Re: lug-bg: Софтуер за следене на файлове

[Dean Stoeff <dean@xxxxxxxxxxxx>]

> Тук може да се сблъскаш с проблеми с това какво ще ти разреши самата
> операционна система да правиш - напоследък не се гледа с много добро око
> на програми, които се опитват да си модифицират кода :) 
Това е лично мое мнение, че по принцип не сам съгласен с такава 
филосоия, когато се касае за програми котито, трябва да са добре 
защитени от Re-engineering, но  когато се пише код който трябва да се 
чете от много хора е доста трудно да бъде разбран.
> Да не говорим за
> това, че от 20-30 години насам по принцип хубавите ОС си държат text/code
> сегмента read-only, макар че това се променя сравнително лесно.
>
>  
:) След като някой се хваща да пише програма която да "бди" за 
сигурността на файловете трябва да е доста наясно как става това
> > А за да бъде още по паранойчно, макар че първия според мен е достатъен
> > може да се добави и вътрешен алгоритъм за проверка на контролната сума
> > /желателно твой собствен, а не стандарен/
> >    
> Ъъъъъъъъъъъъъъъ?!
>
> С това в скобите *изобщо*, ама ИЗОБЩО не мога да се съглася!  Напротив,
> колкото по-стандартен и по-широко известен е алгоритъмът, толкова по-сигурен
> си, че той е прегледан от хора, които наистина разбират от криптография,
> и те са решили, че той няма някакви особени слабости (или поне досега не са
> открили).
>
>  
Тук като се замисля, може би си прав, че не е чак толкова лесно да 
"разбиеш" някой от вече доказали своята ефективност алгоритми, и може би 
времето и ресурсите да създадеш свой собствен не оправдават целта на 
заниятието, но отдруга страна как щяха да се развиват такива области ако 
всичо се взема на готово и не го подлагаш на съмнение, както и да търсиш 
по-добър начин.
> НИКОГА, ама НИКОГА не разчитай на това, че нещо е сигурно, само защото само
> ти знаеш как се прави! 
Твърдо не сдам съгласен с това, да се разчита че нещо е сигурно 
самозащото сам си го писал :)
> Особено пък ако става дума за криптография или за
> сигурност и проверки на автентичност!  Има достатъчно начини някой да се
> добере до сорса на инструментите ти (това включва не само дизасемблиране и
> такива неща, ами и насочени атаки, и social engineering, и какво ли не)
:) Ааааааааааааааааа  , това за социалното инжинерство е голям проблем 
на каквато и да е сигурност, както е факт, че над 80 % от пробивите 
стават именно по такъв начин и благодарение на приомите в тоя основен 
дял от науката за пробив в сигурността , не само на компютърната.
> и да
> разбере какво правиш; ако не го правиш както трябва - т.е. ако ползваш
> някакви измислени алгоритми вместо стандартни, подлагани на криптоанализ с
> години - тогава има наистина голяма опасност да си пропуснал нещо в
> математическата или теоретичната обосновка и примерно да се окаже, че не е
> чак *толкова* трудно да се намери друга последователност от байтове, които
> да дават същата контролна сума - and you don't want that :)
>
>  
>
> > и като продължаваме да разсъждаваме в тая 
> > посока - нищо ново под слънцето, не е лошо да издириш компютърни вируси 
> > от средата на 80-те на миналия век там е пълно с алгоритми които 
> > затрудняват анализирането на кода, така че всичко това приложено кам 
> > една такава програма може да се каже до голяма степен че е сигурна.
> >    
> Ако наистина искаш степента да е голяма, пак се връщам на въпроса с
> използваните алгоритми.  Има два варианта:
>
> 1. Ти си криптограф, математик, който е прекарал последните 15-20 години в
>   занимания с това; знаеш наизуст всички книги, за които сме чували, и си
>   писал няколко, за които не сме.  В този случай - извинявам се - може би
>   имаш причина да смяташ, че собствените ти алгоритми ще са достатъчно
>   обосновани и сигурни.  Все пак и в този случай го има моментът с това, че
>   не можеш да си сигурен, че си предвидил всичко: както се оказа наскоро, и
>   Рон Ривест прави грешки с MD5 :)
>
>  
Не не сам гениален математик и/или криптограф, но да речем че имам 
познания в областта, и да савсем съм сагласен, че безгершни хора няма - 
няма и безгрешни алгоритми
> 2. Ти не си някой от тези откачени гении - в този случай ТРЯБВА да ползваш
>   алгоритъм, който е устоял на a) проверката на времето, и b) по-важно:
>   проверката на тези откачени гении.
>
>  
:) Не претендирам, че сам гений - още по малко откачен, но по онова 
време беше модерно да се пишат вируси.
Но моляте не бъркай определението за компютърен вирус , с това на 
зловреден код.
> Трети вариант няма.
>
> Поздрави,
> Петър
>
>  
Благодаря за креативната критика, все още смятам, че в спора се ражда 
истината и от такива спорове /макар и само на идейно ниво/, много хора 
четящи таля листа могат да научат много.
С Уважение:
Деян
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================