abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 01:11 | Nová verze

Wayfire, kompozitní správce oken inspirovaný Compizem běžící nad Waylandem, byl vydán ve verzi 0.5.0. Zdrojové kódy jsou k dispozici na GitHubu. Videoukázky na YouTube.

Ladislav Hagara | Komentářů: 0
včera 12:22 | Komunita

Neziskové technologické konsorcium Linux Foundation rozšířilo seznam svých oficiálních projektů. Nejnovějším projektem je Open Source Security Foundation (OpenSSF), jehož cílem je zvýšit bezpečnost open source softwaru. Více například v příspěvcích na blozích GitHubu nebo Microsoftu.

Ladislav Hagara | Komentářů: 0
včera 11:44 | Nová verze

Byla vydána verze 3.1 webového aplikačního frameworku napsaného v Pythonu Django (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 01:11 | Nová verze

Svobodná federalizovaná sociální síť Mastodon byla aktualizována. Vydání 3.2 mj. přepracovává audio přehrávač, zlepšuje zabezpečení přihlášení aj.

Fluttershy, yay! | Komentářů: 0
3.8. 14:00 | Komunita

Byla vydána verze 1.5.0 dynamického programovacího jazyka Julia (Wikipedie) určeného zejména pro vědecké výpočty. Přehled novinek v příspěvku na blogu a v poznámkách k vydání. Aktualizována byla také dokumentace. Na YouTube jsou ke zhlédnutí záznamy přednášek z konference JuliaCon 2020 konané online minulý týden.

Ladislav Hagara | Komentářů: 0
3.8. 13:33 | IT novinky

Sdružení CZ.NIC informuje, že pro domény s koncovkou .CZ, jejichž platnost nebyla včas prodloužena, platí opět ochranná lhůta 60 dnů (30 dnů je doména plně funkční, 30 dnů je vyřazena z DNS – není dostupná). Po více než čtyřech měsících tak končí zvláštní režim, kdy byla funkčnost nezaplacených domén dočasně prodloužena ze 30 na 60 dnů z důvodu mimořádné situace související s onemocněním COVID-19.

Ladislav Hagara | Komentářů: 23
3.8. 09:00 | Nová verze

Byla vydána nová verze linuxové distribuce BunsenLabs Linux s předkonfigurovaným správcem oken Openbox. Její název je Lithium a založena je na Debianu 10 Buster. Přehled novinek v poznámkách k vydání. BunsenLabs Linux je nástupcem dnes již nevyvíjené linuxové distribuce CrunchBang (zkráceně #!).

Ladislav Hagara | Komentářů: 0
3.8. 08:00 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 5.7 oznámil Linus Torvalds vydání Linuxu 5.8 (LKML). Přehled nových vlastností a vylepšení na stránce Linux Kernel Newbies.

Ladislav Hagara | Komentářů: 1
3.8. 07:00 | Komunita

Omar Roth, hlavní vývojář Invidious, alternativního webového frontendu k YouTube, oznámil, že kvůli přehlcení a nedostatku motivace projekt opouští a zřejmě skončí také oficiální instance invidio.us (k 1. září, resp. API k 1. říjnu); stále poběží další instance nebo je možné nasadit vlastní.

Fluttershy, yay! | Komentářů: 0
2.8. 14:22 | Zajímavý projekt

Byly vyhlášeny výsledky soutěže JS1024 2020 aneb zajímavé programy napsané v JavaScriptu o velikosti maximálně 1 024 bajtů. Více o vítězném pianu na stránkách autora.

Ladislav Hagara | Komentářů: 0
Dokážete si představit, že by váš hlavní počítač (desktop, notebook) byl v současné době založen na architektuře jiné než x86 (x86_64)? Například ARM, POWER, RISC-V,…
 (10%)
 (10%)
 (57%)
 (16%)
 (7%)
Celkem 129 hlasů
 Komentářů: 11, poslední dnes 08:59
Rozcestník

Kauza reddit CEO, proof of work a GPG

24.11.2016 15:30 | Přečteno: 1057× | hardware | poslední úprava: 24.11.2016 15:31

Dostal som taký nápad (v súvislosti s aktuálnou kauzou na reddite keď CEO redditu upravil komentár používateľa). Pri štandardnom PGP (konkrétne časť týkajúca sa podpisovania správ) síce nie je problém vytvoriť pár kľúčov a podpísať komentár, ale to môže spraviť hocikto. Bežný počítačový nerd moc s ľudmi nekomunikuje takže vytvoriť web of trust môže byť dosť problém. Navyše u vymysleného anonymného username to ani nejde.

Napadlo ma pridať do podpisu okrem toho aj proof of work. Pri podpisovaní komentára by sa okrem samotného podpísania vyriešila nejaká úloha, každý by si mohol nastaviť žložitosť akú chce, napr. 5 minút na jeden komentár. Každý komentár by obsahoval hash predošlého takže by sa spotrebovaný výkon potrebný na sfalšovanie dalšieho komentára stále narastal. Raz za čas by ste mohli komentáru venovať pár hodín, napr. by ste nechali na noc zapnutý PC ak by ste chceli zvýšiť zložitosť hacknutia.

Zmysel by to skutočne ale asi malo len tam kde neviete použiť web of trust (napr. prezývky na diskusnom fóre).

Zaujímavý vedľajší efekt je aj v tom že ak by ste zmazali komentár alebo bol odstránený tak prijdete o zložitosť naviazanú na ten komentár, takže to môže prinútiť dodržiavať pravidlá na servri aby vám neboli vymazané nevhodné príspevky.

Priklad.

Proof of work môže vyzerať nejak takto:

#!/bin/bash
F="$1"
[ -f "$F" ] || exit 1
TEXT=`cat "$F"`
echo "TEXT='$TEXT'"
K=`echo -n "$TEXT" | sha256sum`
N=0
D=0
T1=`date +%s`
while true; do
    N=$(($N+1))
    H=`echo -n "$K $N" | sha256sum | grep $D`
    if [ "$H" != "" ]; then
        T2=`date +%s`
        T=$(($T2-$T1))
        echo "Nonce=$N Difficulty=$D SHA256   ($T sekund) Hash=$H"
        # zvysime zlozitost
        T1=`date +%s`
        D=$D"0"
    fi
    # [ "$(($N % 1000))" = "0" ] && echo $N
done

Skript spustíme takto:

./proof_of_work.sh komentar1.txt
TEXT='Tak teda nech sa ti v novej praci dari.'
Nonce=1 Zlozitost=0 (0 sekund) Hash=9600ebcd84914365a0bafdf43cb62ecbb7526b6c4bf31fd0c8adfe6d81b6ef06  -
Nonce=9 Zlozitost=00 (0 sekund) Hash=d93f046e7c0f2aa0a8a10034a5dce9db65a0e4e39d6ee223bf3af256a9323ece  -
Nonce=192 Zlozitost=000 (0 sekund) Hash=e9322c96edaac4eb7d7b000abe5e910c5f46200a19adbc016a0efb7e503d7780  -
Nonce=2345 Zlozitost=0000 (5 sekund) Hash=41cacc4908ae082a6dc1ddff69d976432c188dd166a5000064e0107382cb2ef9  -
Nonce=19191 Zlozitost=00000 (38 sekund) Hash=4155b29516c9a066369f649b2300cf500000cead74e8df180e95f25e0dfa8184  -
^C

Prvy komentár nájdete tu: https://www.abclinuxu.cz/blog/paulovo_doupe/2016/11/v-nove-praci/diskuse#165 Momentálne ma nenapadlo ako tam pridať proof of work tak som jej výsledok jednoducho truhý krát podpísal.

Proof of work overíme takto:

$ K=`echo -n "Tak teda nech sa ti v novej praci dari." | sha256sum`
$ echo -n "$K 19191" | sha256sum | grep 00000
4155b29516c9a066369f649b2300cf500000cead74e8df180e95f25e0dfa8184  -

Druhý komentár je tu: https://www.abclinuxu.cz/blog/gsnak/2016/8/jak-znova-zacat-s-jednocipakmi/diskuse#37 V jeho tele je odkaz na predošlý komentár. Môj verejný kľúč je https://www.abclinuxu.cz/lide/gsnak/gpg Celé toto demo berte len ako príklad, nijak to nerieši konce riadkov a komentáre vyzerajú hnusne, odkaz na predošlý komentár je mätúci, atď... Tiež si nie som istý či by odkaz na predošlý komentár mal byť v tele komentára alebo stačí tam kde je nonce.

