On 2019-06-30, Trefniś <trefnis1@mailinator.com> wrote:
[...]
> Podpowiadałem ci (a znacznie ważniejsze - grupie, boś ty nieprzemakalny i
> niereformowalny) dość dobrze umotywowane powody, dla których strona nie
> jest stuprocentowo bezpieczna.
> Powtarzam link dla potomności:
>
> https://www.vertextech.com.au/2018/06/26/should-i-use-have-i-been-pwned-hibps/
Tak, też umiem googlać. I co z tego linka kokretnie wyczytałeś?
Bo to że taki wpis to jedno, drugie co z niego zrozumiałeś.
A z tego co widzę, to niewiele, zadowoliłeś się tym, że autor
wpisał nieco negatywną opinię.
> Obawiam się, że skoro zignorowałeś podane tam argumenty, to pewnie z
> powodu bariery językowej, zatem:
Nie. Czytałem. A Ty ich nie zrozumiałeś, tylko podajesz linka.
> Kiedy już doczytasz, dlaczego portal nie jest bezpieczny w 100% (nie
> musisz tutaj chwalić się przemyśleniami), zauważ też
Nie ma to jak laik żądający udowadniania że coś jest "bezpieczne w 100%",
gdy nikt na świecie nie oferuje tego rodzaju gwarancji dla żadnego serwisu,
czy usługi, nigdzie. Więc albo próbujesz porzeć swoją argumentację na
"reductio ad absurdum" (czyli żądaniu jakiegoś "udowodnienia" niemożliwego),
albo piszesz tak na skutek braku wiedzy.
Jak już pisałem, nie opieram swojej opinii na jednym blogerskim wpisie,
w przeciwieństwie do Ciebie. Na dzień dzisiejszy serwis ten jest uznawany
za bezpieczny. Co więcej, pozwala na sprawdzanie np, hashy haseł,
co jest zalecene np.
https://pages.nist.gov/800-63-3/sp800-63b.html#-5112-memorized-secret-verifiers
----
When processing requests to establish and change memorized secrets, verifiers-
SHALL compare the prospective secrets against a list that contains values known-
to be commonly-used, expected, or compromised. For example, the list MAY
include,-
but is not limited to:
* Passwords obtained from previous breach corpuses.
* Dictionary words.
* Repetitive or sequential characters (e.g. ‘aaaaaa’, ‘1234abcd’).
* Context-specific words, such as the name of the service, the username, and
derivatives thereof.
----
w celu wykrycia potencjalnych zagrożeń we własnych departamentach, w sytuacji
gdy
np. pracownik używa tego samego hasła prywatnie, jak i w sieci korporacyjnej.
> SZKODLIWOŚĆ
> (przepraszam za okrzyk, ale Wojciech taki jakiś mało spostrzegawczy, wolę
> podkreślić) portalu, który reklamujesz .
> Teraz każdy może sobie sprawdzić - "na jakich portalach Wojciech ma/miał
> konto".
No i?
Poza tym pisaliśmy o bezpieczeństwie, a Ty teraz się przerzucasz na pseudo
ochronę prywatności. Jeśli próbujesz udowodnić, że coś w rodzaju "security
through obscurity" ma sens, to zmartwię Cię - wykazano już dawno, że nie
ma.
A z punktu widzenia bezpieczeństwa, a nie głupio pojętej prywatności:
Jeśli już pojawienie się informacji, że mail znanego polityka jest na jakimś
niewłaściwym serwisie i miałoby to narazić go na konsekwencje większe niż
"walnięcie wstydziocha" (np. mógłby być obiektem szantażu), to informacja
taka powinna być ujawniona i prawidłowo obsłużona.
--
Wojciech Bańcer
wojciech.bancer@gmail.com
|