Man skulle måske overveje om 2FA virkeligt er 2 faktorer, når brugeren kun benytter én enhed, hvor både login foregår og den ekstra faktor (SMS i dette tilfælde) kan verificeres. Hvis mobilen blev stjålet har angriber i teorien kun brug for at bryde adgangskoden inden at SIM-kortet bliver låst.
Jeg synes det er godt, der kommer fokus på stemmestyring. Nogle gange er det hurtigere at sige "Hey, set an alarm for 7 o'clock" end at finde alarm app'en og vælge tid. Desværre er teknologien stadig alt for simpel til at have en "dialog" med sin smartphone på et rimeligt niveau...
En anelse off-topic, og alligevel… Jeg er på Facebook, Google, LinkedIn, osv., fordi det giver en lang række muligheder for kommunikation, communities og netværk på globalt plan. De sociale medier fandtes ikke i det 20. århundrede. De findes nu, og jeg har ikke lyst til at gå tilbage. Mange folk ...
Jeg forstår ikke denne iver efter at centralisere og skabe store mastodont-systemer. Måske er det bare mig, der er naiv, men man burde sætte sig ned i DS e.lign. og definere en data-model/-standard for udveksling af eksamensdata og sige til gymnasierne at de kan vælge et hvilket som helst system,...
Når vi snakker ydelse, så er der nogle algoritmer, som bliver skrevet til GPU'er i enten CUDA eller OpenCL. Alt afhængig af opgaven, så kan de performe væsentlig bedre end programmer skrevet i C++ til CPU'er.
Et sted, hvor citronen virkelig bliver presset i henhold til JS crypto, er HTML5-baserede bitcoin wallets. Folk ønsker ikke at deres nøgle bliver opbevaret på serveren – de stoler ikke på at tredjeparter kan opbevare nøglen sikkert eller af ideologiske hensyn. Omvendt er der åbenlyse udfordringer...
Jeg begik selv samme fejl engang, men er blevet klogere siden. Jeg hashede passwordet med et timestamp for at man ikke bare kunne genbruge samme token, men det skal bemærkes at man generelt ikke kan lave crypto client-side, så længe at JS-koden ikke serveres over HTTPS.
Det er tidligere blevet debateret på Version2 at de benytter live kode-obfuskering til at skjule en nøgle for at (prøve at) sikre autenticiteten af JavaScript-koden. Det betyder at serveren leverer en ny obfuskeret udgave for hver request og klienten kan ikke cache det.
... hvilket i øvrigt er t...
Vær indvolveret i udviklingen af ny anonymiseringssoftware
Inkluder skjulte bagdøre
Badmouth samme software offentligt for at få folk til at stole på ægtheden
???
PROFIT!!!!
:-)
Jeg forstår ideen, men jeg tror ikke på sikkerheden i praksis. Der findes vel også metoder til at automatisere de-obfuskering, således at et angreb kan foretages inden den indbyggede nøgle i JavaScript-koden udløber. Jeg håber, at de har læst Javascript Cryptography Considered Harmful.
Hvorfor vil du slette cookies automatisk?
Ok, min pointe var ikke at cookies altid skal slettes automatisk, men at give brugeren et valg om dette. F.eks. bruger jeg ofte Private Browsing / Incognito, hvis der lige er noget, hvor jeg gerne vil være sikker på at gamle cookies ikke sendes med. ...
Se f.eks. http://lucb1e.com/rp/cookielesscookies/ ... hvis det minder for meget om cookies, hvad med tracking via HTML5 AppCache manifest. Alle caching-mekanismer i browseren, som har interface til HTTP kan bruges til tracking på den ene eller anden måde. I stedet for at lovgive på området, så bø...
En bedre løsning ville være at signere og tidsstemple dokumentet med en service a la BTProof. Det koster 1 satoshi (mindre end 1/100 øre). En ting, som bitcoin kan bruges til, er at gemme hashes i en given blok og du kan derved bevise at dokumentet var til stede på dette tidspunkt. Det er et dist...
Her er nogle tricks, som jeg ofte bruger:
// Vær sikker på at a er en integer (eller 0, hvis den ikke kan fortolkes).
a = a | 0;
// Konverter b til en streng, men sørg for at null/undefined bliver en tom streng.
b = ('' + [b]);
// sæt en default-værdi for value, hvis den er "...
Jeg har set nogen tilføje et "pepper", som er gemt i applikationskoden – saltet er i databasen. Det leder frem til spørgsmålet om det er marginalt mindre sandsynligt at applikationskoden og databasen bliver lækket samtidigt end hver for sig. I mange tilfælde er det nok ikke, hvis det hele...
Kig også på Scrypt: http://en.wikipedia.org/wiki/Scrypt
Den har tre parametre: CPU-forbrug, hukommelses-forbrug og parallelisering. Den er designet til at være svær at implementere i hardware. Man vinder ikke særlig meget ved at lave en ASIC i forhold til at implementere algoritmen på en CPU.
I...
I har ret... det er redesign, der er brug for. Jeg har nok bare brugt ordet refactoring i flæng til forbedringer af systemer.
Jeg har selv penderkort, og jeg glæder mig ikke til at det bliver erstattet af rejsekort, hvor man skal huske at tjekke ind og ud hele tiden. Det kan godt være det er en ...
Et rimelig kendt begreb i it, måske skal vi bare være bedre til at gøre det på forretnings-niveau i stedet for udelukkende kode-niveau. Det tænker jeg i alle fald, når man hører om nye offentlige systemer (ikke kun it-systemer).
Godt ord igen! :-)
Jeg synes bare det er et forkert fokus på båndbredde alene. Hvis der er mange brugere (og jeg oplever flere og flere steder at det er tilfældet, selv i dagligdags situationer), så vil jeg have det fint med en langsom, men stabil forbindelse. Det kan godt være det er svært, men...
Kommentarer
2FA på samme enhed som login
Gør det open source
Sociale netværk og privatliv
Hvorfor centralisere?
GPU
Re: JS crypto
JS crypto
Re: Laaangsom
NSA-strategi (til de tilpas paranoide...)
Automatisering
Re: Hvad med ETag Tracking?
Hvad med ETag Tracking?
En bedre løsning
Re: if (a.length){ //a har indhold
et par tricks
Re: Salt i databasen
Re: Langsom hash algoritme
Re: Refactoring
Refactoring
Re: Samtidige brugere