| 1.1, karapuz2 (ok), 11:36, 02/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > плачевное состояние штатных генераторов псевдослучайных чисел Firefox
И эта мозилла делает NSS (Network Security Services)
| | |
| |
| 2.3, arisu (ok), 11:47, 02/09/2014 [^] [^^] [^^^] [ответить]
| +12 +/– |
 > И эта мозилла делает NSS (Network Security Services)
в теме не разбирайся @ пиши чушь
| | |
|
| 1.2, ytdbylf (?), 11:46, 02/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Мну напрягает наличие какого-то облачного генератора. Который хотят предложить.
| | |
| |
| 2.12, Аноним (-), 12:46, 02/09/2014 [^] [^^] [^^^] [ответить]
| +11 +/– |
Да, чтобы АНБ не нужно было угадывать случайные числа - давайте просто запрашивать эти числа у АНБ напрямую! :)
| | |
|
| 1.4, Аноним (-), 11:53, 02/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
Эти "исследователи" - натуральные кэпы. Использовать штатный генератор _любого_ языка в криптографических целях будет только кретин. Это всем известно и никому не интересно. Новость ни о чём.
| | |
| |
| 2.5, MidNighter (ok), 12:04, 02/09/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
 о да, все поголовно используют нештатные средства или делают собственные реализации. а если сделать не могут то опускают руки и честно говорят заказчику - мы не можем, там на генераторе псевдослучайных чисел надо использовать нештатные средства.
| | |
| |
| 3.7, Аноним (-), 12:29, 02/09/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
В криптографических целях нужно использовать криптографические библиотеки. В них будет подходящий генератор. А штатный генератор придумали в других целях, для которых предсказуемость - не проблема.
| | |
| |
| 4.8, MidNighter (ok), 12:35, 02/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
случайные числа могут использоваться не только в криптографических алгоритмах, с того важность обнаруженной проблемы не становится меньше
| | |
| |
| 5.10, Аноним (-), 12:42, 02/09/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
Во-первых: а каким ещё целям, кроме криптографических, может помешать предсказуемость?
Во-вторых: называть это "обнаруженной проблемой" некорректно, поскольку это известно многие десятилетия.
| | |
| |
| 6.13, MidNighter (ok), 12:47, 02/09/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
по поводу "во первых" даже в википедии написано "от метода Монте-Карло и имитационного моделирования до криптографии", так вот этим целям и может помешать.
по поводу "во вторых" то что о проблеме известно это не значит что на неё надо забить и ничего с этим не делать, надо её как то решать, или вы с этим не согласны?
| | |
| |
| 7.22, Аноним (-), 13:16, 02/09/2014 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Методу Монте-Карло и имитационному моделированию предсказуемость помешать не может в принципе. Неравномерность распределения была бы помехой, но её здесь нет.
Проблема уже давно решена путём создания криптографических библиотек. Кому мешает предсказуемость, те используют их. А для моделирования важна в первую очередь скорость, при том, что все непредсказуемые алгоритмы невероятно тормозные.
| | |
| |
| 8.28, Аноним (28), 14:14, 02/09/2014 [^] [^^] [^^^] [ответить] | +/– |  непредсказуемых алгоритмов нет, вопрос в количестве вводных Потому они и псевдо... текст свёрнут, показать | | |
| |
| 9.38, Ordu (ok), 15:05, 02/09/2014 [^] [^^] [^^^] [ответить] | +2 +/– |  Давай проверим это практически Я ща запущу генератор псевдослучайных чисел и вы... текст свёрнут, показать | | |
| |
| |
| 11.66, Ordu (ok), 19:14, 02/09/2014 [^] [^^] [^^^] [ответить] | +2 +/– | Ещё раз, сколько вам этих вводных надо из последовательности Допустим, я возьму... текст свёрнут, показать | | |
| |
| 12.73, Аноним (28), 22:26, 02/09/2014 [^] [^^] [^^^] [ответить] | +/– | Дамп памяти, алгоритм, содержание регистров процессора Неужели непонятно, что п... большой текст свёрнут, показать | | |
|
|
|
|
|
| 7.83, Антоним (ok), 03:58, 03/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
 В имитационном моделировании как раз возможность повторно воспроизвести псевдослучайную последовательность является плюсом.
| | |
|
|
| 5.29, Аноним (28), 14:14, 02/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
> случайные числа могут использоваться не только в криптографических алгоритмах, с того важность
> обнаруженной проблемы не становится меньше
Они не ПСЕВДОслучайные, с этого и начинаются все остальные допущения.
| | |
| |
| 6.31, Аноним (28), 14:15, 02/09/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> случайные числа могут использоваться не только в криптографических алгоритмах, с того важность
>> обнаруженной проблемы не становится меньше
Они ПСЕВДОслучайные, с этого и начинаются все остальные допущения.
| | |
| |
| |
| 8.56, Аноним (28), 17:48, 02/09/2014 [^] [^^] [^^^] [ответить] | +/– | Даже местонахождение в той или иной точке пространства электрона относительно яд... текст свёрнут, показать | | |
| |
| 9.91, netch (ok), 10:19, 03/09/2014 [^] [^^] [^^^] [ответить] | +1 +/– |  Борьба в квантовой механике между теорией истинной случайности и теорией скрытых... текст свёрнут, показать | | |
|
|
|
|
|
| 4.87, Доктор Звездулькин (?), 08:44, 03/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>В криптографических целях нужно использовать криптографические библиотеки. В них будет подходящий генератор.
Ну да, потому что их пишут высокооплачиваемые эксперты, которые относятся к этому со всей ответственностью, в связи с чем там очень редко находят баги и уязвимости... то есть нет, стоп...
>А штатный генератор придумали в других целях, для которых предсказуемость - не проблема.
И что же, если в языке есть специально обозначенный "безопасный генератор случайных чисел", его тоже нельзя использовать, надо полагаться на сторонний велосипед?
| | |
| |
| 5.98, arisu (ok), 13:23, 03/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
> И что же, если в языке есть специально обозначенный "безопасный генератор случайных
> чисел", его тоже нельзя использовать, надо полагаться на сторонний велосипед?
1. это где?
2. «безопасный» — для чего?
3. желательно сначала посмотреть реализацию. там должен быть написан используемый алгоритм и всё такое.
| | |
|
| 4.90, netch (ok), 10:17, 03/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
> В криптографических целях нужно использовать криптографические библиотеки. В них будет
> подходящий генератор. А штатный генератор придумали в других целях, для которых
> предсказуемость - не проблема.
Правильнее даже сказать, что Math.random _обязан_ быть предсказуемым. Хотя, возможно, и не по одному значению, а по текущему seed'у. От него требуется статистическое распределение, а не предсказуемость.
| | |
|
|
| 2.6, Аноним (-), 12:23, 02/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
Большинство языков используют rand() из libc, а не изобретают велосипед.
| | |
| |
| 3.9, MidNighter (ok), 12:41, 02/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
ну конечно и привязать виртуальную машину которая должна равноценно работать в любой ос к платформе или конкретной реализации платформы. одно из преимуществ java это "write once run anywhere", потому язык и нашёл свою нишу в enterprise сегменте.
| | |
| |
| 4.11, arisu (ok), 12:44, 02/09/2014 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> одно из преимуществ java это "write once run anywhere"
причём находится оно исключительно в головах маркетологов, откуда и транслируется «в мир».
| | |
| |
| 5.14, MidNighter (ok), 12:49, 02/09/2014 [^] [^^] [^^^] [ответить]
| –3 +/– |
>> одно из преимуществ java это "write once run anywhere"
> причём находится оно исключительно в головах маркетологов, откуда и транслируется «в
> мир».
глупости, возможность без проблем запустить программу написанную пару десятков лет назад это преимущество языка которое используется во многих отраслях.
| | |
| |
| 6.15, arisu (ok), 12:55, 02/09/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
приходи, когда поваришься в кухне «энтеррпрайза» и жаборазработке больших проектов. посмеёмся над этими твоими постами вместе.
| | |
| |
| 7.16, MidNighter (ok), 13:00, 02/09/2014 [^] [^^] [^^^] [ответить]
| –3 +/– |
вы сейчас похожи на самодовольного начальника который по отечески наставляет подчинённого аргументировано обосновывающего свою мысль "приходи когда поумнеешь", вместе посмеёмся над тем что ты говоришь. высокомерия и понтов полно, но как разумный человек нулевой.
| | |
| |
| 8.21, arisu (ok), 13:12, 02/09/2014 [^] [^^] [^^^] [ответить] | +3 +/– | а что поделать, если к астроному пришёл школьник и рассказывает про своё видение... текст свёрнут, показать | | |
| |
| |
| 10.32, Zloe (?), 14:17, 02/09/2014 [^] [^^] [^^^] [ответить] | +2 +/– |  offtop 2 дня работы на пайтоне offtop фраза о пайтоне не отменяет опыт раз... текст свёрнут, показать | | |
| |
| |
| 12.35, Zloe (?), 14:24, 02/09/2014 [^] [^^] [^^^] [ответить] | +/– | та я вот о перле прочитал и вспомнил что на нём тоже раньше мог у питона для ... текст свёрнут, показать | | |
|
|
| |
| |
| |
| |
| |
| |
| |
| 17.50, arisu (ok), 15:47, 02/09/2014 [^] [^^] [^^^] [ответить] | +/– | cейчас или исчезнет, если хоть немного мозгов есть, или начнёт бред писать, если... текст свёрнут, показать | | |
| |
| 18.80, angra (ok), 02:43, 03/09/2014 [^] [^^] [^^^] [ответить] | +2 +/– |  Если я в проге на java прочитаю настройки из HOME mycoolapp оно на винде зараб... текст свёрнут, показать | | |
|
|
|
|
|
|
| 12.41, Zloe (?), 15:11, 02/09/2014 [^] [^^] [^^^] [ответить] | +/– | а зачем Вам ООП и давайте не путать обьектно-ориентированый подход и класс-орие... текст свёрнут, показать | | |
| |
| |
| 14.62, Zloe (?), 18:49, 02/09/2014 [^] [^^] [^^^] [ответить] | +/– | но раз уже пошла такая пьянка что вы скажите о функциональном программировании ... текст свёрнут, показать | | |
|
| |
| 14.61, Zloe (?), 18:45, 02/09/2014 [^] [^^] [^^^] [ответить] | –1 +/– | умею я ООП, но основная масса кода которую видел была КОП В данный момент переш... текст свёрнут, показать | | |
|
|
| 12.81, angra (ok), 02:50, 03/09/2014 [^] [^^] [^^^] [ответить] | +2 +/– | Perl умеет ООП Даже некоторые ассемблеры умеют ООП Другое дело, что вам нравит... текст свёрнут, показать | | |
|
|
|
|
|
|
| 6.30, Xaionaro (ok), 14:15, 02/09/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > глупости, возможность без проблем запустить программу написанную пару десятков лет назад это преимущество языка которое используется во многих отраслях.
Согласен, но к JAVA это отношение не имеет. Больше напоминает простые Сишные программки.
| | |
|
|
|
|
| 2.60, Аноним (-), 18:44, 02/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Использовать штатный генератор _любого_ языка в криптографических целях будет только кретин.
И, вообще-то, хотелось бы, чтобы языки, рантаймы и либы не подкладывали свинью.
| | |
| |
| 3.67, arisu (ok), 19:45, 02/09/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Использовать штатный генератор _любого_ языка в криптографических целях будет только кретин.
> И, вообще-то, хотелось бы, чтобы языки, рантаймы и либы не подкладывали свинью.
и не подкладывают. ты где-то в документации по js или libc видел указание, что их штатные PRNG подходят для применения в криптографии? не видел, потому что там такого нет. ну и всё, значит — не подходят.
а то, что ты не любишь читать, а сразу ломишься кодить… ну, это не проблемы авторов языков и рантаймов.
| | |
| 3.82, angra (ok), 02:55, 03/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Попробуй на досуге прочитать пару килобайт из /dev/urandom, а потом повторить с /dev/random. Сравни скорость, обрати внимание на быстрое истощение /dev/random.
Обдумай результаты и пойми, почему предлагаемое тобой является глупостью.
| | |
| |
| 4.100, arisu (ok), 13:39, 03/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Обдумай результаты и пойми, почему предлагаемое тобой является глупостью.
где связь? ну, кроме того, что ты, кажется, считаешь, что для «надёжной криптографии» надо зачем-то использовать /dev/random а не /dev/urandom, что совершенная чушь.
| | |
|
| 3.92, netch (ok), 10:24, 03/09/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Использовать штатный генератор _любого_ языка в криптографических целях будет только кретин.
> И, вообще-то, хотелось бы, чтобы языки, рантаймы и либы не подкладывали свинью.
Подложенная "свинья" здесь такая же, как, например, ограниченность целых чисел в большинстве языков и потенциальная возможность переполнения. Уметь различать псевдослучайные генераторы, обязанные быть предсказуемыми по всей длине (предназначенные для математики) и генераторы (неважно, насколько случайность истинна), обязанные быть непредсказуемыми, и предназначенные для криптографии - это азы информатики. Не знающий этого не имеет достаточной компетенции, чтобы написать хоть один вызов ГПСЧ или завязанный на него алгоритм: он не догадается посмотреть, как помечен конкретный генератор.
| | |
|
|
| |
| 2.53, Аноним (-), 16:28, 02/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
xkcd кидают в настолько предсказуемых местах, что можно даже не зная номера всегда угадать, какой это комикс. Вот этот - про число 4.
| | |
|
| 1.68, Dmitry77 (ok), 20:07, 02/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Java-класс SecureRandom существует в java 1.2, с 1998 года...
ппц новость минусую
| | |
| 1.86, Доктор Звездулькин (?), 08:40, 03/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Исследователи безопасности обратили внимание на проблемы линейных генераторов псевдослучайных чисел, позволяющих легко предсказать последовательность значений, зная одну из сгенерированных последовательностей или подобрав начальный seed.
Ппц вообще открытие... В следующем выпуске Опеннета: "Ученые обнаружили, что цианид вредит здоровью".
| | |
| 1.97, Нанобот (ok), 12:57, 03/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 исследователям безопасности внезапно обнаружили проблемы с безопасностью в системе, изначально не предназначеной для обеспечения безопасности.
приблизительно то же, что сушить кота в микроволновке, а потом кричать, что в инструкции не указано, что так нельзя делать
| | |
|
