Время IT | IT Time

2021-07-19 15:45:06 ​Про необходимость теоретической подготовки программистов (или отсутствие таковой)

Однако давненько не было постов на канале. Кто виноват? Конечно же, пандемия, жара в центральной части России, матчи Евро-2020, период отпусков и тому подобное. Всего и не перечислить. В общем, кто угодно, только не тот, на кого больше всего тычут пальцем

Но жизнь продолжается. Работа работается. Задачи появляются и решаются, иногда – успешно, а иногда – не очень.

И вот когда в очередной раз натыкаешься на это «не очень», и начинаешься разбираться, что к чему, то порой выясняется, что проблема глубже, чем кажется, а именно – в базовых теоретических скилах конкретных исполнителей работ. Например, у программистов.

Споры о том, нужны ли современному разработчику теоретические знания в области информатики (Computer science) идут довольно давно. Многие (и весьма успешные) разработчики-самоучки давно уже махнули рукой на все эти скучные темы про теоретические основы алгоритмов и структур данных, шаблоны проектирования, принципы построения низкоуровневых сетевых приложений и т.п.

Зачем это все, если самые востребованные вакансии для разработчиков касаются фронт-энда и умения работать с актуальными фреймворками и прочими быстрыми средами разработки, которые появляются на рынке пачками чуть не каждый месяц?

Тут не до теоретических основ, а только успевай разбираться в новых завитушках и модных трендах UI и UX.

Вместе с тем порой ломается нечто, расположенное где-то так глубоко, что починить это, сидя верхом на фреймворке, просто не реально. Нужно погружаться туда, куда не каждому нужно и более того, не каждому интересно. Тут-то, как правило, теоретически скилы и начинают играть ключевую роль.

В общем похоже, что «расслоение» в среде разработчиков на фундаментальных теоретиков и быстро адаптирующихся практиков становится всё более явным.

А как вы относитесь к изучению теоретических основ Computer science в настоящее время? Проголосуйте ниже

#мысли Открыть/Комментировать

2021-07-01 18:02:00 ​Аукцион на NFT исходников веба завершён, лот ушёл за 5,434,500 USD. А начальная цена была, напомним, 1000 USD.

Поздравляем сэра Тима Бернерса-Ли с этим успехом

https://www.sothebys.com/en/buy/auction/2021/this-changed-everything-source-code-for-www-x-tim-berners-lee-an-nft/source-code-for-the-www

#новости Открыть/Комментировать

2021-06-25 20:01:40 ​Хэш-функция "Дайджест сообщения" (Message Digest)

Message Digest – одна из наиболее популярных хэш-функций. Точнее, это целое семейство, в которое входят хэш-функции MD2, MD4, MD5, MD6.

Функция MD5 до настоящего времени остаётся одной из самых распространённых при проверке контрольных сумм файлов, переданных по сети.

Алгоритм MD5 описан в RFC 1321 1992 года, его создателем является известный криптограф, профессор MIT, Рональд Ривест (Ronald Linn Rivest), один из трёх соавторов алгоритма RSA (Буква R в аббревиатуре RSA – это первая буква его фамилии).

Длина хэша для MD5 составляет 128 бит. MD5 часто использовался как криптографическая хэш-функция, например, в протоколах SSH, SSL, IPSec.

Однако в 2004 году был найден способ проведения успешных атак на MD5 с целью нахождения коллизий. Как следствие, с того момента MD5 не рекомендуется использовать в криптографии.

В настоящее время актуальным представителем семейства Message Digest является алгоритм MD6, опубликованный в 2008 году.

#ИБ #термин Открыть/Комментировать

2021-06-17 20:01:44 NFT на исходники веба выставят на аукцион

Сетевое издание CNET опубликовало новость про проведение аукциона на невзаимозаменяемый токен (NFT) для оригинальных исходных кодов всемирной паутины (World Wide Web), написанных её автором сэром Тимом Бернерсом-Ли.

Аукцион проведёт лондонское отделение Sotheby's с 23 по 30 июня 2021 года. Начальная цена на токен, названный «Изменивший всё» (This Changed Everything), составляет 1000$, но нет никаких сомнений, что она будет многократно увеличена в ходе торгов.

