Feliz feliz en tu diaaaaaaaaaaaaaaaaaaaaaaaaa
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
@DZPM me suena tu cara del futuramarket.com. Aún ando esperando que me solucionen un bug por el que me cargué el acceso a mi usuario cuando iba en el puesto 22.
@DZPM@gallir En realidad lo que proponía era también en el sentido de mitigar daños cuando la BBDD se ha filtrado. El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración. Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
@gallir@DZPM Tengo dudas sobre la ventaja de guardar el salt en la BBDD de usuarios. A ver si me explico:
Partiendo de la base de que la BBDD ha sido comprometida, entiendo que haber hecho el hash con salt hace mucho más difícil el ataque por fuerza bruta ya que no puede hacer la búsqueda inversa de hashes. Sin embargo, al disponer de la BBDD también se dispone del salt personalizado de cada usuario así que teóricamente es posible hacer un ataque de fuerza bruta para un usuario concreto.
Es decir, se evita una búsqueda inversa y se dificulta mucho el ataque de fuerza bruta para un usuario concreto, pero podría hacerse, al menos en teoría, desconozco si el tiempo práctico lo hace imposible.
¿No sería mejor guardar parte del salt fuera de la BBDD? Es decir, un salt único para todo el mundo es poco seguro porque dos contraseñas iguales generarían dos hashes idénticos pero ¿hacer una combinación entre el salt de la BBDD y un valor que salga de otro origen? ¿No sería mejor?
Haciendo caso a eso (y porque me convenció, el método de salt era lo que sospechaba y no lo que se decía), actualicé (finalmente) el método de almacenar claves en la base de datos. Ahora va "salted" con un clave aleatoria de 32 caracteres aleatorios apto para este tipo de cosas, y luego se aplica el sha256.
Feliz feliz en tu diaaaaaaaaaaaaaaaaaaaaaaaaa
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
En las últimas 89 páginas de portada hubo, más de 260 buenas noticias, pero si se mira en las pendientes suele haber muchas más. Mis criterios para escoger buenas noticias saltan a la vista si miráis mis favoritos, pero en futuras notas puedo concretarlos.
Además, las publico en el blog cada lunes añadiendo las de Twitter, y las que me envía la gente. Un amigo me ha propuesto hacer una app móvil que actualice sólo buenas noticias, para ello necesitaríamos al menos un grupo de cuatro personas, con costumbre de mirar las pendientes, para "cubrir" todos los envíos del día. Yo suelo mirar las pendientes de 12-20h, pero los turnos podrían ser de 8 a 12am, de 12-16h, de 16-20h y de 20-00h.
Feliz feliz en tu diaaaaaaaaaaaaaaaaaaaaaaaaa
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
Se hace saber a los ciudadanos de la ciudad condal, Barcelona (ciudad con playa) y los de la area metropolitana (como yo) que se ha propuesto una KDD.
La KDD sera en horario infantil, esto es, por la tarde por al mediodía a comer si se puede, para que la fabulosa @fragedis pueda acudir y así la veremos.
Dia 27 de julio
COMO PUNTO DE REUNIÓN PODEMOS QUEDAR EN PLAZA CATALUÑA, EN LA OTRA PUERTA DE FNAC (la grande no porque esta llena de gente que hace lo mismo, copiones todos).
Avisar a los demás barceloneses que estén en meneame
@angelitoMagno@Elwing@Tanatos
Lo que deberían hacer es pasar el expediente del preso por el nótame con un "verde para que salga", "rojo para que se pudra en la cárcel". Seguro que la autoregulación funcionaría mejor que la justicia gracias a lo listos que somos todos aquí.
