• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori) 24.10.2003. <input type="checkbox" name=".... 05.05.2009. Da li postoji "legalan" trojanac 15.04.2008. Jel neko "probao" izvesnu ASrock plocu .. 15.07.2005. Konvertiranje "mod" u "xm" fa.. 03.09.2005. "Random frame"?! 21.11.2005. VPN pod Debianom i "Loopback was detected&qu.. 17.05.2006. Script "create new user" ? 05.07.2012. "Razgibavanje prstiju " na "visoko.. 18.01.2007. Šta je "<!doctype html public "-//w.. Navigacija Brisanje liste Aktuelne teme u ovom forumu: Minhen & Linux, sprdnja ili šta j.. Linux prebacio 4% Gde vidite nVidia-u za par godina Počelo čipovanje :) Konfiguracija wifi landing stranice za.. Ne volim kad se dimenzije proizvoda pr.. Gde vidite Intel-a za nekih 2 do 5 god.. Cloud, buducnost, prevara ili zabluda? Drugi procesor unutar intel x86 BootHole - virtually every Linux distr.. Takmičenje u hakovanju PC as a poorly debugged set of device .. Razvoj po opensource modelu slobodnih .. Apple će skenirati fotografije na iPh.. John McAfee - RIP Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

xtraya Vladanko Vladanovic Belgrado Član broj: 323 Poruke: 1011 85.222.163.* ICQ: 6072593 +49 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 21:48 - pre 194 meseci Citat: CentOS je zaista odlicno zamisljen Server distro ali slackware? pfff, vidi, glomaznost (ne kazem da nije potrebna) Centosa, za neke mission critical aplikacije, je stvarno nepotrebna, kada mozes slackware bukvalno da ogolis da ti samo radi JEDAN posao sa nenormalnim uptime-om. mislim, mozes i Centos, ali je smaranje a ovo za HDD,ma to je dimke karikirao sa SWAP-ingom, koliko hard disk dobije naredbi, pa "kao" eto linux mnogo vise swapuje pa potencijalno upropastava brze HDD. da je u pitanju SSD pa i da razumem, ali ovo za HDD... pfff, bezveze Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ... Odgovor na temu

Ivan Dimkovic Administrator Član broj: 13 Poruke: 16687 ..adsl-static.isp.belgacom.be. +7176 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 21:50 - pre 194 meseci Dakle, da rezimiramo: Debian & njegov mladji brat, Ubuntu Pokemon: DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator: http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25 PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey Prikačeni fajlovi 2318.strip.print.gif - 27.71k Odgovor na temu

icobh Igor Pejašinović Network Admin Navigo SC d.o.o. Banja Luka Član broj: 18738 Poruke: 1319 *.inecco.net. Sajt: www.nsc.ba +4 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 21:50 - pre 194 meseci fmmfmpmmm pfmmpfmpfmpf, mfmmpmpmmmpp pmmmpp pfmmfffpmppf? A joj Ivane, zakocenuo sam se od smijeha. Gdje samo pronalaziš ovakve slike? I ♥ ♀ Ovaj post je zlata vrijedan! Odgovor na temu

Ivan Dimkovic Administrator Član broj: 13 Poruke: 16687 ..adsl-static.isp.belgacom.be. +7176 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 21:53 - pre 194 meseci Citat: Xtraya a ovo za HDD,ma to je dimke karikirao sa SWAP-ingom, koliko hard disk dobije naredbi, pa "kao" eto linux mnogo vise swapuje pa potencijalno upropastava brze HDD. Nece biti da je tako, Xtraya-o... prica blage veze nema sa swap-om... Doticni Debian je abnormalno slao disku spin-down/spin-up sekvence, pa je u nekim slucajevima samo tokom instalacije debiana disk imao na stotine ciklusa a jako brzo vise hiljada - a svaki disk ima limitirani broj ciklusa za zivot, negde oko 500-600K... tako da je Debian zaista skracivao vreme zivota diska. Takodje, isti taj Debian je potpuno nepotrebno slao wake sekvencu kada se osvezavalo neko vreme accessa fajlu, valjda, povecavajuci jos vise broj load/unload ciklusa. No, taj bag je bio relativno malo opasan posto se greska desavala samo na bateriji, a i laptopovi se menjaju svake 2 godine obicno. U poredjenju sa tim bugom - ovo je crna rupa u centru galaksije. DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator: http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25 PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey Odgovor na temu

Mitrović Srđan bloodzero Freelance Majur //: Šabac Član broj: 10261 Poruke: 2800 212.62.47.* Sajt: freeshell-reviews.com +4 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 21:54 - pre 194 meseci http://metasploit.com/users/hdm/tools/debian-openssl/ Tony Melendez: http://video.google.com/videoplay?docid=- 3819862628517136815&q=tony+melendez NIKADA NE UZIMATI HOSTING NA GO DADDY! Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net. ICQ: 82327428 +10 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 21:54 - pre 194 meseci Citat: Časlav Ilić: Da je katastrofa već rekoh da jeste, ali ovde ćeš malo da popričekaš. Ugrožene ključeve uglavnom koriste programi za komunikaciju, odnosno za identifikaciju mašina i šifrovanje protoka na vezi (i onda slede Konfikovi primeri). Za šifrovanje i potpisivanje trajnog sadržaja koristi se GnuPG i ključevi koje on stvara, a koji nisu ovim ni najmanje ugroženi. E, da je GnuPG bio taj koji je pogođen (što sam se trenutku odsekao), onda... To je ono sto ne razumem... Znaci pogodjeni kljucevi su samo privite keys? Odnosno kljucevi koje si ti generisao na lokalnoj debian-like masini... Znaci cim update-ujem masinu i izbrisem sve kljuceve koje imam onda nikako nisam busan! Pa i neko da je sniff-ovao moju mrezu godinu dana ne bi mogao da vidi sta sam pricao zato sto ne moze da enkriptuje stare sesije? Nije da nije katastrofa ali ipak nije za ovoliku galamu. Mogu da nabrojim na prste windows viruse/bugove koje su napravili vece novcane troskove nego ovaj bug. Pogotovo zato sto ovo nije linux-wide critical bug.... Ako nekoga zanima moze da vidi kako su popravili bug. Ili da procita "Vendors Are Bad For Security" Odgovor na temu

Ivan Dimkovic Administrator Član broj: 13 Poruke: 16687 ..adsl-static.isp.belgacom.be. +7176 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 21:58 - pre 194 meseci @CONFIQ, NA zalost mislim da nije tako - bug pogadja i SSL sertifikate, koji se generisu koriscenjem OpenSSL biblioteke... Dakle, ako je neki Debian koriscen kao masina na kojoj su se generisali komercijalni sertifikati - oni ce sad morati da budu povuceni i zamenjeni novima koji moraju ici na VeriSign autorizaciju. Ovo je gadno iz par razloga - prvo, ako si firma koja je to radila, moras obavestiti sve svoje customere, a onda im za dzabe izvaditi novi kljuc (to ce da kosta ;-). A za to vreme dok vi ne revocirate stare kljuceve, neki pirat moze da uradi svasta kreativno sa tvojim SSL sertifikatom, recimo da fejkuje tvoj sajt tj. sajt tvog klijenta ciji si SSL kljuc generisao, i da namami neke ljude da ostave broj bankovnog racuna sa sifrom, recimo. Dakle, nije bas tako naivno - samo je pitanje koliko se Debian i njegovi forkovi koriste za ovako nesto. A, inace, lepo je sto si linkovao ovo - iz ovoga se vidi da je neki mamlaz u Debianu odlucio da patchuje OpenSSL jer je mislio da je Valgrind nasao gresku, koja je u stvari "feature" za dodavanje entropije - kroz, neinicijalizovani memorijski vektor!!! Ja ovde imam jedan veliki problem - tj. 3: * Prvo, kako je uopste nekom palo na pamet da patchuje kod koji ne razume? Ja, recimo, nikad ne bi dirao SSL kod osim ako nisam kriptoanaliticar ili kriptografski ekspert * Drugo, zasto Debian patchuje nesto sto nije njihov paket? Zar nije pametnije da su prvo pitali OpenSSL, pogotovu kada se uzme u obzir kriticnost tog modula * Trece, ocigledno je da u deploymentu, bar Debian Linuxa, ne postoji unit-testing kriptografskog modula, tj. testiranje RNG-a - sto je jako lose To su 3 jako gadne stvari... koje uopste ne bacaju dobro svetlo na Debian development. Neko ko pretenduje da pravi ozbiljan i kvalitetan produkt ne bi pravio ovakve greske, a random-number generator bi testirao kao standardnu deployment proceduru, bas zbog kriticnosti takvog modula za sigurnost celog sistema, mreze - a i sire. DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator: http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25 PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey Odgovor na temu