Сам лот представляет собой сертификат на владение оригинальными исходниками Бернерса-Ли, на которых имеется штамп времени их создания и цифровая подпись автора.

Также победитель аукциона получит цифровой постер, содержащий примерно 10 тысяч строк исходного кода, и письмо сэра Тима про процесс создания веба.

В общем, крутой лот для всех, кто в теме

А вы уже разобрались, что такое NFT и почему они стали так популярны в последнее время?

#новости Открыть/Комментировать

2021-06-11 19:30:49 ​Про хранение паролей в виде хэшей

Большинство сетевых ресурсов, выполняющих идентификацию и аутентификацию пользователей, хранят у себя какой-либо признак (секрет) для аутентификации. Например, пароль пользователя.

Хранить пароли в открытом виде – совсем уж моветон, поэтому чаще всего хранят хэши паролей.

При входе на ресурс пользователь вводит свой логин и пароль, а на серверной стороне выполняется поиск указанного логина в базе и вычисление хэша от введённого пароля. Если хэш в базе совпадает с вычисленным, то пользователь проходит аутентификацию.

Вся эта нехитрая схема представлена на рисунке ниже.

Хорошие сетевые ресурсы хранят не просто хэши паролей пользователей, но и дополняют их солью (Salt), перцем (Pepper) или тем и другим одновременно.

Соль - это уникальная для каждого пользователя псевдослучайная последовательность битов, которая добавляется к его паролю перед построением хэша. Соль удлиняет пароль пользователя и делает его более стойким к взлому.

Кроме того, соль обеспечивает разные хэши для пользователей с одинаковыми паролями, что бывает полезно, когда атакующий получает доступ к таким хэшам, например, путём успешного проникновения в базу данных сетевого ресурса.

Перец работает аналогично соли, но в отличие от последней является константой, т.е некоторой общей битовой последовательностью, которая добавляется к паролю каждого пользователя. Важно, чтобы перец не хранился нигде в базе данных в открытом виде.

Кроме того, иногда операция взятия хэша проводится несколько раз: сначала строится хэш для пароля пользователя, затем хэш от этого хэша и т.д. Такой подход также повышает степень защищенности пароля при его хранении.

#ИБ #термин Открыть/Комментировать

2021-06-08 20:30:45 ​Про вычисление контрольных сумм

Контрольные суммы используются для проверки целостности данных (Data integrity check). И в этом деле хэш-функции, о которых мы говорили выше, очень кстати.

Чаще всего, необходимость проверки целостности данных возникает при их передаче по сети. Для того чтобы убедиться, что полученный файл корректен и соответствует оригиналу, вместе с содержимым этого файла передают и его контрольную сумму.

Получающая сторона рассчитывает контрольную сумму принятого файла по заданному алгоритму и сверяет получившееся значение c переданной контрольной суммой. Если они совпадают, то файл загружен полностью (является целостным).

Вместе с тем, успешная проверка совпадения контрольной суммы, в общем случае, не даёт гарантии, что загруженный файл не претерпел никаких изменений в процессе передачи, поскольку злоумышленник, имеющий доступ к каналу передачи данных, может подменить как отдельные блоки передаваемых данных, так и их контрольную сумму.

Таким образом, проверка контрольных сумм эффективна лишь в тех случаях, когда пользователь может быть уверен в оригинальности скачиваемого им файла, то есть в подлинности источника и защищённости канала передачи от атак класса «человек посередине» (Man-in-the-middle, MITM).

#ИБ #термин Открыть/Комментировать

2021-06-07 21:30:18 Знаменитый проектный треугольник (состав работ - стоимость - время) или принцип тройственной ограниченности знаком любому менеджеру проектов.

Точно не знаем, кто впервые употребил формулировку "выбирайте любые две", но она очень точно и доходчиво описывает реалии в IT-проектах.

#юмор Открыть/Комментировать

2021-05-31 10:45:04 ​Про хэш-функции

Хэш-функции (hash functions) – крайне важное понятие в мире вычислений, особенно в криптографии.

С математической точки зрения, хэш-функция – это преобразование набора данных произвольной длины в набор данных фиксированной длины:

h(M) = H,

где M – это исходное сообщение произвольной длинны,
h(M) – хэш-функция (преобразование, хэш-алгоритм),
H – значение хэш-функции, т.е результат выполнения преобразования или просто хэш.

