Privat innhold fra tusenvis av nettsteder kan ha blitt lekket

[Gjest Slettet+3124]

 

Og ha unike passord er jo enkleste sak i verden, her hjemme kjøres det på 1Password på alle nettsteder.. Så slipper man tullet med «one password rule them all».

Du leste ikke artikkelen, gjorde du?

 

 

Hva tror du? 1password er en av tjenestene som ikke er berørt. Og som nevnt tidligere så fungerer 1password veldig fint i offline modus. Og om jeg har valgt å kjøre den igjennom clouden, så hadde det ingenting å si for sikkerheten. Og etter hva jeg har skjønt så ligger hovedpassordet mitt til 1password lagret lokalt og ikke på serverne til 1password.

[RHP7ZBT7]

Det er ganske mye ytelse å hente i native kode skrevet med C/C++, og mye av dette er forårsaket av at du gir mer kontroll til utviklerne, noe som igjen gir sikkerheten over til 80kg tunge apekatter, fortsatt hangover fra gårsdagens fyllekule.

 

Java eller C# kan erstatte C/C++, men er egentlig ikke et fullverdig alternativ, da det har en rekke tekniske og praktiske begrensninger. Å ta toget er ikke det samme som å sykle, bare fordi de begge tar deg fra A til B.

 

Jeg var ute etter noe mer konkret enn dette. Det er ikke klart for meg hvor mye "ganske mye" er, og hvilke tekniske og praktiske begrensninger du snakker om. Sammenligningen med sykkel og tog gir heller ikke helt mening, bortsett fra at toget er både tryggere og raskere enn sykkelen. :-)

 

Det er selvsagt mulig man støter på ting når man skal finjustere ytelse hvor f.eks. C# og .NET-runtimen har for mye overhead, men jeg tillater meg å lure på om bruken av C/C++ av og til er en ubegrunnet refleksreaksjon.

[Gjest Slettet-Pqy3rC]

Jeg tullet bare, men takk likevel for et godt svar! Det jeg lurer på, er om hvorfor man bruker C/C++ i slike applikasjoner. Hvor stor er egentlig ytelsesforskjellen mellom disse språkene og optimalisert C#/Java?

Mye, men seff helt avhengig av hva du skal gjøre. Stack memory er kjapt, java/.Net kan ikke la programmer få kontroll over det (pga JRE/CLR).

 

size_t x[1000000]; // <- Stack
size_t * x = malloc( 1000000 ); // <- heap

En annen fordel (som noen ganger er vesentlig) er at du kan oppnå en minimal standalone, uten avhengighet av noe annet enn seg selv. En fil, som kan kjøre uten å kreve noe annet- ingen krav/annen nedlasting/oppdatering etc.

 

...men, ting tar (som regel) MYE lenger tid å lage i c, mye mer å passe på. Så det er ikke akkurat økonomisk fornuftig i det fleste tilfeller. Særlig der hvor du ikke har noe tap ved å benytte andre språk.

[oppat]

Hvor gjennomskubart er det å f.eks. bruke:

 

Dis&Et3ller4nnetPass0rd for Diskusjon

Out&Et3ller4nnetPass0rd for Outlook

Kom&Et3ller4nnetPass0rd for Komplett

Fac&Et3ller4nnetPass0rd for Facebook

 

osv...?

 

Det gir ingen ekstra verdi. Maks 1-3 bit ekstra sikkerhet over å bruke samme passord overalt.

 

Grunnen er at angriper vet om vilken webside de knekker passord for og dermed vil dette ikke gi noe vesentlig større søkerom.

[EremittPåTur]

... Vet ikke helt jeg, skal fra stå å hovere og si "hva var ..." osv. Men en ting er banna bein sikkert, når jeg leser innleggene nedover/oppover her så er det mange som ikke har skjønt ett pøkk og kommer til å miste seg selv ganske så snart. De gamle snakket ofte om folk som levde i skyene, det var de som ikke kom så langt her i livet det. men men, shit happens....

[endrebjo]

 

 

Dette måtte jo bare gå galt! http://www.u.arizona.edu/~rubinson/copyright_violations/Go_To_Considered_Harmful.html

Jeg er rimelig sikker på de ikke har "goto" i koden, det er nok bare for å forenkle eksempelet. Feilen ligger uansett ikke der heller, men i forutsetningen sammenligningen krever;

 

Jeg tullet bare, men takk likevel for et godt svar! Det jeg lurer på, er om hvorfor man bruker C/C++ i slike applikasjoner. Hvor stor er egentlig ytelsesforskjellen mellom disse språkene og optimalisert C#/Java? Man kan selvsagt lage sikkerhetshull der også, men man slipper ihvertfall slike pekerfeil, buffer overruns o.l.

 

CDN-maskinene til Cloudflare kjører sannsynligvis GNU/Linux eller et annet fritt OS. Inntil i fjor var C# et fryktelig dårlig valg på slike plattformer, siden .NET kun var offisielt støttet på Windows-plattformen. Etter at MS i fjor gjorde .NET Core tilgjengelig på GNU/Linux har situasjonen bedret seg litt, men det betyr samtidig at seriøs C#-utvikling på GNU/Linux ikke var mulig før i fjor.

Selv om mulighetene for å gjøre brainfarts i Java er mindre enn i C/C++, så introduserer Java et annet sikkerhetsproblem: Java-motoren. Java er også skrevet i C++, og kan derfor inneholde liknende brainfarts. Det oppdages stadig nye hull: https://www.cvedetails.com/vulnerability-list/vendor_id-93/product_id-19117/Oracle-JRE.html

 

Samtidig finnes det flust av native språk som er mindre utsatt for brainfarts enn C/C++. F.eks golang, Rust og D er alle langt sikrere enn C/C++, og de kjører like kjapt. Problemet med disse språkene er at det finnes langt færre utviklere som kjenner språket godt, og i tillegg er det risikabelt å basere virksomheten sin på mindre utbredte språk som kan "dø ut" i løpet av de neste fem årene.