Új hozzászólás Aktív témák
-
-
válasz
Pingüino
#184
üzenetére
"Na meg ha már itt tartunk, említetted, hogy beépülhetnek a fejlesztési folyamatokra. "
Főleg a nem kereskedelmi disztróknál azonnal kiderülne, hiszen ötezren átnézik az adott cuccot különféle országokban, különféle társadalmi-munkaköri háttérrel...S ennyi erővel zárt cuccba is be lehet épülni.
-
#172
Gargouille
őstag
Pingüino
#171
Gargouille
őstag
válasz
Pingüino
#171
üzenetére
Maradjunk annyiban, hogy a forráskód nyitott könyv mindenkinek, a potenciális támadónak is, aki egyáltalán nem biztos, hogy jelenti / javítja a kiskaput amit talál, hanem ír rá egy exploit-ot és eladja jó pénzért a feketepiacon. Nem csak "jó fej emberek" vannak a világon. Most a szakszolgálatokról már nem is beszélve akik kifejezetten ezeket keresik, sőt akár a fejlesztési és jóváhagyási folyamatokba is könnyen beépülnek (pláne egy opensource projekt esetében), hogy maradjon is itt-ott egy kis - nem feltűnő - apróság. Snowden óta azért erről egészen pontos kép van. Nyilván idővel kibukik, csak addig évek is eltelhetnek.
Szóval látszólag tényleg jó a nyíltság, de valahol két élű fegyver amivel ugyanúgy vissza is lehet élni. Szerintem ne legyenek illúziói senkinek.
-
#70234880
törölt tag
válasz
Pingüino
#155
üzenetére
Idézett: A jövőt a biometrikus azonosításban látják, ezért is folytatódik a Windows Hello tökéletesítése például a Windows 10-ben és a weboldalakon. A felhasználó azonosításához ujjlenyomat-olvasóra vagy webkamerára van szükség, esetleg jelszómentes mobilos bejelentkezésre a Microsoft Authenticator segítségével vagy FIDO2 biztonsági kulcsokkal.
Én erről beszélek, és ezek már rég jelen vannak. Ezért pont te nem érted. Nincs ebben semmi újdonság, ez most is megvan.
A többi amit leírtál baromság. Ez amolyan Linux rulez fan agresszív politika nálatok. Hogy csak a Linux, és az hűűű. De ha ennyire nagyszerű bezzeg a többi ....
És én itt be is fejeztem veled, mert egyszerűen nincs miről veled beszélni.
Remélem ezek után nem indítod el soha a warez windowsodat.
És tovább szopatod magadat Linuxon. -
bambano
titán
válasz
Pingüino
#146
üzenetére
alapvetően a tény, hogy a kódot is kiadja a kezéből, így bárki megnézheti, hogy milyen minőségben programoz, rendesebb munkára sarkallja a programozókat, mint akár az ms-nél, ahol nem látszik, ha gány a kód.
emellett a nagyobb projektekben, például a kernel, van kód-review, a kernelnél két szinten is.
tehát jogos feltételezni, hogy az opensource program normálisabban van megírva.
-
#148
Gargouille
őstag
Pingüino
#146
Gargouille
őstag
válasz
Pingüino
#146
üzenetére
"De biztos vagyok benne, hogy van elég ember a világon, aki ért is hozzá, és érdekli is annyira, hogy átböngéssze, akár csak kíváncsiságból, akár azért, mert saját oprendszert fejlesztenek unix alapokon."
Ez az a része ami alapvetően csak egy feltételezés. Mert ugye azt nem tudjuk, hogy ténylegesen hányan nézték át és milyen alapossággal és pontosan melyik részét és mikor, csak "biztos van sok" aki átnézi. Lehet, hogy igen, meg az is lehet, hogy mindenki azt gondolja a másikról, hogy már átnézte, ezért neki már nem kell...
így erre a feltételezésre alapozni a biztonságot minimum kérdéses. De félre ne érts, nem az opensource ellen vagyok, magam is használok ilyen megoldásokat vállalati környezetben és támogatom, hogy minél több teret kapjanak. -
#145
Gargouille
őstag
Pingüino
#138
Gargouille
őstag
válasz
Pingüino
#138
üzenetére
Azzal a gondolatoddal teljesen egyetértek, hogy addig jó amíg csak egy opció a dolog, de onnantól ha kizárólagosan kötelező, úgy már más. Itt legfőképp az "rákényszerítjük" hozzáállással van a probléma. Ha csak a saját példámat nézem, 7db Windows 10-es számítógép van itthon, ebből összesen 2db ami alkalmas biometrikus azonosításra. Ha csak ez az opció maradna kizárólagosan, akkor bajban lennék.
