abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    FSFE zrušila svůj účet na X (Twitter)
    dnes 18:44 | Komunita

    Organizace Free Software Foundation Europe (FSFE) zrušila svůj účet na 𝕏 (Twitter) s odůvodněním: "To, co mělo být původně místem pro dialog a výměnu informací, se proměnilo v centralizovanou arénu nepřátelství, dezinformací a ziskem motivovaného řízení, což je daleko od ideálů svobody, za nimiž stojíme". FSFE je aktivní na Mastodonu.

    Ladislav Hagara | Komentářů: 9
    Paramount nabízí za Warner Bros. více než Netflix
    dnes 17:55 | IT novinky

    Paramount nabízí za celý Warner Bros. Discovery 30 USD na akcii, tj. celkově o 18 miliard USD více než nabízí Netflix. V hotovosti.

    Ladislav Hagara | Komentářů: 2
    Botnet Aisuru prolomil další "rekord". DDoS útok dosáhl 29,7 Tbps
    dnes 13:22 | IT novinky

    Nájemný botnet Aisuru prolomil další "rekord". DDoS útok na Cloudflare dosáhl 29,7 Tbps. Aisuru je tvořený až čtyřmi miliony kompromitovaných zařízení.

    Ladislav Hagara | Komentářů: 2
    Iced 0.14.0
    dnes 12:11 | Nová verze

    Iced, tj. multiplatformní GUI knihovna pro Rust, byla vydána ve verzi 0.14.0.

    Ladislav Hagara | Komentářů: 2
    FEX 2512. Vývoj FEXu sponzorován společností Valve
    dnes 05:22 | Komunita

    FEX, tj. open source emulátor umožňující spouštět aplikace pro x86 a x86_64 na architektuře ARM64, byl vydán ve verzi 2512. Před pár dny FEX oslavil sedmé narozeniny. Hlavní vývojář FEXu Ryan Houdek v oznámení poděkoval společnosti Valve za podporu. Pierre-Loup Griffais z Valve, jeden z architektů stojících za SteamOS a Steam Deckem, v rozhovoru pro The Verge potvrdil, že FEX je od svého vzniku sponzorován společností Valve.

    Ladislav Hagara | Komentářů: 0
    Flowblade 2.24
    dnes 03:22 | Nová verze

    Byla vydána nová verze 2.24 svobodného video editoru Flowblade (GitHub, Wikipedie). Přehled novinek v poznámkách k vydání. Videoukázky funkcí Flowblade na Vimeu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    Proton Sheets v Proton Drive
    včera 15:11 | IT novinky

    Společnost Proton AG stojící za Proton Mailem a dalšími službami přidala do svého portfolia online tabulky Proton Sheets v Proton Drive.

    Ladislav Hagara | Komentářů: 4
    EmacsConf 2025
    6.12. 15:55 | Komunita

    O víkendu (15:00 až 23:00) probíha EmacsConf 2025, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji lze na stránkách konference. Záznamy budou k dispozici přímo z programu.

    Ladislav Hagara | Komentářů: 0
    Wikipedia jedná s technologickými giganty o zpoplatnění dat pro AI
    6.12. 15:44 | Komunita

    Provozovatel internetové encyklopedie Wikipedia jedná s velkými technologickými firmami o uzavření dohod podobných té, kterou má s Googlem. Snaží se tak zpeněžit rostoucí závislost firem zabývajících se umělou inteligencí (AI) na svém obsahu. Firmy využívají volně dostupná data z Wikipedie k trénování jazykových modelů, což zvyšuje náklady, které musí nezisková organizace provozující Wikipedii sama nést. Automatické programy

    … více »
    Ladislav Hagara | Komentářů: 31
    Unijní pokuta pro síť X je útok na americký lid, řekl ministr zahraničí
    6.12. 15:22 | IT novinky

    Evropská komise obvinila síť 𝕏 z porušení unijních pravidel, konkrétně nařízení Evropské unie o digitálních službách (DSA). Vyměřila jí za to pokutu 120 milionů eur (2,9 miliardy Kč). Pokuta je podle názoru amerického ministra zahraničí útokem zahraničních vlád na americký lid. K pokutě se vyjádřil i americký viceprezident: „EU by měla podporovat svobodu projevu, a ne útočit na americké společnosti kvůli nesmyslům“.

