banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: freakmind  XML
Profile for freakmind Messages posted by freakmind [ number of posts not being displayed on this page: 0 ]
 
Đấy là liệt kê những khả năng có thể xảy ra thôi mà.

LeVuHoang wrote:
Mình nghĩ cần điều chỉnh lại 1 chút:

- Đề phòng client không hỗ trợ SSL
 

Hầu hết các web brower giờ cái nào không hỗ trợ SSL?
 

- Có lynx smilie

http:// thì trang web sẽ wwwect về https để ép người dùng sử dụng https.
 

Không phải ông web admin nào cũng nhớ để wwwect


Mình confirm là Apache phiên bản mới (mình không nhớ rõ 2.x bao nhiêu) nhưng cho phép 1 IP multiple ssl certs.
 

- Như mình cũng đã nói là việc 1IP multiple là có thể làm được nhưng không phải trên mọi web server. Theo mình biết thì từ Apache 2.2 trở lên có hỗ trợ việc này

vd_ wrote:
@freakmind

cert chứa domain trong CN, nên client kiểm tra là kiểm tra domain name. Còn việc hạn chế 1 ip - 1 cert là do hạn chế của Name Virtual Host đối với apache httpd http://wiki.apache.org/httpd/NameBasedSSLVHosts

Trong tài liệu bạn gửi có sơ đồ cụ thể cho việc này. Lúc thiết lập SSL thì HTTP GET request chưa được web server handle nên chưa thể xử lý Name Virtual Host (field Host trong HTTP request) -> 1 ip chỉ có thể gắn với 1 cert, tuy nhiên không có ai cấm bạn sử dụng 1 cert cho nhiều ip, tất nhiên với điều kiện là các ip đó đều resolve ra 1 domain đã ghi trong CN của cert đó.
 

Bạn nói đúng, và cái mình muốn nhấn mạnh ở đây là không dùng được nhiều domain name, tức là không gắn được nhiều domain trên 1 IP khi dùng SSL, chứ mình không nói đến việc có dùng nhiều IP hay không

vd_ wrote:
@freakmind

Xin bạn nói rõ hơn việc 1 cert chỉ gắn với một ip và domain?

Theo tui nghĩ thì cert chỉ gắn với domain. Domain có thể có nhiều ip (load balancing).

Xin nói thêm nếu arp poison + sslstrip thì attacker có thể lấy được session cookie 


Bạn đọc thử cái link này nhé

http://staff.washington.edu/fmf/2008/11/05/ssl-and-ip-addresses/

BlackParade wrote:

freakmind wrote:

Mình nghĩ có một số lý do chính :
- Đề phòng client không hỗ trợ SSL
- Performance (cost cho server encrypt...)
- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu smilie
- Chỉ dùng được 1 domain trên 1 ip với https
 

Cái màu vàng này hay à nha. Bạn giải thích một chút được không?  


Về mặt technique thì vẫn triển khai đc multiple domain trên 1IP với cùng một SSL cert thông qua Wildcard SSL, nhưng thông thường thì một SSL cert sẽ gắn với 1 IP và 1 Domain nên mới có đặc điểm như vậy.

xnohat wrote:

myquartz wrote:
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi.
Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé). 


Ai trong dân kĩ thuật cũng biết SSL/TLS sẽ hỗ trợ việc chống lại man-in-middle attack. Thế nhưng đó là người dùng am hiểu kĩ thuật, còn người dùng bình thường chả mấy quan tâm, nhất là dân business.

