@Azucena1980 estoy viendo que el personaje de @tito_vilanova ya atacó a un tal usuario llamado @danic el año pasado por estas fechas... y los @admin hicieron algo para que lo dejara en paz...
Igual tiene un ciclo anual de molestar a alguien y se le ha despertado el disparador...
a @admin, respecto lo que dice @rutas sobre el comentario desaparecido, puedo confirmar que he recibido su comentario 3 veces en mi lista de conversación y no aparece ninguna vez en la noticia.
Estoy de acuerdo en eso... pero es una pena no poder montar una única lista pro-independiente, consideraciones de la ley D'Hondt aparte, creo que sería bueno a nivel internacional.
Si no, corre el riesgo de que pase lo de siempre, o de que las CUP la caguen como con el "Sí-Crític"
@anacard@gallir
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
@anacard@gallir sobre guardar el salt en otra db. Cuantos más factores añadas, mejor. Pero:
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
Pifia obtener mayoria absoluta???
En que mundo vives?
¿Y como se llamaba el gato? ¿Rumpelstinskyvingertorix?
Igual tiene un ciclo anual de molestar a alguien y se le ha despertado el disparador...
Gracias por la info!
No te preocupes, es por las tabulaciones, yo tambien he puesto comentarios en:
www.meneame.net/story/secuestrador-supermercado-amenaza-matar-rehenes-
y no aparecen.
cc @admin
www.meneame.net/story/esto-ni-yo-ni-otros-musulmanes-vamos-pedir-perdo
Estoy de acuerdo en eso... pero es una pena no poder montar una única lista pro-independiente, consideraciones de la ley D'Hondt aparte, creo que sería bueno a nivel internacional.
Si no, corre el riesgo de que pase lo de siempre, o de que las CUP la caguen como con el "Sí-Crític"
Como se entere el PP os va a detener por alentar a la secesión!
Sí que la vi... a ver si hay suerte y deja que ERC tome el mando... así se sumarian las CUP.
Desgraciadamente ni ICV ni PSC ni un posible Podemos se juntará a ese carro...
Ya veremos que dice Junqueras el sabado...
Buenas, ultimamente estoy currando en un pollo y no tengo mucho tiempo para mirar meneame...
Pues no, no estaba.
Hola,
Estaba de tapas y no me he enterado de nada...
Por una vez que hay una guerra de los clones en la que se me menta, no me entero...
La próxima vez avisar....
Pues no...
¿Problemas de comprensión lectora?
Gracias!
No lo había visto...
Y por lo que veo no fui el único que la votó...
Me he encontrado con un:
Descuento por votar a enlaces que violan las reglas (1)
en el cálculo del karma y no he sabido encontrar (en shaken) que puede ser lo que voté.
¿alguien sabe como buscarlo? para no hacerlo más, digo...
Gracias.
Lo mismo digo... y ya sabes porqué.
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
Gracias!
Muchas gracias!
Lo que no entiendo es porque, por ejemplo, la noticia:
- Delegada y jefa de la AVT en Cadiz ensalza la figura de Blas Piñar
consta como tal...
oooks... entonces, como puedo saber que envios han violado las normas de uso, para no repetirlo más...
Porque estoy seguro de no haber votado nada racista u homofobo...
No he hecho nada de lo que aparece en esa lista...
Alguien podría indicarme donde puedo consultar como funciona la penalización:
- Descuento por votar a enlaces que violan las reglas
Últimamente me encuentro bastantes de estos y, realmente, no se que hago mal.
Gracias.