Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

К вопросу об инжекции данных

2015-06-28 09:43:35 (читать в оригинале)

Вообще. интересно, а можно ли сделать протокол, обеспечивающий надежную криптографическую защиту от инжекции или подмены данных, но без шифрования, и при этом экономящий ресурсы более чем вдвое, по сравнению с полноценным TLS.

Про существование в TLS ciphersuit-ов с NULL-шифрованием я в курсе.

Там как раз получается, что остается только (H)MAC для контроля целостности.
Поскольку затраты на вычисление MAC и на шифрование сравнимы, то экономия на длинных сессиях (а речь в предыдущем посте шла про rsync) примерно вдвое.

На первый взгляд кажется что ограничение принципиально. Хочешь, не хочешь, а для защиты от подмены траффика нужно считать криптографически защищенную контрольную сумму на общем секрете. Вычисление общего секрета неизбежно дорогое, но оно встроено в хэндшейк, который относительно редок.

Вычисление криптографически защищенной контрольной суммы сильно дешевле шифрования не будет.

Но есть ведь альтшуллеровский подход - когда подсистемы нет, а функция её выполняется.

Вот, например, тот же rsync считает контрольные суммы с целью проверки, а надо ли вообще этот блок передавать, или он не менялся. Соответственно, если там не просто хэш, а (H)MAC, то приехали - инжекция невозможна - прежде чем обмениваться данными, стороны обменялись MAC-ом. (правда, я не уверен, что в rsync передается хэш от новых данных, а не от старых. С точки зрения заведомо надежного канала это логично - передавать хэш-сумму посчитанную получателем, чтобы отправитель мог принять решение - слать или не слать блок).

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1102503.html. Please comment there using OpenID. Now there are comments

---

Секьюрность некриптованного rsync-а.

2015-06-28 01:02:54 (читать в оригинале)

Вот представьте себе, что есть сайт. Файлы на этот сайт выкладываются с помощью rsync, причем не с -e ssh, а с двумя двоеточиями после hostname. Кто не понял, зачем там два двоеточия, прекращает читать этот пост, читает man rsync, и возвращается сюда просветленный.

Так вот, вопрос в том, а стоит ли ограничивать набор хостов, с которых пускают выкладывать на сайт rsync-ом, хостами, доступными через VPN, или можно пускать через публичные сети.

Алгоритм аутентификации у rsync-а хороший, весь из себя challenge-response, открытые пароли по сети бегать не будут.

Данные, выкладываемые на сайт, тоже вроде ничего сенситивного не содержат - файлы паролей для Basic Auth там внутри дерева не лежат, опция ExecCGI на всём, доступном для записи по rsync выключена, php и подобных тоже нету.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1102139.html. Please comment there using OpenID. Now there are comments

---

putty & ecdsa

2015-06-27 15:41:38 (читать в оригинале)

Попробовал тут поставить putty посвежее, текущий снапшот, и выяснил что генерировать ключи с нормальным алгоритмом puttygen уже научили, а вот работать с ними - ни pageant, ни сам putty - нет.

pageant ругается на invalid format, a putty просто молча игнорирует и пытается аутентифицироваться с паролем (чего, конечно, ему никто не позволяет)

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1102072.html. Please comment there using OpenID. Now there are comments

---

Телевик

2015-06-27 12:43:09 (читать в оригинале)

Купил себе телеобъектив к мобильнику.
Выглядит это вот так:


(сорри за качество - снималось это веб-камерой поскольку к телефонному фотоаппарату прикручен телеобъектив)

Результат вот такой:

без телеобъектива	с телеобъективом

Теперь надо еще приучиться эту штуку таскать с собой. Впрочем рыбий глаз и макро я таскаю.http://vitus-wagner.dreamwidth.org/1101822.html. Please comment there using OpenID. Now there are comments

---

VPN-ное

2015-06-27 00:43:25 (читать в оригинале)

pppd просто так не сдался. Правда, я, как выяснилось, вчера выкачал не самую последнюю версию патча. Попробую ещё раз.

Зато реализован и заработал план B - установлено, что в запущенную в KVM под управлением virt-manager 64-битную Windows 7 можно пробросить eToken и оно даже работает.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1101493.html. Please comment there using OpenID. Now there are comments