Việc HTTPS không được yêu cầu mặc định trong các website cũng là một nguyên nhân khiến kiểu tấn công này vẫn dung hại. Đáng nhẽ các website phải ép người dùng dùng HTTPS để an toàn

Đã bảo là cái title được giật cho vui và để có cái mà bàn luận mà, dĩ nhiên thực tế là Gmail và Yahoo đã chơi trò ép người dùng được một thời gian rồi smilie

Mặt khác, SSL/TLS hiện đang bị kiểu tấn công do lão mrro mới công bố đe doạ nghiêm trọng. Kĩ thuật tấn công đó khó khăn khi tấn công từ xa, nhưng nếu tấn công trong một mạng local dạng mạng wireless, khi các dữ liệu dễ dàng bị nghe lén thì khả năng tấn công diễn ra dễ dàng hơn rất nhiều. Đọc thêm bài viết trên blog của lão mrro để rõ thêm

Một câu hỏi nhỏ: Các bạn thử nghĩ tại sao mà các trang web hầu hết đều không áp dụng giao thức HTTPS là yêu cầu kết nối mặc định ? smilie  


Mình nghĩ có một số lý do chính :
- Đề phòng client không hỗ trợ SSL
- Performance (cost cho server encrypt...)
- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu smilie
- Chỉ dùng được 1 domain trên 1 ip với https

Jack07 wrote:
Mình nhận được của 1 trường ĐH tư ở Malaysia 

Thế thì không nên đi, mình tưởng đi đâu chứ đi Malay thì bạn ở nhà làm sẽ thu được nhiều cái hơn smilie.

Hỏi hơi cá nhân tí, bạn được admission của trường nào.
Mình đọc đc ở cuối cuốn "Learn Python the Hard Way", thấy hay hay nên chia sẻ chút

------------------------------------------------------------

You have finished this book and have decided to continue with programming. Maybe it will be a career for you, or
maybe it will be a hobby. You will need some advice to make sure you continue on the right path, and get the most
enjoyment out of your newly chosen hobby.
I have been programming for a very long time. So long that it is incredibly boring to me. At the time that I wrote this
book I knew about 20 programming languages and could learn new ones in about a day to a week depending on how
weird they were. Eventually though this just became boring and couldn’t hold my interest.
What I discovered after this journey of learning is that the languages did not matter, it’s what you do with them.
Actually, I always knew that, but I’d get distracted by the languages and forget it periodically. Now I never forget it,
and neither should you.
Which programming language you learn and use does not matter. Do not get sucked into the religion surrounding
programing languages as that will only blind you to their true purpose of being your tool for doing interesting things.
Programming as an intellectual activity is the only art form that allows you to create interactive art. You can create
projects that other people can play with, and you can talk to them indirectly. No other art form is quite this interactive.
Movies flow to the audience in one direction. Paintings do not move. Code goes both ways.
Programming as a profession is only moderately interesting. It can be a good job, but if you want to make about the
same money and be happier, you could actually just go run a fast food joint. You are much better off using code as
your secret weapon in another profession.
People who can code in the world of technology companies are a dime a dozen and get no respect. People who can
code in biology, medicine, government, sociology, physics, history, and mathematics are respected and can do amazing
things to advance those disciplines.
Of course, all of this advice is pointless. If you liked learning to write software with this book, you should try to use
it to improve your life any way you can. Go out and explore this weird wonderful new intellectual pursuit that barely
anyone in the last 50 years has been able to explore. Might as well enjoy it while you can.
Finally, I will say that learning to create software changes you and makes you different. Not better or worse, just
different. You may find that people treat you harshly because you can create software, maybe using words like “nerd”.
Maybe you will find that because you can dissect their logic that they hate arguing with you. You may even find that
simply knowing how a computer works makes you annoying and weird to them.
To this I have one just piece of advice: they can go to hell. The world needs more weird people who know how things
work and who love to figure it all out. When they treat you like this, just remember that this is your journey, not theirs.
Being different is not a crime, and people who tell you it is are just jealous that you have picked up a skill they never
in their wildest dreams could acquire.
You can code. They cannot. That is pretty damn cool.

KingHTVpr0 wrote:
xin lỗi BQT do không có mục nào hướng dẫn về web nên mem ko biết để vào mục nào cho phải

chào mọi người mình đang viết ứng dụng về semantic web.
cho mình hỏi ai biết sử dụng chương trình protege hay altova semanticWorks không xin cho mình hướng dẫn cơ bản để sử dụng được chương trình.

và cho hỏi thêm nữa là VD mình đã có ontology http://www.mediafire.com/?dw9ayx1gwyy5ihe
giờ làm thế nào để biểu diễn nó trên website (viết bằng PHP)
mong mọi người chỉ giáo
cảm ơn nhiều
chúc mọi người vui vẻ 


Mình nghĩ có lẽ bạn chưa nắm rõ concept và future của semantic web, bạn nên tìm hiểu một cách rõ ràng hơn về cái đang làm. Có vài ý muốn nói với bạn, đầu tiên là 2 cái chương trình bạn hỏi chỉ đơn giản là editor cho ontology, nó kiểu như editor cho XML ấy, mình nghĩ nó không khó khăn để tự tìm hiểu lắm vì nó khá là trực quan.
Còn cái câu hỏi làm sao để biểu diễn trên website thì bạn phải đọc hiểu rõ về ontology, nó là một dạng metadata, nên nó phải được stored chứ không phải là present ra trang web. Còn stored thế nào thì có nhiều cách, như lưu lại dưới dạng file để các web appli có thể dễ dàng đọc được có vẻ được sử dụng nhiều.

gnutvn wrote:
có bác nào biết các giới hạn số lượng kết nối tại một thời điểm trong squid ạ chỉ em với. 


Bạn vào /etc/squid/squid.conf gõ thêm 3 dòng
Code:
acl [Name] [Iprange]
acl limitusercon maxconn [number]
http_access deny [Name] limitusercon


Với Name là tên của cái ACL bạn tự tạo ra, IPrange là dải IP bạn muốn control, number là số lượng kết nối đồng thời mà bạn muốn cái dải IP bạn vừa định nghĩa bị giới hạn
Nhớ restart lại squid nhé
http://www.google.com/crisisresponse/japanquake2011.html
Trên đây là trang web của google giúp donate cho Red Cross của Japan.
Cách thức là qua google Checkout, bạn đăng ký visa debit ở VN hình như liên kết được với thằng này.
Mà đóng góp đừng đóng góp quần áo cơm gạo nhé, mình nghĩ cái đó hơi vô ích, nếu có điều kiện thì nc Nhật sẵn sàng nhận mọi đóng góp về tài chính smilie
Hôm này vừa thử nghịch memcache, đúng là nó không có cơ chế bảo mật nào cả. Bản thân memcache không có nghĩa vụ bảo mật mà người dùng phài tự thiết lập cơ chế bảo mật riêng.
Đây là vài dòng mình đọc được:

Is memcached secure?

Access to memcached is not protected by a username and password, neither is the data within it. So while access control does not exist natively for memcached, simple things can be done to harden your instance of memcached to make it secure:

* Prevent external access - Deploy memcached behind your firewall and only allow machines from within a specific network to access to the cache.
* Encrypt the data you store in the cache – I personally feel like this is overkill because for most applications it adds an extra hoop to jump through every single time you visit the cache. But for the hyper-paranoid that work in shared environments, I suppose this is something worth considering.
* Choose obscure keys – there is no way for a user to query memcached for a list of keys, therefore the only way for someone to retrieve information stored there is if they know the key for the corresponding information. Therefore, if your keys have predictable names then it would be relatively easy for someone to guess them. So make your keys somewhat obscure. Consider creating a simple key like “object:10032” and then generate a sha1 hash of it. This will create a very obscure key name while using a very standard, easy to remember key naming scheme of your choosing.

So is memcached secure? Well, while it does not have built in security features, it can easily be made secure.
 
Có lẽ mình đã hiểu nhầm ý bạn, để qua tuần sau mình lên lab thử cài memcache vào nghịch xem rồi sẽ vào trao đổi tiếp smilie
Mình chưa có kinh nghiệm thực tế về memcached không dám chắc chắn, nhưng có vài điểm cần nói:
-Bạn đã share hay ké rồi thì ai cho bạn quyền để cài và thiết lập memcached vào server chung?
-Memcached dùng cho những server cần scalability cao , hầu hết là đứng độc lập, và có lượng access lớn như mixi, fb..., nên việc bạn share host, ké server thì chứng tỏ cái site của bạn cũng ở mức trung bình thấp thôi, có ké hay share để ăn ké memcache của thằng bên cạnh thì ... tốc độ chả thay đổi mấy smilie
-Bạn nạp vào cái cache nhiều data, nhưng cái thằng share với bạn nó... không dùng memcached thì sao smilie

jcisio wrote:


1/ Thế code đó khi đem cái crackpass.py về localhost chạy nó có thành công không?

2/ Nếu server không stable mà chạy không được thì code chưa tốt rồi, cần suy nghĩ thêm. Ở trên có gợi ý cách giải quyết đó. 


Bạn rốt cục đã giải quyết được chưa mà "gợi ý cách giải quyết" với lại "code chưa tốt" smilie.
Bạn nên nhớ tìm ra vài kí tự đầu hay không thì vẫn là chưa tìm ra được pass, khi nào tìm ra pass hoàn chỉnh thì bạn hẵng post kết quả lên, không chả ai để ý đâu smilie
Thêm nữa là side-channel chú trọng ở cái ý tưởng, và cái ví dụ về strcmp cũng chỉ là để giải thích một cách dễ hiểu thôi, chứ cái timing-attack hoàn toàn không có tính thực tiễn khi remote-attack , lại còn qua một shared-server nữa chứ.

Bạn crazyboy nếu có thể exploit được qua cái unstable server của bạn thì có thể share code lên để mọi người tham khảo với.

vson89 wrote:
mình đã cài đặt ok rồi, và chạy cũng được, nhưng trong phần load không có mục local , còn các phần như session, encrypted SAM mình không hiểu là gì, bạn có thể chỉ mình được không, mình cảm ơn nhiều lắm 


Chạy được rồi là được rồi, không hiểu cái mục local bạn nói là gì?
Còn 2 cái bạn hỏi:
Encrypted SAM : To import hashes from the SYSTEM and SAM files located in the Windows system32/config directory. You can only access these files on a Windows partition from which Windows was NOT started.
 




Session file: To restore a previously recorded automatic session file.
 

xnohat wrote:
Thôi nào bình tĩnh đi mấy bồ smilie hai bồ đang thảo luận rất đúng hướng về vấn đề side-channel attack mà smilie

Nhận tiện thảo luận về vấn đề Side-Channel attack, tớ thắc mắc không rõ Social Engineering có phải là một dạng Side-Channel attack ko ? vì nó cũng không tấn công ngay vào trực diện đối tượng mà tấn công các đối tượng gián tiếp smilie 


Theo như wiki thì social engineering không được tính vào side-channel attack , và theo cá nhân mình thì social engineering không nên xếp vào bất kì cái gì gọi là "attack" hết mà nên xếp vào loại "fraud" vì nó mang tính xã hội và "bẩn" hơn smilie

Code:
Attempts to break a cryptosystem by deceiving or coercing people
with legitimate access are not typically called side-channel attacks


vson89 wrote:
CÁc pro chỉ giúp mình xài ophcrack trên linux với, mình cài đặt xong rồi nhưng không biết sử dụng như thế nào, ở window thì khi cài xong thì load là ok, còn linux thì mình không biết có cần cấu hình gì khi cài đặt xong không, các thứ cần thiết mình đã có đầy đủ, mong mọi người chỉ giáo giúp 


default thì "make install" sẽ đặt package file vào /usr/local/bin và đặt man file vào /usr/local/man nên bạn vào bin xem có cái ophcrack** nào không rồi thử gọi nó xem sao

cr4zyb0y wrote:

bây giờ thì rỏ thèn nào thích tỏ vẻ rồi nhé smilie


Tớ vốn không thích tranh cãi nhưng tớ muốn trình bày rõ một cái là tớ không có thói quen tỏ vẻ trên 4rum smilie, tỏ vẻ ngoài đời thích hơn nhiều chứ, 4rum có ai biết mình là ai đâu.
Tớ bỏ thời gian ra phân tích, tìm tài liệu, mục đích cuối cùng là chia sẻ cái tớ biết, còn bạn xem bạn làm cái gì nhé :vứt lên đoạn code rồi cười khẩy, phân tích thì không phân tích, mục đích bạn tham gia topic này làm gì vậy, tự bạn nghĩ nhé???

cr4zyb0y wrote:



tỏ vẻ với bạn làm mẹ gì, rách việc .

Còn thích source à, đây :

Code:
/* Copyright (c) Microsoft Corporation. All rights reserved. */
#include <mmlite.h>
#include <tchar.h>
#if defined(_MSC_VER) && !defined(_DEBUG)
#pragma function(strcmp)
#endif
#if defined(_MSC_VER) && (_MSC_VER != 1400 || !defined(ppc)) && (_MSC_VER != 1310) && (_MSC_VER != 1200) && defined(_UNICODE)
#pragma function(wcscmp)
#endif
/* Compare strings pointed by pSrt1, pSrt2. Return 0 if same, < 0 if pStr1
* less then pStr2, > 0 otherwise.
*/
int _tcscmp(const _TCHAR *pStr1, const _TCHAR *pStr2)
{
_TCHAR c1, c2;
INT v;
do {
c1 = *pStr1++;
c2 = *pStr2++;
/* the casts are necessary when pStr1 is shorter & char is signed */
v = (UINT)c1 - (UINT)c2;
} while ((v == 0) && (c1 != '\0'));
return v;
}


copyright @ Mircosoft nhá =]]

@g4mm4 : em hông có host, mà cái time link trên nó trả về khá ổn định đó anh, thử đi nhé smilie 


Những người trình độ chưa ra đâu vào đâu mà có cách nói năng như bạn chắc khó mà tiến được, khuyên chân thành smilie
Trở lại vấn đề chính, cái mình muốn nói khi mình nói bạn show code của strcmp là vì strcmp trong glibc nó được implemented bằng assembly code nên mới bảo bạn show và thử phân tích thôi, ai dè bạn lại code bằng window làm mất cái để phân tích smilie



P/S: gamma có bảo bạn có host không hay đâu, gamma bảo bạn đưa cái python code của bạn để test trên localhost cơ mà?? Em hok có host là em hok có localhost à smilie
@lamer: Srry vì em không vứt đầy đủ code lên, em chỉ đưa cái cần để chứng minh thôi.

cr4zyb0y wrote:

Đó chỉ là một đoạn code check password thôi, không có yêu cầu code này không bị lỗi nha. Nên mình thích viết vậy đấy, chủ topic muốn có một ví dụ để thử nghiệm mà smilie) . Và nếu không biết strcmp hoạt động thế nào, thì mình đã chẳng viết như trên smilie 


Bạn biết thì bày tỏ luôn, nếu muốn chủ topic thử nghiệm thì nói rõ ra là đoạn code này để thử nghiệm, còn nếu bạn muốn tỏ vẻ thì mình chịu smilie

Btw: Bạn biết strcmp hoạt động thế nào bạn thử nói xem, vứt cả source trong thư viện string.h lên để chứng minh cho chủ topic nữa nhé smilie .
P/S: cũng phải cám ơn bạn mình mới biết trang bzshell, trước đó không biết trang này smilie

@chủ topic: cái lỗi mà thảo luận từ đầu topic là một cái lỗi quá đơn giản, trong cái link mình đưa ở trên có thêm lỗi để crack rsa đó, có lẽ đọc cái đó cũng hiểu ra đc tg đối.

cr4zyb0y wrote:

truyennxt wrote:
to cr4zyb0y: Rất vui nếu bạn đã viết xong thì hãy gửi cho mọi người xem.

To lamer: Em thực sự không phải dân chuyên cntt smilie . Em đang theo học Banking và đang muốn học thêm cntt. Vì thế anh bảo em viết code thì em ko thể viết ngay mà phải "đọc hiểu" đã anh ạ . 


