Re: Глюки в UI (Firefox/Skype), как отладить?

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-12-01, Oleksandr Gavenko wrote:

> Единственное что расстроило - поиск на багтрекере Debian. Я пробовал слово shm
> в subject и сорцах openjdk-7 - ниче не нашло.
>
> Обратной ссылки тоже нету: 
> https://www.google.com.ua/search?q=site:https://bugs.debian.org/+1512760

Ничего бы и не нашел. Нужно было "shared" вместо "shm":

  
https://bugs.debian.org/cgi-bin/pkgreport.cgi?archive=both;include=subject%3Ashared;src=openjdk-7

Там:

  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=800698

который смержели из багрепортов по QT.

В общем bugs.debian.org нужно искать не в пакете, а в "in source package", а
сборка разлазятся по пакетам.

И как выяснилось стоит также полазить на трекерах дружественных дистров.
На ланчпаде собрали ссылки:

  https://bugzilla.redhat.com/show_bug.cgi?id=1248530
  https://bugs.archlinux.org/task/45824
  https://bugzilla.opensuse.org/show_bug.cgi?id=948301
  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=799587

Никто не говорил что будет легко...

Кстати я ранее отписал что много метста занимало, но правильно было количество
кусочков:

  $ ipcs -m -l
  -- Shared Memory Limits 
  max number of segments = 4096  <== THIS
  max seg size (kbytes) = 18014398509465599
  max total shared memory (kbytes) = 18014398442373116
  min seg size (bytes) = 1

  $ ipcs -m -u
  -- Shared Memory Status 
  segments allocated 4096 <=== LIMIT EXCEEDED
  pages allocated 1118115
  pages resident  14194
  pages swapped   71
  Swap performance: 0 attempts   0 successes

-- 
Best regards!



Re: Глюки в UI (Firefox/Skype), как отладить?

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-12-01, Oleksandr Gavenko wrote:

> Да вывод:
>
>   $ ipcs -m
>
> я и раньше смотрел. И он был большуший. Я не знал какой должен быть обычно,
> потому отложил выяснение проблемы на будущее.

Кстати вот во время проблемы:

  $ ipcs -m -u
  -- Shared Memory Status 
  segments allocated 4096
  pages allocated 1118115   (это на 4 GiB!)
  pages resident  14194
  pages swapped   71
  Swap performance: 0 attempts   0 successes

после решения:

  $ ipcs -m -u
  -- Shared Memory Status 
  segments allocated 35
  pages allocated 25958 (это 100 MiB)
  pages resident  16378
  pages swapped   71
  Swap performance: 0 attempts   0 successes

-- 
Best regards!



Re: Глюки в UI (Firefox/Skype), как отладить?

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-11-06, Alex wrote:

>> Есть точная связь, при открытом Iceweasel с кучей вкладок после запуска
>> Skype
>> есть глюки.
>>
>>
> Если еще охота разбираться, начать можно отсюда
> http://askubuntu.com/questions/692825/how-to-fix-graphical-issues-with-skype-gdk-warning

Отложил я Вашу ссылку на доброе время.

Но сегодня:

  $ sqlitebrowser
  QXcbShmImage: shmget() failed (28) for size 3888 (54x18)
  QXcbShmImage: shmget() failed (28) for size 3888 (54x18)
  QXcbShmImage: shmget() failed (28) for size 5976 (83x18)
  ...

Тут уж точно shm замешан (ранее не мог этого сказать).

Да вывод:

  $ ipcs -m

я и раньше смотрел. И он был большуший. Я не знал какой должен быть обычно,
потому отложил выяснение проблемы на будущее.

Но перечитав

  
http://askubuntu.com/questions/692825/how-to-fix-graphical-issues-with-skype-gdk-warning
 

я попробовал еще:

  $ ipcs -m -p

и там красовался pid от NetBeans от openjdk-7 на тысяче строчек. На
askubuntu.com добрый человек привел ссылку на:

  https://bugs.launchpad.net/ubuntu/+source/openjdk-7/+bug/1512760

и открыв ссылку я увидел что проблема моя, на моей версии openjdk-7 и уже
решена, потому:

  [UPGRADE] openjdk-7-jdk:amd64 7u85-2.6.1-5 -> 7u91-2.6.3-1

и теперь:

  $ ipcs -m | wc -l
  46

тогда как ранее было несколько тысяч записей (не считал я тогда точно).

NetBeans c sqlitebrowser и skype дружат уже пол часа.

<< watch -d -n 1 sh -c "ipcs -m | wc -l" >> не меняло своего значения.

Пасиба за помошь! Такое фиг загуглишь.

Единственное что расстроило - поиск на багтрекере Debian. Я пробовал слово shm
в subject и сорцах openjdk-7 - ниче не нашло.

Обратной ссылки тоже нету: 
https://www.google.com.ua/search?q=site:https://bugs.debian.org/+1512760

Может никто и не встретил в Debian, я версию 7u85-2.6.1-6 вижу в 
stable-proposed-update:

  https://packages.qa.debian.org/o/openjdk-7.html

-- 
Best regards!



Re: Проверка сложнойст и паролей.

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-12-01, sergio wrote:

>> Не знаю на сколько хорош, но по дефолту он плюет 9 символов:
>> 
>>   $ pwgen -s | wc -c
>>   9
>
> О каком подсчёте энтропии можно говорить, если ты до 9 сосчитать не можешь?
>
> И не надо выдавать -s за дефолт.
>
Не я считал, "wc -c" считало )) Финальный newline не вычел. Итого 8? По сорцам
тоже:

  int   pw_length = 8;

>> без -s они плюют запонминемые английские слоги
>
> Пруф?

Немного не так, я исходил из строкив в ман страничке:

  -s, --secure
 Generate completely random, hard-to-memorize passwords.  These should 
only be used for machine passwords

pwgen-2.07/pw_phonemes.c:

  $ ack-grep secure
  pw_phonemes.c
  2: * pw_phonemes.c --- generate secure passwords using phoneme rules

  $ cat pw_phonemes.c
  ...
  struct pw_element elements[] = {
{ "a",  VOWEL },
{ "ae", VOWEL | DIPTHONG },
{ "ah", VOWEL | DIPTHONG },
{ "ai", VOWEL | DIPTHONG },
{ "b",  CONSONANT },

  $ cat pwgen.c
  ...
  int main(int argc, char **argv)
  {
  pwgen = pw_phonemes;
  pwgen = pw_phonemes;
  ...
case 's':
pwgen = pw_rand;

Собственно это я и заметил глазками (кучу "ae", "ph", "qu" и других часто
встречающихся английских кусочков) сгенерсв пару паролей. Я предположил что
это слоги, оказалось - фонемы.

-- 
Best regards!



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Tim Sattarov
On 01/12/15 07:21 AM, Oleksandr Gavenko wrote:
> Не знаю на сколько хорош, но по дефолту он плюет 9 символов:
>
>   $ pwgen -s | wc -c
>   9
>
>
в этих 9 символах затесался newline :)

pwgen выдает 8-ми символьный пароль по умолчанию



Re: Проверка сложнойст и паролей.

2015-12-01 Пенетрантность Tim Sattarov
On 01/12/15 08:32 AM, sergio wrote:
> О каком подсчёте энтропии можно говорить, если ты до 9 сосчитать не можешь?
люди могут ошибаться, зачем грубить ?
>> без -s они плюют запонминемые английские слоги
> Пруф?
>

apropos pwgen
pwgen (1)- generate pronounceable passwords

упор на "pronounceable"

ну и почитать man pwgen




Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Artem Chuprina
Никита Егоров -> Debian Russian Mailing List  @ Tue, 1 Dec 2015 15:47:36 +0300:

 >> Ну, до 36 бит.  (4 случайных слова из набора в 500 - это 4 раза по 9 битов)
 >>
 >> Хотя на самом деле, конечно, все равно чуть меньше.  Я бы еще бита 3 на
 >> всякий случай скинул.
 >>
 >> Это не протвивореч тому что я написал раньше. В соотвествии с таким
 НЕ> измерением энтропия случайного набора из символов восьми [a-z0-9_-] -
 НЕ> 42бита. Для  сравнения последовательность из 4-х слов и 2000 набора это 43
 НЕ> бита. Использование двух слов из популярного словоря понижает энтропию на 4
 НЕ> бита.

 НЕ> Другое дело, что для обеспечения времени перебора в 500 лет при скорости
 НЕ> 1 паролей в секунду потребуется пароль из 9 случайных символов. А вот
 НЕ> что проще запоминать вопрос большой...

