Thue Kristensen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til NemID er ikke kryptologisk sikker - og myndighederne er ligeglade

Re: Ikke bare NemID-bashing, men et reelt problem

Det er et reelt problem, at dette semi-fundamentale problem ikke bliver addresseret, og det er tæt på en skandale, at denne svaghed får lov til at forblive åben. NemID er en Trusted Third Party. Det er ikke "semi-fundamentalt", men fuldstændigt fundamentalt, at det er designet så man...
Kommentar til Open Source routere

Juniper of NSA

jeg er stor fan af Juniper Junos Uhh, Juniper er ekstremt suspekt lige nu, mht NSA. Fra http://www.wired.com/2015/12/researchers-solve-the-juniper-mystery-and-t... : Matthew Green, a cryptographer and professor at Johns Hopkins University, says that the ANSI failure raises additional questions ...

Re: Juniper bagdør

Der er 3 sårbarheder! Den oprindelige kode, før de to bagdøre blev sat ind, giver kun mening hvis Juniper's oprindelige (men ikke NSA's) P og Q var valgt med bagdør. Med den indbyggede fejl at den sikre CSPRNG ikke bliver brugt, som super meget ligner en bevidst plantet fejl for at skabe en bagd...
Kommentar til Let's Encrypt åbner beta: Nu kan alle få gratis HTTPS

Man har længe kunnet få gratis TLS

Se http://arstechnica.com/security/2009/12/how-to-get-set-with-a-secure-ser...
Kommentar til NemID er ikke længere i brug

Re: Hvorfor sammenligner alle med phishing?

Jeg tror aldrig at Nets har hørt om begrebet kryptologisk sikkerhed. For Nets er sikkerhed at checke for stavefejl, og at bedstemor skal checke at NemID login-boksen opfører sig som normalt.
Kommentar til NemID er ikke længere i brug

NemID som trusted third party-model

For at være helt præcis, så er NemID en trusted third party model. Bare fuldstændigt absurd fejlimplementeret. Med Google's single sign-on, så skal man vide på forhånd at accounts.google.com er det eneste sted man må indtaste sit password. Browseren sikrer via https sikkerheden. Så når man vil b...
Kommentar til NemID er ikke længere i brug

Re: Tragikomisk

Hovednyheden på nemids hjemmeside er netop nu hvordan man "spotter" phisingmails og linker videre til: https://www.nemid.nu/dk-da/privat/sikkerhed/gode_raad_om_sikkerhed/pas_p... Det er jo ren spot af egen virksomhed En af reglerne fra Nets link er jo Se efter på log-in-siden, at...
Kommentar til NemID er ikke længere i brug

Re: Ingen dmarc record på nemid.nu?!?

Hvad skulle det hjælpe ? Nu ved jeg tilfældigvis på forhånd at nemid.nu er den rigtige adresse. Jeg kan registrere nem-id.nu (som var ledig for 5 min siden) Seriøse hjemmesider sørger også for selv at registrere alle mulige typosquatting-domæner. Der er ikke store chancer for at en domæne...
Kommentar til NemID er ikke længere i brug

Ingen dmarc record på nemid.nu?!?

Hvis man gør sig forskellige nørd-anstrengelser kan man næsten fastslå at email'en faktisk kommer fra Nets, men man skal lige rundt om WHOIS på "certifikat.dk" og den slags. Faktisk burde det kunne klares ved at vide at afsenderadressen er @nemid.nu . Så burde DMARC sikre at beskeden kun...
Kommentar til HTC: Månedlige Android-opdateringer er en urealistisk utopi

Mobiloperatører

mobiloperatørerne skal godkende opdateringerne, før de kan rulles ud Min Internet-udbyder skal ikke godkende sikkerhedsopdateringer til min computer, før de installeres. Mobiltelefoner burde få opdateringer direkte fra Google. Alt andet er dybt godnat.
Kommentar til GPU-regnekraft gør menneskeskabte kodeord lette at knække

Key stretching

Hash-algoritmer er envejsfunktioner, som kan bruges til at kryptere et kodeord. Nej. Man bruger key stretching algoritmer til det, ikke hash-algoritmer. At nogle key stretching algoritmer også er hash-algoritmer er et tilfælde.
Kommentar til Programmeringsbrøler gør det let at knække kodeord fra Ashley Madison

Re: Er det virkeligt let?

Det fremgår dog ikke af artiklen hvorfor saltet var kendt af hackerne. Normalt er saltet ukendt for udenforstående og det gør det væsentligt sværere at knække MD5. Saltet er som regel gemt i databasen sammen med passwordet. Jeg går ud fra at det også var tilfældet for Ashley Madison. Ideen m...
Kommentar til Programmeringsbrøler gør det let at knække kodeord fra Ashley Madison

Re: Er det virkeligt let?

Her er en MD5 værdi: d8a57f9ec00946c10ef7009bb61358b8 Brugernavnet er nielsdybdahl og saltet er %&/tt. Hvad er passwordet? Er hash-værdien md5(sprintf("%s%s", salt, password)) ?
Kommentar til Programmeringsbrøler gør det let at knække kodeord fra Ashley Madison

Re: Er det virkeligt let?

Er det virkeligt let at knække MD5? Er der nogen som tør påtage sig at knække en MD5 værdi, hvis jeg oplyser et brugernavn og en saltværdi? Eller er det for svært? Man kan ikke endnu i rimelig tid finde preimage for vilkårlige MD5-summer. Så hvis dit password er en fuldstændigt tilfældigt va...
Kommentar til Programmeringsbrøler gør det let at knække kodeord fra Ashley Madison

Re: MD5 vs md5crypt

kan i så forklare hvad man skal gøre, eller henvise til det Det første svar på det her spørgsmål (af brugeren Polynomial) forklarer det godt: https://security.stackexchange.com/questions/17421/how-to-store-salt
Kommentar til Programmeringsbrøler gør det let at knække kodeord fra Ashley Madison

Re: MD5 vs md5crypt

Help præcist så skal man til at gemme passwords bruge en key stretching algoritme, og ikke en hash-funktion. Nogle key streching algoritmer er hash-funktioner, men ikke alle hash-funktioner er key stretching-algoritmer. md5 er et eksempel på en hash-funktion som ikke er en key stretching-algorit...
Kommentar til USA: All your Cloud Are Belong to Us

Krasnik's interview med Henrik Sass Larsen

Til til at gense Krasnik's interview med Henrik Sass Larsen, om hvorvidt USA kan få udleveret data fra Nets. Sjældent har en politiker virket så løgnagtig og useriøs. https://www.youtube.com/watch?v=EhqlXD4AvOw
Kommentar til Post Danmarks hjemmeside er ude af drift på tredje døgn

Amatører

Jeg har også bemærket at når man køber porto på deres hjemmeside, så står der ikke https:// i adresselinjen når man indtaster sine betalingskort-informationer.
Kommentar til Microsoft vender på en tallerken: Vi støtter Googles videoformat

Re: Godt set

Det med IE11 var en tanketorsk. Tak for opmærksomheden :) Fra et udvikler-perspektiv er det virkeligt uheldigt hvis IE11 ikke understøtter VP9 :(. For ellers kunne man ramme alt andet end Safari og Opera bare ved at tilbyde VP9. Og til private hjemmesider ville jeg ikke have noget problem me...
Kommentar til Microsoft vender på en tallerken: Vi støtter Googles videoformat

Re: VP9 og IE11?

Det link handler kun om Edge, ikke om IE11.