mamy urnę w której znajduje się 100 kul, 99 kul czarnych jedna kula biała,
losujemy:
bez zwracania kuli do urny do czasu wylosowania kuli białej,
ze zwracaniem kuli do urny do czasu wylosowania kuli białej,
Jaka jest wartość oczekiwana losowań w pierwszym i w drugim przypadku? Jak zmieni się sytuacja, jeśli w przypadku losowania ze zwracaniem wyciągamy 5 kul, sprawdzamy czy jest wśród nich kula biała i jeśli takiej kuli nie ma – kule są zwracane do urny.
Całość można policzyć, albo wykonać szybką symulację.
P.S. Generator liczb pseudolosowych wykorzystany przy tej symulacji nie musi być kryptograficznie bezpieczny :)
Ostatnio miałem okazję uczestniczyć w Akademii Jakości. Kilka prezentacji podobało mi się bardziej, kilka ciut mniej (ale mimo wszystko oceniam pozytywnie), na dwie prezentacje nie zdążyłem, żałuję przede wszystkim prezentacji Moniki. Na koniec okazało się, że moja prezentacja została bardzo pozytywnie oceniona, za co dziękuję. A w prezentacji tej starałem się pokazać, że testy bezpieczeństwa są ważne, ale niewystarczające, jeśli chcemy w sposób powtarzalny tworzyć “bezpieczne” aplikacje. W sumie chyba nic nowego dla kogoś, kto mojego bloga czyta.
P.S. Była jedna prezentacja, która zainteresowała mnie bardzo (temat), ale trochę rozczarowało wykonanie. Wyglądało to trochę tak, jakby dużo większa prezentacja była “na żywo” przycinana do określonego slotu czasowego. W efekcie czułem spory niedosyt...
Zacząłem odpisywać na komentarz Papiego, ale ostatecznie zdecydowałem się na zrobienie z tego kolejnego wpisu.
Tak, powoli zaczynam się rozglądać za zastępnikiem dla Google Reader. Na razie przyglądam się The Old Reader, wygląda nieźle, aczkolwiek kilku rzeczy mi w nim brakuje. Kolejną alternatywą, nad którą się zastanawiam jest NewsBlur, przy czym oczywiście w wersji płatnej (24$ na rok nie przeraża). Ciekawy jest też ten sugerowany Tiny Tiny RSS, aczkolwiek nie uśmiecha mi się utrzymywanie tej usługi we własnym zakresie. Przyjrzę się temu funkcjonalnie i jeśli mi się spodoba, to byłbym skłonny kupić od kogoś usługę :)
Moje wymagania są dość proste:
muszę mieć możliwość czytania feedów z różnych miejsc i urządzeń (różne laptopy, telefon),
GUI ma być wygodne, a nie nowoczesne/cukierkowe,
powinna być możliwość tagowania wpisów i puszczenia feedu dla określonego tagu,
O rzeczach oczywistych, czyli na przykład o braku limitów na ilość kanałów RSS nawet nie wspominam.
Pamiętacie BEAST? i Lucky13? Te ataki celowały w szyfry blokowe w trybie CBC wykorzystywane w SSL/TLS. Zalecanym “rozwiązaniem” problemu było wykorzystanie szyfru strumieniowego, konkretnie RC4. Co prawda po drodze był jeszcze CRIME, który dobrze się nadawał do atakowania RC4, ale w tym wypadku wystarczyło wyłączyć kompresję.
Aż tu nagle pojawił się problem: Attack of the week: RC4 is kind of broken in TLS. To znaczy problem się nie pojawił nagle, bo o tym, że w wyjściu RC4 (generatora, a nie zaszyfrowanych danych) są pewne “zakłócenia” (niektóre wartości na określonych pozycjach są bardziej prawdopodobne, niż powinny być), wiadomo od dawna. Teraz pokazane zostało, że jeśli atakujący dysponuje wystarczającą ilością próbek, w których ta sama wiadomość jest szyfrowana przy pomocy RC4 z użyciem różnych kluczy, można ustalić jej treść.
Jakiś czas temu pisałem o sposobie na limitowanie liczby żądań generowanych przez klienta: Limitowanie klienta. Chcę na chwilę wrócić do tego tematu w kontekście ochrony przed DoS.
PunkSPIDER is a global web application vulnerability search engine powered by PunkSCAN. What that means is that we have built a scanner and architecture that can handle a massive number of web application vulnerability scans, set it loose on the Internet, and made the results available to you. It runs off of an Apache Hadoop cluster and is able to handle tens of thousands of scans every day.
Tak się składa, że jedna z moich stron znajduje się w tej bazie:
Ktoś inny znalazł się w bazie? Może znalezione zostały jakieś podatności? Ktoś się podzieli?
Sam kod użytego narzędzia dostępny jest tutaj: PunkScan.
P.S. Warto monitorować rezultaty tej “wyszukiwarki”. Jeśli przypadkiem coś znajdzie i przypadkiem nie będzie to false positive, to lepiej się o tym dowiedzieć, zanim dowiedzą się ONI. Jakoś nie wierzę, że prośba Please do not use this site for malicious purposes (popup po wejściu na stronę) spotka się ze zrozumieniem...
Oryginał tego wpisu dostępny jest pod adresem PunkSPIDER
Po przerwie powrót do tematu poruszanego w poprzednichwpisach. Jednym z warunków zadania była wymagana unikalność identyfikatora na przestrzeni 10 lat. Dodatkowo wiedzieliśmy, że w ciągu sekundy będzie (w przybliżeniu) generowany jeden identyfikator. Oznacza to, że w ciągu 10 lat będzie ponad 315360000. Dla uproszczenia załóżmy, że będzie ich około 316224000 (to wtedy, gdyby każdy rok liczył 366 dni).
Mózg to fascynujące ustrojstwo. Czasami zastanawiam się, czy to ja posiadam mózg, czy mój mózg posiada mnie. Na przykład lubi wybrać sobie temat, nad którym postanowi sobie pracować, kompletnie ignorując przy tym fakt, że pora bardziej odpowiednia do snu, niż do myślenia. Mogę albo usiłować spać (czyli wiercić się przez najbliższą godzinę), albo temat pokonać. Przy okazji temat jest odrobinę związany z poprzednią zagadką, więc będę miał mniejsze wyrzuty sumienia związane z chwilowym brakiem kontynuacji tematu.
