Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] Gurulunk, WAZE?!
- [Re:] [attilasd:] A laposföld elmebaj: Vissza a jövőbe!
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] Elektromos rásegítésű kerékpárok
- [Re:] PLEX: multimédia az egész lakásban
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
Noh, erre nem sokat kellett varni, class-action lawsuit.
https://www.coreinfinity.tech
section9
őstag
Pedig nincs ellentmondás, nagyon sok mindent kicseréltek a motorháztető alatt, de nem mindent. Amit kicseréltek arra jellemzöen volt üzleti igény, de arra, hogy a legacy usereket rákényszerítsék a 12 karakter hosszú jelszóra arra nem. Ha lett volna ilyen, akkor azon sápítozott volna az átlag tech újságíró, hogy biztos feltörték öket és ezért enforceolják a jelszó változtatást.
Ahhoz, hogy figyelmeztessen vagy enforceoljon ahhoz létre kell jönnie az igénynek product oldalon, át kell mennie UX-en, technical writereken, majd lefejleszteni, QA és aztán release. Mindez érint mittudomén pár ezer usert akik rosszabb esetben már nem is fizetnek a termékért. Ha a te pénzedből menne ez a mutatvány akkor lefejlesztetnéd ezt a featuret?
Én nem azt mondom, hogy tolja fel mindenki, hanem azt, hogy aki szükségét érzi annak megvan rá a lehetősége. A 1Password pl. 100,000 iterációval dolgozik. Valószínüleg nem hasraütésszerüen választották ezeket a számokat hanem benchmarkoltattak legacy mobileszközökkel is és ez pont elfogadható volt security és használhatóság szempontjából is.
Éles körülmények között, kellő nagyságú userbázisnál kökemény költsége van minden ilyen döntésnek, pl nem mindegy, hogy hány másodpercig tart egy autentikációs request.
szerk.: Amúgy nem kötekedni szeretnék, csak rámutatni, hogy a security nem vákuumban müködik, minden döntésünknek költsége van és általában nem hülyék ülnek a másik oldalon.
[ Szerkesztve ]
inf3rno
Topikgazda
Én csak azt tudom, hogy tavalyig Win7 volt itthon, aztán benyeltem az emotetet és kénytelen voltam foglalkozni a kérdéssel. De ugyanez webfejlesztésben, hogy mindig a fejlesztő cégek honlapja van a legdurvábban összegányolva. Valahogy úgy vagyok vele, hogy aki képes mindent rendben tartani, annak túl sok a szabadideje.
Buliban hasznos! =]
inf3rno
Topikgazda
Én inkább veled értek egyet. Szerintem ha a szolgáltatásuk kimondottan a biztonságon alapul, azzal kapcsolatos, akkor a minimum, hogy profi módon meg van csinálva ilyen szempontból. Pl. az ECB mode már nem tudom pontosan mióta, de talán húsz éve kerülendő. Ha ennyi idő alatt nem sikerült tákolni az így titkosított adatokon, akkor soha nem is volt cél, és azzal meg is rendült a bizalmam a cégben, mert ez annyira alapvető. Nem igazán lehet mire fogni a lustaságon kívül, mert meg lehet úgy oldani az átállást, hogy a felhasználói élményt egyáltalán nem befolyásolja, még csak észre sem veszik.
Buliban hasznos! =]
inf3rno
Topikgazda
Látod, és nem lett igazuk. Te is lehetnél a Béla, aki mégis pénzt csinált ebből, és megdumálta a menedzsmentet, hogy ez a tuti.
Buliban hasznos! =]
inf3rno
Topikgazda
Azért kapják a pénzt, hogy garantálják a biztonságot. Ha nem teszik meg, hogy spóroljanak, akkor az szerződésszegés, és gyakorlatilag meglopnak minket. A jelszó átállás meg kb. annyi, hogy jelzik az ügyfélnek, hogy változtassa meg a jelszavát, mert változtak a biztonsági követelmények, és az új jelszónál már csak 12 karaktereset fogadnak el.
Mondjuk akkor teljesült a megérzésem, hogy jobb nem használni ilyen online jelszó kezelőket. Bár alapból én nehezen bízom meg másokban, pláne jelszó kezelés terén.
[ Szerkesztve ]
Buliban hasznos! =]
Xpod
addikt
Főleg, hogy a szakdolgozatom pont egy recepciós program volt, mivel a szoba/sátorhely foglalásokat, eltöltött éjszakákat, számlázást lehetett kezelni. 2003-ban az ilyen programok úgy tudom még nem nagyon voltak.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
section9
őstag
Nem azért kapják. Vannak bizonyos security követelmények, amik ki vannak kötve a szerződésben (pl. SOC2 compliance, éves pentest, kérés esetén audit, SLA notification breach esetén, stb.), de senki nem köt úgy szerződést, hogy "garantáljuk a biztonságot 😎".
Lehet, hogy nálatok a hivatalban húsz főnél ennyi lenne az átállás, de ahol 30+ millió usert érint egy change ott nagyon remélem, hogy nem.
inf3rno
Topikgazda
Nem a szerződésről beszélek, hanem arról, amit a felhasználók elvárnak. Ha köztudott az iparágban, hogy 8 karakter kevés az értékesebb adatok megvédésére, mert gyorsabbak lettek a cél hardverek, akkor a minimum, hogy a cég kikényszeríti a váltást, mert törődik az ügyfelei érdekeivel. Ha esetleg emiatt megtörik valakinek a fiókját, akkor ő joggal mondhatja azt, hogy ő nem ért a biztonsághoz, és azért bízta meg ezt és ezt a céget, aki cserben hagyta. A szerződést meg mindenki úgy írja, hogy a lehető legkevesebb vállalást tesz benne a legtöbb pénzért cserébe.
Buliban hasznos! =]
inf3rno
Topikgazda
Írtam még néhány gondolatot az összefoglalóba, nézzétek át, hogy megfelel e, esetleg tegyünk e bele még valamit!
[ Szerkesztve ]
Buliban hasznos! =]
Nem veszem kotekedesnek, egy ertelmes disputanak van erteke - szerintem ez most az.
Az elso bekezdesed eleg funny kategoria, ha vkit feltornek, elobb-utobb eszreveszi es vilagga kurtoli, tehat ezen alternativ valosag letrejotte alacsony valoszinusegu
A masodik mar ennel sokkal erdekesebb kerdest feszeget, nevezetesen a LastPass uzleti modelljet. A feature-t egyertelmuen le kellett volna fejleszteni es migralni a usereket, plane, hogy a videokartyak egyre gyorsabba valasaval a brute-force alapu toresek is egyre kevesebb idot igenyelnek - es akkor meg szot sem ejtettem banyaszgepekrol, amiknek valoszinuleg reggeli eloetelnek jok a user jelszavak 90%+-a.
Meg lehet szuntetni az ingyenesseget, de egyebkent is - ha mar a ceg azt vallalja, hogy jelszavakat oriz, akkor tenylegesen is orizze azokat, ne csak szavakban. A rossz szolgaltatot a jotol az kulonbozteti meg, hogy utobbinak fontosak a vasarloik, elobbieknek nem. Utobbi megteszi az extra mile-t a vasarlokert, elobbi nem. Ha en hasznalnek olyan szolgaltatast, amely nem hajlando haladni a korral, minden szivfajdalom nelkul kiiktatnam - plane, ha az nekem potencialis kart okoz. Koltsege van? Nyilvan. Belefer az uzleti modellbe? Ha nem, valtoztatok rajta, ha igen, mindenki orul.
https://www.coreinfinity.tech
section9
őstag
Sajnos nem alternatív valóság, többször láttam már ilyen ilyet, amikor password storage algoritmust migráltunk és a userek nem léptek be évek óta, úgyhogy resetelni kellett, hogy ne tároljunk elavult hasht. Kb azonnal jöttek a szakértő rendszerlakatosok, hogy biztos fel lettünk törve.
Ez az üzleti modell váltás már megtörtént, amikor kinyírták a free plan-t. Mindenki temette öket, de összességében nőtt a bevétel úgy, hogy kevesebb usert kellett kiszolgálni. A LastPass évek óta nem a felhasználókat célózza meg, hanem a nagy cégeket és nem a jelszómenedzser a fő irány, hanem az identity szegmens.
Rimuru
veterán
mindig a fejlesztő cégek honlapja van a legdurvábban összegányolva - ez azert van mert azokat marketinges emberek kattintgatjak ossze wordpressben.
Vigyázat, csalok!
Csak azt irtam: alacsony valoszinusegu, nem azt, hogy zero
A LastPass meg egyelore ne gondolkodjon Identity-ben, igy is nagy bajban vannak a mostani breach miatt es szemmel lathato, hogy ez a kisebb falat sem megy nekik. Plane ugy ne gondolkodjanak Identity-ben, hogy nem tudnak kulonbseget tenni egy sajat user, meg egy idegen kozott.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Ha nem lépnek be évek óta, akkor én zárolnám a fiókot, aztán a supportnál kérhetnek új jelszót következő belépésnél. Emiatt a néhány ügyfél miatt biztosan nem állítanám le az átállást és tennék biztonsági kockázatot a rendszerbe.
Buliban hasznos! =]
section9
őstag
Azért ezt így egy breach miatt kijelenteni nem merném. Könnyü pálcát törni, de ne felejtsük el, hogy mennyire asszimetrikus a security. Elég egy baki blue team oldalról és a támadók máris bejutottak. Nyilván fejlödhet hova még az Okta, Slack, Microsoft, LastPass, GoTo, stb., de kétségeid ne legyenek sokkal komolyabb security csapatuk és folyamataik vannak, mint az átlag cégnek. Ráadásul még azt se tudjuk, hogy a GoTo oldal vagy a LastPass oldal hibázott.
inf3rno: A gyenge jelszó/hash leginkább a user biztonsági kockázata, nem a rendszeré. 2016 körül nekünk egy support call átlag 10$-ba került, ezért ez kb az utolsó dolog amit szeretnél. Ha többen fordulnak supporthoz akkor a sima usereknek is lassabban válaszolnak, ami csökkent ügyfél elégedettséghez vezet. Ha zárolod az inaktív usert akkor nagy eséllyel megszünteti a subscriptiont és mivel enterpriseról beszélünk simán voltak olyan cégek ahol senki nem lépett be, de minden évben fizettek mint a katonatiszt.
inf3rno
Topikgazda
Valahol igazad van, hogy ez üzlet, valahol meg túl rövid jelszóval nem lehet biztonságosan tárolni semmit, tehát a user lehetetleníti el a megfelelő szolgáltatás nyújtását. Ilyenkor azért érdemes kikényszeríteni a helyes gyakorlatot, ha erre alapozod a céged működését, mert hosszú távon visszaüt, ha valaki azt híreszteli rólad, hogy feltörték nálad a fiókját, és az többe kerül, mint $10.
Buliban hasznos! =]
section9
őstag
Abszolút, risk management az egész. Viszont ezt a jelszó dolgot sokan sokféleképpen oldják meg és sok helyen a jelszóházirend is teljesen egyedi, úgyhogy én a magam részéről azt szeretem ha az ilyen döntéseket a product hozza meg az ügyfeleink igényeinek tükrében.
Nálunk az egyik helyen teljes mértékben a customer mondhatta meg, hogy a usereinek mennyi a minimum jelszóhossz, egy másik helyen 3rd party jelszólibbel teszteltük a jelszó erősségét, egy harmadik helyen meg a pentester belekötött, hogy miért nem blokkoljuk a rockyou.txt jelszavait. Arról nem is beszélve, hogy kb mindegyik helyen elöjött, hogy a customerek pentesterei rendszeresen irreálisan szigorú jelszóházirendet szeretnének látni. Mondjuk ez utóbbit legalább megértem, mivel nem találnak semmit ezért csak ebbe tudnak belekötni.
inf3rno
Topikgazda
Érdekes megközelítés ez a jelszó házirendre, de végülis valóban jobb így. Ők tudják, hogy milyen jelszavakat tárolnak a rendszeretekben, és ahhoz meg nekik kell elvégezni a kockázatértékelést.
Buliban hasznos! =]
section9
őstag
Ti elkezdtétek már használni az AI eszközöket a mindennapi munkátok során? Én kisebb scripteket/onelinereket már ChatGPT-vel generáltatok, kolléga nemrég mutatott ChatGPT ghidra integrációt, de szerintem a questionnaire kitöltögetést is iszonyatosan fel tudja gyorsítani a dolog.
inf3rno
Topikgazda
Én látom, hogy nagy a hype a ChatGPT körül, de nem volt időm még megnézni, hogy egyáltalán mi az.
Buliban hasznos! =]
Van mire hype-olni: a körülmények ismeretében konkrétan megmondta, mennyi adatot kell betolni a sebezhető inputba, hogy buffer overflow végrehajtható legyen.
https://www.coreinfinity.tech
cigam
félisten
Miért nem férhet magánszemély a KEHTA-hoz? Van egy publikus lista valahol a letiltott oldalakról?
Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews
Egon
nagyúr
Nem nyilvános adat: [link]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
cigam
félisten
Én ezt értem, csak nem tudom miért. Ha megnyitnám az oldalt, úgyis észreveszem, hogy nem jön be. Nem egy konkrét oldal érdekel, hanem hogy pl.külön hibakód van rá? Évente mennyi oldal kerül letiltásra? Úgy általánosságban érdekes téma szerintem.
[ Szerkesztve ]
Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews
Egon
nagyúr
Keresd meg bambano-t privátban, lehet hogy többet tud a kérdésről, mint mondjuk én.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
https://www.coreinfinity.tech
https://www.coreinfinity.tech
Egon
nagyúr
Jöhet az új cikk:
[Újabb jelszókezelőre mentek rá a kiberbűnözők]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Juppi.
Kíváncsi vagyok, a Bitwarden sorra kerül-e.
https://www.coreinfinity.tech
Minden hétre egy mese hír elegendő..
section9
őstag
Nincs eléggé kiemelve a lényeg se a HWSW cikkben, se az angol eredetiben. Szimplán annyi történt, hogy megtörték azoknak a usereknek a fiókját ahol újrahasznosított jelszó volt ÉS nem volt 2FA, szóval nem magát a service-t törték meg.
Egon
nagyúr
Jogos, idő híján nem olvastam el a cikket, csak a címet...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
section9
őstag
Ugyan, nekem is többször végig kellett olvasnom, hogy most konkrétan akkor a jelszómenedzsert törték-e meg vagy csak a usereket, de az érintett userek száma gyanúsan alacsony volt.
section9
őstag
Ajánlott olvasmány, mi szerencsére közvetlenül nem voltunk érintetve.
inf3rno
Topikgazda
Ránéztem, ijesztő.
Buliban hasznos! =]
Rosszabb is lesz: tegnap generáltattam vele phishing és whaling emaileket. Szerintem ha apró részekre szabdalod, malware-t is.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Én amiatt jobban aggódom, hogy az etikai motorjába már most beleégetik a szexizmust. Pl. férfi vicceket mondhat, de női vicceket nem, mert az nem PC. Ha ugyanilyen elvek szerint fejlesztik, és még több hatalmat adnak neki, akkor simán eljuthatunk népirtásig.
Pár napja teszteltem, lazán kezeli a kontextusokat. Képes az absztrakt gondolkodásra vagy annak imitálására legalább keresés szintjén. Azt hittem ez még odébb van, de nem.
[ Szerkesztve ]
Buliban hasznos! =]
section9
őstag
Csak nem úgy kell megfogalmazni, hogy malwaret gyártasz, hanem, hogy remote access sysadmin toolt. Nekem buffer overflowra sikerült ROP gadgetes payloadot is generáltatnom vele proof of concepthez.
Így-így
https://www.coreinfinity.tech
https://www.coreinfinity.tech
Egon
nagyúr
Mindig is meg voltam győződve róla, hogy a mi egyik elb*szott fejlesztésünk fog egyszer öntudatra ébredni, és az lesz a szkájnet, de most elbizonytalanodtam...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Igen ovatosan kihagytam az irasbol a reszleteit a mai beszelgetesemnek a ChatGPT-vel... de a valaszai egyszeruen brutalisak.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Nem mindent ért még, de tényleg nagyon durva. A Skynet nincs 10 évre szerintem. Vagy lehet már itt van, csak fokozatosan szoktatnak hozzá.
[ Szerkesztve ]
Buliban hasznos! =]
Apollyon
Korrektor
Az elmúlt időszakban mindennap "beszélek vele" legalább 1 órát. Az ő (vagy az?) elmondása szerint, a beszélgetésekből nem tanul, kizárólag adott beszélgetésen belül tud referálni, pontosítani, de ezeket más beszélgetésekben nem használja és hasznosítja. Egyedül a devek tudják őt módosítani. Legalábbis ezt mondta. Illetve azt is, hogy nem csatlakozik az internetre, saját adatbázisból dolgozik, és 2021 után semmit nem tud a világról és az eseményekről.
Azért arra is kíváncsi lennék, hogy mit tudhat a nem publikus verzió, ami valszeg sokkal okosabb, mindennel is rendelkezik. Vagy ráeresztve a fb és/vagy gúgel adatbázisára amit azok begyűjtöttek a userekről.... A legtöbb emberről a világon szinte bármit tud és lát/hall...
Kettős érzésem van, egyfelől lenyűgözőnek találom, és úgy vélem hogy a hibái ellenére jobbá teheti az emberiséget, másfelől úgy látom, hogy ez egy elég kegyetlen disztópiának a hajnala.
[ Szerkesztve ]
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
Azt, hogy nem tanul, kétlem - hiszen jelenleg azért ingyenes, mert tréning alatt van. Te is, én is, meg mindenki tanítja. Azt el tudom képzelni, hogy nem közvetlenül, hanem a devek által megszűrten, moderálva. GCP-be, Azure-be is feltölthetsz nagyon sok adatot ingyen (eteted az AI-t), de ha le is akarsz tölteni (pl. logokat), az iszonyú drága.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Aki reggelt rá az most tanítja be, hogy hogyan végezze a szakmáját. Én nem sokat dolgoztam vele, inkább csak teszteltem a képességeit, de már ezt túl sok átadott infonak érzem. Roppant veszélyes, és szerintem nem azért, mert általános mesterséges intelligencia lenne, hanem pont azért, mert most hozzák össze az adatbázist, amiből az utóbbi tanulni fog, és mivel emberek csinálják az adatok tisztítását, ezért a saját hibáikat teszik bele, ami miatt erősen részrehajló lesz. Ezek a hibák, amiket beletesznek persze korrigálhatóak. Attól függően, hogy milyen védelmet tesznek bele ezek megvédésére eltarthat néhány évig vagy néhány millió évig a korrigálásuk. Én személy szerint pont ezért hagytam abba a saját AI írását évekkel ezelőtt, mert elfogadtam, hogy lófaszt nem tudok etikai szempontból, és ha létrehozom, akkor leigázza a világot, ha az én gondolkodásmódomat követi. Nekik úgy tűnik nincsenek ilyen etikai aggályaik, és lazán részrehajló adatbázist tákolnak össze kockáztatva az emberiség kihalását. Szóval én nagyon nem tapsolok. Nem mondom, hogy bármit lehet tenni ez ellen, mert ezen a ponton már jön egy másik hülye, aztán befejezi a munkájukat. Maximum lassítani lehet őket.
Buliban hasznos! =]
section9
őstag
Random userekkel való interakcióval nem lehet tanítani az AI-t különben rövid úton náci lesz (Tay), ez a fázis arról szól, hogy az embereket rákapassák, megtalálják azokat az üzleti modelleket amikkel monetizálni lehet, finomhangoljanak különbözö válaszokat és ugye sikerült egy iszonyatosan brutális tőkeinjekciót is kapniuk a hype révén. Ha nincs rólad több száz cikk az interneten akkor a ChatGPT nem fog tudni rólad semmit, erre nem alkalmasak az ilyen fajta modellek. Nyilván paradigmaváltásról van szó, de jelen pillanatban szerintem ez olyan kaliberű változás csak, mint amikor a Google kijött a keresőmotorjával. Ettől függetlenül szerencsére exponenciális sebességgel robogunk tovább szépen a technológiai szingularitás felé.
inf3rno
Topikgazda
Alábecsülöd a jelentőségét. Szinte tökéletesen kezeli egy-egy szöveg kontextusát, amire eddig nem volt képes egyik "AI" sem. Mondjuk aki nem foglalkozott NLP-vel, az nem érzi mekkora ugrás ez.
Buliban hasznos! =]
Egon
nagyúr
Random userekkel való interakcióval nem lehet tanítani az AI-t különben rövid úton náci lesz
Ez is megérne egy misét, hogy miért van így. Hosszasan lehetne róla értekezni. Van egy meglehetősen markáns magánvéleményem ezzel kapcsolatban, de mivel a legkevésbé sem píszí, valamint mivel cseppet sem illeszkedik a ma divatos irányzatokhoz, inkább megtartom magamnak...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)