Mitrović Srđan bloodzero Freelance Majur //: Šabac Član broj: 10261 Poruke: 2800 212.62.47.* Sajt: freeshell-reviews.com +4 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:12 - pre 194 meseci Koliko li ovo ima veze sa ovim flaw-om :) http://www.informationweek.com...03339&cid=RSSfeed_IWK_News Citat: Broj SSH napada brutalnom silom je u porastu, upozorava SANS Internet Storm centar. Iz poslednjih izveštaja koje je primio ovaj centar ustanovljeno je da napadači koriste “male i spore” stilove napada da izbegnu zaključavanje naloga i/ili budu detektovani od strane sistema provajdera internet usluga. Pojedini napadači sa druge strane koriste botnet-ove da bi širili svoje napade. Podaci dobijeni sa sajta DenyHosts.org koji prati SSH pokušaje napada takođe potvrđuju ove tvrdnje. Naime napadi se su tokom prošlog vikenda značajno povećali. SSH je skraćenica za secure shell, koji je mrežni protokol za kreiranje sigurnog komunikacionog kanala između dva računara. Tony Melendez: http://video.google.com/videoplay?docid=- 3819862628517136815&q=tony+melendez NIKADA NE UZIMATI HOSTING NA GO DADDY! Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net. ICQ: 82327428 +10 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:13 - pre 194 meseci Pa i nije naivno, nikako... Debian ce biti u velikom minusu zbog ovog blentavog buga koji nisu popravili. Tj popravili su tako sto su napravili jos veci bug ali to je druga prica. Ono sto jeste dobro/lose jeste da debian se ne koristi kao server dok ima takvih kao ja sto ga preferiraju :) [Ovu poruku je menjao CONFIQ dana 16.05.2008. u 23:34 GMT+1] Odgovor na temu

mulaz Ljubljana Član broj: 47602 Poruke: 2239 *.dial-up.dsl.siol.net. Jabber: mulaz@elitesecurity.org Sajt: www.mulaz.org +184 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:15 - pre 194 meseci jel steta u $$$ manja ili veca od ms.blaster.worm-a? Bolje ispasti glup nego iz aviona http://www.mulaz.org/ Odgovor na temu