    Ladislav Hagara | Komentářů: 29
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (34%)
     (48%)
     (19%)
     (17%)
     (22%)
     (15%)
     (24%)
     (16%)
     (18%)
    Celkem 442 hlasů
     Komentářů: 18, poslední 2.12. 18:34
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Příliš dlouhá hesla mohou způsobit DoS
    Štítky: Django, DOS, framework, hesla, vývojář

    Příliš dlouhá hesla mohou způsobit DoS

    Nově objevená zranitelnost v populárním webovém frameworku Django poukazuje na to, že používání příliš dlouhých hesel nemusí být vždy tou nejlepší volbou. Jak vysvětluje webový vývojář James Bennett, Django používá pro hashování hesel algoritmus PBKDF2, který sice velice znesnadňuje uhádnutí hesla brute-force technikou, ale může také způsobit DoS. Při použití tohoto algoritmu totiž zabere porovnání hesla o velikosti 1 megabyte s hashem přibližně minutu, a tudíž je jasné, co opakované zasílání takovéhoto řetězce může způsobit. Všem uživatelům používajícím framework Django je doporučeno upgradovat na nejnovější verze.

    18.9.2013 13:46 | ScheRas | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    18.9.2013 14:04 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Tedy nechápu, proč mít heslo velikosti MB? To jsou velikosti klíčů tak pro post-quantum cryptography.
    mirec avatar 18.9.2013 14:12 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS

    Problém je v tom, že veľkosť, ktorú užívateľ zadá nebola limitovaná čo mohlo viesť k DOS útokom. Použitie hesla o veľkosti rádovo MB samozrejme nemá praktický význam.

    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    18.9.2013 14:25 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS

    A není problém spíš v tom, „proč mít“, ale „někdo pošle“ a poku to ne-před-ošetřím na straně serveru, tak počítám hash z MB hesla a až pak zjistím, že nesedí.

    A ruku na srdce, kdo kontroluje délku zaslaného hesla před tím, než počítá hash…

    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    18.9.2013 16:16 Tuttle | skóre: 1 | blog: tuttlovo
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Nó, třeba teď už Django v nejnovějších bugfix releasech svých podporovaných řad.

    Plus byl teď někdy vydán i patch pro Debian Squeeze (oldstable-security, high), kde je Django upstreamem již "dlouho" nepodporované řady 1.2. Uvnitř debian taru je za ta léta 27 diffů.

    Patch nového Djanga je mnohem větší, Luke Faraone ho pro Squeeze adaptoval volněji, kontroluje se míň věci. A dodal dokonce i test.

    Píšu to sem jen pro zajímavost. Hezky to ilustruje funkčnost proklamovaných principů Debianu.
    18.9.2013 19:17 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Pochybuji, že Django o tom má páru a jiného neznám.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    mikirc avatar 18.9.2013 16:16 mikirc | skóre: 19 | blog: MikiSoft | Vsetín
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    I z chyb ostatních se člověk učí :)
    Byl jednou jeden...
    18.9.2013 16:37 Sten
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Megabajt je tak malé množství dat, že to klidně není třeba limitovat. Problém je spíš ve špatně zvoleném hashovacím algoritmu. Obzvlášť u webové služby, kde útočník může snadno poslat několik desítky dotazů najednou, takže pomalost hashe jej nijak nelimituje.
    18.9.2013 19:16 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    No nevím, myslím že není, já v tom vidím jasnou cestu a to limitovat (pokud tedy posílat heslo ;-)), protože heslo maximální délky například 256 znaků už je stejně dost ujeté a i s náročnějším algoritmem je to na tom daleko lépe, než s méně náročným algoritmem hashovat megabajtové (až neomezené) požadavky. Takže si myslím, že ten důležitý/problémový prvek není typ algoritmu, ale množství zpracovávaných dat.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    19.9.2013 19:19 ::: | skóre: 14 | blog: e_lama
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    256 bit hash muze dat max 256 bitu entropie. Cast entropie ze vstupu se ztrati kvuli kolizim, ale pokud se hash funkce blizi idealu tak je to minimum. Kdyz kazdy znak vyberu nahodne z 64 moznych hodnot, tak nema smysl mit heslo o moc delsi nez 43 znaku.

    I tak bych se ale vyhnul omezovani delky na nejakou malou hodnotu a radsi bych pro delsi hesla snizil pocet opakovani u PBKDF2.

    Treba neco jako: 
    # truncate only very long passwords
if len(password) > 65535: truncate()

N = 1 + len(password) // 256
number_of_PBKDF2_rounds //= N
    19.9.2013 20:56 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    V obecné rovině to možná dává smysl, ale osobně cokoliv před 4096 bych prostě odmítl.
    A vyměnil bych určitě truncate() za return false; - je zbytečné se tím vůbec zabývat a něco počítat(, samozřejmě při zakládání hesla ošetřit maximální povolenou délku.).
    I když se ověřuje heslo až v DB (třeba jen MD5 či SHAx ze solí), tak to může dát systému pěkně „pohulit“, když se tam povalí MB v roji požadavků a zahození delších než rozumná délka ten problém řeší.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    20.9.2013 23:18 ::: | skóre: 14 | blog: e_lama
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    return false by asi bylo lepsi nez to tise zkratit.

    S tou delkou 4096 bych byl opatrnej. Urcite by se potom nasli paranoici co maji v password manazeru nastavenou defaultni delku 5000 a pro tuhle stranku by to museli zbytecne menit... :-)
    19.9.2013 00:23 ::: | skóre: 14 | blog: e_lama
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Pisou tam o PBKDF2. To je algoritmus ktery ten hash zamerne pocita mnohokrat, aby "to trvalo dlouho". Pro utocnika potom neni snadne si predpocitat hashe pro ruzna hesla, protoze musi provest stejny, narocny vypocet.

    Pouziti rychlejsiho hashe by nic nevyresilo, protoze by se musel v ramci PBKDF2 opakovat vicekrat a zase by to trvalo dlouho...
    pavlix avatar 19.9.2013 15:47 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Problém je spíš ve špatně zvoleném hashovacím algoritmu.
    s/špatně/dobře/

    Jak bylo uvedeno výše, pomalé hashovací schéma je z hlediska bezpečnosti výhodou.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    Stanislav Brabec avatar 18.9.2013 16:42 Stanislav Brabec | skóre: 45 | Praha
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Proč mít heslo velikosti několika MB? Třeba proto, aby způsobil v Django DoS. Anebo třeba, pokud dotyčný doufá, že to heslo způsobí přetečení bufferu a následné spuštění libovolného kódu.
    Petr Tomášek avatar 19.9.2013 09:04 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Proč ten bulvární titulek?
    multicult.fm | monokultura je zlo | welcome refugees!
    19.9.2013 18:17 Hudkan
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Proč ta hloupá otázka?
    19.9.2013 18:19 Tuttle | skóre: 1 | blog: tuttlovo
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Shledavam ho vecne spravnym a nepripada mi nijak zavrzenihodny. Clovek spravne zbystri a uvnitr se dozvi vic.
    pavlix avatar 20.9.2013 09:36 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Shledavam ho vecne spravnym a nepripada mi nijak zavrzenihodny.
    Titulek zjevně nabádá ke špatné interpretaci, tudíž to s tou věcnou správností je dosti nahnuté.
    Clovek spravne zbystri a uvnitr se dozvi vic.
    Donutit člověka zbystřit za každou cenu pletením biče z hovna je snad nejtypičtější bulvární technikou vůbec.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    20.9.2013 19:27 xin
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Jdi s tou připomínkou někam (na roota). Nadpis je v pořádku, protože posílání dlouhých hesel opravdu může způsobit DoS (přetížení CPU).
    pavlix avatar 20.9.2013 20:35 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Je to asi tak jako na mít na erotických stránkách KOUŘENÍ ZPŮSOBUJE RAKOVINU :D.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    20.9.2013 22:58 Tuttle | skóre: 1 | blog: tuttlovo
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Pavle, jseš rozumnej člověk, jinak bych do následujících dotazů nevkládal žádné naděje: Je bitka o to, zda je ten titulek bulvární, opravdu účelná natolik, aby jí muselo číst tolik očí tolikrát? Je ten titulek opravdu tak hříšný, že se tu musí řešit víc než věcné aspekty?
    pavlix avatar 21.9.2013 07:45 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Vláďo, vzhledem k tomu, že sem přidáváš své komentáře, tak je zřejmě na přidání komentáře dostatečně zajímavá nejen pro mě, ale i pro tebe. Popravdě řečeno.
    Je ten titulek opravdu tak hříšný, že se tu musí řešit víc než věcné aspekty?
    Pokud by ten titulek byl v pořádku, tak bych od začátku věděl, že se jedná o bezpečnostní chybu v Django, což se mě momentálně provozně nijak netýká a tudíž by mě to nezaujalo dost, abych zprávičku a její diskuzi vůbec otevřel. Jestliže je titulek (úmyslně?) napsaný tak, aby přilákal více čtenářů než pro které je zprávička určena a jestliže navíc první věta zprávičky, mimochodem o 22 slovech, je v kontextu faktů, ze kterých zprávička vychází zcela nesmyslná...
    Nově objevená zranitelnost v populárním webovém frameworku Django poukazuje na to, že používání příliš dlouhých hesel nemusí být vždy tou nejlepší volbou.
    (Opravdu si nemyslím, že lze z DoS v jednom software vyvodit, že by měli lidé používat krátká hesla.)

    Pak se nestydím vyjádřit, že mě tím autor zprávičky obtěžuje, ať je to kdokoliv. Mám Abclinuxu rád, rád sem chodím a mám rád (aspoň trochu) kvalitní zprávičky. Tahle mezi ně zjevně nepatří.

    Nebráním tím věcné diskuzi, pokud toto vlákno někomu překáží, může si ho sbalit.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    pavlix avatar 21.9.2013 07:48 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Aby nedošlo k mýlce, pravda je, že Django je v první větě uvedeno, ale ta druhá část je natolik bulvární, že to s přehledem zastíní:
    poukazuje na to, že používání příliš dlouhých hesel nemusí být vždy tou nejlepší volbou.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    21.9.2013 12:51 Tuttle | skóre: 1 | blog: tuttlovo
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Komentář jsem přidal jeden věcný pro zajímavost týkající se Djanga. Druhý, který se snažil uklidnit diskusi, když se podle mě zbytečně odkláněla pryč a třetí ten na tebe, když mi to přišlo už fakt zbytečně natahovaný. Nemluvil jsem o celé diskusi ani o celém abclinuxu.

    Ta bezpečnostní slabina se ale netýká jen Djanga, jeho autoři to hešovaní nevymysleli. Určitě po světě pobíhá spousta aplikací lebedících si v používání náročného hešovacího algoritmu a stejně jako djangisti si neuvědomili rizika dlouhých hesel.

    Souhlasím, že titulek mohl více nasměrovat zájemce, třeba dodáním "při použití náročného hešování". Django tam spíš mohlo být zmíněno jen jako prominentní příklad, který na to nasměroval pozornost. Mě by tahle obecná zpráva zajímala, i kdyby Django nebyla moje profese, nevím proč tebe ne.

    Snažím se tu diskusi zmírnit, protože se obávám znechucení autorů nad přemírou kritiky. Pokud se chystáš odpovědět "buď za všech okolností dokonalé, nepopulárně laděné zprávičky bez jakýchkoli emočních nádechů nebo žádné", tak na to odpovídám, že mám jiný názor a můžeme toto ukončit.

    Děkuji.
    pavlix avatar 21.9.2013 19:59 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    V pořádku. Chápu, že z toho máme rozdílný dojem. Holt patřím mezi ty lidi, kteří jsou na bulvarizaci technických portálů alergičtí, tak občas reagují možná i přehnaně kriticky, v domnění, že je alespoň nějaká šance, že tím přispějí k udržování jistého standardu kvality.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    pavlix avatar 21.9.2013 20:10 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Odděleně odpovím k tomu, že je to obecný problém. Skutečně je tomu tak a máš pravdu v tom, že bych uvítal zprávičku v duchu:

    Přijímání dlouhých hesel ve webových (serverových, internetových, whatever) aplikacích může v kombinaci s náročným hashovacím schématem vést až na DoS útok. Tato zranitelnost se řeší mimojiné...

    A děkuju ti, že jsi přispěl svým příspěvkem v diskuzi, který skutečně vede na to, že je to obecný a především zajímavý problém s různými možnostmi řešení.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    20.9.2013 23:14 ::: | skóre: 14 | blog: e_lama
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    KOUŘENÍ ZPŮSOBUJE RAKOVINU
    takyz ze jo...
    pavlix avatar 21.9.2013 07:45 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Příliš dlouhá hesla mohou způsobit DoS
    Aspoň jsem to zkusil.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.