Amit viszont az opensource-ról írtál, azt nem osztom. Az, hogy elvileg bárki végignézheti kódot és megtalálhatja benne a hibákat, az nem egyenlő azzal, hogy tényleg végig is nézte valaki, és ha végignézte akkor rendelkezik olyan mélységű ismeretekkel, hogy meg is találta benne.
-
#70234880
törölt tag
válasz
Pingüino
#138
üzenetére
Jól összemosod a dolgokat. Tudatos eszközhasználat helyet leírtad a tudatos internet használhatott. Senki nem kényszerít senkit semmire. Vagy elfogadod vagy keresel más megoldást. Attól hogy más rendszert használsz semmivel nem leszel nagyobb biztonságban. És ugyan úgy tud kompromittálódni. Hidd el, ma már egy rendszer sincs biztonságban. Az hogy ha a Microsoft hibázik akkor egyből felszólal mindenki, de ha Linux, OSX, ja az más. Pedig ott is megvannak a problémák. Linux mint nagy privacy akkor a red hat anno hogy is volt? Vagy az hogy ott is 10 éves hibákat nem is olyan rég javítottak? Ja az más tudom. Linux rulez. Semmivel nem jobb, vagy rosszabb egyik se. A Microsoft valamit próbál tenni a key loggerek, és a gyenge jelszavakat használó felhasználók miatt. Teljesen jó irányba mennek. Még ha nem is tökéletes. Erre fentebb írtam egy pl ami nem is olyan rég történt. Ami a nagy jelszó kompromittálást illeti, pont az hogy ez a módszer elég hatékony tud lenni még akkor is, ha az adott szerver kompromittálódót, és kikerültek az azonosítók.
-
#70234880
törölt tag
válasz
Pingüino
#133
üzenetére
Mi ebben az irreális? Már rég van lehetőség a 2FA azonosításra, és a Windows helló se új dolog. Én már régóta így használom. És semmi bajom nem lett tőle, se az eszközöknek. Ez a tudatos eszközhasználat érdekelne, hogy pontosan mit értesz ez alatt? Nem használom ki az eszközökbe integrált lehetőségeket, és jelszavakat pötyögök hogy feloldjam? Vagy Windows esetében, is jelszót írok be mert nehogy már yubikey 5 használjak, vagy pin kódot mert... Azért vicces amit írtok, mert elmész az orvoshoz, ő felveszi a digitális aktába az adatokat, egészségügyi problémáidat, és ismerve a korházak eszközparkját, hamarabb élnek vissza az adataiddal, és sokkal hamarabb kerülnek ki információk a betegekről, mint a lakossági eszközökből eddig kinyert Biometrikus azonosítók. Úgy emlékszem nem egy ilyen példa van sajnos. Akkor most tudatos orvosirendelőt, és orvost kell keresni?
Mert a körzeti orvos eladja a személyes adataimat? Ne már srácok... Semmi baj nincs ezekkel a lehetőségekkel, sőt kényelmes a használata, ugyanakkor add 1 plusz védelmet. -
vmarci21
tag
válasz
Pingüino
#123
üzenetére
Kipróbáltam Indiai VPN-el:
Jön az értesítés a belépésről, feloldom az app-ot, ahogy szoktam, majd kiválasztom a képernyőn megjelenő számot. Ennyivel vége is szokott lenni a hitelesítésnek. Így, Indiai belépési hellyel viszont kiírta, hogy a bejelentkezés helye Indiában van, ami szokatlan a bejelentkezési hely, és igazoljam, hogy biztosan én vagyok-e, majd az Igen-ra nyomva még egyszer kérte az ujjlenyomatomat (ami lehetne ugye PIN kód is, ha azt használnám a telefonomon).Tehát egyértelműen máshogy kezeli az ilyen bejelentkezési kéréseket.
Alapvetően azzal (is) indokolja a Microsoft a jelszómentes hitelesítések előtérbe helyezését, hogy azzal nagyobb biztonságot tud garantálni, tehát fura is lenne, ha nem valósítana meg ilyen extra védelmi vonalakat. -
vmarci21
tag
válasz
Pingüino
#120
üzenetére
OK, de itt, a jelszóval ellentétben nem csak a felhasználó tudhatja, hogy valami nem stimmel, hanem a Microsoft is látja, hogy a bejelentkezés helye, és a jóváhagyás helye egymástól több száz/ezer kilométerre van - és ennek megfelelően kezelheti azt a kérést, mondjuk belépési oldalon feldobva egy captcha-t, máris megállította azt, hogy ez a módszer tömegesen, emberi beavatkozás nélkül működhessen. (illetve itt a konkrét fizikai helyen kívül az IP címből következő adatokat is nézheti, pl. ha jön egy belépési kérés pesti, lakossági, vezetékes DIGI hálózatról, akkor egy szintén pesti és lakossági, de vezetékes Telekom által használt IP címről végrehajtott engedélyezést is lehet potenciális támadási kísérletnek kezelni, hiszen viszonylag ritka, hogy 1 háztartásban 2 szolgáltató nete is használva legyen.. )
Tehát itt sokkal több ellenőrzési lehetősége van a Microsoftnak a jelszóval szemben, így a felhasználó helyett is képes bizonyos szintig védekezni.Második felvetésre, az lehet hogy a PIN kód vagy egy minta könnyebben kitalálható / kiderül, de van egy olyan előnye, hogy az egyből kétlépcsős hitelesítés is lesz, mert csak egyetlen eszközön működik az a PIN kód / minta.