Ivan Dimkovic Administrator Član broj: 13 Poruke: 16687 ..adsl-static.isp.belgacom.be. +7176 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:20 - pre 194 meseci Citat: CONFIQ Tj popravili su tako sto su napravili jos veci bug ali to je druga prica. Nije ni bilo buga - Valgrind je nasao gresku koja je tu bila namerno, jer se neinicijalizovana memorija koristila kao izvor slucajnosti (entropije). Taj deo koda, je trebao biti komentarisan sa : /* DO NOT CHANGE - UNINITIALIZED MEMORY READ IS INTENTIONAL *** DO NOT CHANGE! */ Ali, izgleda su ljudi u OpenSSL-u nisu racunali da ce njihov kod da "popravlja" neko ko ne razume princip rada. Inace, to je jos jedan od ruznijih aspekata OSS-a - jer svako moze da izigrava strunjaka i da vrslja po tudjem kodu. Nekad je to dobro, a nekad... Citat: mulaz jel steta u $$$ manja ili veca od ms.blaster.worm-a? Zavisi ;-) Steta za pojedince kojima je provaljen kljuc/sertifikat moze biti vrlo bolna, mnogo vise nego neki worm, baska sto je "rupica" tu bila godinu ipo dana ;-) Drago je cuti ovako fine argumente, ali oni nece promeniti reality ;-) DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator: http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25 PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net. ICQ: 82327428 +10 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:23 - pre 194 meseci Citat: Ivan Dimkovic: @CONFIQ, A, inace, lepo je sto si linkovao ovo - iz ovoga se vidi da je neki mamlaz u Debianu odlucio da patchuje OpenSSL jer je mislio da je Valgrind nasao gresku, koja je u stvari "feature" za dodavanje entropije - kroz, neinicijalizovani memorijski vektor!!! Ja ovde imam jedan veliki problem - tj. 3: * Prvo, kako je uopste nekom palo na pamet da patchuje kod koji ne razume? Ja, recimo, nikad ne bi dirao SSL kod osim ako nisam kriptoanaliticar ili kriptografski ekspert * Drugo, zasto Debian patchuje nesto sto nije njihov paket? Zar nije pametnije da su prvo pitali OpenSSL, pogotovu kada se uzme u obzir kriticnost tog modula * Trece, ocigledno je da u deploymentu, bar Debian Linuxa, ne postoji unit-testing kriptografskog modula, tj. testiranje RNG-a - sto je jako lose To su 3 jako gadne stvari... koje uopste ne bacaju dobro svetlo na Debian development. Neko ko pretenduje da pravi ozbiljan i kvalitetan produkt ne bi pravio ovakve greske, a random-number generator bi testirao kao standardnu deployment proceduru, bas zbog kriticnosti takvog modula za sigurnost celog sistema, mreze - a i sire. Mislim da ti na ta pitanja odgovara ovaj clanak: http://taint.org/2008/05/13/153959a.html Kolko sam ja skontao Debian je pitao OpenSSH u vezi tog patch-a i ovi nisu odgovorili. Ovi iz debian-a su ostavili kod 'as it is' dok openSSH ne popravi bug ili ne odgovore. Inace menjanje koda nekog paketa koji nije tvoj se zove "upstream" Citat: upstream (noun) In open source projects, the upstream of a program or set of programs is the project that develops those programs. Fedora is downstream of those projects. This term comes from the idea that water and the goods it carries float downstream and benefit those who are there to receive it. to upstream (verb) A short-hand way of saying "push changes to the upstream project". Obicno svaki veci open source projekat to koristi ali pokusava sto manje... Odgovor na temu

Srđan Pavlović Specijalna Edukacija i Rehabilitacija MNRO Vojvodina, Bačka Palanka Član broj: 139340 Poruke: 5571 77.46.226.* Sajt: www.oligofrenolog.com +382 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:28 - pre 194 meseci Eto sad smo se uverili koliko znaci dobro komentarisan kod... ...sa jedne strane... i pazljivo citanje nekomentarisanog .... sa druge strane :( oligofrenolog Odgovor na temu

