Kim Bjørn Tiedemann

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Version2 og Mediehuset Ingeniøren udsat for hackerangreb

Re: Brug en KDF!

Hvorfor give køb på sikkerheden, hvis det bedst opnåelige er gratis og trivielt at implementere? Som jeg har skrevet tidligere, er det ikke gratis. Drupal er en standardløsning ligesom WordPress, SharePoint og mange andre løsninger. Her er man underlagt de sikkerhedsvalg, som man har truffet ...
Kommentar til Version2 og Mediehuset Ingeniøren udsat for hackerangreb

Re: Brug en KDF!

Så mit brugernavn, email og password er ikke følsomme oplysninger? Ikke følsomme nok til at jeg ikke mener at SHA512+salt ikke er nok til at beskytte adgangskoderne på sitet. Husk nu på, at der stadig skal laves en betydeligt indsats for at "cracke" ikke trivielle adgangskoder af en...
Kommentar til Version2 og Mediehuset Ingeniøren udsat for hackerangreb

Re: Spørgsmål?

Jeg bruger LastPass som er en online adgangskode løsning. Til hvert site genererer jeg en ny adgangskode og er dermed sikker på at: 1. Password har høj entropi og 2. Der er ikke genbrug af password på tværs af sites. Løsningen integrerer med de forskellige browsere og mobil OS, så det er super si...
Kommentar til Version2 og Mediehuset Ingeniøren udsat for hackerangreb

Re: Brug en KDF!

Men der er stadig ikke nogen grund til at vælge SHA512+salt i stedet for en KDF. Det er jo gratis at vælge den rigtige løsning. Desværre er det ikke helt gratis. Rigtigt mange vælger netop standardløsninger, som Drupal, SharePoint, CRM og lignende og her er man ofte underlagt det underliggend...
Kommentar til Version2 og Mediehuset Ingeniøren udsat for hackerangreb

Re: Brug en KDF!

Der manglede lige lidt: Det overordnede problem er, at folk ikke bruger stærke adgangskoder samt at de genbruger adgangskoder på tværs af sites og derfor hvis de lækkes på et site, så kan de bruges på andre sites. Det er selvfølgelig et problem, og derfor bør vi bruge KDF som mindsker risikoen f...
Kommentar til Version2 og Mediehuset Ingeniøren udsat for hackerangreb

Re: Svar på spørgsmål (password sikkerhed)

+1 for at undgå adgangskoder over http :-)
Kommentar til Version2 og Mediehuset Ingeniøren udsat for hackerangreb

Re: Brug en KDF!

Problemet med SHA-512+salt er at SHA-512 er designet til at være "hurtig" i den forstand at du hurtigt skal kunne lave kryptografiske checksums af store mængder data. Derfor er de designet til at kunne processere data så hurtigt som muligt, hvor antallet af klokcycles per byte er...
Kommentar til Kan vi ikke snart blive fri for IE6

Re: Overskriften er misvisende!

Det er de resterende 0,3% brugere, der ikke kan forbinde med TLS1.0 eller bedre, der fordeler sig som vist i min første kommentar. Blandt disse er der altså f.eks. flere IE11 brugere som IE6 brugere. Det er meget interessant og kunne muligvis forklares med en policy der er rullet ud fra n...
Kommentar til Hacket hæveautomat uddeler bundter af penge

Man kan jo prøve at få den her CD ind i maskinen

http://videoafrica.co.za/sites/default/files/images/media_type/bizcard-o...
Kommentar til Kan vi ikke snart blive fri for IE6

Re: Kan ikke helt genkende den virkelighed

Du har ret i at det er nogle år siden at IE6 var standard platformen, men den var det længe (alt for længe). Nu er vi bare flyttet til næste standard platform, som i nogle udbud defineres som IE8. Mit argument er mere, at vi skal passe på med at holde for længe fast i gammel teknologi, for det ud...
Kommentar til Kan vi ikke snart blive fri for IE6

Re: Overskriften er misvisende!

