.>В некоторых, особо кривых от MS и старых системах, генерация GUID не криптографически стойкая — по нескольким гуидам можно угадать соседние.

это неправильное использование uuid, а не неправильные реализации. uuid не проектировались с защитой от угадывания, и они не должны по хорошему быть реализованы как криптографически случайный набор битов.

Здравствуйте, Kana, Вы писали:

K> Ни хрена себе, спасибо большое. Я даже не думал, что такое возможно.
Вообще то это by design.
Криптографической сложности никто и не собирался гарантировать.
GUID это просто уникальный номер. Он создавался с единственной целью — свести вероятность создания одинаковых значений к минимуму. А то, что они могут быть предсказуемы — про это никто и не парился, для поставленной цели это совершенно параллельно.
Ну и как всегда припёрлись кодерочки_руки_из_жопы и стали его использовать не там, где надо.
А потом поднялся вой: айяйяй, плохой код генерации.
Ну и как уже принято, пришлось авторам кода генерации подтачивать его ещё и под такое вот нетипичное использование

Здравствуйте, Философ, Вы писали:

Ф>По тем же, по которым планируется организовывать мониторинг трафика.
Ф>Если мониторинг оказывается возможным, значит внутри сети возможна работа левого софта. Например, можно ей дать возможность пользоваться её любимыми одноКАЛсниками: дать спец. прогу или новоиспечённый "анонимайзер".

И поэтому, все это является железным поводом оставлять свое приложение уязвимым?

Ф>Если в сети невозможна работа левых программ, доступ в Интернет перекрыт, съёмные носители запрещены, везде стоят антивирусы с включенной проактивной защитой, что или кого атаковывать?

И ты предлагаешь внедрять все это на предприятии на том аргументированном основании, что: "использовал, использую и буду использовать"?

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>И ты предлагаешь внедрять все это на предприятии на том аргументированном основании, что: "использовал, использую и буду использовать"?

У многих кастомеров в ходу поговорка "кто думает про безопасность тот на xxx не работает" и среди них есть даже гиганты от 10к сотрудников.

не знаю как щас, но у 1С была такая дырка, там проверка пароля шла по реальному паролю на клиенте, таким образом можно было утащить любой пароль

K> Ни хрена себе, спасибо большое. Я даже не думал, что такое возможно. Гуиды хороши, но генерялки дырявые.

Нормальные генерялки. Концепция GUID не предполагает true random, тем более криптографической стойкости.
Вообще, как по мне, все уже давным-давно украдено до нас. Велосипед изобретать не обязательно, достаточно почитать про сессионные ключи.

Здравствуйте, Философ, Вы писали:

KV>>03.09.2010 мну писал разработчикам систем парольной аутентификации

Автор: kochetkov.vladimir
Дата: 03.09.10

:

Ф>Про гуид в качестве идентификатора сессии там написано неубедительно.
Ф>Использовал, использую и буду использовать.

А смысл, если есть нормальные генераторы случайных чисел?

Здравствуйте, Хон Гильдон, Вы писали:

ХГ>Здравствуйте, Философ, Вы писали:

Ф>>Про гуид в качестве идентификатора сессии там написано неубедительно.
Ф>>Использовал, использую и буду использовать.

ХГ>А смысл, если есть нормальные генераторы случайных чисел?

оно ближе лежит и не надо тянуть всякое слева

кстати, а какие такие генераторы вы имели ввиду

Здравствуйте, Философ, Вы писали:

Ф>оно ближе лежит и не надо тянуть всякое слева
Ф>кстати, а какие такие генераторы вы имели ввиду

http://msdn.microsoft.com/en-us/library/system.security.cryptography.rngcryptoserviceprovider.aspx

Здравствуйте, Философ, Вы писали:


ХГ>>А смысл, если есть нормальные генераторы случайных чисел?

Ф>оно ближе лежит и не надо тянуть всякое слева

Ф>кстати, а какие такие генераторы вы имели ввиду

Например, захэшеный вихрь Мерсена.