| 9 Feb 2024 |
 meskobalazs | A 60 napos lejárat meg kb. ösztönzi a felhasználókat arra, hogy csak léptessenek egy számlálót a szokásos jelszavuk végén 🙂 | 13:17:29 |
 bkil | A helyes kérdés rögtön az elején, hogy honnan tudják, hogy jelszóváltoztatáskor milyen betűk voltak az előzőben?! Amennyiben bekérik újra kliens oldalon és a szerver mindig csak a hashet kapja meg, ez azt jelenti, hogy ez az ellenőrzés triviálisan kiüthető. A másik esetre nem is akarok gondolni. | 13:47:59 |
| bkil | Ez az első karakter nem lehet !-? nekem nagyon gyanús, hogy plain berakják valamiféle shadow struktúrába, így lehetne vele mókázni. | 13:49:23 |
| bkil | Végül egyetértek, hogy kizártak: a boldog ügyfél a jó ügyfél - tehát a többit ki kell rúgni. | 13:49:46 |
| bkil | Örülj, hogy nem küldik rád a rendőrséget is!! | 13:50:10 |
| bkil | És igen, nagyon örülök, amikor P. István és tsa. okleveles biztonságtechnikai szakértő áll elő a saját szabadalmaztatott módszertanával ami pont azt teszi lehetetlenné, hogy a jelszógenerátorral gondolkodás nélkül tudj regisztrálni illetve jelszót frissíteni a több száz online fiókod között. Helyette minden egyes regisztrációkor (és pár havi frissítéskor amikor kirúgták az előző szakértőt) az egyedi szabályok miatt simogatnod kell a generátort. Jó esetben sikeresen konfigurálható a számtalan badarsággal, rossz esetben addig nyomogatod a generálást amíg olyat nem ad amit elfogad (vagy amíg ki nem zárnak). | 13:53:47 |
 Gergely Polonkai | In reply to @bkil:grin.hu
A helyes kérdés rögtön az elején, hogy honnan tudják, hogy jelszóváltoztatáskor milyen betűk voltak az előzőben?! Amennyiben bekérik újra kliens oldalon és a szerver mindig csak a hashet kapja meg, ez azt jelenti, hogy ez az ellenőrzés triviálisan kiüthető. A másik esetre nem is akarok gondolni. A böngésző mennyire tud megbízhatóan és gyorsan secure hash-t generálni? Illetve ha nincs salt, akkor a böngésző által generált hash mennyivel biztonságosabb egy bármilyen generált jelszónál? | 16:27:21 |
| bkil | Tongue in cheek implementáció csak 1-2 oldal kód:
https://bkil.gitlab.io/static-wonders.js/crypto/sha1-inlined.html
https://bkil.gitlab.io/static-wonders.js/crypto/blake2b-inlined.html
Amennyiben secure context alatt vagy, bizonyos körülmények között elérhetőek bizonyos algoritmusok CPU gyorsítással:
https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API | 16:56:49 |
| bkil | https://developer.mozilla.org/en-US/docs/Web/API/SubtleCrypto#supported_algorithms | 16:58:33 |
| bkil | Amennyiben a filozófiai része érdekel
https://bkil.gitlab.io/secuchart/#e2ee-web-apps | 16:59:13 |
| bkil | https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API | 17:06:29 |
| 11 Feb 2024 |
| bkil | Találkoztam egy ukrán utazóval aki nem tudott vonatjegyet venni, mivel a kasszás is csak magyarul és angolul beszélt, az automata is csak magyarul, angolul és németül és még ikon sincs rajta egyetlen darab se, így ha nem tudod kiolvasni a latin betűket, az ég világon semmit nem segít rajtad. Heves gesztikulálással rányomtam neki a teljes árú debeszin célállomásra, bedugta a kártyáját és nagy lett az öröm. Ha nem másodperceim lettek volta nekem is és neki is elérni a vonatot akkor még breaktáncban elmutogattam volna neki, hogy szeretne-e kedvezményt érvényesíteni. /cc #Programozás #Innovator visionaries | 12:36:50 |
| bkil | Most komolyan, pár ASCII grafika, Unicode szimbólum és egy vaktérkép könnyen áthidalhatta volna a problémát, de valahogy ennyire nem volt hozzáértő a tervező és általában más automatánál sem figyelnek erre. Pedig az átutazók ritkán jönnek Amerikából (még Ausztriából, Németországból csak-csak akad), de sok a szomszédos országból származó: szlovén, román, ukrán, lengyel, szlovák, szerb. Nyilván feltehetjük a kezünket, hogy tessen mindenki beszélni a legtöbbek által használt nyelven (mandarin), vagy simán lefordíthatnánk 10 évente egyszer a szövegeket és adhatnánk hozzá nyelvfüggetlen utalásokat. | 12:40:20 |
| bkil | * Most komolyan, pár ASCII grafika, Unicode szimbólum és egy vaktérkép könnyen áthidalhatta volna a problémát, de valahogy ennyire nem volt hozzáértő a tervező és általában más automatánál sem figyelnek erre. Pedig az átutazók ritkán jönnek Amerikából (még Ausztriából, Németországból csak-csak akad), de sok a környező országból származó: szlovén, román, ukrán, lengyel, szlovák, szerb, horvát, bolgár. Nyilván feltehetjük a kezünket, hogy tessen mindenki beszélni a legtöbbek által használt nyelven (mandarin), vagy simán lefordíthatnánk 10 évente egyszer a szövegeket és adhatnánk hozzá nyelvfüggetlen utalásokat. | 12:42:03 |
| Gergely Polonkai | az indiai nyelvjárásokkal kevésbé vagyok képben, de biztos, hogy még mindig a mandarin a leggyakoribb? 😄 | 18:29:04 |
| bkil | In reply to@gergely:polonkai.eu
az indiai nyelvjárásokkal kevésbé vagyok képben, de biztos, hogy még mindig a mandarin a leggyakoribb? 😄 https://en.wikipedia.org/wiki/List_of_languages_by_number_of_native_speakers#Ethnologue_(2023) | 18:56:14 |
| bkil | És nem, az automatán nem volt spanyol, hindi, portugál, bengáli, orosz, japán, török sem. | 18:56:56 |
| 12 Feb 2024 |
| bkil | In reply to@urbalazs:grin.hu
Kérjük, adja meg új jelszavát! Az új jelszónak minimum 8 karakternek kell lennie, kötelezően tartalmaznia kell két betűt, amelyikből egy nagy legyen, valamint egy számot. Az új jelszónak legalább 5 karakterben különböznie kell az előző jelszótól.
Miután megkérdeztem az ügyfélszolgálatot, hogy miért nem jó a 64 karakteres [a-zA-Z0-9] + bővettett ASCII karakterkeszéltű jelszavam, akkor ezt a választ kaptam:
A jelszó nem lehet 40 karakternél hosszabb, Unicode karaktereket lehet használni benne. A rendszer megkülönbözteti kis és nagy betűt, az első karakter nem lehet írásjel (pl.: ! vagy ? ) Az első három karakter nem lehet ugyanaz a karakter (pl.: AAA nem megengedett). Legalább egy karakterben az új jelszónak eltérőnek kell lennie a régi jelszótól.
Az ilyeneknél sose értettem, hogy mi a fenének kellenek ezek a megkötések. Miért nem jó az, hogy
if (sha_256('ÚJ JELSZÓ BÁRMILYEN KARAKTERREL BÁRMILYEN HOSSZAN') != stored_password_hash) {
stored_password_hash = sha_256('ÚJ JELSZÓ BÁRMILYEN KARAKTERREL BÁRMILYEN HOSSZAN');
echo 'Sikeres jelszóváltoztatás!');
}
Opcionálisan sózással, de attól még mindegy, mit szeretnék új jelszónak.
Apropó, a WIP hobbi tárolási backend illetve API/API kizárólag hexát fogad el az API-n keresztül! A kliens azt küld be amit akar és úgy hasheli ahogy akarja!
$pw = '<?php //' . validate_regexp('new', '[0-9a-f]{1,64}', 'missing new');
| 22:10:42 |
| bkil | Apropó, a WIP hobbi tárolási backend illetve API/API amit készítek kizárólag hexát fogad el az API-n keresztül! A kliens azt küld be amit akar és úgy hasheli ahogy akarja!
$pw = '<?php //' . validate_regexp('new', '[0-9a-f]{1,64}', 'missing new');
| 22:11:04 |
| bkil | Apropó, a WIP hobbi tárolási backend illetve API/API amit készítek kizárólag hexát fogad el az API-n keresztül! A kliens azt küld be amit akar és úgy hasheli ahogy akarja!
