»

Kakšna gesla so pred 40 leti imeli Unixovi pionirji?

Slo-Tech - Pred štirimi desetletji so Ken Thompson in ostali velikani računalništva ustvarjali operacijski sistem BSD, izpeljanko Unixa, ki so imeli tudi vsak svoje uporabniško ime in geslo. Pred petimi leti je Leah Neukirchen v izvorni kodi BSD verzije 3 odkrila datoteko /etc/passwd, v kateri so bile zgoščene vrednosti gesel več kot deset razvijalcev BSD-ja. Pet let pozneje je računske moči dovolj, da so uspeli zlomiti skoraj vse. Sedaj vemo, kakšna gesla so imeli ustvarjalci pred štirimi desetletji.

Odgovor je - ne preveč varna po modernih smernicah. V omenjeni datoteki so bile zapisane zgoščene vrednosti gesel po algoritmu crypt(3), ki nikoli ni veljal za preveč varnega. Dolžina gesel je bila omejena na osem, shranjena pa so bila zgolj z 12 dodatnimi biti entropije. To je dovolj majhen konfiguracijski prostor, da ga je moč preiskati z vsemi kombinacijami. Leah Neukirchen je uspela zlomiti večino gesel. Ostalo jih je šest, izmed katerih je bilo pet zlomljenih ta mesec. Neznanka je le...

18 komentarjev

Waymo pošilja na ceste povsem samodejna vozila

Slo-Tech - Waymo, podjetje za prevoz potnikov v lasti Alphabeta, je te dni svoje stranke v Phoenixu v ameriški zvezni državi Arizoni obvestilo, da lahko v bodoče za prevoz dobijo vozilo, v katerem za volanom ne bo več sedel nadzorni šofer iz mesa in krvi. Sporočilo ne omenja točnega začetka takih prevozov, niti kakih drugih podrobnosti, ki bi utegnile zanimati javnost in uporabnike. Njihova vozila brez človeškega nadzornika so bila sicer doslej že večkrat opažena v prometu, a doslej še niso opravljala komercialnih prevozov.

Sporočilo so prejeli samo udeleženci Waymovega programa Eary rider, torej tisti, ki so v testiranju samodejnih prevozov sodelovali že od samega začetka, pri čemer so morali podpisati t. i. NDA dogovor, ki jim zapoveduje popolno molčečnost glede morebitnih doživetij med vožnjo. Potnike, po katere bo prišlo vozilo brez nadzornika, bodo o tem prej obvestili prek aplikacije, da ne bi prišlo do prevelikih presenečenj, po telefonu pa jim bo za morebitna pojasnila vas čas na...

19 komentarjev

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanje

Slo-Tech - Iz Twitterja so sporočili, da so telefonske številke in elektronske naslove uporabnikov, ki so jih ti zaupali za postopke preverjanja pristnosti, nekaj časa po pomoti uporabljali tudi v oglaševalske namene. Napako naj bi prejšnji mesec že odpravili.

Podrobneje: šlo je za primerjanje seznamov številk in naslovov uporabnikov s seznami, ki jih imajo oglaševalci v Twitterjevih sistemih Tailored Audiences in Partner Audiences. Kako je do tega lahko prišlo in kdo točneje je za to odgovoren, v firmi niso želeli pojasniti; prav tako ne, koliko uporabnikov je bilo oškodovanih in kako dolgo se je ta nepravilnost vlekla. Pravijo pa, da so luknjo 17. septembra zakrpali.

To je sicer le še eden v vrsti takšnih pripetljajev, saj so lani pri podobni praksi ujeli tudi Facebook (plačljiv vir). Toda najnovejša nerodnost še posebej izpostavlja nerazumno Twitterjevo prakso obveznega zahtevka po uporabnikovi telefonski številki v primeru rabe dvostopenjske avtentikacije: navesti jo je treba tudi, če...

37 komentarjev