Pues hombre, en algunos casos no le falta razón a la viñeta pero otros es que hay veredictos de jueces o jurados populares que no se entienden... Cuando estamos hartos de escuchar grabaciones, leer datos en todo tipo de medios y demás, pues ves como sale Fabra 5 o más veces agraciado de la lotería sale por prescripción de la mayoría de sus delitos como otros muchos, ves como sale Camps diciendo que no conocía a su amiguito del alma, ves como destituyen a los jefes antifraude haciéndote ver que si haces la vista gorda ante los chanchullos va a durar más en el cargo, ves como se indultan luego cuando sale un juicio que no les agrada que por supuesto que hay y jueces íntegros también, en definitiva muchos casos de cara dura viendo como se ríen en tu puta cara, pues pierdes la fe en la justicia o al menos en la que trata los delitos políticos de corrupción.
Yo les dejo trabajar, pero confianza ciega en justicia pues no, aunque tarden un año deliberando
Feliz feliz en tu diaaaaaaaaaaaaaaaaaaaaaaaaa
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
@Samarkanda Algún día deberíamos contar la historia de una usuaria abogada, feminista, y periodista que se enfadó por un comentario machista mio... a la que atendieron @jotape@dzpm y @duernu en la fisgona de madrugada después de todo un día de explicaciones y aclaraciones que era una broma.
Nunca lloré tanto de risa... menudo follón se armó al día siguiente.
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
Es lo que tiene querer hacer trampas
Partiendo de la base de que la BBDD ha sido comprometida, entiendo que haber hecho el hash con salt hace mucho más difícil el ataque por fuerza bruta ya que no puede hacer la búsqueda inversa de hashes. Sin embargo, al disponer de la BBDD también se dispone del salt personalizado de cada usuario así que teóricamente es posible hacer un ataque de fuerza bruta para un usuario concreto.
Es decir, se evita una búsqueda inversa y se dificulta mucho el ataque de fuerza bruta para un usuario concreto, pero podría hacerse, al menos en teoría, desconozco si el tiempo práctico lo hace imposible.
¿No sería mejor guardar parte del salt fuera de la BBDD? Es decir, un salt único para todo el mundo es poco seguro porque dos contraseñas iguales generarían dos hashes idénticos pero ¿hacer una combinación entre el salt de la BBDD y un valor que salga de otro origen? ¿No sería mejor?
Haciendo caso a eso (y porque me convenció, el método de salt era lo que sospechaba y no lo que se decía), actualicé (finalmente) el método de almacenar claves en la base de datos. Ahora va "salted" con un clave aleatoria de 32 caracteres aleatorios apto para este tipo de cosas, y luego se aplica el sha256.
Los cambios: github.com/gallir/Meneame/commit/7ba7f724225d464c7cbc4b925a0076ecd216a
Si queréis pasar vuestra clave al nuevo método basta que hagáis un login, o que volváis a poner la clave en la edición del perfil.
PS: Nunca pasó nada con las claves, no hubo ninguna fuga (afortunadamente), pero siempre es mejor estar más seguro, y el md5() ya tenía que morir.
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
Como ya sabéis, cada día lemiro las pendientes y portada del día para meter en mis favoritos las buenas noticias que encuentro
www.meneame.net/user/Utah/favorites
En las últimas 89 páginas de portada hubo, más de 260 buenas noticias, pero si se mira en las pendientes suele haber muchas más.
Además, las publico en el blog cada lunes añadiendo las de Twitter, y las que me envía la gente. Un amigo me ha propuesto hacer una app móvil que actualice sólo buenas noticias, para ello necesitaríamos al menos un grupo de cuatro personas, con costumbre de mirar las pendientes, para "cubrir" todos los envíos del día. Yo suelo mirar las pendientes de 12-20h, pero los turnos podrían ser de 8 a 12am, de 12-16h, de 16-20h y de 20-00h.
¿Apetece colaborar?
cc @perebovi @taikochu @desequilibros @dzpm @maxella @carme
y felicidades @oriol18 y @DZPM
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
cc/ @fragedis @samarkanda @kumiko @jagui @valgul @erbauer @magec @elultimomon0 @robespiere @dzpm @jotape @elwing @brie @ucedaman @tanatos @ribega @r0uzic @eolosbcn @llorenç @heavyboy @quenyin @jcarlosn @benjami @erbauer
Bueno, a decir verdad tenemos planeado un viaje a Barcelona, durante el cual, propondremos una kedada express para el que pueda/quiera...