Ha maga a hitelesítési rendszer hibás / szivárgott ki olyan adat, ami alapvetően teszi biztonságtalanná / a hitelesítő szerverhez férnek hozzá illetéktelenek / stb., akkor meg már tök mindegy, akkor ott már nagyon nagy probléma van.
Ugyan így, az eszközön tárolt ellenőrzőösszeg is csak akkor valósítja meg jól a funkcióját, ha nem kerül ki arról az eszközről, amin tárolják. Ez elméletben Android és iOS alatt is adott, elméletben ahhoz csak az operációs rendszer fér hozzá, illetve a token (vagy valamilyen kulcs), amivel a Microsoft hitelesíti a szerver felé, hogy "igen, ez az én eszközöm", szintén elméletben védett adat, és csak a Microsoft Authenticator alkalmazás fér hozzá.
Pont mint a jelszó esetén, ott is alap felvetés, hogy a titkos adathoz, (ez esetben a jelszóhoz), csak te férsz hozzá, senki más nem tudja azt. Most hogy konkrét esetben az ember a megbízhatóbb-e, vagy az Android / iOS védelme, az egy jogos kérdés lehet, viszont általános esetben, az összes ember teljesítményének átlagát nézve elég rosszul teljesítünk.Szerintem ott rontjuk el ezt a vitát, hogy nem ugyanarról beszélünk:
én arról írok, hogy egy milliók / milliárdok által használt szolgáltatás összességében miért biztonságosabb jelszavak nélkül, te pedig az elméletben elérhető, maximális biztonságról írsz - ami az emberek jelentős részénél eléggé távol áll a valóságtól. -
vmarci21
tag
válasz
Pingüino
#113
üzenetére
Lazán meg lehet csinálni, hogy miközben veled kommunikál az oldal, közben a bank oldalával is kommunikál, és egyszerűen csak közvetíti a belépési adatokat a két oldal között.
Ez ott bukik el, hogy a mobil alkalmazás kiírja a belépés helyét és típusát (tehát pl. Eger, Magyarország - Chrome, Windows 10).
Egy távoli támadásnál innentől kezdve egészen jól látszik, hogy valami nem stimmel, még annak is, aki amúgy a domain nevet nem ellenőrzi.
Amúgy nem muszáj ujjlenyomat használni, lehet az a telefon pin kódja vagy lezárási mintája is, a lényeg az, hogy telefonhoz kötődő azonosítást kér be, így ha azt el is lopják, akkor sem lehet más eszközön felhasználni.
így erre a feltételezésre alapozni a biztonságot minimum kérdéses. De félre ne érts, nem az opensource ellen vagyok, magam is használok ilyen megoldásokat vállalati környezetben és támogatom, hogy minél több teret kapjanak.
Új hozzászólás Aktív témák
Hirdetés
- ASUS TUF Gaming A17 Makulátlan Állapotban, Dobozában!
- Samsung Galaxy Tab S9 FE 5G (128GB) Gyári Fóliás, Gyönyörű Állapotban! 6hó garancia
- Macbook Pro M1 13" (16/512GB) Gyönyörű Állapotban!
- HP Omen 45L/ 14700K/ RTX 4080 SUPER/ 64GB DDR5/ 2TB M.2 SSD
- Tamron 18-200mm Di II VC (Canon) és Tamron 70 - 300mm 1:4-5.6 (Canon) objektívek
- AKCIÓ! Lenovo Thinkcentre M920S Brand számítógép - i5 9500 8GB RAM 512GB SSD 630 IGP Win 10
- Telefon felvásárlás!! iPhone 16/iPhone 16 Plus/iPhone 16 Pro/iPhone 16 Pro Max
- Beszámítás! Lenovo Legion Slim 5 16AHP9 notebook - R7 8845HS 16GB RAM 512GB SSD RTX 4060 8GB Win11
- Dell és HP szerver HDD caddy keretek, adapterek. Több száz darab készleten, szállítás akár másnapra
- iKing.Hu - Apple Retina Macbook Pro 16 - 2019 - Használt, megkímélt
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest