvojo skripto je čisto enostavno "pohekat" tako, da bo rekla, da je hash pravi.
Darko: hvala za tole. Tegale konkretno nisem poznal dovolj dobro.
Razen tega, da si dokazal, da pojma nimaš. Ker to tvojo skripto je čisto enostavno "pohekat" tako, da bo rekla, da je hash pravi.
Darko: hvala za tole. Tegale konkretno nisem poznal dovolj dobro.
sudo poweroff
MrStein ::
MrStein, ne razumem kaj si hotel dokazati?
Da se program, ki preveri lasten hash, napiše v par minutah (ker je nekdo trdil, da ni možno).
Razen tega, da si dokazal, da pojma nimaš.
To ti dokazuješ z vsakim sporočilom. Ravnokar si recimo pokazal, da niti o EV nimaš pojma.
Ker to tvojo skripto je čisto enostavno "pohekat" tako, da bo rekla, da je hash pravi.
Čestitam še enkrat. Prišel si na nivo mojega prvega sporočila.
A lahko zdaj nadaljujemo? Ali potrebuješ premor?
Ker naslednja točka je, ko ti pokažeš neko meso glede onih namigovanj (mahanje z roko, kot eni pravijo) da se da nekako zaobiti, ponarediti ali karkoli pač, glede podpisov.
Napeto čakamo...
(čeprav vemo, da vsebine od vemo-koga ne bo, ker še nikoli ni bilo)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Facebook dev ::
Tudi program, ki ti reši problem trgovskega potnika se da zelo hitro napisat, pa to ne pomeni da je lahek problem. Ampak verjamem, da če te celo življenje utrujajo s pisanjem spletnih strani, da se s časovno zahtevnostjo in čem drugim sploh ne ukvarjaš. Najbrž teh pojmov niti ne poznaš.
poweroff ::
Da se program, ki preveri lasten hash, napiše v par minutah (ker je nekdo trdil, da ni možno).
Ti si butast, ali se butastega delaš?
Ravno tvoj primer dokazuje, da tisti tvoj program NE preverja lastnega hasha. Ker pravilen pristop bi bil:
- izračunaj MD5 hash programa
- ta hash je enak tistemu, ki je zapisan v 2. vrstici
Zdaj torej napiši tak program, ki bo imel v vrstici zapisan tak hash, da bo md5sum ime_programa, vrnilo točno ta hash iz 2. vrstice.
O tem govorimo fant, o tem.
sudo poweroff
MrStein ::
Ravno tvoj primer dokazuje, da tisti tvoj program NE preverja lastnega hasha. Ker pravilen pristop bi bil:
- izračunaj MD5 hash programa
- ta hash je enak tistemu, ki je zapisan v 2. vrstici
.
Ne, to je le tvoje zmotno mnenje.
Razen če lahko pokažeš primer iz prakse, kjer je output hash algoritma tudi njen input.
Problem je seveda spet v označeni vrstici...
PS: a veš, da je ključni del digitalnega podpisa hash?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
poweroff ::
Ne se sedaj ven vleči in spreminjati teme.
Govorimo o tem, da je binarna datoteka "samopodpisana" na tak način, da je njen hash enak tistemu, ki je zapisan nekje v njej. Ti sti neumno trdil, da je to mogoče, potem pa dokazal da sploh ne razumeš v čem je problem.
In ja, če me vprašaš, je teoretično to mogoče - s pomočjo iskanja kolizije. Ampak v praksi je tako "podpisovanje" samega sebe praktično nemogoče.
Govorimo o tem, da je binarna datoteka "samopodpisana" na tak način, da je njen hash enak tistemu, ki je zapisan nekje v njej. Ti sti neumno trdil, da je to mogoče, potem pa dokazal da sploh ne razumeš v čem je problem.
In ja, če me vprašaš, je teoretično to mogoče - s pomočjo iskanja kolizije. Ampak v praksi je tako "podpisovanje" samega sebe praktično nemogoče.
sudo poweroff
MrStein ::
Jaz sem pokazal, da je program, ki samega sebe preveri možno napisati. Če pa si ti mislil "neki teoretični konstrukt, ki v praksi nima smisla" potem pa ja, tega nisem. (čeprav je spet trivialno, razen dela ki vstavi hash, čeprav bi tudi to s kakim preprostim algoritmom šlo kar hitro).
