Názory k článku Postřehy z bezpečnosti: PayPal chce, aby člověk byl heslem
-
judovana (neregistrovaný)
"Bylo opět opraveno několik kritických, vzdáleně zneužitelných, chyb v Javě 5, 6, 7 a 8. Pro přesnost oprava existuje jen pro verze 7 a 8, protože starší se již neaktualizují. Toto je zároveň poslední aktualizace pro verzi 7, takže pokud opravdu potřebujete Javu (potřebujete?), tak aktualizujte rovnou na verzi 8."
dve posledni vety neni spravne. Spravne vyto melo byt "Pro přesnost oprava existuje jen pro verze 7 a 8, protože starší JIZ RACLE ZDARMA NEAKTUALIZUJE. Toto je zároveň poslední aktualizace pro verzi 7, takže pokud opravdu potřebujete Javu OD ORACLE (potřebujete?), tak aktualizujte rovnou na verzi ..."
Vysveteleni - kdyz orakule ukoncili podporu jdk6, Tak RedHat prebral peci o OpenJdk6 a secky security patche (a obcas vice) poctive backportuje (stejen tak jak to dela Oracle pro plcaeny support javy). Stejen tak se stane se sedmickou. Bud redhat, nebo azul systems ci jiny velky hrac na poli openjdk prevezmou starost o openjdk7 a budou ho par let udrzovat zazaplatovany. Takze kdo javu potrebuje, ma dve moznosti pouzivat Openjdk - jediny solidni upstream vsec jav, nebo placeny support od oraclu ci (zdarma?) od IBM (btw ibm dodava svojebinarky virazne dyl nez oracle - porad tam maji na stazeni 1.5, ale licxenci saem necetl)
Uvazim li touhu po jdk co se nemeni pod rukama, tak valit jeste porad na sestce nebyl vubec spatnej napad :)
-
Pavel TišnovskýZlatý podporovatelZdravicko, diky za upresneni, taky se dost casto divim, ze lidi vidi jen Oracle JDK a ne de facto stejnou (resp. v mnoha vecech vylepsenou :) OpenJDK.
-
Ondra Satai NekolaZlatý podporovatelBullshit zustane bullshitem, bez ohledu na to, kolik lidi mu veri.
Horsi je, ze dostatecne mnozstvi lidi ho zvladne zmenit v nebezpecny bullshit. -
Nepotřebuješ speciální apku
každá sajta má jiný klíč (jednotlive sajty nesdílejí stejný klíč, takže není možné sledovat dotyčného)
používá to OAuth
je to postaveno na bitcoinjs, takže veškerá cryptografie je dokonale odtestovaná, nejde o vymýšlení kola (dokonce i identita je vlastne bitcoinová adresa, jen tam neproudí žádné bitcoiny) -
Ne, používám bitcoinjs. Ten používá Secp256k1. Ale to je šumák. Jiné je to v tom, že SQRL počítá s nativní apkou. Z hlediska uživatelského zážitku je to překážka. Moje řešení prostě vystačí s běžnou QR čtečkou a standardním browserem. Na straně služby pak stačí implementovat OAuth 2.0, který se používá na Facebook a Google+, který většinou běžně všichni implementují. Servica také nemusí být závislá na jednom serveru. Až dočištím zdrojáky, dám to na github, tak si bude možné nainstalovat vlastní server na své infruktuře. Pro uživatele se nic nemění, ten nepozní, kde konkrétně to běží, nemusí si zakládat účet u žádné další třeti strany.
Nezkoumal jsem dopodrobna SQRL, ale přišlo mi to jako moc komplikované. A navíc se to zatím nikde nepoužívá. Mým cílem bylo přinést lepší uživatelský zážitek. Pořad je to 1000x bezpečnější než heslo.
-
peci1Stříbrný podporovatelA aby se clovek mohl prihlasit na sluzbu pouze v mobilu (bez notebooku nebo desktopu), tak s sebou bude nosit soustavu zrcadel? Nebo je to resene nejak lip? :)
-
peci1Stříbrný podporovatel
A tim uz se skoro dostavame k nativni appce, protoze nevim, koho by bavilo porad neco screenshotovat =)
-
Naštěstí to není třeba, na mobilu stačí klepnout na ten QR kód a použijí se klíče přímo v prohlížeči, které tam beztak byly uloženy při scanování - za předpokladu, že tedy používáte tentýž prohlížeč.
Služba by měla být doplňková a navíc by měla umožňovat aby si člověk s účtem spároval libovolné množství klíčů, třeba v každým prohlížeči jiný.
-
peci1Stříbrný podporovatel
Ok, to zni rozumne :) A je nejaky duvod, proc by to nemelo fungovat i na desktopu?
-
Jinak zdrojáky zatím neoficiálně zde:
https://github.com/ondra-novak/qrlogin
neoficiálně proto, že jestě nejsou všechny buildscripty, doplním v nejbližší době.
-
z hlediska integrace se to tváří jako OAuth 2.0. Enpointy jsou /auth - autorizační portál, /token - token exchange, /ident - vrací identitu, to co chceme získat. Je to popsané i na té stránce https://qrlogin.novacisko.cz
záloha klíčů je trochu problém v tom, že je těžké je dostat bezpečně z prohlížeče. Možná nějakým způsobem to v JŠ zašifrovat, nevím... Mám tam udělané uložení do souborů v mobilu ale moc dobře to nefunguje ve všech prohlizecich
-
Jonathan Leblanc je debil, Vesmirni lide meli pravdu.
...na druhou stranu si uvědomte, že tyto kapsle již dávno fungují ve zdravotnictví a pomáhají měřit dlouhodobé hodnoty krve, dávkovat léky, vyšetřit trávicí ústrojí, identifikovat nádor, detekovat zástavu srdce a okamžitě přivolat pomoc apod. Já osobně se považuji za transhumanistu, takže tuto cestu vítám, avšak chápu, že pro spoustu dalších je používání implantátu naprosto neakceptovatelné.
Tak zrovna tyhle technologie ve zdravotnictvi jsou proslule svoji naprostou nebo nedostatecnou zabezpecenosti. Kolikrat to vypada, ze se ji vubec nikdo nezatezoval a to az do takove miry, ze neni tezke nekomu hacknou pacemaker, preprogramovat ho a dotycneho tak zabit.
-
aaa (neregistrovaný)
Dle ceho tak soudite ze je to tak snadne? Jen dle par publikaci a predvedeni cehosi na nejakem "setkani" kde jsou i pomichany zakladni rozdily mezi pristroji?
Zkuste se o tom dozvedet vice, nez budete pouzivat tyto informace jako absolutni pravdu a pak zjistite ze laborator a skutecnost je dramaticky odlisna. -
Hellraiser (neregistrovaný)
Bohuzel mi nejak unika kde je to zlepseni bezpecnosti. Malware si vytahne heslo z RFID ctecky stejne jako z klavesnice. Kdyz neberu v potaz ze mi misto kradeze penezenky nejakej dobrak ufikne pracku, tak je RFID porad citelne na dalku bez vedomi uzivatele.To uz si muzu ten pin na ruku zrovna nechat vytetovat a mozna ze min lidi napadne, ze je to neco dulezityho. Dalsi vec je ze to neresi problem jednoho hesla pro vice sluzeb, pokud teda nebudu mit dlan vycpanou triceti RFID cipy. Mohlo by to sice ve rvacce fungovat jako boxer, ale stejne nevim jak si zvolit ten ktery chci pouzit. Dalsi vec je zmena hesla. Zapamatovane heslo muzu zmenit trikrat za pet minut (jo pisu jako blesk, obcas uhodim), ale na zmenu RFID potrebuju minimalne zverolekare a urcite mnohem delsi cas na vymenu (Dobre, pocitam s tim ze heslo v techto cipech je napevno z vyroby. O programovatelnem RFID jsem zatim neslysel). Navic nevim co by se stalo v okoli silneho elekromagnetickeho pole jako je svarecka nebo magneticka rezonance. Neni bezpecnejsi mit heslo na hw klici v trezoru?
Sken ocni duhovky prestane byt bezpecny v momente, kdy bude rozsireny, protoze az bude na kazdem panelaku tento skener, tak nebude takovy problem si v databazi najit neci duhovku a pak ji zobrazit na mobilu a prilozit ke snimaci. A az mi nekdo nahraje oko na torrent jak si ho zmenim?
Otisk prstu jde bohuzel take zkopirovat a navic sve otisky nechavame vsude. Navrch je to nevhodne pro lidi co se zivi praci treba v dilne, kde o porezany nebo ztraceny prst neni nouze.
Obavam se ze v nejblizsi dobe bude dobra pamet nejlepsim zpusobem zabezpeceni. Nadruhou stranu, zde je misto pro onen transhumanismus.
-
Ondra Satai NekolaZlatý podporovatel
Obavam se, ze mas chybu hned ve dvou zakladnich premisach
- klicova informace je v RFID menitelna
- muze se pouzivat trebas challenge/response, takze cteni na dalku zadna vyhra neniMyslim, ze je tady na miste opatrnost, ale tvoje kritika miri nejspis dost mimo.
