https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:54 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c8419 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Paweł Goleń) Przeczytaj sobie tę ściągę: https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet Posłuchaj tego podcastu: https://www.owasp.org/download/jmanico/owasp_podcast_83.mp3 A potem zastanów się jak bardzo jest istotna Twoja aplikacja, jak bardzo ktoś może chcieć przejąć konto innego użytkownika. Zabezpieczenia powinny być w jakiś sposób adekwatne do istotności aplikacji. Nie powinny być ani za małe, ani za duże. Być może losowy token przesyłany na maila będzie wystarczający, mimo wszystkich swoich słabości. Sun, 12 Aug 2012 09:50:07 +0200 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c8419 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c8418 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Andrzej) Panowie, co zatem można zrobić aby przesłanie tokenu/reset hasła były bezpieczne? Chciałbym na stronie bazować na tym rozwiązaniu bez pytań zabezpieczających, które również przecież nie są gwarantem bezpieczeństwa. Fri, 10 Aug 2012 13:57:29 +0200 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c8418 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5846 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Bartosz Małkowski) Na OSX 10.7 Widać, że trzeba do własnego softu dodawać jeszcze akumulatory entropii :) Mon, 05 Mar 2012 20:21:48 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5846 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5841 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Paweł Goleń) Masz odpowiedź: NativePRNG Domyślam się, że test nie był na Windows? Mon, 05 Mar 2012 18:34:52 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5841 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5840 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Bartosz Małkowski) NativePRNG / SUN version 1.6 1a: 591922881 1b: 905758986 2a: 1185905089 2b: 521370691 Mon, 05 Mar 2012 14:25:18 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5840 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5836 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Paweł Goleń) U mnie działa: >>> r = java.security.SecureRandom() >>> r.getAlgorithm() u'SHA1PRNG' >>> r.getProvider() SUN version 1.6 >>> r.setSeed(100000000l) >>> r.nextInt() 366127508 >>> r.nextInt() 203444209 >>> r = java.security.SecureRandom() >>> r.setSeed(100000000l) >>> r.nextInt() 366127508 >>> r.nextInt() 203444209 Między kolejnymi próbami rezultat dwóch pierwszych nextInt() różni się między sobą? Mon, 05 Mar 2012 13:34:21 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5836 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5833 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Bartosz Małkowski) No staram się to powtórzyć i nie mogę: SecureRandom r = new java.security.SecureRandom(); System.out.println(r.getAlgorithm() + " / " + r.getProvider()); r.setSeed(100000000l); System.out.println("1a: " + r.nextInt()); System.out.println("1b: " + r.nextInt()); r = new java.security.SecureRandom(); r.setSeed(100000000l); System.out.println("2a: " + r.nextInt()); System.out.println("2b: " + r.nextInt()); zwraca za każdym razem różne wartości. algotithm/provider: NativePRNG / SUN version 1.6 Mon, 05 Mar 2012 13:02:03 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5833 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5708 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Paweł Goleń) Metafora. Sun, 26 Feb 2012 20:36:45 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5708 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5707 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (r9s) >Skutki widoczne na załączonym (wyżej obrazku) - generowany jest powtarzalny ciąg wartości. Nie ma żadnego obrazka. Sun, 26 Feb 2012 09:31:04 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5707 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5703 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Paweł Goleń) I to jest właśnie prawidłowy, knujący tok myślenia :) Brawo! Sat, 25 Feb 2012 23:27:59 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5703 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5702 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (dariusz) Zawsze można wygenerować reset linka dla swojego konta. Potem już offline sprawdzić jakie System.currentTimeMillis() zostało użyte do jego wygenerowania, czas requestu znamy i mamy całkiem dobre przybliżenie czasu na maszynie z logiką biznesową. Sat, 25 Feb 2012 17:57:50 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5702 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5701 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (Paweł Goleń) Często wystarczy popatrzeć w nagłówki odpowiedzi serwera, a tam: Date: Sat, 25 Feb 2012 13:12:58 GMT Oczywiście w praktyce nie musi to być czas z maszyny, na której wykonuje się logika biznesowa, ale zwykle daje całkiem dobre przybliżenie. Sat, 25 Feb 2012 14:58:34 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5701 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#c5700 https://archive.mroczna-zaloga.org/archives/1104-co-z-tego-ze-secure.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1104 nospam@example.com (XANi) A że czas serwera jest z dużym prawdopodobieństwem syncowany przez NTP (parę ms niedokładności max.), jedyną zmienną jest jitter pingu i czas wykonania requestu. Chociaż imo korzystanie z rand()- podobnych funkcji do czegokolwiek związanego z authem to głupota, to się nadaje tylko to zabaw typu "zrób coś co x% ale w mniej-więcej losowych odstępach", zwłaszcza że /dev/urandom lub odpowiednik jest dostępne na wielu platformach Inna sprawa to że zasada "seeduj pseuforand tylko raz" jest często olewane bez żadnego sensownego powodu Sat, 25 Feb 2012 13:13:52 +0100 https://archive.mroczna-zaloga.org/archives/1104-guid.html#c5700