Про Tor
2015-06-01 17:20:13
http://www.computerworld.com.au/article/576210/tor-connections-hidden-services-could-easy-de- ...
+ развернуть текст сохранённая копия
http://www.computerworld.com.au/article/576210/tor-connections-hidden-services-could-easy-de-anonymize/
Оказывается, пользователи скрытых сервисов Tor куда более уязвимы, чем те, кто использует Tor в качестве этакой супер-VPN для доступа к узлам в обычном интернете.
Вообще я всегда с подозрением относился к этой американской военно-морской поделке.
This entry was originally posted at http://vitus-wagner.dreamwidth.org/1091544.html. Please comment there using OpenID. Now there are 
comments
Тэги:
безопасность,
компьютерная,
криптография
анти-csrf токены и управление доступом — вычисляемые групповые политики безопасности
2015-05-14 00:55:00
... основе ассиметричных алгоритмов
криптографии это реализуется достаточно ...
+ развернуть текст сохранённая копия
بسم الله الرحمن الرحيم
В предыдущей статье (csrf: токены не нужны?) подробное рассмотрение анти-csrf токенов натолкнуло меня на мысль о возможности определять права пользователя, не персонифицируя его, на основе вычислений. В общем то ничего нового в этой мысли нет, на основе ассиметричных алгоритмов криптографии это реализуется достаточно тривиально, в рассматриваемом же случае сделана попытка использовать rc4 в качестве цифровой подписи.
Читать дальше →
Тэги:
hacking,
highload,
javascript,
node.js,
безопасность,
веб-разработка,
информационная,
криптография
[Перевод] Руководство по шифрованию данных на PHP
2015-05-12 09:33:36
... опасно некомпетентен в
криптографии, и всем советую ...
+ развернуть текст сохранённая копия
От переводчика: в процессе программирования никогда не забываю о том, что я опасно некомпетентен в криптографии, и всем советую исходить из этого тезиса (ну, может быть кроме вас и еще вон того крутого парня). Однако, так или иначе, в процессе работы возникают задачи, связанные с защитой данных, и их надо решать. Поэтому я предлагаю вашему вниманию перевод статьи финского разрабочика Timo H, которая показалась мне достаточно интересной и полезной.
Это краткое руководство о том, как избежать распространенных ошибок с симметричным шифрованием на PHP.
Будем рассматривать случай, когда данные обрабатываются на стороне сервера (в частности, шифрование происходит на сервере, а данные могут быть получены, например, от клиента в виде открытого текста, пароля и т.п.), что является типичным случаем для PHP-приложений.
Cведения из этого руководства не стоит использовать для создания шифрованных сетевых соединений, которые имеют более сложные требования. Для таких случаев надо использовать spiped или TLS.
Естественно, рекомендации, приведенные здесь, не являются «единственно возможным способом» организации шифрования на PHP. Цель этого руководства — попытаться оставить поменьше места для ошибок и сложных неоднозначных решений. Читать дальше →
Тэги:
php,
безопасность,
веб-приложений,
веб-разработка,
информационная,
криптографии,
криптография,
некомпетентен,
опасно,
шифрование
RSA шифрование в PHP (openssl), Android/Java, JavaScript и Go
2015-04-15 11:49:50
RSA — это алгоритм шифрования с открытым ключем. Шифрование с открытым ключем весьма полезная ...
+ развернуть текст сохранённая копия
RSA — это алгоритм шифрования с открытым ключем. Шифрование с открытым ключем весьма полезная вещь. RSA позволяет создать два ключа: открытый и закрытый. Разместить открытый ключ где-то и им шифровать, а расшифровать сможет только обладатель закрытого ключа.
Например, мы можем сделать веб магазин на ПХП, который будет принимать заказы с данными кредитных карт. Магазин на ПХП будет шифровать данные кредитных карт открытым ключем. Сам пхп-магазин расшифровать эти зашифрованные данные уже не сможет. Хорошее решение, хакер неожиданно так взломает веб магазин (написанный на ПХП), а карты зашифрованы.
Читать дальше →
Тэги:
android,
bouncycastle,
golang,
java,
javascript,
jsencrypt,
openssl,
php,
криптография,
разработка
Секьюрити театр от Гугля
2015-04-09 11:34:16
Блин, гугль задрал своей паранойей.
Алгоритм SHA-1 пока еще надежен. Хорошо хоть ...
+ развернуть текст сохранённая копия
Блин, гугль задрал своей паранойей.
Алгоритм SHA-1 пока еще надежен. Хорошо хоть самоподписанные сертификаты корневых УЦ (к которым по очевидным причинам не применима атака с коллизией, существующая для md5) не заставляют менять.
А у меня был такой хороший сертификат до 2023 года... Всего два годна назад выписанный (когда заэкспаайрился старый ключ УЦ).
This entry was originally posted at http://vitus-wagner.dreamwidth.org/1075179.html. Please comment there using OpenID. Now there are 
comments
Тэги:
безопасность.,
компьютерная,
криптография