Jeg mener ikke at overskriften er misvisende. Efter alt hvad jeg har kunnet finde om denne sårbarhed, så burde kun IE6 blive ramt hvis du fjerner SSLv3. Jeg har testet på mit eget site (https://www.ssllabs.com/ssltest/analyze.html?d=tiede.dk) og i følge Qualys SSL labs test, så er burde IE >6...
Kommentar til Kan vi ikke snart blive fri for IE6

Re: Poodlebleed, sigh.

Ja fx sslstrip som her http://www.version2.dk/blog/hvordan-jeg-paa-aftener-hackede-store-offent...
Kommentar til Kan vi ikke snart blive fri for IE6

Re: Poodlebleed, sigh.

Ja Heartbleed var helt klart værre, da der var tale om et remote angreb. I Cloudflare challenge så vi at det kunne lade sig gøre (dog med ret stor indsats i form af mange requests 100K-2.5M). Men POODLE er dog alvorlig jf. https://www.dfranke.us/posts/2014-10-14-how-poodle-happened.html, da der ...
Kommentar til GovCert: Derfor ventede vi en dag med at informere om Shellshock

Synes det er en pæn alvorlig sårbarhed

Kreativiteten for at udnytte sårbarheden skal nok blomstre, og historisk set har vi set, at det tager lang tid at få patchet servere rundt omkring. Det gælder sikkert også offentlige servere. Her er lidt eksempler på shellshock kreativiteten: http://research.zscaler.com/2014/09/shellshock-attack...
Kommentar til Så skal der bestilles SSL certifikater

Re: Udmærket med vinkling på offentlige hjemmesider

God artikel om et væsentligt emne - og fint med vinklingen på offentlige myndigheder som i mine øjne er særligt slemme til at være laaaangt bagud med TLS/SSL-sikkerheden. Mange tak :-) Apropos cipher-opsætning kunne det ikke være relevant at sætte spotlight på hvor mange offentlige hjemmesid...
Kommentar til OMG - de sender mit 5f4dcc3b5aa765d61d8327deb882cf99 i klar tekst

Re: Der bruges skam https

Prøv at tage et kig på siden igen. Den udgave af systemet som jeg bruger, anvender i hvert fald https. Måske er du blevet snydt af, at siden er indlejret i en iframe. Iframen kører https, mens "ydersiden" kører http. Det er rigtigt at den side, som der linkes til i en af kommentarerne...
Kommentar til OMG - de sender mit 5f4dcc3b5aa765d61d8327deb882cf99 i klar tekst

Re: To SSL or not...

Men ved hashing sendes adgangskoden ikke i klartekst... Så hvis du opsnapper min hash, ved du ikke nødvendigvis hvad min adgangskode var... Og hvis jeg har brugt den samme adgangskode i min bank er du ikke tættere på... Er vi enige her?... Nej - overhovedet ikke. Hvis du ikke tilfører pr. bru...
Kommentar til OMG - de sender mit 5f4dcc3b5aa765d61d8327deb882cf99 i klar tekst

Re: Angående hashing i klienten.

Jeg skrev faktisk også, at client side-hashing burde kombineres med server-side og ikke stå alene. Dette er tilfældet for både digest mode og scram, hvor serveren er involveret. Jeg synes det er vigtigt, at vi ikke gemmer folks adgangskoder i klar tekst i en database. Der har været alt for mange...
Kommentar til OMG - de sender mit 5f4dcc3b5aa765d61d8327deb882cf99 i klar tekst

Re: To SSL or not...

Hvis du bare sender hashen hen over http i stedet for adgangskoden, så har du jo ikke opnået noget. Jeg behøver ikke din adgangskode - hashværdien er nok :-) Og når man så ydermere gør det uden salt og med en svag hashing algoritme, så er der ikke langt fra hash værdien til adgangskoden i klar te...
Kommentar til OMG - de sender mit 5f4dcc3b5aa765d61d8327deb882cf99 i klar tekst

Re: Hvorfor skal det antages med

Det er en antagelse - og den baserer jeg på, at det er de samme folk, som har lavet både "frontend" og "backend". Jeg kan selvfølgelig blive glædeligt overrasket :-)