¡OJOCUIDAO! Que la noticia del tiesto con paneles solares igual NO es una simple charlatanería, revisadlo a la luz de este comentario: www.meneame.net/c/28079798
¡Eran otros tiempos! Hace 10 años cualquier red social era más informal y distendida de lo que son ahora. Los trolleos eran simpáticos, se captaban las ironías, etc. Había que venir llorado de casa . Y las disputas más salvajes se solventaban en las quedadas, ¿recuerdas?
Ha cambiado mucho. Las redes sociales se usan para ofenderse, nadie entiende el sarcasmo ni el humor negro, y los trolleos "benignos" han degenerado en campañas de acoso y boicot. La autocensura limita la difusión de ideas controvertidas...
Menéame ya no es lo que era (de hecho, Menéame nunca fue lo que era)
@anacard@gallir
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
@anacard@gallir sobre guardar el salt en otra db. Cuantos más factores añadas, mejor. Pero:
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
Vengo a desmentir que @gallir y @benjami hayan pagado alguna vez a los admins con sobres de dinero B. El dinero siempre fue A y venía en maletines dada la cuantía.
Se esta decidiendo cual es el proyecto audiovisual del mes en IndieWire que entrará en conversaciones con el Tribeca Film Institute (en.wikipedia.org/wiki/Tribeca_Film_Institute).
¡Votad por el documental sobre la vida del Asombroso James Randi insensatos! (...o por el que os parezca... ^_^)
Os recomiendo colaborar en la campaña para producir un documental sobre la vida de James Randi de la plataforma Kickstarter.
El Asombroso James Randi es un mago, escapista e ilusionista internacionalmente conocido. Randi ha consagrado su vida a la divulgación del pensamiento crítico, el escepticismo y a desenmascarar estafadores que afirman poseer poderes sobrenaturales como Uri Geller.
Las recompensas incluyen posavasos del "pigasus", descargas digitales del documental cuando este finalizado e ilustraciones de Randi elaboradas por una de las dibujantes de animación de Los Simpsons.
Al igual que a Peter Higg a mi tampoco me gusta el apodo de "Partícula de Dios" (En referencia al Bosón de Higgs).
El origen de ese apodo esta en el libro de divulgación que escribió Leon M. Lederman llamado The God Particle: If the Universe Is the Answer, What Is the Question? y ese fué el origen del los titulares rimbombantes al estilo de La Razón... ¬_¬
En el libro se pueden leer los motivos de Lederman para apodarla así: "This boson is so central to the state of physics today, so crucial to our understanding of the structure of matter, yet so elusive, that I have given it a nickname: the God Particle. Why God Particle? Two reasons. One, the publisher wouldn't let us call it the Goddamn Particle, though that might be a more appropiate title, given its villainous nature and the expense it is causing. And two, there is a connection, of sorts, to another book, a much older one..."
Fuente: goo.gl/2AtGW
¡Eran otros tiempos! Hace 10 años cualquier red social era más informal y distendida de lo que son ahora. Los trolleos eran simpáticos, se captaban las ironías, etc. Había que venir llorado de casa . Y las disputas más salvajes se solventaban en las quedadas, ¿recuerdas?
Ha cambiado mucho. Las redes sociales se usan para ofenderse, nadie entiende el sarcasmo ni el humor negro, y los trolleos "benignos" han degenerado en campañas de acoso y boicot. La autocensura limita la difusión de ideas controvertidas...
Menéame ya no es lo que era (de hecho, Menéame nunca fue lo que era)
Enlazar sigue sin ser delito. Besis a los trolls.
¡Saludos!
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
Eso fue... ¿ayer?
-1 a @lamonjamellada y @samarkanda: ¡Volved a vuestro tráiler, camioneras!
Saludos.
¡Votad por el documental sobre la vida del Asombroso James Randi insensatos! (...o por el que os parezca... ^_^)
Vota por el documental An Honest Liar: The Amazing Randi Story
www.indiewire.com/article/decide-who-talks-to-the-tribeca-film-institu
El Asombroso James Randi es un mago, escapista e ilusionista internacionalmente conocido. Randi ha consagrado su vida a la divulgación del pensamiento crítico, el escepticismo y a desenmascarar estafadores que afirman poseer poderes sobrenaturales como Uri Geller.
Las recompensas incluyen posavasos del "pigasus", descargas digitales del documental cuando este finalizado e ilustraciones de Randi elaboradas por una de las dibujantes de animación de Los Simpsons.
kck.st/W3RVWs
El origen de ese apodo esta en el libro de divulgación que escribió Leon M. Lederman llamado The God Particle: If the Universe Is the Answer, What Is the Question? y ese fué el origen del los titulares rimbombantes al estilo de La Razón... ¬_¬
En el libro se pueden leer los motivos de Lederman para apodarla así:
"This boson is so central to the state of physics today, so crucial to our understanding of the structure of matter, yet so elusive, that I have given it a nickname: the God Particle. Why God Particle? Two reasons. One, the publisher wouldn't let us call it the Goddamn Particle, though that might be a more appropiate title, given its villainous nature and the expense it is causing. And two, there is a connection, of sorts, to another book, a much older one..."
Fuente: goo.gl/2AtGW
¿Algún apodo alternativo?
es.juanelo.net/tiras/Juanelo1572.png
#meneapelículas
#meneapelículas
#meneapelículas