.>В некоторых, особо кривых от MS и старых системах, генерация GUID не криптографически стойкая — по нескольким гуидам можно угадать соседние.
это неправильное использование uuid, а не неправильные реализации. uuid не проектировались с защитой от угадывания, и они не должны по хорошему быть реализованы как криптографически случайный набор битов.
Здравствуйте, Kana, Вы писали:
K> Ни хрена себе, спасибо большое. Я даже не думал, что такое возможно.
Вообще то это by design.
Криптографической сложности никто и не собирался гарантировать.
GUID это просто уникальный номер. Он создавался с единственной целью — свести вероятность создания одинаковых значений к минимуму. А то, что они могут быть предсказуемы — про это никто и не парился, для поставленной цели это совершенно параллельно.
Ну и как всегда припёрлись кодерочки_руки_из_жопы и стали его использовать не там, где надо.
А потом поднялся вой: айяйяй, плохой код генерации.
Ну и как уже принято, пришлось авторам кода генерации подтачивать его ещё и под такое вот нетипичное использование
Здравствуйте, Философ, Вы писали:
Ф>По тем же, по которым планируется организовывать мониторинг трафика. Ф>Если мониторинг оказывается возможным, значит внутри сети возможна работа левого софта. Например, можно ей дать возможность пользоваться её любимыми одноКАЛсниками: дать спец. прогу или новоиспечённый "анонимайзер".
И поэтому, все это является железным поводом оставлять свое приложение уязвимым?
Ф>Если в сети невозможна работа левых программ, доступ в Интернет перекрыт, съёмные носители запрещены, везде стоят антивирусы с включенной проактивной защитой, что или кого атаковывать?
И ты предлагаешь внедрять все это на предприятии на том аргументированном основании, что: "использовал, использую и буду использовать"?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>И ты предлагаешь внедрять все это на предприятии на том аргументированном основании, что: "использовал, использую и буду использовать"?
У многих кастомеров в ходу поговорка "кто думает про безопасность тот на xxx не работает" и среди них есть даже гиганты от 10к сотрудников.
K> Ни хрена себе, спасибо большое. Я даже не думал, что такое возможно. Гуиды хороши, но генерялки дырявые.
Нормальные генерялки. Концепция GUID не предполагает true random, тем более криптографической стойкости.
Вообще, как по мне, все уже давным-давно украдено до нас. Велосипед изобретать не обязательно, достаточно почитать про сессионные ключи.
Здравствуйте, Хон Гильдон, Вы писали:
ХГ>Здравствуйте, Философ, Вы писали:
Ф>>Про гуид в качестве идентификатора сессии там написано неубедительно. Ф>>Использовал, использую и буду использовать.
ХГ>А смысл, если есть нормальные генераторы случайных чисел?
оно ближе лежит и не надо тянуть всякое слева
кстати, а какие такие генераторы вы имели ввиду
Всё сказанное выше — личное мнение, если не указано обратное.
ХГ>>А смысл, если есть нормальные генераторы случайных чисел?
Ф>оно ближе лежит и не надо тянуть всякое слева
Ф>кстати, а какие такие генераторы вы имели ввиду
Например, захэшеный вихрь Мерсена.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.