Tiež som si práve uvedomil že som do druhého komentára zabudol dať nejaký hash prvého takže zložitosť druhého nechráni zložitosť prvého, toto by tam zrejme trebalo pridať.

       

Hodnocení: 67 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Fluttershy, yay! avatar 24.11.2016 17:00 Fluttershy, yay! | skóre: 86 | blog:
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Na to se ti nějaký dement z /r/The_Donald vykašle.
Science advances one funeral at a time. (Max Planck, parafráze) ✊ ⓔⓐⓣ ⓣⓗⓔ ⓡⓘⓒⓗCHAZ
24.11.2016 18:01
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
+1 :-D
24.11.2016 20:43 Z
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Co zabrání zlým lidem přidávat příspěvky, jejichž kontrolní součet nesedí už v době přidání?
24.11.2016 22:13 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Urcitym resenim by mohla byt trusted 3rd party "nickname autorita", kde si zaregistrujes nickname, prilozis public key a postupne budes doplnovat odkazy na tvoje profily. Melo by platit, ze vsechny profily pouzivaji totozny nickname jako byl zaregistrovan u autority, aby bylo mozne napr. podle nicku na Redditu najit patricny profil u "nickname autority", overit si, ze ji patri nick na Redditu (podle toho, ze na nej vede link) a nasledne overit samotny podpis.

Ovladnuti nickname autority znamena, ze nekdo muze zmenit verejny klic v profilu uzivatele a nasledne doplnit odkaz na nove profily na jinych sluzbach, ktere jsou mimo dosah uzivatele, a publikovat na nich obsah pod jeho identitou. To je tedy nejslabsi misto.

Workaroundem, ktery ma ale zase jine bezpecnostni nedostatky, muze byt to, ze nickname autorita neumoznuje verejny klic zmenit. Jakmile se verejny klic zmeni, vsechny drive podepsane prispevky prestanou byt overitelne, coz identitu efektivne znici. Drive podepsane prispevky nyni bude mozne menit (pokud nekdo ziska pristup na tyto ucty), ale tak jako tak je nebude mozne overit. Zaroven, pokud nekdo jiz konkretnim profilum veril, protoze si je drive overil proti nickname autorite, a pozdeji zjisti, ze drive podepsane prispevky nyni nelze overit, tak muze upozornit, ze se deje neco nekaleho.

Pokud bychom chteli verejne klice menit, tak je potreba zachovavat historii od kdy do kdy platil ktery klic. To je dobre pro pripad leaknuti privatniho klice, ale spatne proto, ze nickname autorita muze doplnit novy klic bez vedomi/souhlasu uzivatele, aniz by tim doslo ke znehodnoceni podpisu vsech predchozich prispevku.

Neresi to bezpecnost jednotlivych uctu jako takovych. Prikladem budiz situace, kdy dojde ke zcizeni Facebook uctu a nasledne zmene Facebook ID (tedy nikoliv zmene jmena, ale ID, ktere je videt v URL profilu). Toto nove ID muze byt shodne s utocnikem nove zalozenym profilem na nickname autorite. Vsechny drive podepsane prispevky jsou nyni neoveritelne, ale to utocnik muze vyresit jejich smazanim, nebo editaci a podepsanim novym podpisem (zrovna Facebook zachovava historii editaci, ale jinde to platit nemusi).

Pisu jen rychle myslenky, koukam u toho na WCC 2016, takze je mozne, ze jeste neco prehlizim. Nevim, jak moc by to bylo uzitecne. V podstate je to podobne jako mit svoji domenu s verejnym klicem a odkazy na profily, s tim rozdilem, ze registrovat profily na nickname autoritach by bylo jednodussi nez registrovat nove domeny pro kazdou identitu.
25.11.2016 08:17 gsnak | skóre: 21 | blog: gsnak
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Napadla ma este jednoduchsia verzia, miesto kazdeho komentara proof of work robit samostatne a vyseldok davat vedla kluca. Samotne komentare uz len podpisovat.
DOGE: DE7q1kxqvoFek7UGWBWBt47QWJTRBqVNLL

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.