Ivan Dimkovic Administrator Član broj: 13 Poruke: 16687 ..adsl-static.isp.belgacom.be. +7176 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:30 - pre 194 meseci Citat: CONFIQ Valgrind was warning about unitialized data in the buffer passed into ssleay_rand_bytes, which was causing all kinds of problems using Valgrind. Now, instead of just fixing that one use, for some reason, the Debian maintainers decided to also comment out the entropy mixed in from the buffer passed into ssleay_rand_add. This is the very data that is supposed to be used to see the random number generator; this is the actual data that is being used to provide real randomness as a seed for the pseudo-random number generator. This means that pretty much all data generated by the random number generator from that point forward is trivially predictable. I have no idea why this line was commented out; perhaps someone, somewhere, was calling it with uninitialized data, though all of the uses I’ve found were with initialized data taken from an appropriate entropy pool. Ovo je fantasticno :) Taj lik sto je ovo "fixovao" ocigledno blage veze sa RNG-om nema, ali se ipak odlucio da patchuje kod u jednom od najvaznijih modula za kriptografsku sigurnost + da to ne prijavi autorima!!! Wow! Kao sto rekoh, OpenSSL je isto kriv jer nisu lepo dokumentovali tu njihovu ideju, i JASNO napisali da je unitialized-read "feature" a ne bug. Mada, ipak je najveca krivica na Debianu - ovo samo idiot moze da uradi - e sad, tu stupa na snagu prevencija idiota, posto idiota ima svuda je li i zove se unit testing. Unit testing sluzi da se te stvari otkriju. Unit test RNG-a bi trebao da otkrije da RNG ne daje dobre rezultate jer bi korelacija trebala da skoci u odnosu na proslu verziju koja je imala puno dodatnih izvora entropije - ali, unit testa nema... Bazaar, sta reci ;-) No, neki se sa bazaar-om i ponose... Citat: Kernel-1 Eto sad smo se uverili koliko znaci dobro komentarisan kod... ...sa jedne strane... i pazljivo citanje nekomentarisanog .... sa druge strane :( A, jel znas, da ces medju developerima naci jako puno onih koji smatraju da kod uopste ne treba da se komentarise, posto ... je li... sve moze da se ukapira u kodu, ako je dobro pisan? :) Ima citav jedan pravac u "skolama projektovanja softvera" koji tvrdi da su komentari suvisni... Ja bih te ljude poslao na kopanje, a ne u kancelarije. DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator: http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25 PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey Odgovor na temu

Časlav Ilić Braunšvajg, Nemačka Član broj: 4945 Poruke: 565 *.pool.mediaWays.net. +27 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:35 - pre 194 meseci Citat: Ivan Dimkovic: A sta se koristi za generisanje SSL sertifikata? http://slacksite.com/apache/certificate.php Pa opet identifikacija i šifrovanje veze, brate. Ili ja nešto pogrešno čitam. A čak i na nivou overene identifikacije pojedinaca, opet se znatno češće koristi GnuPG i njegovi ključevi. Ja do sada zapravo nisam video u divljini nijedan slučaj gde su za to korišćeni OpenSSL-ovi ključevi, i svi zahtevi za poništavanje ključeva koji su ovih dana do mene stigli ticali su se upravo komunikacionih SSH parova. Svakako, golema je zajebancija i trošak što će sad morati nanovo da se utvrđuju identiteti korisnika pri usvajanju novih ključeva gde je to neophodno iz bezbednosnih razloga, ali je ipak to neki drugi nivo od ugroženosti šifrovanih i pohranjenih podataka. Dalje, ugroženi ključevi se lako otkrivaju (Debijan je već sastavio paket sa komandom koja to sve fino istraži po sistemu :) te se svi nalozi koje pokrivaju brisanjem ključa trenutačno blokiraju do daljnjeg. Na primer, nekoliko časova po objavljivanju problema, blokirani su nalozi svih predavača u riznicu KDE-a sa ugroženim ključevima, i odaslat cirkular o trebovanju novih ključeva; slično i sa riznicom Gnoma. Citat: Prvo, kako je uopste nekom palo na pamet da patchuje kod koji ne razume? [...] Jer mu uopšte nije delovalo da ne razume taj deo koda, već naprotiv, u nedostatku valjanog komentara ličilo je na uobičajenu upotrebu neuspostavljenog memorijskog prostora, koja se krpi po kratkom postupku. Pa ipak... Citat: * Drugo, zasto Debian patchuje nesto sto nije njihov paket? Zar nije pametnije da su prvo pitali OpenSSL, pogotovu kada se uzme u obzir kriticnost [...] Jesu, pitali su na listi OpenSSL-a, i nisu dobili zamerke (čitati dalje šta piše tamo, i sitnim slovcima). Naprotiv, skoro da su dobili zeleno svetlo od potpisanog programera OpenSSL-a (više kao „ma u redu, što gnjavite sitnicama“). A onda je ispalo da to nije bila baš prava lista za takvo pitanje, i pored toga što se zove openssl-dev i kaže da se bavi razvojem biblioteke OpenSSL-a :) Citat: * Trece, ocigledno je da u deploymentu, bar Debian Linuxa, ne postoji unit-testing kriptografskog modula, tj. testiranje RNG-a [...] Problem nije ni bio do RNG-a, već do izvanredno nekonvencionalne i nedokomentarisane taktike programera OpenSSL-a za sakupljanje semena slučajnosti, a zatim i do kraha u komunikaciji kad je baš to bilo potegnuto na gorenavedenoj listi. Na kraju, od preko 200 miliona redaka kôda u Debijanovim riznicama, morao je baš za ovo parče da se uhvati neki agresivni debijanac-bagolovac, a zbog kojih je opet naravno Debijan i poznat kao distribucija „ne koristiš Debijan — još uvek.“ Zbog svega ovoga i tvrdim da je sled događaja kojim je došlo do problema od sorte jednom i nikad više. Odgovor na temu

Ivan Dimkovic Administrator Član broj: 13 Poruke: 16687 ..adsl-static.isp.belgacom.be. +7176 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:39 - pre 194 meseci Citat: Pa opet identifikacija i šifrovanje veze, brate. Ili ja nešto pogrešno čitam. Pa da, ali sasvim slucajno se ta ista identifikacija koristi za proveru autoriteta web sajta - recimo, ako zelis da budes siguran da si na sajtu PayPal-a ili sajtu tvoje banke, pogledas sertifikat na kome jasno pise kome je izdat. Uz ovu zajebanciju, SSL sertifikati mogu biti provaljeni, a iz toga moze svasta da nastane - recimo, moze doci do kompromitacije komunikacije sa web sajtom i poturanje neceg malicioznog. A to nije bas lepo :) Osim toga, ti SSL sertifikati kostaju - nisu kao SSH sertifikati za lokalnu upotrebu, pa da mozes da ih sam jednostavno regenerises, vec moras da platis Root autoritetu da on njih potpise svojim kljucem, sto zahteva vreme i, da, pare... Citat: Jer mu uopšte nije delovalo da ne razume taj deo koda, već naprotiv, u nedostatku valjanog komentara ličilo je na uobičajenu upotrebu neuspostavljenog memorijskog prostora, koja se krpi po kratkom postupku. Pa ipak... Kod u RNG-ovima se ne "krpi po kratkom postupku" osim ako ne znas kako RNG radi... Ja sam vidjao svakojake RNG-ove sa nekim cudnim igranjima sa registrima, pa ne bih bas rado potrcao da "krpim" memorijske greske, ili greske u tipovima/sirini pointera za citanje/pisanje - kada to moze biti deo samog algoritma. Opet, kao sto rekoh, OpenSSL ljudi su to trebali jasno da naznace u samom kodu, osim ako i oni ne spadaju u pavijane koji tvrde da su komentari u kodu suvisna stvar. DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator: http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25 PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net. ICQ: 82327428 +10 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 16.05.2008. u 22:52 - pre 194 meseci Citat: Ivan Dimkovic:  Taj deo koda, je trebao biti komentarisan sa : /* DO NOT CHANGE - UNINITIALIZED MEMORY READ IS INTENTIONAL *** DO NOT CHANGE! */ Hmmm... 1) kod koji sam postavio je ustvari popravljen kod, znaci debian-nci su popravili pre 6 dana (ovo cisto da kazem da ne bude zabune) 2) Bilo bi zanimljivo da im posaljes pismo i da ih ucis kako trebaju da programiraju :) Najsmesnije bi bilo da ih ucis najprostijom stvari u programiranju, komentarisanje :) (ovo me podseca na Borat-topic:) Ne verujem da ce ovakve greske da se ispravljaju ovako u buducnosti a pogotovo zbog ovog poslednjeg odkrica. Upstream bugovi idu u upstream projekat i verujem da ce JAKO tesko biti promeniti upstream kod kod downstream projekata. Tako i dodavanje komentara u kodu je suvisno zato sto ceo taj kod ne sme da se dira u buducnosti. P.S. upstream je u ovom primeru OpenSSH a downstream je debian... [Ovu poruku je menjao CONFIQ dana 17.05.2008. u 00:04 GMT+1] Odgovor na temu

