Wampiryczny blog

Dziś dla odmiany coś na temat kryptografii. Konkretnie trochę o XOR, jego własnościach i co z tych własności wynika.

Ten temat po części już poruszałem we wpisie Niekonsekwencje w ASP.NET, ale postanowiłem do niego wrócić. Część rzeczy się powtórzy, więc ewentualne uczucie Deja vu jest uzasadnione. Chodzi o to, w jakich przypadkach ASP.NET sam zastosuje odpowiedni encoding, a w jakim programista musi sam o to zadbać.

Raz na jakiś czas spotykam się z mechanizmem, którego przeznaczenia nie rozumiem. Albo inaczej - nie jestem w stanie zrozumieć, dlaczego ktoś myśli, że ten mechanizm będzie działać. Na przykład ładnych już kilka lat temu w trakcie pracy nad projektem pewnej aplikacji jej dostawca zaproponował, by wprowadzić dodatkową warstwę szyfrowania przy przesyłaniu formularzy na serwer. Połączenie z serwerem miało być oczywiście realizowane standardowo przy pomocy SSL, natomiast jeszcze sama aplikacja po stronie klienta miała szyfrować dane przed ich wysłaniem do serwera. Miało to być zabezpieczenie przed atakiem typu man-in-the-middle. Ostatecznie funkcja ta nie została zaimplementowana, i dobrze.

W końcu udało mi się wybrać na dłuższą trasę. Zrobiło się z tego trochę ponad 60 kilometrów, a trasa prowadziła przez cztery dolinki podkrakowskie, Dolinę Prądnika, Dolinę Sąspowską (z małym odbiciem na Złotą Górę), Dolinę Będkowską i Dolinę Kobylańską. Na siłę można jeszcze wspomnieć Dolinę Szklarki, ale to ledwie początek był.

W sumie miałem ochotę jeszcze przeskoczyć przez Dolinę Bolechowicką lub Dolinę Kluczwody, ale jednak słońce dało mi się już we znaki...

Dziś będzie krótko. Na początek odsyłam do tekstu, do którego chcę się odnieść: A czy Twój bank jest odporny na ataki UI Redressing – Clickjacking? A teraz konkretniej - ja z UI Redressing mam pewien problem. To jest doskonała podatność do pokazywania na konferencjach, szkoleniach, prezentacjach. Jest bardzo efektowna, ale już z jej efektywnością bywa różnie. Tekst, do którego odsyłam, dotyczy bankowości internetowych. Obawiam się, że w tym konkretnym przypadku z efektywnością (czyli skutecznością) tego typu ataku byłoby bardzo słabo.