@fragedis @samarkanda @kumiko @jagui @valgul @erbauer @magec @elultimomon0 @robespiere @dzpm @jotape @elwing @brie @ucedaman @tanatos @ribega @r0uzic @eolosbcn @llorenç @heavyboy @quenyin @jcarlosn @benjami
@MacMagic @fragedis @samarkanda @kumiko @jagui @valgul @magec @elultimomon0 @robespiere @dzpm @jotape @elwing @brie @ucedaman @tanatos @ribega @r0uzic @eolosbcn @llorenç @heavyboy @quenyin @jcarlosn @benjami @Samarkanda @MacMagic @magec @elultimomon0 @robespierre @dzpm @jotape @elwing @vigatana @brie @ucedaman @tanatos @ribega @r0uzic @eolosbcn @llorenc @heavyboy @quenyin @izel @ailian @sintesisnianalisis @jcarlosn @benjami @fragedis
Se hace saber a los ciudadanos de la ciudad condal, Barcelona (ciudad con playa) y los de la area metropolitana (como yo) que se ha propuesto una KDD.
La KDD sera en horario infantil, esto es,
por la tardepor al mediodía a comer si se puede, para que la fabulosa @fragedis pueda acudir y así la veremos.Dia 27 de julio
COMO PUNTO DE REUNIÓN PODEMOS QUEDAR EN PLAZA CATALUÑA, EN LA OTRA PUERTA DE FNAC (la grande no porque esta llena de gente que hace lo mismo, copiones todos).
Avisar a los demás barceloneses que estén en meneame
LINK: meneame.wikispaces.com/Quedadas#x-#kdd_Polonia Barcelona
Saludos y subirme la nota.
@samarkanda @kumiko @jagui @valgul @erbauer @magec @elultimomon0 @robespiere @dzpm @jotape @elwing @brie @ucedaman
@tanatos @ribega @r0uzic @eolosbcn @llorenç @heavyboy @quenyin @jcarlosn @benjami
#kedada_polonia
Lo que deberían hacer es pasar el expediente del preso por el nótame con un "verde para que salga", "rojo para que se pudra en la cárcel". Seguro que la autoregulación funcionaría mejor que la justicia gracias a lo listos que somos todos aquí.
Edit: @Accorn , relacionada: @DZPM
@DZPM
Pues hombre, en algunos casos no le falta razón a la viñeta pero otros es que hay veredictos de jueces o jurados populares que no se entienden... Cuando estamos hartos de escuchar grabaciones, leer datos en todo tipo de medios y demás, pues ves como sale Fabra 5 o más veces agraciado de la lotería sale por prescripción de la mayoría de sus delitos como otros muchos, ves como sale Camps diciendo que no conocía a su amiguito del alma, ves como destituyen a los jefes antifraude haciéndote ver que si haces la vista gorda ante los chanchullos va a durar más en el cargo, ves como se indultan luego cuando sale un juicio que no les agrada que por supuesto que hay y jueces íntegros también, en definitiva muchos casos de cara dura viendo como se ríen en tu puta cara, pues pierdes la fe en la justicia o al menos en la que trata los delitos políticos de corrupción.
Yo les dejo trabajar, pero confianza ciega en justicia pues no, aunque tarden un año deliberando
amiguito que el Cabal te bendigaaaaaaaaaaaaaaaaa
que no reine el spam en tu diaaaaaaaaaaaaaaaaaaa
y que menees mucho masssssssssssssssssss #felicitaciones
Bieeeeen, plas plas plas: Felicidades @DZPM y @Oriol18
DRAMATIZACIÓN:
Nunca lloré tanto de risa... menudo follón se armó al día siguiente.
@kopra @eolosbcn.