Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Wasper

Stran: [1] 2 3 ... 6
1
Vývoj / Re:Zkrácení haše pro identifikaci
« kdy: 23. 02. 2024, 08:28:10 »
Zkracovani hashu je nesmysl a pokud to nejaka aplikace dela tak je to problem.
Nesmysl je přesně to, co jste napsal, kategorické tvrzení bez jakéhokoli kontextu.

Záleží plně na aplikaci. Zkracovat hash pro ověření finanční transakce nesmyslem být nemusí (na algoritmy  sha192 nebo sha384 jste určitě ještě nekoual, že ne?) ale obvykle bývá.

Zkracovat hash pro urychlení výpočtů třeba při zařazování do hash tabulky, nebo pro generování jednoduchého PRNG je celkem v pohodě, ostatně třeba i ext2+ používá half-MD4.
Stejně tak zkrátit hash, pokud chcete jen detekovat "nakopnutá" data, ale v use case nemáte útočníka který se aktivně snaží, tak zkrácený (i obsolete - viz ona md4) hash je úplně v pohodě.

Na co se OP ptal - pokud mu v aplikaci nevadí vysoká pravděpodobnost kolize (a tím i snadnost brute-force), tak je to v pohodě, a pak je jedno, kterou část hashe ořízne.

2
Studium a uplatnění / Re:Intriky při výpovědi
« kdy: 16. 02. 2024, 22:26:21 »
Hele, s těma intrikama, uvědom si, že jsme celkem malý stát, až budeš někam nastupovat, tak počítej s tím, že se budou budoucí kolegové ptát a určitě najdou někoho známého z tvojí minulé práce.
A mít pověst "blbec co dělá dusno" nechceš.

Prostě jak už tu mnozí řekli, zajdi za šéfem, řekni mu, že on chce dotáhnout předání, ty chceš tejden volna, tak že byste se měli nějak domluvit. Žádné vyhrožování apod. on stejně velmi dobře ví, co můžeš dělat, když se nedomluvíte...

3
Asi jste nedělal v distribuovaném korporátním týmu. Oběd a pivo fakt nehrozí. Navíc tam jsou i další lidi, takže není vhodné probírat některé citlivější aspekty práce (krom obchodních tajemství třeba i to, že se s někým dělá fakt blbě).
To naštěstí ne, a asi bych to (i podle zkušeností postižených kolegů) řešil stejně jako oni, šel čelit výzvám někam jinam, a to ať už v rámci firmy, pokud tam je lépe fungující team, nebo někam jinam.

Na druhou stranu máte pravdu, pokud je TL z dálky, tak nic jiného nehrozí. Ale zase, viz odstavec výše, podobnou změnu na distribuovaný team z těch schopnějších přežili (alespoň v mé sociální bublině) jen ti největší flegmatici, a/nebo ti s největší hypotékou.

4
Jak jinak chcete říct manažerovi, že Vás z práce víc baví nějaká konkrétní oblast? Že se chcete sám stát manažerem (nebo naopak nechcete)? Že chcete více nebo méně kontaktu se zákazníkem? Že Vás baví/nebaví učit, přednášet, ...
Pokud je otázka na TL (ale i na manažera přímo nad ním), tak pokud je k tomu potřeba 1:1, tak správný způsob bych viděl někde směrem na HR podepsat výstup a jít na IT odevzdat notebook.

Normálně na tohle běžně funguje interní teamová komunikace, ať už nějaké kecátko, nebo se chodí na pivo popř oběd, firemní chlastačky apod. Ale jako představa, že TL celej rok netuší, co jeho lidi chtěj dělat... no pardón.

5
Nevím, jestli je v teamu desítky lidí, tak možná při dobrám uchopení by to teoreticky mohlo i nějak jako fungovat, ale v běžných teamech, co jsou v korporaci, to z logiky je tradiční korporátní vopruz.
Jednak menší team obvykle komunikuje tak, že pravidelná pakárna je redundantní, druhák různě šetříme atd. takže často domluvy na školení dopadnou stylem "hele kluci padne na nás X a mám na to jen Y tak musíme vymyslet jak se školením". apod.
Takže v reálu to stejně dopadne stylem "něco tam napiš a hlavně ať není průs.."

6
Vývoj / Re:Jak limitovat autentizační požadavky anonymů
« kdy: 04. 02. 2024, 06:19:00 »
Edit: Ona by i další cesta byla. Můžete si průběžně dělat analýzu trafficu, jaký je normální pattern, a v době útoku jet proti téhle databázi. Ale to je spíš práce pro celý team (a ostatně u komerčních WAFek je obvykle přístup do jejich reputation database celkem nekřesťansky placená služba)...

7
Vývoj / Re:Jak limitovat autentizační požadavky anonymů
« kdy: 04. 02. 2024, 06:06:59 »
Ono v konencom dosledku limitovat requesty je hracka, primarne mi slo o to zabranit utok hrubou silou ale ako som pisal, to sa da lahko poriesit limitom neuspesnych prihlaseni a je po probleme.
Tak to se budu hádat. Proti DoSu je jakákoli ochrana s prstem v nose. Horší to máte proti DDoS, a v praxi stejně narazíte na neřešitelný problém, kdy zjistíte, že sice máte hezké per-IP limity, ale krásně Vám to i v době míru zařezává velké zákazníky, kteří mají za jedním ipčkem (nebo ip6kem) firemní proxiny tisíce zaměstnanců.
Nakonec se stejně nějaké formě buď captchy, nebo PoW nevyhnete. S tím, že PoW zákoše tolik neprudí.

