mboost-dp1
Flickr - orangejack
Fyyyyy - slemme Frankrig. I begynder jo at ligne Amerika mere og mere for hver dag der går. Håber I kan lide jeres Crossaint med ketchup og baked beans!
(Not to be taken overly serious - think of it as a bad attempt at humor)
(Not to be taken overly serious - think of it as a bad attempt at humor)
Det burde slet ikke være lovligt for et website at opbevare brugerens kodeord.Daniel-Dane (2) skrev:Skal de beholde brugerens brugernavn og kodeord?
Der er langt mere sikre måder at verificere en brugers kodeord end at opbevare det på serveren. Hvis serverne ikke opbevarede brugernes kodeord ville det hjælpe gevaldigt på de sikkerhedsproblemer der ligger i at anvende samme kodeord til flere sites.
Det ville dog kræve en forbedret protokol før det kunne være sikkert at anvende samme kodeord til flere sites.
Verificering af kodeord kunne fortages med noget i retning af følgende protokol.
1. Server opbevarer en salt værdi og en offentlig nøgle (f.eks. RSA) for hver bruger.
2. Server sender salt værdi til klienten
3. Klienten kombinerer salt og password som seed til en PRNG.
4. Klienten anvender output fra PRNG til at generere et nøglepar.
5. Klienten og server gennemfører en protokol, hvor klient beviser, at den er i besiddelse af den offentlige nøgle eller serverens offentlige nøgle anvendt til SSL.
(At serverens nøgle skal indgå er for at sikre imod man-in-the-middle angreb.)
Opdatering af kodeord kunne foregå således:
1. Server sender gammelt og nyt salt til klienten
2. Klienten kombinerer gammelt salt og gammelt password som seed til en PRNG.
3. Klienten anvender output fra PRNG til at generere gammelt nøglepar.
4. Klienten kombinerer nyt salt og nyt password som seed til en PRNG.
5. Klienten anvender output fra PRNG til at generere nyt nøglepar.
6. Klienten underskriver kombinationen af nyt salt og ny offentlig nøgle ved hjælp af gammel hemmelig nøgle.
7. Klienten sender signatur til serveren.
Ovenstående er blot hvad jeg lige fandt på på et par minutter. Jeg vil naturligvis ikke opfordre til at nogen går i gang med at implementere det uden at få protokollen reviewet af flere kryptologer.
#6 Nu har vi endnu efter så mange år ikke hørt om udslip af data fra google selvom de vistnok er forpligtiget til at udlevere data til FBI hvis de kræver det. Men hvis alle sager i frankrig nemt kan få adgang til folks passwords etc så går det jo helt i kage? Der skal da nok være nogle tabte usb nøgler fra det offentlige som skaber kaos før eller siden.
#8
De skulle hellere smide en rød advarsels boks med teksten (på fransk):
"Din regering har bestemt at vi skal gemme dit password et år, og udlevere det, hvis de beder om det.
Synes du dette strider mod internettets anonymitet så klik her for at sende en klage til regeringen
For mere information om hvorfor vi mener dette lovkrav ikke løser noget klik her".
2 timer senere har de 1 mil mails i deres indboks.
Problemet med sådanne lovkrav er at den gennemsnitlige borger slet ikke ved de findes, og derfor heller ikke ved hvad regeringen egentlig gør. På denne måde bliver alle pårørte borger opmærksom på problemet.
De skulle hellere smide en rød advarsels boks med teksten (på fransk):
"Din regering har bestemt at vi skal gemme dit password et år, og udlevere det, hvis de beder om det.
Synes du dette strider mod internettets anonymitet så klik her for at sende en klage til regeringen
For mere information om hvorfor vi mener dette lovkrav ikke løser noget klik her".
2 timer senere har de 1 mil mails i deres indboks.
Problemet med sådanne lovkrav er at den gennemsnitlige borger slet ikke ved de findes, og derfor heller ikke ved hvad regeringen egentlig gør. På denne måde bliver alle pårørte borger opmærksom på problemet.
gensplejs (5) skrev:None the less. Nu bliver det ulovligt ikke at opbevare kodeordet! I frankrig anyway.
Og da det skal bruges af almindelige mennesker, skal dette selvfølgelig gøres i klar tekst i en .txt fil (eller, måske en excel fil, hvis vi skal tillade at det skal være avanceret).
Denne bør også placeres et sted på serveren, som man let kan tilgå hvis man skal bruge tingene.
Nu arbejder jeg ved et teleselskab, og jeg havde en kunde der påstod at teleselskaber er pålagt at opbevare personlige data i mindst et år. Det skulle så også gælde logs omkring hvilke master enkelte mobiltelefoner har været logget på.
Jeg undrer mig rimelig meget over hvordan der kan laves den slags lovgivning når det nemt kan blive til million omkostninger i servere for større virksomheder med alt den ekstra plads der skal til, og servere til at håndtere alt den ekstra data at søge igennem.
Desuden kræver det i flere tilfælde også en omstrukturering som i sig selv kan koste millioner i udvikling og omskrivning af systemer der måske slet ikke er lavet til at kunne gøre den slags. Selvom med databaser skulle det oftest være muligt, men... derfor behøves backup systemet ikke at være så godt at man nemt kan håndtere redundante data og få det fjernet.
Tænk på det som at firmaer der laver backup, ofte så bliver nød til at have en ekstra backup af det hele.
Men hvis det kun gælder Frankrig, så tænker jeg lidt over hvorfor man ikke bare samler sig og siger fint, så må i blokkere os. Prøv at klare jer uden ebay, paypal, google (selvom de nok allerede gør det bare for deres egen skyld), amazon og alle de andre det kan gå ud over.
Men godt nok ekstra trist for større Franske virksomheder. Nogle af dem ihvertfald. Den slags brugerdata kan hurtigt blive til terabyte, og petabyte i de større systemer. Specielt når at hver byte jo oftest helst skal have 2-3 backups af forskellige datoer, og nu måske en 4.
Jeg undrer mig rimelig meget over hvordan der kan laves den slags lovgivning når det nemt kan blive til million omkostninger i servere for større virksomheder med alt den ekstra plads der skal til, og servere til at håndtere alt den ekstra data at søge igennem.
Desuden kræver det i flere tilfælde også en omstrukturering som i sig selv kan koste millioner i udvikling og omskrivning af systemer der måske slet ikke er lavet til at kunne gøre den slags. Selvom med databaser skulle det oftest være muligt, men... derfor behøves backup systemet ikke at være så godt at man nemt kan håndtere redundante data og få det fjernet.
Tænk på det som at firmaer der laver backup, ofte så bliver nød til at have en ekstra backup af det hele.
Men hvis det kun gælder Frankrig, så tænker jeg lidt over hvorfor man ikke bare samler sig og siger fint, så må i blokkere os. Prøv at klare jer uden ebay, paypal, google (selvom de nok allerede gør det bare for deres egen skyld), amazon og alle de andre det kan gå ud over.
Men godt nok ekstra trist for større Franske virksomheder. Nogle af dem ihvertfald. Den slags brugerdata kan hurtigt blive til terabyte, og petabyte i de større systemer. Specielt når at hver byte jo oftest helst skal have 2-3 backups af forskellige datoer, og nu måske en 4.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund