eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiŁamanie tajników liczb przeklętych...Re: Lamanie tajniki liczb przekletych
« poprzedni post
następny post »
  • Data: 2019-10-13 15:25:31
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Michal Jankowski <m...@f...edu.pl> writes:

    > No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
    > uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
    > "nielegalność" (niby jaką?), tylko o fakty historyczne.

    Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
    czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
    specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
    wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
    COCOMem, to pewnie pamiętasz.

    To nie są fakty historyczne?

    BTW widziałem system, w którym nie było ani shadow, ani crypt - wiesz co
    trzymane było w /etc/passwd? System był zapewne wyeksportowany zgodnie
    z prawem, to była jakaś przemysłowa maszyna.

    BTW mam także delikatne wrażenie, że wersje BSD eksportowane oficjalnie
    do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale to
    oczywiście nie miało(by) większego znaczenia.

    Zupełnie inną sprawą jest to, że systemy pracujące w Polsce (zarówno
    soft, jak i sprzęt) były sprowadzane "z obejściem" zarówno COCOMu, jak
    i zezwoleń DoD. A często także "z obejściem" wszelkiego prawa
    autorskiego.

    >>> Tylko uwazano to za niegrozne.
    >> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
    > Ale to było 20 lat później.

    Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie żyłem,
    a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
    trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może nie
    aż tak groźne jak np. dostęp shellowy. Zauważ że we wcześniejszych
    wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość pliku
    passwd (prawdziwego) - jak również każdego innego pliku
    ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w rodzaju
    (prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib /usr
    itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

    Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne łatwe do
    złamania napisy :-)
    W rodzaju 0why 1are 2you 3wasting itd. - coś takiego, nie?
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy