Sender | Message | Time |
---|---|---|
9 Feb 2024 | ||
meskobalazs | A 60 napos lejárat meg kb. ösztönzi a felhasználókat arra, hogy csak léptessenek egy számlálót a szokásos jelszavuk végén 🙂 | 13:17:29 |
bkil | A helyes kérdés rögtön az elején, hogy honnan tudják, hogy jelszóváltoztatáskor milyen betűk voltak az előzőben?! Amennyiben bekérik újra kliens oldalon és a szerver mindig csak a hashet kapja meg, ez azt jelenti, hogy ez az ellenőrzés triviálisan kiüthető. A másik esetre nem is akarok gondolni. | 13:47:59 |
bkil | Ez az első karakter nem lehet !-? nekem nagyon gyanús, hogy plain berakják valamiféle shadow struktúrába, így lehetne vele mókázni. | 13:49:23 |
bkil | Végül egyetértek, hogy kizártak: a boldog ügyfél a jó ügyfél - tehát a többit ki kell rúgni. | 13:49:46 |
bkil | Örülj, hogy nem küldik rád a rendőrséget is!! | 13:50:10 |
bkil | És igen, nagyon örülök, amikor P. István és tsa. okleveles biztonságtechnikai szakértő áll elő a saját szabadalmaztatott módszertanával ami pont azt teszi lehetetlenné, hogy a jelszógenerátorral gondolkodás nélkül tudj regisztrálni illetve jelszót frissíteni a több száz online fiókod között. Helyette minden egyes regisztrációkor (és pár havi frissítéskor amikor kirúgták az előző szakértőt) az egyedi szabályok miatt simogatnod kell a generátort. Jó esetben sikeresen konfigurálható a számtalan badarsággal, rossz esetben addig nyomogatod a generálást amíg olyat nem ad amit elfogad (vagy amíg ki nem zárnak). | 13:53:47 |
Gergely Polonkai | In reply to @bkil:grin.huA böngésző mennyire tud megbízhatóan és gyorsan secure hash-t generálni? Illetve ha nincs salt, akkor a böngésző által generált hash mennyivel biztonságosabb egy bármilyen generált jelszónál? | 16:27:21 |
bkil | Tongue in cheek implementáció csak 1-2 oldal kód: https://bkil.gitlab.io/static-wonders.js/crypto/sha1-inlined.html https://bkil.gitlab.io/static-wonders.js/crypto/blake2b-inlined.html Amennyiben secure context alatt vagy, bizonyos körülmények között elérhetőek bizonyos algoritmusok CPU gyorsítással: https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API | 16:56:49 |
bkil | https://developer.mozilla.org/en-US/docs/Web/API/SubtleCrypto#supported_algorithms | 16:58:33 |
bkil | Amennyiben a filozófiai része érdekel https://bkil.gitlab.io/secuchart/#e2ee-web-apps | 16:59:13 |
bkil | https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API | 17:06:29 |
11 Feb 2024 | ||
bkil | Találkoztam egy ukrán utazóval aki nem tudott vonatjegyet venni, mivel a kasszás is csak magyarul és angolul beszélt, az automata is csak magyarul, angolul és németül és még ikon sincs rajta egyetlen darab se, így ha nem tudod kiolvasni a latin betűket, az ég világon semmit nem segít rajtad. Heves gesztikulálással rányomtam neki a teljes árú debeszin célállomásra, bedugta a kártyáját és nagy lett az öröm. Ha nem másodperceim lettek volta nekem is és neki is elérni a vonatot akkor még breaktáncban elmutogattam volna neki, hogy szeretne-e kedvezményt érvényesíteni. /cc #Programozás #Innovator visionaries | 12:36:50 |
bkil | Most komolyan, pár ASCII grafika, Unicode szimbólum és egy vaktérkép könnyen áthidalhatta volna a problémát, de valahogy ennyire nem volt hozzáértő a tervező és általában más automatánál sem figyelnek erre. Pedig az átutazók ritkán jönnek Amerikából (még Ausztriából, Németországból csak-csak akad), de sok a szomszédos országból származó: szlovén, román, ukrán, lengyel, szlovák, szerb. Nyilván feltehetjük a kezünket, hogy tessen mindenki beszélni a legtöbbek által használt nyelven (mandarin), vagy simán lefordíthatnánk 10 évente egyszer a szövegeket és adhatnánk hozzá nyelvfüggetlen utalásokat. | 12:40:20 |
bkil | * Most komolyan, pár ASCII grafika, Unicode szimbólum és egy vaktérkép könnyen áthidalhatta volna a problémát, de valahogy ennyire nem volt hozzáértő a tervező és általában más automatánál sem figyelnek erre. Pedig az átutazók ritkán jönnek Amerikából (még Ausztriából, Németországból csak-csak akad), de sok a környező országból származó: szlovén, román, ukrán, lengyel, szlovák, szerb, horvát, bolgár. Nyilván feltehetjük a kezünket, hogy tessen mindenki beszélni a legtöbbek által használt nyelven (mandarin), vagy simán lefordíthatnánk 10 évente egyszer a szövegeket és adhatnánk hozzá nyelvfüggetlen utalásokat. | 12:42:03 |
Gergely Polonkai | az indiai nyelvjárásokkal kevésbé vagyok képben, de biztos, hogy még mindig a mandarin a leggyakoribb? 😄 | 18:29:04 |
bkil | In reply to@gergely:polonkai.euhttps://en.wikipedia.org/wiki/List_of_languages_by_number_of_native_speakers#Ethnologue_(2023) | 18:56:14 |
bkil | És nem, az automatán nem volt spanyol, hindi, portugál, bengáli, orosz, japán, török sem. | 18:56:56 |
12 Feb 2024 | ||
bkil | In reply to@urbalazs:grin.huApropó, a WIP hobbi tárolási backend illetve API/API kizárólag hexát fogad el az API-n keresztül! A kliens azt küld be amit akar és úgy hasheli ahogy akarja! | 22:10:42 |
bkil | Apropó, a WIP hobbi tárolási backend illetve API/API amit készítek kizárólag hexát fogad el az API-n keresztül! A kliens azt küld be amit akar és úgy hasheli ahogy akarja! | 22:11:04 |
bkil | Apropó, a WIP hobbi tárolási backend illetve API/API amit készítek kizárólag hexát fogad el az API-n keresztül! A kliens azt küld be amit akar és úgy hasheli ahogy akarja! | 22:11:09 |
bkil | A célja amúgy az, hogy minél kevesebb sorban egy élesbe kirakható minőségű tárolót lehessen nyújtani. Újra kell talán írni, mivel kicsit így is túl van tolva: támogat meghívókódos regisztrációt is, holott a felhasználói fiók létrehozása ugyanúgy megoldható volna az admin által (ha a meghívókódokat úgyis be kell raknia). Ott maradt félbe a dolog, hogy még rate limit nincs benne. Pontosabban egy másik projektben már elkezdtem CPU takarékos SSI/.htaccess rate limit implementációt ami kicsit fail2ban koppintás - azt lehetne ide átemelni. Itt pedig az lenne a cél, hogy X ideig még a PHP-t se pörgesse fel adott címről. | 22:14:13 |
13 Feb 2024 | ||
bkil | Átgörgettem a kódon és határozottan megerősített a fenti érzetben, hogy már túl sokat tud. Tehát a megoldandó feladat: ha előfizetsz (ingyen) PaaS webtárhelyre vagy VPS-re amire minél kevesebb kattintással szeretnél felpattintani egy minél kevesebb erőforrást igénylő megoldást a távoli fájl I/O-ra HTTPS-en keresztül vagy saját magadnak (egyszemélyes) vagy családnak (néhány felhasználónak, le legfeljebb 100-1000 friends & family). Bónusz pont, ha minél kisebb komplexitású kód fut a backenden, azaz a felhasználó (és admin) minél szabadabb kezet kap a felület felett. Az olvasás beépített webszerver alól is elérhető, erre nem kell külön API. | 21:14:44 |
bkil |
| 21:15:50 |
bkil | Számtalan éles API létezik ahol GET paraméterben beírod a fiókjelszavadat (még csak nem is eldobható tokent), és azzal lehet például SMS-t küldeni. Pedig ott pénz forog kockán. Itt pedig csak hogy milyen macskás ASCII grafikát tolsz ki twtxt alatt - amit ráadásul ha alá is írsz előtte kliens oldalon, nem is volna triviális hamisítani. | 21:17:10 |
bkil | A jelenlegi megoldás minőségével mondjuk ez homlokegyenest megy, ami ezeket tudja:
A rate limit mindkettőbe kell, különben brute force mellett még server cookie DoS-t is lehetne vele csinálni. | 21:29:26 |
bkil | Illetve van még benne locking is, de ezt ugyanúgy kintről is meg tudná csinálni az admin ha akarná megfelelő API mellett. | 21:53:35 |
bkil | (Pontosabban eddig muszáj volt szerver oldalon is csinálni a meghívók miatt, de ha ezt úgyis kidobhatjuk) | 21:54:25 |
14 Feb 2024 | ||
bkil | http://www.hi.agency/deckDeck CSS-only presentation sildes arranged on a grid with smooth panning transition, a zoomed out overview, table of contents | 19:36:18 |
16 Feb 2024 | ||
bkil | http://ward.dojo.fed.wiki/merging-decision-trees.html | 22:31:03 |
bkil | I've recreated an old animal guessing game that learns in the simplest way. I have yet to ask for your help when I guess wrong. Help goes something like this: What is your animal? What could I ask to tell it from a frog? I think it would be awesome if advice collected throughout the federation can be combined into one game by some kind of tree merge. Here is how I think merging new animals can work. Anyone who plays the game from a logged in origin will be prompted for new animals. This will be recorded along with the path of yes/no answers that lead to the new question. New paths will be merged with other new animals and saved into that origin's animal-guessing-game asset folder. Future versions of the game will read all of these files in order to build decision trees with multiple yes and no choices. A moderator (me?) will merge available trees and add Wikimedia Commons images as appropriate. You can play it here: http://ward.dojo.fed.wiki/animal-guessing-game.html via #Federated Wiki | 22:31:44 |