Jadę dzisiaj sobie spokojnie, jadę i coś mi nie pasuje. Nie wiem co, nie potrafię tego nazwać, ale nic to, jadę sobie dalej. Dojeżdżam do mostku, za którym zjeżdżam z drogi na ścieżkę i... OLŚNIENIE. Samochodem to ja tędy nie przejadę, tą trasą to ja jeżdżę na rowerze :)
Oryginał tego wpisu dostępny jest pod adresem Przyzwyczajenie to druga natura
Autor: Paweł Goleń
Dziś opowiem o eksperymencie, który mi nie wyszedł. Do jego przeprowadzenia zainspirowało mnie opracowanie Side-Channel Leaks in Web Applications: a Reality Today, a Challenge Tomorrow. O temacie side-channel wspominałem również podczas mojej prezentacji dotyczącej cloud computing. Konkretnie zainteresował mnie jeden z aspektów, który dobrze oddaje ten fragment:
Song et al showed that because SSH is an interactive remote shell service and typing different keystroke-combinations naturally produces slight timing characteristics, a network eavesdropper can build a Hidden Markov Model (HMM) to infer the keystrokes. When applied to guess a password, the attack achieves a 50-time speedup compared to a brute-force guessing attack, i.e., more than 6-bit reduction of the password’s entropy.
Na temat tych konkretnych badań można przeczytać więcej tu: Timing Analysis of Keystrokes and Timing Attacks on SSH.
Małe podsumowanie komentarzy do wpisu Jak badać wygodę mechanizmów bezpieczeństwa? Komentarzy nie ma za wiele, więc nie chcę na ich podstawie wyciągać jakichś fundamentalnych wniosków.
Zdaję sobie sprawę, że komentarze na blogu są wykorzystywane również do pozycjonowania innych stron. Mógłbym dodać atrybut nofollow dla linków do stron komentujących, ale nie chcę tego robić. Wiem, że część komentujących trafia tu właśnie tylko po to, by zostawić link do swojego/reklamowanego serwisu. Jeśli komentarz składa się więcej niż z jednego słowa i ma minimum sensu, zostawiam go. Niektóre są śmieszne, na przykład ten komentarz:
przez przypadek zajrzałem na tego bloga. zacząłem czytać wpisy i doszedłem do tego. Szacunek! naprawdę – szacunek za wytrwałość:)
Cóż, zgodnie z filozofią wszyscy kłamią (której wyznawcą byłem na długo przed pojawieniem się pierwszego odcinka Dr House) spojrzałem w logi i...
Autor komentarza trafił na moją stronę najprawdopodobniej szukając miejsc, gdzie może zostawić link, który nie zostanie oznaczony atrybutem nofollow. Rzeczywiście, “przez przypadek” tak jest na mojej stronie.
Z tym czytaniem wpisów to też przesada, bo po otwarciu głównej strony po około minucie otwarty został komentowany wpis. Przy okazji ciekawa sprawa – po co przeglądarka komentującego pobierała pliki robots.txt oraz sitemap.xml? Jakaś wtyczka SEO? Wizyta zakończyła się zostawieniem komentarza. Jakoś przeglądania wpisów ani przed, ani po zostawieniu komentarza nie było.
Jak powiada staropolskie przysłowie: bujać to my, a nie nas.
Oryginał tego wpisu dostępny jest pod adresem Dlaczego kłamstwo nie nosi mini
Autor: Paweł Goleń
Powoli dojrzewam do istotnej decyzji... Ten blog powstał w 2006 roku, to już cztery lata temu. Coś, co powstało w wyniku typowej nudy ludzi zajmujących się IT, nudy zabijanej tym komiksem, że o tym “teledysku” nie wspomnę, wyewoluowało do obecnej postaci. Ale w tak zwanym międzyczasie nastał Zmierzch...
Tak, zastanawiam się nad zmianą nazwy bloga, bo ja to tak trochę z innej bajki jestem. A z ciekawych książek “o wampirach” polecam:
No co, to nie ja wymyślałem tytuły. To on: Christopher Moore.
O właśnie, może bITe ME :)
Oryginał tego wpisu dostępny jest pod adresem BWAIN
Autor: Paweł Goleń
We wpisie 6 mitów związanych z badaniami użyteczności można przeczytać, że już w badaniach z udziałem 5 użytkowników można zidentyfikować większość problemów z użytecznością aplikacji. Zapewne w większości przypadków jest to prawda, ale mimo wszystko mam problem z tematem badania user experience mechanizmów bezpieczeństwa. Wiadomo, że końcowe rozwiązanie to zawsze kompromis między bezpieczeństwem a wygodą użytkowania. Co ma zrobić osoba techniczna, odpowiedzialna za projektowanie mechanizmów bezpieczeństwa? Jak może poznać zdanie zwykłego użytkownika i dostosować tworzone mechanizmy do tych, którzy będą z nich korzystali?
Korzystając z ciekawego zbiegu okoliczności, czyli XSS w YouTube, zebrałem się w końcu w sobie i udostępniłem rozwiązania konkursu przygotowanego przeze mnie przed czerwcowym spotkaniem OWASP. Udostępniam również kod parsera HTML, który w tym przykładzie został wykorzystany.
Zainteresowanych zapraszam:
Oryginał tego wpisu dostępny jest pod adresem Rozwiązania zadania z oczyszczaniem HTML
Autor: Paweł Goleń
Miałem przyjemność uczestniczyć dziś w spotkaniu InfoTRAMS – Cloud computing organizowanym przez ISSA Polska. W spotkaniu uczestniczyłem aktywnie, miałem okazję wystąpić z prezentacją pod tytułem Cloud Computing – nowe możliwości, nowe zagrożenia. Muszę przyznać, że przed spotkaniem miałem mieszane uczucia, choćby z uwagi na moje wątpliwości co do chmury. Okazało się jednak, że w tych wątpliwościach nie jestem osamotniony. Nie ukrywam, że podniosło mnie to na duchu. W zasadzie każdy z prelegentów podkreślał, że zjawisko określane jako cloud computing nie jest dobrze zdefiniowane i jakąś definicję starał się na początku swojej prezentacji przedstawić...
Jeśli kogoś interesuje temat bezpieczeństwa w chmurze, to ze swojej strony mogę polecić:
Do tematu samego spotkania może wrócę w przyszłości. Na razie krystalizuje mi się pomysł na wpis pod roboczym tytułem: Prywatność to fikcja.
Oryginał tego wpisu dostępny jest pod adresem InfoTRAMS – Cloud computing
Autor: Paweł Goleń
W najnowszym numerze Wiedzy i Życia zamieszczony jest ciekawy artykuł Wzrost, zarost i polityka , który jest fragmentem książki Dziwnologia. Odkrywanie wielkich prawd w rzeczach małych. Chyba książkę nabędę/przeczytam gdy już się ukaże, bo tego typu tematy bardzo mnie interesują.
Zachęcam do przeczytania tego artykułu. Można z niego się dowiedzieć, że osoby wysokie postrzegane są lepiej niż niskie. Ma to być przystosowaniem ewolucyjnym z zamierzchłych czasów. Przedstawione są wyniki badań, według których osoby wyższe zarabiają więcej pieniędzy, mają większe szanse na sukces reprodukcyjny (czy dlatego stajemy się coraz wyżsi?), ale również na sukces w polityce.
Teoretycznie ta ostatnia cecha powinna nas nieco uspokoić przed drugą turą wyborów, ale... Z innych badań wynika, że mężczyźni gładko ogoleni postrzegani są jako uczciwsi. W USA żaden kandydat na prezydenta, który nosił brodę lub wąsy, nie wygrał wyborów od 1910 roku. A wiadomo, który z dwóch kandydatów, choć wyższy, wąsy (znów) nosi.
Oryginał tego wpisu dostępny jest pod adresem Wyższy znaczy lepszy
Autor: Paweł Goleń
Moim zdaniem pojęcie cloud computing to taki buzzword. Nie należy przyznawać się do tego, że... nie wiemy co to jest ten cały cloud computing. W chwili, gdy padnie to słowo, należy zrobić mądrą minę i... Ta sytuacja przypomina mi trochę smell the fart acting.