-
j (neregistrovaný)
1) jde velmi snadno znicit
2) ve vice kusech se stava zcela nepouzitelny (ne, vazne nejde nalozit v krame treba vozik a projet ramem, nacte se v optimistickem pripade 70%)
3) chalenge response je ti na kulovy ... protoze prijdu se cteckou, tu mam v kapse, a vyzadam si autorizaci na dvere tvyho bytu a tvuj chip se postara o zbytek, aniz bys tusil.Kdyz ti slohnu klice, tak to sice taky tusit nemusis, ale uz je tu riziko, ze me pritom chytis, a navic, ja musim zarovej ty klice fyzicky dopravit k zamku. Odevrit dvere chipem muzu klidne z druhy strany planety a chytit me pritom nemuzes.
Co vic, ja ani nemusim jezdit na tu dovcu na sibiri za tebou, me staci, kdyz hacku hotelovy ctecky, kde si ty oteviras dvere na pokoj, a ja si zaroven vyzadam potrebnou autorizaci kamkoli jen budu chtit.
Nez se stihnes probrat, tak ti vyluxuju ucet, byt, prodam barak ...
-
Ondra Satai NekolaZlatý podporovatel
1) A?
2) A?
3) Samo o sobe je to podobne jako hesla (ktera se to snazi nahradit) malo. V necem je to lepsi (kdyz prijdes o heslo, tak se da pouzivat utocnikem porad dokola a take to nevis), v necem horsi (to heslo alespon jednou musis pouzit vedome). Kus tech nevyhod se da resit pomoci 2FA, ale samozrejme porad nejdes scenar, kdy to dopadne blbe at uz s heslem, tak i s challenge/response v chipu.Ad klice - byvavalo. Pro nektere druhy zamku uz ti staci fotka a tiskarna a ten tvuj Mission Impossible style scenar se da provadet stale. (Driv k necemu byl potreba vosk, takze stale zadna vyhra.)
Nevim, jak to souvisi s prodejem baraku (u tebe brani prodeji baraku heslo?), ale u luxovani uctu bude hodne zaviset na tom, jak se to nastavi z hlediska prava. Trebas stare spatne kreditni karty zrovna vzor bezpecnosti nejsou, ale diky pravni omacce, ve ktere plavou, to neni z hlediska beznych uzivatelu zas takova tragedie, protoze z nich pada kus zodpovednosti a pristava na bance.
Jeste jednou, at neargumentujes s necim, co nerikam: byl bych tu hodne opatrny, bude zaviset na spouste detailu kolem. Ale velka cast toho, cim tu strasil predrecnik, neni problem, resp. problem by nemusi.
-
Hellraiser (neregistrovaný)
No jo, koukam ze se tokeny nechaji i programovat.
Uznavam svou chybu.Ale pochybuju, ze se do pasivniho tokenu necha nacpat nejaky poradny sifrovani (jestli neco takovyho existuje).Takze se da predpokladat ze pri rozsireni tohoto zabezpeceni se rozsiri i nastroje na rychle desifrovani (stejne jako napr. kodovani dvd, wep sifrovani, wps, atd.).
BTW. Kdyz lidi tolik rvou kvuli zareni z mobilu, tak si urcite poridi jeste RFID ctecku, ktera ma podobny vykon (Dobre na ruznych frekvencich jsou ruzne vykony).
Abych to shrnul, myslim si ze RFID neni vhodna na dulezite veci, ale spise na kravinky typu ochrana zbozi v kramech, psi znamka a podobne. Problem teto technologie je v tom, ze nejspis nebyla navrhovana s ohledem na bezpecnost a vzhledem ke zpusobu napajeni a velikosti (myslim v pripade implantatu) asi nebude mozne ji pridat.
-
NULL (neregistrovaný)
Taky tu vyhodu - jakéhokoliv - cipu nechapu. Stejně musíte přijít k nějakému hardwaru se softwarem pripojenem někam do .... Takže stejně bude to kritické místo ta nějaká ctecka , kterou kdyz někdo hackne, bude jedno jestli jste zadal to zadal ručně nebo třeba zadkem. Zjednodušeně, pokud mate v kompu keyloger, je jedno, jestli je vaše heslo 12345 nebo Wh28-hss+(bd37_!"!$*. Ale kdybych ty čipy mel vyrábět, taky to budu tlacit, a přidal bych tam GPSku, to by se urcite legislativcum líbilo