$pw = '<?php //' . validate_regexp('new', '[0-9a-f]{1,64}', 'missing new');
| 22:11:09 |
| bkil | A célja amúgy az, hogy minél kevesebb sorban egy élesbe kirakható minőségű tárolót lehessen nyújtani. Újra kell talán írni, mivel kicsit így is túl van tolva: támogat meghívókódos regisztrációt is, holott a felhasználói fiók létrehozása ugyanúgy megoldható volna az admin által (ha a meghívókódokat úgyis be kell raknia). Ott maradt félbe a dolog, hogy még rate limit nincs benne. Pontosabban egy másik projektben már elkezdtem CPU takarékos SSI/.htaccess rate limit implementációt ami kicsit fail2ban koppintás - azt lehetne ide átemelni. Itt pedig az lenne a cél, hogy X ideig még a PHP-t se pörgesse fel adott címről. | 22:14:13 |
| 13 Feb 2024 |
| bkil | Átgörgettem a kódon és határozottan megerősített a fenti érzetben, hogy már túl sokat tud. Tehát a megoldandó feladat: ha előfizetsz (ingyen) PaaS webtárhelyre vagy VPS-re amire minél kevesebb kattintással szeretnél felpattintani egy minél kevesebb erőforrást igénylő megoldást a távoli fájl I/O-ra HTTPS-en keresztül vagy saját magadnak (egyszemélyes) vagy családnak (néhány felhasználónak, le legfeljebb 100-1000 friends & family). Bónusz pont, ha minél kisebb komplexitású kód fut a backenden, azaz a felhasználó (és admin) minél szabadabb kezet kap a felület felett. Az olvasás beépített webszerver alól is elérhető, erre nem kell külön API. | 21:14:44 |
| bkil | Mi lenne ha még süti és authorizáció se lenne, hanem maga a script elérési útja (fájlneve) lenne az admin titok? Az admin API tudna mindent: a gyökérben mappákat létrehozni és fájlt írni, törölni. Ha egyszemélyes, nem is kell másik API. Különben a JS0 kliensben felhasználói menedzsmentet látna el (random nevű főmappát hoz nekik létre). GDPR miatt a felhasználóknak nem lenne neve, csak hosszú random ID-ja ami egyben szintén hozzáférési titokként funkcionálna. Ezen kívül egy felhasználó kaphatna 1-1 saját publikusan olvasható mappát (szintén random ID alapján GDPR miatt), amit ő maga időnként rotálhat is ha úgy gondolja (vagy lehetne 1 fix és 1 rotálható). A saját mappáján belül tudna fájlt írni, törölni.
| 21:15:50 |
| bkil | Számtalan éles API létezik ahol GET paraméterben beírod a fiókjelszavadat (még csak nem is eldobható tokent), és azzal lehet például SMS-t küldeni. Pedig ott pénz forog kockán. Itt pedig csak hogy milyen macskás ASCII grafikát tolsz ki twtxt alatt - amit ráadásul ha alá is írsz előtte kliens oldalon, nem is volna triviális hamisítani. | 21:17:10 |
| bkil | A jelenlegi megoldás minőségével mondjuk ez homlokegyenest megy, ami ezeket tudja:
HTTP POST CSRF token user-agent REFERER kliens IP 1h inaktivitás session cookie: /, secure, httponly, GC kvóta server side salt & pepper
A rate limit mindkettőbe kell, különben brute force mellett még server cookie DoS-t is lehetne vele csinálni. | 21:29:26 |
| bkil | Illetve van még benne locking is, de ezt ugyanúgy kintről is meg tudná csinálni az admin ha akarná megfelelő API mellett. | 21:53:35 |
| bkil | (Pontosabban eddig muszáj volt szerver oldalon is csinálni a meghívók miatt, de ha ezt úgyis kidobhatjuk) | 21:54:25 |
| 14 Feb 2024 |
| bkil | http://www.hi.agency/deck
Deck CSS-only presentation sildes arranged on a grid with smooth panning transition, a zoomed out overview, table of contents
| 19:36:18 |
| 16 Feb 2024 |
| bkil | http://ward.dojo.fed.wiki/merging-decision-trees.html | 22:31:03 |
| bkil | I've recreated an old animal guessing game that learns in the simplest way. I have yet to ask for your help when I guess wrong. Help goes something like this: What is your animal? What could I ask to tell it from a frog? I think it would be awesome if advice collected throughout the federation can be combined into one game by some kind of tree merge. Here is how I think merging new animals can work. Anyone who plays the game from a logged in origin will be prompted for new animals. This will be recorded along with the path of yes/no answers that lead to the new question. New paths will be merged with other new animals and saved into that origin's animal-guessing-game asset folder. Future versions of the game will read all of these files in order to build decision trees with multiple yes and no choices. A moderator (me?) will merge available trees and add Wikimedia Commons images as appropriate. You can play it here: http://ward.dojo.fed.wiki/animal-guessing-game.html via #Federated Wiki
| 22:31:44 |
