Reprise du message précédent :

 + synesthesia = BLAM supercalculateur humain \o/

Deus Ex: First Prototype.

Ma vie vous passionne, je le sais:
 
Hier soir j'étais en train de mater mon porn quotidien la homestory cup, quand ma connection internet se coupe d'un coup. Après investigation experte, je me rends compte que pour la seconde fois en 2 ans, c'est un boulet de voisin qui a branché un cpl sans y mettre de mot de passe, ce qui fait que mes boîtiers choisissent des fois sa connection au lieu de la mienne.
Du coup je me tâte entre garder cette ligne pour les trucs illégaux, ou aller lui dire. Mais comme je suis gentil je vais aller lui dire.  
 
D'où mon besoin en avis experts: étant donné l'installation électrique lambda d'un immeuble des années 70, où son appart a-t-il le plus de chance de se trouver? J'ai que son adresse mac, ça m'avance pas à grand chose.

Bonjour,
 
J'arrive un peu après la bataille mais comme il a eu des remarques intéressantes j'ai eu envie de réagir.
 
Pour situer un peu le sujet, c'est moi qui ai développé hashy, une (toute) petite bibliothèque proposant d'aider les développeurs à gérer correctement les hashes de mots de passe.
 

 
Je ne suis pas (encore ) un expert en node.js donc l'implémentation est très loin d'être parfaite, par contre ce qui, AMHA, est très important c'est de fournir une API très simple d'accès pour l'ensemble des développeurs, qu'ils soit experts en cryptographie ou non.
Par exemple, toujours selon moi, on ne devrait pas obliger le développeur à choisir un algorithme (et ses options), les valeurs par défaut devraient être les bonnes. Elles devraient aussi évoluer avec la bibliothèque au fil des failles découvertes.
 
Au niveau de l'API je me suis (très beaucoup ) inspiré de ce qui est fait dans PHP 5.5.
 

 
Pour info, je n'utilise pas bcrypt-nodejs mais bcryptjs, mais il me semble que l'implémentation est la même.
Je ne sais pas comment faire, mais j'imagine que ça doit être possible que j'implémente moi-même un worker utilisant les fonctions synchrones de la bibliothèque…
 
Quoiqu'il en soit, patches et rapport de bugs sont les bienvenus

Je m'en doute, vu que bcrypt-nodejs est déjà une couche d'adaptation pour nodejs, qui fait de l'async par time-slicing.

Bug report: node c'est tout pourri

Il a demandé des bug reports, pas des bug reports à la Masklinn

tu peux lister les technos web qui sont pas toutes pourries ?

edit : le dernier lastman

Y'a juste quelques bonnes pratiques à avoir, pas besoin d'être expert dans le domaine.

Pour ce qui est des valeurs par défaut c'est contraire aux principes fondamentaux des algos dont le work factor est ajustable. Les défauts que tu proposes seront peut-être obsolètes d'ici deux ans, et ton seul levier sera de publier une nouvelle version avec des defaults qui correspondent à une moyenne estimée du workload nécessaire pour contrer une attaque à un moment x.

Or, ce n'est pas parce que tu publies cette version qu'elle sera adoptée par les utilisateurs de la lib et donc que l'avantage de la simplicité deviendrait une pseudo-faille.

Edit: Une implémentation plus future-proof serait peut-être de configurer le target time directement, mais ça implique qu'il faut hasher une fois à chaque modification de l'option pour proposer un cost correspondant

Fallait préciser

∅

Normalement tu fais ça à la mano et tu mets le cost factor correspondant dans ton brol, parce que faire générer le cost factor automatiquement ça peut poser des problèmes si tu as une archi distribuées avec des machines différentes, truc du style.

Une option serait d'avoir un utilitaire en CLI, tu le fais tourner avec un target time et il dump le cost factor là où tu lui demandes.

 
1. Un développeur est-il plus probable de mettre à jour ses dépendances ou de modifier son code (potentiellement à différents endroits) pour adapter le facteur de coûts ?
 
2. Quelle pourcentage de développeurs (en prenant en compte la quantité des à l'arrache) connaissent suffisant les différents algorithmes et leurs options pour ne pas faire des choix pourris ?
 
P.S. : Dans ma lib, je n'empêche pas de choisir les paramètres, je propose juste des choix par défaut (que je crois être) intelligents.

Je trouve aussi que Diamètre est la meilleure techno web à l'heure actuelle

 
Je ne suis pas sûr parce que l'intérêt du coût c'est (surtout) de ralentir les machines des pirates, pas celle où tourne l'application. (Sinon un simple timer fait l'affaire.)
 
Et comme on ne la connaît pas, on doit choisir un coût par rapport aux machines (en général) de l'instant présent (ce dont la machine de production n'est pas forcément représentative).

 
Je ne comprends pas ce que tu veux dire par là... Parce que dans 2 ans ça sera peut-être obsolète veut dire qu'il est inutile d'avoir des valeurs correctes aux jour J

je plssoie

En fait, le problème que ça soulève c'est celui de la spécialisation et de l'éducation. Selon moi, quand on est dev, cela ne veut pas dire qu'on doit se cantonner à ce qu'on sait faire et dire "fouyaya, c'est trop compliqué ce truc, je laisse tomber". Le domaine de la sécurité est un domaine important ; si tu dois coder un truc qui y a trait, il est crucial de savoir te former dessus pour pas faire de grosse connerie ou, au moins, d'avoir un interlocuteur spécialisé sur le sujet. Le gars qui n'a ni le temps de se former ni l'envie (ou la possibilité, mais bon, on est en 2013) de trouver quelqu'un pour l'aider, c'est qu'il fait pas bien son taf. Foutre des valeurs (ou des algos) par défaut dans une lib de sécu, à mon sens, c'est aider personne.
 
Anecdote perso : y a 5 ans, j'ai hérité de la maintenance d'une appli qui jonglait avec un module tiers d'authentification ; j'y connaissais rien et j'en avais un peu rien à foutre. Le jour où on m'a demandé pourquoi les tokens de sécurité passaient pas sur la plateforme de Hong-Kong, j'ai tiré la gueule Kerberos, SPN, etc... tout ça stait du chinois. En cherchant dans la boîte, chu tombé sur un gars qui m'a refilé toutes les infos nécessaires (il connaissait absolument pas le code de l'appli ni même le Java ) ; on s'est fait chier à débugger sur le serveur à distance avec des sniffers de paquets réseaux et au final, j'ai passé 100 fois plus de temps sur le merdier que si j'avais connu les bases du sujet. (bon maintenant j'ai tout oublié )

Je peux t'aider.
1. Installer wireshark.
2. Envoie moi les fichiers html et les images jpg de plus de 400x400px uniquement.

C'est ce à quoi je pensais

C'est pas le problème, les defaults de la librairie ne correspondent pas nécessairement aux besoins de tout un chacun.

Les algos et leurs implémentations sont livrés avec une documentation, les devs pour qui crypto riment avec algo de crypto iront jusqu'à lire les quelques papiers qui existent sur le sujet. Et dans l'absolu je vois mal comment un pbkdf2 mal configuré serait moins résistant qu'un md5 salté.

Mais qui ne correspondent qu'a un vague échantillon du parc informatique. Donc pas pertinents.

Ça ralenti le brute force, et puis c'est un hint à mon avis plus pertinent qu'un choix arbitraire (comme ton implem). C'est un facteur important au niveau UI, et ça s'adapte en fonction de la puissance des machines.

Mais c'est juste une idée, je suis convaincu qu'il faut consacrer du temps à sujet de manière régulière si besoin est.

Ce sont des valeurs qui sont faites pour évoluer au fil de l'évolution de la puissance des machines.

Putain j'ai même pas fait gaffe

ha mert, grillaid

alerte jubi :  
 
25 juin sur le site de microspot
la Surface Pro 64GB sera 888.- au lieu de 954.-http://www.microspot.ch/msp/product/Netbooks_Tablets/0000737765/MICROSOFT_Surface_Pro_64GB/detail.jsf

http://www.php.net/manual/en/datet [...] errors.php
 
T'avais raison nraynaud: on ne change pas une équipe qui gagne.

je decouvre http://www.reddit.com/r/counting/c [...] ity_by_1s/
 
 il sont deja a 54k

540k
 
edit : ah ouais, non, y'en a un qui s'est planté

 
M'enfin  

Haters, they are hatin'

C'est donc ça que tu construisais dans ta cave ces derniers mois ! Audacieux

 
Moi y'a 15 ans j'étais déjà à 56k.

 
la dernière case  

C'est le dailymail mais ça vaut quand même le coup :  
http://www.dailymail.co.uk/science [...] loser.html  

 
tl;dr
(bon maintenant j'ai tout oublié )
 
   

Pourquoi pas calculer automatiquement un load factor dérivé de la system date ?
Après tout même si la loi de Moore est inexacte il doit y avoir moyen de faire une fonction d'estimation, d'autant que le load factor dépend de la capacité des pirates, pas de l'infra qui héberge l'appli.

A priori, si un mec n'est pas capable de faire le second, il ne sera pas capable de faire le premier.
Dans les deux cas il faut avoir la connaissance de l'importance du load factor, de ce qu'il signifie et comment le paramétrer. Dans ce cas une lib externe n'est pas utile.

Il ne faut pas négliger les attaques sur site, mais oui c'est un fait à garder en tête.

C'est dommage qu'il ait oublié les anneaux d'Uranus et de Neptune

A-la cyanide

Prime /10, convocation RH
 
 
... je demeure à votre disposition pour tout complément d'information.
 
Tututut, allo ?
- Vous aurez les informations lors de l'entretien.
 
k
 
 
Fait ièch, va falloir que
 

'tain c'est assez marrant le contrôle au joystick, au cours de mes tests je me suis retrouvé avec sens de déplacement à l'envers, et immédiatement il devient impossible de ne pas faire de mouvement brusques, le joystick se barre immédiatement sa vitesse.

En fait je crois que ça marche d'une certaine façon tellement bien que quand ça marche c'est nul et plat tellement c'est naturel. Pas de quoi lever un sourcil.

Je voudrais créer un agenda public, éditable par tous ceux à qui je passerai l'url.
Ce que j'ai essayé ne convient pas :
- google calendar (readonly si public)
- calendrier sur owncloud (le lien pour les calendriers publics a carrément disparu dans les 5.x)
- doodle meetme (qd on valide une demande faite par un inconnu elle ne se rajoute pas sur la page publique meetme)

Une idée ?