Для каждой функции хэш имеет свою фиксированную длину, как правило, от 128 до 512 бит.

С точки зрения практического использования хэш-функция должна быть быстро вычисляемой.

Общая схема работы хэш-функции выглядит примерно так: исходное сообщение M разбивается на блоки. Алгоритм хэш-функции (хэш-алгоритм) получает на входе блок исходного сообщения и некоторое числовое значение, а на выходе выдает значение хэша для комбинации этих двух входных параметров. Затем берётся следующий блок исходного сообщения и результат вычисления хэша с предыдущего шага, для них вычисляется хэш текущего шага. Далее процедура повторяется необходимое количество раз, чтобы "покрыть" всё исходное сообщение.

Таким образом, хэш-функция работает подобно измельчителю, нарезая сообщение на кусочки и перемешивая их с подсыпаемыми специями. Слово hash в переводе с английского означает "мешанина", "крошево". В русской литературе можно встретить термин "функция свёртки".

Для использования хэш-функции в криптографии нужно, чтобы она обладала следующими свойствами:

1. Имея в распоряжении только результат хэширования H, невозможно или крайне сложно подобрать исходное сообщение M (свойство необратимости).

2. Крайне сложно или невозможно подобрать другой исходный набор данных (M’), который даст тот же хэш: h(M) = h(M’) = H. Если такие случаи происходят, то их называют коллизиями или конфликтами.

Часто вводится ещё одно дополнительное свойство:

3. Изменение хотя бы одного бита в исходном сообщении значительно меняет значение хэша. Это свойство ещё называют лавинным эффектом (Avalanche effect).

Если математически можно доказать, что хэш-функция не содержит коллизий (инъективна), то это – идеальная хэш-функция (Perfect hash function).

Основные сферы применения хэш-функций:
• вычисление контрольных сумм,
• хранение паролей (в виде хэшей),
• построение свёртки текста при формировании электронной подписи.

Об этих вопросах поговорим подробнее в дальнейшем.

#ИБ #термин Открыть/Комментировать

2021-05-29 12:45:03 Про самую известную базу утечек учётных данных

Пароли и учётные данные (credentials) пользователей, которые в том или ином виде хранит у себя практически каждый сайт в сети, регулярно взламываются и утекают в открытый доступ. Ну или в полуоткрытый, типа форумов даркнета.

Одним из самых известных ресурсов для бесплатной проверки любой учётной записи на наличие в базах утечек (data breach) является сайт Have I Been Pwned (HIBP). Его создатель - Трой Хант (Troy Hunt), австралийский эксперт по вопросам информационной безопасности.

HIBP содержит миллиарды записей по утечкам. Для проверки нужно зайти на этот сайт, ввести email, который используется для идентификации, и получить результат, который укажет, сколько раз данный email встречается в записях по утечкам.

Если ни разу - класс, вам повезло, вашу учётку (пока) не украли ни с одного сайта в интернете.

Если хотя бы одна имеется, то будет указано в каком из наборов утекших данных она встретилась и выдана рекомендация как можно скорее сменить пароль.

Сайт HIBP существует с декабря 2013 года и стал к настоящему времени одним из основных источников для быстрой проверки учёток на наличие компрометаций, в том числе путём обработки запросов от других сервисов.

Вчера Трой опубликовал в своем блоге пост о том, что HIBP теперь будет получать сведения об утечках от самой ФБР.

Несколько ранее он открыл исходный код HIBP. Теперь все желающие могут предлагать свои улучшения по работе ресурса, но главное - можно рассчитывать, что проект будет поддерживаться сообществом, даже если Трой решит отойти от дел.

Браво, мистер Трой Хант

#ИБ #новости Открыть/Комментировать

2021-05-26 10:15:05 На наш взгляд, очень верно сказано.

Особенно это касается заказной разработки ПО, но и для коробочных решений актуально.

Не секрет, что принцип Парето в IT работает практически повсеместно, хоть и является чистой эмпирикой.

Вы ведь тоже тратите 80% своего времени тыкая только в 20% приложений от всех установленных на смартфоне?

Или нет?

#цитата Открыть/Комментировать