Тук може да се сблъскаш с проблеми с това какво ще ти разреши самата
операционна система да правиш - напоследък не се гледа с много добро око
на програми, които се опитват да си модифицират кода :)


Това е лично мое мнение, че по принцип не сам съгласен с такава филосоия, когато се касае за програми котито, трябва да са добре защитени от Re-engineering, но когато се пише код който трябва да се чете от много хора е доста трудно да бъде разбран.

Да не говорим за
това, че от 20-30 години насам по принцип хубавите ОС си държат text/code
сегмента read-only, макар че това се променя сравнително лесно.



:) След като някой се хваща да пише програма която да "бди" за сигурността на файловете трябва да е доста наясно как става това

А за да бъде още по паранойчно, макар че първия според мен е достатъен
може да се добави и вътрешен алгоритъм за проверка на контролната сума
/желателно твой собствен, а не стандарен/



Ъъъъъъъъъъъъъъъ?!

С това в скобите *изобщо*, ама ИЗОБЩО не мога да се съглася!  Напротив,
колкото по-стандартен и по-широко известен е алгоритъмът, толкова по-сигурен
си, че той е прегледан от хора, които наистина разбират от криптография,
и те са решили, че той няма някакви особени слабости (или поне досега не са
открили).



Тук като се замисля, може би си прав, че не е чак толкова лесно да "разбиеш" някой от вече доказали своята ефективност алгоритми, и може би времето и ресурсите да създадеш свой собствен не оправдават целта на заниятието, но отдруга страна как щяха да се развиват такива области ако всичо се взема на готово и не го подлагаш на съмнение, както и да търсиш по-добър начин.

НИКОГА, ама НИКОГА не разчитай на това, че нещо е сигурно, само защото само
ти знаеш как се прави!


Твърдо не сдам съгласен с това, да се разчита че нещо е сигурно самозащото сам си го писал :)

Особено пък ако става дума за криптография или за
сигурност и проверки на автентичност!  Има достатъчно начини някой да се
добере до сорса на инструментите ти (това включва не само дизасемблиране и
такива неща, ами и насочени атаки, и social engineering, и какво ли не)

:) Ааааааааааааааааа , това за социалното инжинерство е голям проблем на каквато и да е сигурност, както е факт, че над 80 % от пробивите стават именно по такъв начин и благодарение на приомите в тоя основен дял от науката за пробив в сигурността , не само на компютърната.

и да
разбере какво правиш; ако не го правиш както трябва - т.е. ако ползваш
някакви измислени алгоритми вместо стандартни, подлагани на криптоанализ с
години - тогава има наистина голяма опасност да си пропуснал нещо в
математическата или теоретичната обосновка и примерно да се окаже, че не е
чак *толкова* трудно да се намери друга последователност от байтове, които
да дават същата контролна сума - and you don't want that :)



и като продължаваме да разсъждаваме в тая посока - нищо ново под слънцето, не е лошо да издириш компютърни вируси от средата на 80-те на миналия век там е пълно с алгоритми които затрудняват анализирането на кода, така че всичко това приложено кам една такава програма може да се каже до голяма степен че е сигурна.



Ако наистина искаш степента да е голяма, пак се връщам на въпроса с използваните алгоритми. Има два варианта:

1. Ти си криптограф, математик, който е прекарал последните 15-20 години в
  занимания с това; знаеш наизуст всички книги, за които сме чували, и си
  писал няколко, за които не сме.  В този случай - извинявам се - може би
  имаш причина да смяташ, че собствените ти алгоритми ще са достатъчно
  обосновани и сигурни.  Все пак и в този случай го има моментът с това, че
  не можеш да си сигурен, че си предвидил всичко: както се оказа наскоро, и
  Рон Ривест прави грешки с MD5 :)



Не не сам гениален математик и/или криптограф, но да речем че имам познания в областта, и да савсем съм сагласен, че безгершни хора няма - няма и безгрешни алгоритми

2. Ти не си някой от тези откачени гении - в този случай ТРЯБВА да ползваш
  алгоритъм, който е устоял на a) проверката на времето, и b) по-важно:
  проверката на тези откачени гении.



:) Не претендирам, че сам гений - още по малко откачен, но по онова време беше модерно да се пишат вируси.
Но моляте не бъркай определението за компютърен вирус , с това на зловреден код.


Трети вариант няма.

Поздрави,
Петър



Благодаря за креативната критика, все още смятам, че в спора се ражда истината и от такива спорове /макар и само на идейно ниво/, много хора четящи таля листа могат да научат много.

С Уважение:
Деян
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Reply via email to