Преди време ме насочиха към този форум във връзка с крипто-проблеми възникнали в него. Преди малко попаднах на форума във връзка с едно търсене в гугъл свързано с server-side уеб неща. Трябва да има някакъв зъл умисъл в това.
С оглед на това, че форумът е посветен предимно на разработването на уеб-базирани неща, мисля че криптографията е нещо силно свързано с темата, макар доста хора да го игнорират. Аз не съм уеб-девелопър и нямам и намерение да ставам, но криптографията и сигурността (включително на уеб приложения) са неща, които ме вълнуват. Та виждал съм доста забавни решения, включително и made in BG. Както и да е, защо вярвам, че уеб-нещата са доста свързани с крипто-нещата:
* Почти всяка една система за автентикация ползва някакъв еднопосочен хеш алгоритъм. Хората, които я имплементират обикновено нямат много добра идея какво правят. Нещата далеч не опират до "не ползвай md5 щото не е сигурен". Това е нещото, което ви купува времето от компрометирането на базата с хешираните пароли и разбиването им. За това всеки би трябвало да има поне елементарна идея - в последно време има доста разработки по въпроса, примерно ползване на GPU-та за hash cracking цели. Някои алгоритми са далеч по-сложни за разбиване от други. Дори елементарни неща, като вдигане на дължината на salt-а може да окаже радикално влияние върху изчислителната сложност на чупенето.
* Симетричната криптография е нещо ползвано често в уеб-приложенията, които се занимават с картови транзакции, примерно онлайн магазини, които приемат разплащания с кредитни карти и ги пазят в база. Аз лично съм виждал доста малоумни решения, като например reuse-ване на един и същ "таен" RC4 ключ за криптирането на номерата на картите - ако се сдобиеш с достъп до базата, нещата опират дотам да си регистрираш кредитна карта с произволен номер, да се сдобиеш с key-stream-а и да декриптираш всичките останали номера в базата, без да знаеш ключа, доста тъпо.
* PRNG-тата използвани в PHP приложенията, които обикновено са слаби. Разни хора имат навика да разчитат на това по неправилен начин за captcha-и, anti-CSRF token-и или reset линкове. Едно време си бях играл да демонстрирам примерно колко е лесно да ресетнеш администраторската парола на PunBB при положение че на същият сървър се хоства phpnuke:
http://www.youtube.com/watch?v=NMhO00bnRzM* Всички SSL-свързани проблематики, като например какви са ми рисковете ако си подкарам сайта със самоподписан сертификат. Колко сигурен става ако ползвам автентикация на клиентски сертификати и така нататък.
И ей такива неща, които са доста важни поне според мен. Защо не отворите някаква подтема за такива въпроси и дискусии или не спретнете някакви уроци. Мога да помогна с каквото мога. Мисля, че това е достатъчно важно, за да бъде най-малкото обсъдено и за да не се повтарят едни и същи грешки.
