¡Eran otros tiempos! Hace 10 años cualquier red social era más informal y distendida de lo que son ahora. Los trolleos eran simpáticos, se captaban las ironías, etc. Había que venir llorado de casa . Y las disputas más salvajes se solventaban en las quedadas, ¿recuerdas?
Ha cambiado mucho. Las redes sociales se usan para ofenderse, nadie entiende el sarcasmo ni el humor negro, y los trolleos "benignos" han degenerado en campañas de acoso y boicot. La autocensura limita la difusión de ideas controvertidas...
Menéame ya no es lo que era (de hecho, Menéame nunca fue lo que era)
@ElHijoDePiqueras Ánimo compañero, yo últimamente también he pasado por alguna de esas cosas. Me ha ayudado mucho el deporte y ponerme en forma. Te ayuda anímicamente, por la propia actividad en sí y porque te sube la moral y la autoestima. Te animo a probarlo y para adelante.
@anacard@gallir
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
@anacard@gallir sobre guardar el salt en otra db. Cuantos más factores añadas, mejor. Pero:
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
Llevaba semanas con el teclado del portátil funcionando mal. Ayer dejó de funcionar del todo. Hoy compré un teclado externo USB como medida de urgencia. Para hacer sitio al teclado externo extraje el teclado del portátil y vi que el conector interno estaba suelto. Lo enchufé correctamente y voila! teclado interno funcionando correctamente. Moraleja: Antes de pensar que tu teclado está roto comprueba que que no se ha desenchufado del conector.
P.D.- El PB EasyNote permite extraer el teclado fácilmente mediante unas trabas de plástico.
"El rey se esta revelando en los ultimos años como un vivales de cuidado,
cualquier se cree que estaba en Bostwana matando animales, estaba
yaciendo con negras
seguro, que tiene un vicio el viejales que mete miedo. No solo vago
y parasito, encima pecador. Y el nieto, por muy retrasado que
le haya salido, se merecia una visita. Que clase de abuelo pasa olimpicamente de su nieto cuando se vuela un pie? Esta es la calidad humana de nuestro Jefe de Estado, estamos arreglados en la Reserva Espiritual de Occidente. A este paso nos vamos a hacer
republicanos hasta los hombres de bien, si cuando yo digo que Franco
deberia haber tenido un hijo varon...". estremadamenteespanol en Intereconomia. www.intereconomia.com/blog/facebookeando/quedan-pocas-balas-20120414
¡Eran otros tiempos! Hace 10 años cualquier red social era más informal y distendida de lo que son ahora. Los trolleos eran simpáticos, se captaban las ironías, etc. Había que venir llorado de casa
Ha cambiado mucho. Las redes sociales se usan para ofenderse, nadie entiende el sarcasmo
Menéame ya no es lo que era
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
Aquí tenéis la noticia: andaluciainformacion.es/ronda/246678/de-paula-desprecia-la-llave-del-p
P.D.- El PB EasyNote permite extraer el teclado fácilmente mediante unas trabas de plástico.
cualquier se cree que estaba en Bostwana matando animales, estaba
yaciendo con negras
seguro, que tiene un vicio el viejales que mete miedo. No solo vago
y parasito, encima pecador. Y el nieto, por muy retrasado que
le haya salido, se merecia una visita. Que clase de abuelo pasa olimpicamente de su nieto cuando se vuela un pie? Esta es la calidad humana de nuestro Jefe de Estado, estamos arreglados en la Reserva Espiritual de Occidente. A este paso nos vamos a hacer
republicanos hasta los hombres de bien, si cuando yo digo que Franco
deberia haber tenido un hijo varon...". estremadamenteespanol en Intereconomia. www.intereconomia.com/blog/facebookeando/quedan-pocas-balas-20120414
es.juanelo.net/tiras/Juanelo1572.png