Я запоминаю длинную фразу, но ввожу ее не всю.



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Tim Sattarov
On 01/12/15 03:17 AM, Никита Егоров wrote:
>
>
> Мы в своем продукте после долгих споров предлагаем использовать "метод
> XKCD": http://xkcd.ru/936/
> Этот подход дает довольно большую энтропию в пароле.
>
>
> Относительно большой энтропии - вопрос. Словарь среднего человека
> содержит около 2000 слов. Если пароль содержит 4-ре слова то это
> эквивалентно случайному  набору символов [a-z0-9] длинной 9 символов,
> из 5-ти - одинадцати. При этом, выбор этих случайных слов, скорее
> всего будет совершенно не случайным. Скорее всего в него будут
> включены слова из повседневноего рациона - небольшой словарь порядка
> 400-500 слов. Таким образом энтропия фразы сильно падает.
>
> Или этот вопрос как-то обходится?
>
в нашем случае - уже предлагается выбор случайных (!) слов из словаря,
гораздо бОльшего размера.



Re: Проверка сложнойст и паролей.

2015-12-01 Пенетрантность sergio
On 12/01/2015 03:21 PM, Oleksandr Gavenko wrote:


> Не знаю на сколько хорош, но по дефолту он плюет 9 символов:
> 
>   $ pwgen -s | wc -c
>   9

О каком подсчёте энтропии можно говорить, если ты до 9 сосчитать не можешь?

И не надо выдавать -s за дефолт.

> без -s они плюют запонминемые английские слоги

Пруф?


-- 
sergio



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-11-30, Tim Sattarov wrote:

> On 30/11/15 09:46 AM, Oleksandr Gavenko wrote:
>> Есть ли метр, выдающий сколько бит энтропии в пароле?
> Я немножко работаю в этой области, поэтому эти вопросы и обсуждения у
> меня всегда на слуху.
> Disclaimer: я работаю на компанию, выпускающую password manager, прошу
> не принимать это как рекламу
>
> у нас есть пара статей по этому поводу:
> https://support.1password.com/password-strength/
> и дальше по ссылкам
>
zxcvbn также ссылаются на 1Password:

  
https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/

Работающий zxcvbn online я не нашел.

По http://security.stackexchange.com/a/6103/3804 есть ссылка на (мне кажется
изветный):

  http://rumkin.com/tools/password/passchk.php

Собственно я чего то подобное искал - высчитывание энтропии на овновании
разумных допущений + там рекомендации сколько бит для каких нужд.

Есть еще мног разных по сслыке:

  
http://security.stackexchange.com/questions/6499/best-password-strength-checker

Например:

  https://howsecureismypassword.net/

выделяет сколько лет потребуется для вскрытия пароля (критерии неизвестны).

Только вот что бы не онлайн, а в пакетах Debian было. Пока нашел PWQGEN(1) из
пакета passwdqc, которому можна сказать сколько энтропии хочешь в создаваемом
пароле, но обратное не предлагают (pwqcheck(1) говорит только ОК/FAIL).

-- 
Best regards!



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-12-01, Oleksandr Gavenko wrote:

> Я думаю pwgen с -s дает log_2(26*2+10) энтропии, без -s они плюют запонминемые
> английские слоги. Поганцы, в PWGEN(1) не пишут про обьем словаря на указаную
> длину пароля или энтропию.

У PWQGEN(1) написано:

  Strength of the generated passphrase depends on the amount of randomness
  read from /dev/urandom.

И можно задавать сколько энтропии всовывать:

  $ pwqgen random=80
  year*darken2Miss6permit4Hanoi

-- 
Best regards!



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Никита Егоров
> Ну, до 36 бит.  (4 случайных слова из набора в 500 - это 4 раза по 9 битов)
>
> Хотя на самом деле, конечно, все равно чуть меньше.  Я бы еще бита 3 на
> всякий случай скинул.
>
> Это не протвивореч тому что я написал раньше. В соотвествии с таким
измерением энтропия случайного набора из символов восьми [a-z0-9_-] -
42бита. Для  сравнения последовательность из 4-х слов и 2000 набора это 43
бита. Использование двух слов из популярного словоря понижает энтропию на 4
бита.

Другое дело, что для обеспечения времени перебора в 500 лет при скорости
1 паролей в секунду потребуется пароль из 9 случайных символов. А вот
что проще запоминать вопрос большой...


Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-12-01, sergio wrote:

> Всегда использовал pwgen.
> 8 символов запоминаются непринуждённо, 10 --- ненапряжно.
> Интересно, на сколько он хорош?

Не знаю на сколько хорош, но по дефолту он плюет 9 символов:

  $ pwgen -s | wc -c
  9

И работает довольно быстро:

  $ time for ((i=0; i < 1000; i+=1)) do pwgen -s >/dev/null; done
  real  0m0.699s
  user  0m0.032s
  sys   0m0.116s

Сравните как быстро плюет:

  $ cat /dev/urandom

и как медленно:

  $ cat /dev/urandom

``ssh-keygen``, ``gpg --gen-key``, ``openssl req`` - работают очень медленно,
особенно на 4096-bit RSA.

Я думаю pwgen с -s дает log_2(26*2+10) энтропии, без -s они плюют запонминемые
английские слоги. Поганцы, в PWGEN(1) не пишут про обьем словаря на указаную
длину пароля или энтропию.

-- 
Best regards!



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Oleksandr Gavenko
On 2015-12-01, Никита Егоров wrote:

>> Мы в своем продукте после долгих споров предлагаем использовать "метод
>> XKCD": http://xkcd.ru/936/
>> Этот подход дает довольно большую энтропию в пароле.
>>
>>
> Относительно большой энтропии - вопрос. Словарь среднего человека содержит
> около 2000 слов. Если пароль содержит 4-ре слова то это эквивалентно
> случайному  набору символов [a-z0-9] длинной 9 символов, из 5-ти -
> одинадцати. При этом, выбор этих случайных слов, скорее всего будет
> совершенно не случайным. Скорее всего в него будут включены слова из
> повседневноего рациона - небольшой словарь порядка 400-500 слов. Таким
> образом энтропия фразы сильно падает.
>
> Или этот вопрос как-то обходится?

Обходится, ранее я вычитвал статьи на

  http://security.stackexchange.com/search?q=password+strength

Было очень много упоминаний о Diceware:

  http://world.std.com/~reinhold/diceware.html

Словарь пронумерован гранями 5 (или сколько нужно) кубиков:

 16664 cleat
 16665 cleft
 1 clerk
 2 cliche
 21112 click

-- 
Best regards!



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Artem Chuprina
Никита Егоров -> Tim Sattarov  @ Tue, 1 Dec 2015 11:17:02 +0300:

 >> Мы в своем продукте после долгих споров предлагаем использовать "метод
 >> XKCD": http://xkcd.ru/936/
 >> Этот подход дает довольно большую энтропию в пароле.
 >>
 >>
 НЕ> Относительно большой энтропии - вопрос. Словарь среднего человека содержит
 НЕ> около 2000 слов. Если пароль содержит 4-ре слова то это эквивалентно
 НЕ> случайному  набору символов [a-z0-9] длинной 9 символов, из 5-ти -
 НЕ> одинадцати. При этом, выбор этих случайных слов, скорее всего будет
 НЕ> совершенно не случайным. Скорее всего в него будут включены слова из
 НЕ> повседневноего рациона - небольшой словарь порядка 400-500 слов. Таким
 НЕ> образом энтропия фразы сильно падает.

Ну, до 36 бит.  (4 случайных слова из набора в 500 - это 4 раза по 9 битов)

Хотя на самом деле, конечно, все равно чуть меньше.  Я бы еще бита 3 на
всякий случай скинул.

 НЕ> Или этот вопрос как-то обходится?



Re: Проверка сложнойсти паролей.

2015-12-01 Пенетрантность Никита Егоров
>
>
> Мы в своем продукте после долгих споров предлагаем использовать "метод
> XKCD": http://xkcd.ru/936/
> Этот подход дает довольно большую энтропию в пароле.
>
>
Относительно большой энтропии - вопрос. Словарь среднего человека содержит
около 2000 слов. Если пароль содержит 4-ре слова то это эквивалентно
случайному  набору символов [a-z0-9] длинной 9 символов, из 5-ти -
одинадцати. При этом, выбор этих случайных слов, скорее всего будет
совершенно не случайным. Скорее всего в него будут включены слова из
повседневноего рациона - небольшой словарь порядка 400-500 слов. Таким
образом энтропия фразы сильно падает.

Или этот вопрос как-то обходится?