PS:
hash ni podpis, toliko da ne bo spet nesporazum
PS:
da je binarna datoteka "samopodpisana" na tak način, da je njen hash ...
hash ni podpis, toliko da ne bo spet nesporazum
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Facebook dev ::
Kateri del napisat algoritma, ki bo v dateteko vstavil hash in preveril, da se celotna datoteka zahasherira v ta hash pa je tezek???
Edino kar je zahtevno je to, da bo ta algoritem računal več let, ampak to pri tebi ni problem ane?
Edino kar je zahtevno je to, da bo ta algoritem računal več let, ampak to pri tebi ni problem ane?
jype ::
poweroff ::
MrStein, eksplicino si trdil neumnosti. In si to potem nam vsem tudi dokazal.
Ampak ker pametuješ naprej - kako konkretno bi rešil navedeni problem? Se pravi, da "napadalec" tvojo skripto modificira in potem njen hash v drugi vrstici ustrezno popravi, da bo skripta rekla, da je vse OK?
(Se pravi, kako bi ti to preprečil)
Ampak ker pametuješ naprej - kako konkretno bi rešil navedeni problem? Se pravi, da "napadalec" tvojo skripto modificira in potem njen hash v drugi vrstici ustrezno popravi, da bo skripta rekla, da je vse OK?
(Se pravi, kako bi ti to preprečil)
sudo poweroff
Zgodovina sprememb…
- spremenilo: poweroff ()
MrStein ::
Nikakor. To je nemogoče. Kar je bilo povedano ne enkrat, ampak že štirikrat.
A spet si dokazal, da nisi sposoben slediti temi.
Sicer še vedno čakamo, da poveš kaj konkretnega o namigih, da lahko ponarediš podpis.
A spet si dokazal, da nisi sposoben slediti temi.
Sicer še vedno čakamo, da poveš kaj konkretnega o namigih, da lahko ponarediš podpis.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Nepismenost?
Nemogoče je narediti, da program sam na sebi prepreči zlonamerne spremembe.
Hash pa lahko komot preverja (kot zgoraj jasno dokazano).
A za svoje trditve pa dokaze kar ne moreš in ne moreš pokazati? No, saj bomo počakali. (in vmes trolanje ignorirali)
Nemogoče je narediti, da program sam na sebi prepreči zlonamerne spremembe.
Hash pa lahko komot preverja (kot zgoraj jasno dokazano).
A za svoje trditve pa dokaze kar ne moreš in ne moreš pokazati? No, saj bomo počakali. (in vmes trolanje ignorirali)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Poglej si tale moj post in svojih par prejšnjih in naslednjih:
https://slo-tech.com/novice/t755572/p65...
Lahko sicer predpostavim, da ti ni bilo jasno o čem govorimo, dokler s svojim neposrečenim poskusom nisi dojel kje je problem.
https://slo-tech.com/novice/t755572/p65...
Lahko sicer predpostavim, da ti ni bilo jasno o čem govorimo, dokler s svojim neposrečenim poskusom nisi dojel kje je problem.
sudo poweroff
MrStein ::
Na to sporočilo sem ti lepo odgovoril. Na oba dela.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Uradna stran monera delila viruse, ki so kradli kriptovalute (strani: 1 2 )Oddelek: Novice / Varnost | 16071 (11993) | MrStein |
» | Vdora v Spotify in AvastOddelek: Novice / Varnost | 7920 (6758) | MrStein |
» | Zanimiv napad na kontroler trdega diska (strani: 1 2 3 )Oddelek: Novice / Varnost | 44340 (38261) | MrStein |
» | Vdor v Drupal prizadel milijon uporabnikovOddelek: Novice / Varnost | 4704 (2973) | M.B. |
» | Hekerji napadli Android Forums in NvidioOddelek: Novice / Varnost | 6359 (4567) | mailer |