Code:
ori_pass = "AAA"
def check_pass(input):
i = 0
for c in ori_pass :
if(c != input[i]):
return False
else :
i = i + 1
return True
if __name__ == '__main__':
input = str(raw_input())
if (len(input) == len(ori_pass)) and check_pass(input):
print "You got it !"


Code đây, ai thử attack đi smilie  


Bạn biết strcmp hoạt động theo cơ chế nào không?
Về mặt cơ bản thì strcmp nó cho thời gian tính toán "linear" với từng cụm password khác nhau, hay nói cách khác là strcmp nó làm thời gian tính toán của cụm password đúng và cụm password không đúng là khác nhau.
Cái code của bạn về mặt cơ bản là cũng "linear" như cái strcmp vậy, đơn giản vì khi cái dòng if của bạn gặp password đúng thì nó return luôn, chả hiểu bạn sướng gì ở cái dòng màu đỏ nữa
Lối timing attack của strcmp đơn giản chỉ cần implement một cái hàm đại loại như sau thì có thể "san bằng" thời gian tính của mọi chuỗi nhập vào
Code:
for (i = 0; i < sizeof(secret_passwd); i++) {
result &= (s[i] == secret_passwd[i]);
}
return result;


P/S: chủ topic có thể tham khảo thêm cái file này mình google được, cảm thấy khá là dễ hiểu
http://www.google.com/url?sa=t&source=web&cd=1&sqi=2&ved=0CBIQFjAA&url=http%3A%2F%2Fwww.cs.hmc.edu%2F~mike%2Fpublic_html%2Fcourses%2Fsecurity%2Fs06%2Fprojects%2Fdan.pdf&rct=j&q=strcmp%20timing%20attack&ei=YXM8TZSRK4fRcYzfjYUH&usg=AFQjCNHLiXklpwCCRE-epwd8eoDcxVNyuQ&sig2=Bp7URzX2Ara94a4Gqg5u1Q&cad=rja



WinDak wrote:

truyennxt wrote:
Trong mấy ngày qua mình có đọc về cái kiểu tấn công này. Trong bài đọc mình thấy sơ qua ý chính của kiểu tấn công này là lợi dụng "độ trễ" (latency). Vậy "độ trễ" là gì mà attacker lại tấn công nó mà lấy đi USD ở thị trường chứng khoán. Mình có ý định lên hỏi "độ trễ" là gì, nhưng nghĩ ngẫm "nên tìm hiểu trước khi hỏi". Nên mình ngồi mạng search về cái khái niệm khó hiểu này.

Khái niệm độ trễ biểu thị quãng thời gian bạn phải chờ trước khi nhận được thứ mình cần. Theo từ điển Merriam-Webster thì latency có nghĩa là 'khoảng thời gian từ khi ra lệnh đến khi nhận được sự phản hồi' 


Mình chỉ biết là như vậy, và "theo mình nghĩ" thì khi một lệnh A được gửi đi rồi "chờ" phản hồi lại thì attacker sẽ lợi dụng thời điểm đó để có thể "can thiệp" rồi gửi phản hồi "giả". Cộng thêm có thể "chặn" phản hồi "thật".

Vậy về phượng diện "sâu" hơn của "kỹ thuật" thì attacker làm thế nào để "lợi dụng" độ trễ này? 


Hiểu sai rồi, side-channel attack dựa vào các thông tin phản hồi trong xử lý thông tin ví dụ như thời gian để dự đoán các tiến trình xử lý của ứng dụng.