nkrgovic Nikola Krgović Beograd Član broj: 3534 Poruke: 2807 ICQ: 49345867 Sajt: https://www.twinstarsyste.. +655 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 17.05.2008. u 00:11 - pre 194 meseci Citat: Ivan Dimkovic: Kod u RNG-ovima se ne "krpi po kratkom postupku" osim ako ne znas kako RNG radi... Ja sam vidjao svakojake RNG-ove sa nekim cudnim igranjima sa registrima, pa ne bih bas rado potrcao da "krpim" memorijske greske, ili greske u tipovima/sirini pointera za citanje/pisanje - kada to moze biti deo samog algoritma. Opet, kao sto rekoh, OpenSSL ljudi su to trebali jasno da naznace u samom kodu, osim ako i oni ne spadaju u pavijane koji tvrde da su komentari u kodu suvisna stvar. OK, ovo drugo stoji, ali AMAN. Kao sto lepo kaze Ivan u ovom prvom pasusu - nije OpenSSL kriv sto neko MENJA njihov kod i onda to ne radi. Ovo jeste advocacy, ali ajde batalite te zamene teza. Ako ne znas sta radis - onda to ne diras. Ako nesto radi ne popravljas ga. To sto neko nije dobro iskomentarisao kod jeste ruzno, ali to ne oslobadja modifikatora da kod ispravlja bez da razume sta radi jer, eto, on misli da tako treba. Sva krivica za ovaj bug je samo i iskljucivo do blente koji je to napravio i do Debian tima koji ne proverava kod koji izbacuju. To sto su nekog pitali POSTO su napravili izmenu im nije nikakav izgovor. Jednostavno, bubble je splasnuo i komercijalna podrska je jedino sto gura Linux. Zato Red Hat i CentOS idu na CC EL4+ sertifikat, a Debian ne provera ni izmene koje naprave na kodu KRITICNOM za bezbednost. Ubuntu je sam upao jer su razmisljali da mogu da iskoriste "poznatu i pouzdanu" distribuciju kao osnovu i time smanje troskove.... Please do not feed the Trolls! Blasphemy? How can I blaspheme? I'm a god!' Odgovor na temu

EArthquake Član broj: 20684 Poruke: 884 *.eunet.yu. +67 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 17.05.2008. u 02:46 - pre 194 meseci smesne su vam rasprave , flaw je defintivno smesan pa makar i bio backdoor nebitno iako koristim linux, nisam neki zagovarac sta je bolje , jednostavno koristim ono sto meni radi ono sto mi treba ovaj flaw je vrlo nezgodan kao sto sam rekao , zato sto ne pogadja iskljucivo debian sisteme vec i sve koji su imali kontakt s debianima , tj na kojiuma su generisani losi kljucevi jedan prijatelj koji administrira veliku mrezu akademskih servera je , testirajuci svoje servere nasao mnogo ranjivih kljuceva a sto se tice price slackware-a ja sam zadnjih 5 godina bio na slackware-u , distro je super , ali ako vam treba nesto za produkciju , nesto sto stvarno treba da radi savrseno , on nije resenje bilo kakav flaw koji se desi u nekom linux programu je mnogo lakse expllitovati na slack-u nego na nekom zasticenijem distru, recimo fedora ili hardened gentoo , i ovo govorim iz iskustva nema nikakvog opravdanja za linux-ase oko ovog flaw-a , i to kazem s odredjenom tezinom iako koristim linux , i savrseno mi odgovara za ovo cime se bavim moje misljenje je da je ceo ovaj advokasi forum cista zabava za one koji imaju mozga , ili nerviranje za one koji ne mogu da shvate zezanije :) pozdrav, Aca Odgovor na temu

degojs Član broj: 4716 Poruke: 5096 +51 Profil Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve 17.05.2008. u 04:49 - pre 194 meseci Al' ga je opravio, svaka mu čast :D Commercial-Free !!! Odgovor na temu