8
Vývoj / Re:Jak limitovat autentizační požadavky anonymů
« kdy: 03. 02. 2024, 14:53:02 »
A co takhle implementovat PoW = nechat klienta spočítat něco, co mu chvíli zabere, ale ověření je okamžité?

Názorný příklad - pokus je session id generovaná serverem, tak můžete požadovat dopočítání X tak, aby substr(sha256(X+session_id),1,5) == "12345", při špatném loginu tu session samozřejmě zrušíte.

viz https://en.wikipedia.org/wiki/Proof_of_work

9
Studium a uplatnění / Re:Stačí střední bez maturity?
« kdy: 26. 01. 2024, 12:07:52 »
Hele, koukej se učit a nesmlouvej.
Jako jak už tu několikrát zaznělo, důležitost vzdělání ubejvá s délkou tvého CV, ale tam máš jako (ne)absolvent docela problém.
Pak bez maturity zapomeň i na státní správu, případně v korporátu by mohl být problém, když jim pak na HR tu maturu nedoneseš. A když ti to jde blbě už teď, tak za 20 let to nedoděláš naprosto určitě.

10
Software / Re:IM protokol maskující, kdo s kým píše
« kdy: 23. 01. 2024, 00:05:45 »
Ani jak dobre to funguje... ani jestli to tak porad je...
Už před desítkami let se to řešilo celkem triviálně, strany se dohodly na shared secretu, a potom někam veřejně (tehdy alt.binaries.pictures.*) posílali fotky se zasteganovanou zprávou.
Dneska by asi šlo použít něco jako 4chan, možná i klasickou socku, pokud mají oba dostatek sledujících, a socka neořezává/nekonvertuje.


11
Software / Re:Hledání minerů v hrách
« kdy: 27. 12. 2023, 14:44:43 »
jak by vas napadla naka podozriva hra tak kludne sem postnite!
Jako promiň, ale jaký to má vůbec význam? Tohle, v takové podobě, je diskuse hodná mimibazaru, rozhodně ne roota (alespoň ne roota, jaký si ho chceme pamatovat).

"běží větráček" - sakra co to je za diagnostiku? Jasně, je to indikace, že něco maká. Ale co takhle se na to prvně podívat? Žere to CPU nebo GPU? Hrabe to na disk? A co přesně to dělá?

Sakra je tu spousta naprosto free a jednoduchých věci, třeba https://learn.microsoft.com/en-us/sysinternals/downloads/procmon je taková první volba, pak se na to dá kouknout třeba tu máme http://www.ollydbg.de/version2.html resp http://ollydbg.de/odbg64.html nebo stovky dalších, pak jsou tu i nějaké placené (některé až velmi dobře placené, že když to člověk potřebude jednou do roka, je lepší tu binárku poslat kolegovi, který ten IDA má koupenej), ale sakra, aspoň základní diagnostiku...

12
Software / Re:Hledání minerů v hrách
« kdy: 26. 12. 2023, 10:31:32 »
pretoze mam na steame 100+ dalsich hier niektore 3d ego shooter a vsetko vlaje bez problemu. a konkretne storryteller neni podla vzhladu hra narocna na hw. pozri videa?
No tak je blbě napsaná, no. To je v dnešní době celkem normálni. Bohužel.

13
Sítě / Re:Zákaz náhodné MAC adresy
« kdy: 24. 12. 2023, 07:16:00 »
Omlouvám se, měl jsem lépe popsat problém. Jde o to, že v síti se nachází velké množství MT které si různě přehazují MAC adresy a následně dosti často nedostanou IP přes DHCP. Takže dotaz je spíše zda je lze ze strany sítě donutit používat stále stejnou MAC.
Dejte tomu kratší lease time...

14
Sítě / Re:Náhodné MAC
« kdy: 24. 12. 2023, 07:14:26 »
jestli se nepletu, náhodné adresy mají definovaný prefix, ev. pattern, ale pochybuji, že se dá blacklistovat pouhý prefix, nebo dá ?
No jsou locally administered (pokud si člověk nenastavil že to má fejkovat fyzické síťovky, což je proti specifikaci, ale SW to často umí), ale stejně tak jsou locally administered třeba síťovky virtuálních strojů, takže když to zakážeš, tak ti pak nebude fungovat různé Qemu a VMWare.
Navíc už mi prošlo rukou cosi (made in China asi netřeba uvádět neb je jasné), kde ten bit byl nastavenej mělo v fyzické MACovce, takže cesta do pekel

15
Sítě / Re:Náhodné MAC
« kdy: 23. 12. 2023, 11:20:32 »
Obecně je to ekvivalentní s otázkou: Jak se dá jednomu zařízení zabránit, aby se vypnulo ve stejné chvíli, kdy se zapne jiné?

Pokud máte na domácí WiFině whitelist MACovek, tak se to logicky tomu zabrání jako vedlější efekt, ale předpokládám na tohle se neptáte. To samé, pokud se podle MAC zařízení hází do různých classů a podle toho jsou omezena (rychlost, prostupy etc.) - opět to spíš funguje jako scream test ;-)

Jako můžete se kouknout do nastavení profilů na Vaše zařízení, tuším že do vovcofounu to vnutit nějak šlo přes  DisableAssociationMACRandomization v configu.

Edit: No na enterprise Wifi opřené o Radius Vás to patrně nemusí tolik trápit, ale doma kde máte patrně něco jako WPA2/PSK ano.

Stran: [1] 2 3 ... 6