Một ví dụ như thế này:
input là string password nhập vào để kiểm tra

Code:
input = args;
for (k=0;k<input.length();k++) {
if (input[k]!=password[k]) {
exit("wrong password")
else {
for (i=0;i<1000000;i++) { do_something() }
}
}


Đoạn mã trên có thể bị lỗi Side-Channel-Attack, và attacker có thể lợi dụng để tìm ra password. Thử tìm hiểu tại sao xem nhỉ ?> 


Nếu chủ topic đoán ra được đoạn mã này bị exploit thế nào thì đã không phải ngồi đặt câu hỏi ở đây rồi smilie)

Đoạn mã windak đưa thuộc vào dạng lợi dụng time information trong side channel attack. Cách exploit là dựa vào thời gian mà chương trình process mà đoán password bao gồm những kí tự nào smilie.
Ví dụ đầu tiên bạn sẽ thử cho input là a*** cho đến Z*** và đo thời gian process của từng input một, thằng nào thời gian input lâu nhất thì password sẽ chứa thằng đó, ví dụ ra là b***. Sau đó quá trình này được lặp lại với việc cho input từ ba** đến bZ** .....

Ngoài cách dùng time thì còn cách dựa và power, sound, electromagnetic ( theo như trên wiki smilie ). Nói chung side-channel attack là kiểu attack mà dựa vào những yếu tố "bên lề" chứ không dựa vào lỗi trực tiếp của hệ thống.

mrro wrote:
chào mọi người,

mình bắt đầu viết loạt bài trên blog cá nhân (vì hiện giờ HVA chưa hỗ trợ LaTeX) để giới thiệu mật mã hiện đại. hi vọng là sẽ nhận được nhiều góp ý, câu hỏi cũng như thảo luận.

- Bài 1: http://vnhacker.blogspot.com/2010/05/mat-ma-hien-ai-1.html

-m  


Bài viết rất bổ ích cho những người mới bắt đầu.
Btw, mrro có thể phân tích rõ thêm một chút về WEP và cái gọi là "thiết kế sau những cánh của đóng" để mọi người hiểu thêm một chút được không?

P/S: nghe nói mrro đã được admission vào Stanford, hy vọng vào đó xong bạn sẽ đóng góp được nhiều hơn nữa cho cộng đồng IT VN smilie

eyestv wrote:
Em đang có hướng sẽ cố gắng học master ở nước ngoài chuyên ngành quản trị hệ thống (System Administrator) trong khoảng 2 năm tới.

Nhờ mọi người định hướng giúp em, để em có cái bia rõ ràng mà phóng tên cho nó chuẩn smilie

- Em cần phải chuẩn bị những gì?
- Trường nào thì phù hợp
- Học bổng
...



 

Theo như mình biết thì hình như không có ngành academic nào thuộc về "quản trị hệ thống" cả.
Về chuẩn bị thì có lẽ cần nhất là ngôn ngữ.
Trường nào hợp thì càng xịn càng hợp smilie, princeton MIT trường nào mình thấy cũng hợp hết smilie
Học bổng thì bạn có lẽ phải tự tìm thôi smilie, source là google đó.

Ikut3 wrote:

heroandtn3 wrote:

Ikut3 wrote:
Mọi người chỉ lo bảo vệ password thôi. Thế còn username thì sao ? .
Trong khái niệm authentication (2factor) thì username = 50 % - password = 50%

Ở đây ví dụ mình đặt user - pass thế này

Code:
suamaydao - 123456elcaro


Mọi người có thấy username kia có gì lạ không ? 

Không smilie. Có điểm đặc biệt là user này xuất phát từ chữ ký của anh xnohat.
Có gì lạ ở đây hả bạn? 


Cậu tô đậm user - password sau đó view source là thấy.

Để rõ hơn cậu so sánh với cái này

Code:
suamaydao - 123456elcaro


Mình nghĩ nó lạ đó smilie  


Mình nghĩ dùng non-breaking space như kiểu ikut chỉ đơn giản là một cái "trick", nó không giải quyết một cách tổng quát về vấn đề password.
Theo mình thì để giải quyết vấn đề này chỉ đơn giản là secure cái máy mình dùng thôi (khi không dùng thì tắt hoặc lock lại), và tuyệt đối không để lưu password ở các máy khác máy cá nhân của mình.
Mình đã từng thử dùng phần mềm auto-generate password cài trên usb một tgian nhưng cảm thấy khá là bất tiện smilie , nên rốt cục lại bỏ.

P/S: với bản thân mình thì ngoài cái email dùng cho rất nhiều thứ như tk ngân hàng, credit... thì những cái còn lại như yahoo, account diễn đàn... với mình có mất cũng k sao smilie

shankstocdo wrote:
mình đã làm theo hướng dẫn ở trang: http://www.backtrack-linux.org/tutorials/usb-live-install/

extract thành công
nhưng khi khởi động lại máy thì chưa bôt đc!(có lẽ thiếu file boot)
mình đã search rồi nhưng vẫn chưa bít phải làm thế nào! bạn nào rảnh thì chỉ mình nha!

tiện thể cho hỏi main G31 có mặc định cho phép boot từ USb ko?
nếu không thì xin đc chỉ giáo! 


Bạn đã chọn lại ở mainboard để boot from usb device chưa.
Nếu đã chọn rồi thì hiện tượng không boot được của bạn thế nào.

phanledaivuong wrote:

conco711 wrote:
Mình muốn theo con đường viết phần mềm diệt virus thì phải học như thế nào? 


Cái đấy đơn giản mà?
trước tiên phải học quang boom và lựu đạn như bác quảng smilie 


Mình thấy hài hước khi những người trình độ chưa bằng cái móng tay của NTQ mà mở mồm ra là quăng bom với lựu đạn lol

@chủ topic: mình thấy KyO nói đúng đó, khi bạn học basic tốt thì bạn sẽ tự thấy chứng chỉ nào cần và cần học cái gì để đạt được cái gì mình muốn (dù là security, programmer hay etc gì đi nữa). Còn basic là gì, mình nghĩ đó là kiến thức cơ bản ở trường lớp, các kiến thức cơ bản và vững về hệ thống, về các ngôn ngữ lập trình, về network.....

StarGhost wrote:
Hình như có một số bạn bị ngộ nhận giữa việc tồn tại nhiều dự án về cloud, việc người ta nghe nói nhiều đến cloud, với sự hứa hẹn mức độ thành công của cloud.

Riếng bản thân mình cho rằng cái điều khó khăn nhất trong commercial cloud computing không phải là về infrastructure hay performance, mà là về security. Bản thân security research về cloud vẫn còn quá nhiều vấn đề phải giải quyết, vì vậy mình chưa nhìn ra được bất cứ một sự hứa hẹn nào về cloud trong tương lai gần.

Ngay cả bản thân các công ty như MS, google, yahoo mặc dù đang phát triển cloud nhưng mình không chắc đến bao giờ họ mới cho ra cái cloud nào ổn ổn. Cái này mình đã trực tiếp trao đổi với một bác làm ở MS research và một prof ở USyd nên cũng biết chút đỉnh.  


Vậy starghost nghĩ thế nào là "cái cloud", và thế nào là ổn ổn, chỉ đơn thuần là cloud os chăng?

StarGhost wrote:
@motminhanh: cloud computing còn đang trong cái nôi phát triển về mọi mặt, trong tương lai gần bạn khó mà có thể làm gỉ được. Nếu làm về mảng này có lẽ chỉ đi lên PhD thì có tương lai, chứ về mặt ứng dụng thì khó sống.

Nếu bạn muốn làm về security của cloud computing thì có một số các vấn đề mở khá phổ biến như SLA, resource allocation, separation of resources, fairness, etc.  


Cái này có lẽ starghost nhầm, bạn nghĩ người ta sẽ nghiên cứu cái gì ở cloud computing để đi lên phD? Mình nghĩ cloud chỉ là ứng dụng thôi, chứ platform chả còn gì để mà nghiên cứu nữa đâu, hầu hết các paper về cloud đều lệch sang phía grid computing và parallel computing chứ bản thân cloud chả có cái gì cả (ngoại trừ một số problem về security như starghost đã nói, mình thì thấy hầu hết các paper hiện nay đều tập trung về vấn đề SSO-single sign on)
Mình thì thấy cloud đã và đang phát triển rất mạnh mẽ và rộng rãi rồi chứ không chỉ dừng lại ở cái nôi đâusmilie
 
Go to Page:  Page 2 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|