- A hozzászóláshoz be kell jelentkezni
- 3965 megtekintés
Hozzászólások
A főoldalon, eggyel lejjebb. Ez már csak LK.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Biztos én vagyok a hülye, de mi az az LK?
- A hozzászóláshoz be kell jelentkezni
Mától: Lazán Kapcsolódik
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Abban igaza van, hogy ha a rosszfiúnak (írási) hozzáférése van a git repodhoz, akkor nem elsősorban a commit hash collision miatt kell aggódni
- A hozzászóláshoz be kell jelentkezni
Ha mindenképpen kompatibilitást törő változtatást kell készíteni, akkor miért nem a modernebb SHA-3 a preferált verzió?
Ki akarja ezt pár évente újra és újra eljátszani?
- A hozzászóláshoz be kell jelentkezni
Az SHA-3 is törhető lesz, nyugi, csak idő kérdése.
Azaz pár évente ezt MINDIG újra és újra el kell játszani.
- A hozzászóláshoz be kell jelentkezni
Nyilván törthető lesz, de valószínűleg később kell újra ezzel foglalkozni.
- A hozzászóláshoz be kell jelentkezni
Mihez kell kompatibilitást törő változtatást készíteni?
- A hozzászóláshoz be kell jelentkezni
SHA csere esetén minden commit hashét újra kell számolni és azt (is) letárolni, amit az előző verziók nem valószínűleg nem tudnak kezelni.
- A hozzászóláshoz be kell jelentkezni
Szóval a git-ről beszélsz?
Honnan veszed, hogy melyik hash-t preferálják?
- A hozzászóláshoz be kell jelentkezni
Erről szól a hivatkozott twitter post és a linkelt mail.
- A hozzászóláshoz be kell jelentkezni
A linkelt emailben nem említenek semmilyen preferenciát.
A linkelt email 2006-os, akkor még nem volt SHA-3.
- A hozzászóláshoz be kell jelentkezni
"Honnan veszed, hogy melyik hash-t preferálják?"
https://git-scm.com/book/en/v2/Git-Internals-Git-Objects
The output from the command is a 40-character checksum hash. This is the SHA-1 hash – a checksum of the content you’re storing plus a header, which you’ll learn about in a bit.
- A hozzászóláshoz be kell jelentkezni
Nem az volt a kérdés, hogy melyiket használják, hanem hogy sarkanyolo szerint melyik preferálják helyette.
- A hozzászóláshoz be kell jelentkezni
Miért, preferálnak SHA-1 helyett bármit is?
- A hozzászóláshoz be kell jelentkezni
Nem tudom, éppen ezért kérdeztem.
- A hozzászóláshoz be kell jelentkezni
CVS not affected
git fans BTFO again
- A hozzászóláshoz be kell jelentkezni
Kőtábla not affected
homo sapiens sapiens BTFO again
- A hozzászóláshoz be kell jelentkezni
Csakhogy arról nincs is 11 éves NIST irányelv, hogy a kőtábla nem biztonságos. Feltételezné az ember, hogy egy évtized elég idő arra, hogy ezeket a security gondokat megoldják a gitben.
- A hozzászóláshoz be kell jelentkezni
Milyen security gondokat?
Ettől az SHA-1 ütközéstől eddig csak a Subversionnek lett baja :)
- A hozzászóláshoz be kell jelentkezni
rendes tőled hogy egy smiley-val is jelezted hogy csak viccelődsz - egyébként linusz "mindkét sikeres projektemet mások írták meg" torvaldosz bejelentéséből is lehet látni hogy nagy problémák vannak, mert mindig ilyen alkalmakkor veszi elő a ködösítős stílusát. ez a masszív beleszarás persze másoknak is feltűnt (hupon nyilván nem, itt kevesen tudnak angolul):
Linus's transition plan seems to involve truncating SHA-256 to 160-bits. Collision resistance absolutely matters for the commit signing case, and once again Linus is downplaying this. He starts off talking about how they're not doing that, then halfway through adding a "oh wait but some people do that", then trying to downplay it again by talking about how an attacker would need to influence the original commit.
Collision resistance absolutely matters for the commit signing case, and once again Linus is downplaying this. He starts off talking about how they're not doing that, then halfway through adding a "oh wait but some people do that", then trying to downplay it again by talking about how an attacker would need to influence the original commit.
Of course, this happens all the time: it's called a pull request. Linus insists that prior proper source code review will prevent an attacker who sends you a malicious pull request from being able to pull off a chosen prefix collision. I have doubts about that, especially in any repos containing binary blobs (and especially if those binary blobs are executables)
Linus just doesn't take this stuff seriously. I really wish he would, though.
This is horseshit, and Linus should not be saying these hugely misleading statements about security principles.
Linus could have designed a cryptographically perfect system such that he could pull Tytso's signed commit from anywhere on the internet - but he didn't
It's a huge shame because git is very close to being a cryptographically perfect system, but the original creator can't get his security reasoning correct, and does so so badly yet so publicly, and minions who don't know what they're talking about come flocking to defend this.
persze lehet a git-et fikázni (és van is miért), de eközben észben kell tartani hogy a magját alkotó hibás elképzelések linuxföldről jönnek, a bugware/lyukware kernelek, adatvesztésre kihegyezett I/O alrendszerek és fs-ek világából, ahol egy program olyannyira nem bízhat az alatta futó OS részeinek integritásában, hogy kénytelen még az értelmes verziószámozást is egy hash-re cserélni, kétségbeesett végső (és mint látható, kudarcra ítélt) kísérletként a konzisztenciaellenőrzésre
Sad!
Persze Linus véleménye egyébként se számít szart se, egyrészt azért mert már a gitt shellscript elkészítése előtt 1 évvel se volt ajánlott az SHA1-et használni, dehát ki nem szarja le az ilyesmit, másrészt pedig mert a jelenleg használt git-hez már hosszú évek óta semmi köze
- A hozzászóláshoz be kell jelentkezni
"Linus should not be saying these hugely misleading statements about security principles."
déjà vu :)
- A hozzászóláshoz be kell jelentkezni
Linus zsenialitása:
"If you have disk corruption, if you have DRAM corruption, if you have any kind of problems at all, Git will notice them. It's not a question of if, it's a guarantee. You can have people who try to be malicious. They won't succeed."
https://www.youtube.com/watch?v=4XpnKHJAok8&t=56m37s
ahahahahahahah.
"I guarantee you, if you put your data in Git, you can trust the fact that five years later, after it was converted from your hard disk to DVD to whatever new technology and you copied it along, five years later you can verify that the data you get back out is the exact same data you put in"
Hát, ez nem jött be, Linus.
- A hozzászóláshoz be kell jelentkezni
Gondolom az 5 év már letelt. ;)
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni