Der Mopperonkel

Mastodon, Fragen? Antworten, Musikgeschmack? angeblich nicht vorhanden

Sun Jan 05 2020

• [l] Heute gelernt: Wenn Browser als RFC7616 HTTP-Auth Digest Algo nur MD5 beherrschen, zwingt das Webdienste, die das einsetzen, dazu, daß die einen unsicheren (weil rückrechenbaren) Hash aus Username+Realm+Passwort speichern müssen. Das betrifft unter anderem ganz konkret die aktuelle Version von Firefox und Chrome (zumindest auf Android, woanders habe ich kein Chrome).

  Username: Ist i.d.R. immer im Klartext lesbar
  Realm: Sagt ein Server beim Authentifizieren im Klartext an
  

  Also bleibt bei Datenreichtum an Komplexität für das brechen des Hashes nur das Passwort. Das ist der erwartbare worst case. Da will man doch auf jeden Fall, daß das nur durch einen eigentlich schon lange gebrochenen uralten Hash geschützt wird.

  Und damit einem nicht langweilig wird, stehen in dem RFC kaputte Testvektoren für die SHA-512-256 Variante. Es gibt seit 2016 ein Errata dazu. Das gammelt auch seit 2016 nur um Status "Reported" herum. Nicht "verified", nicht "wartet auf re-publish". Nein, da lässt man die (in dem Fall dann endlich richtigen) korrigierten Testvektoren einfach verrotten.

  Security 2020... Dieses Internet ist kaputt. Ich möchte bitte ein neues. Danke!

Wed Jan 01 2020

• [l] Der Onkel betreibt (sobald er ein passendes Gehäuse gezaubert hat) einen Multigeiger Geigerzähler, dessen Meßwerte hier öffentlich einsehbar sein werden. Bis die Station draußen (und der Tick-Ton abschaltbar oder per Hardware-mod unterbunden) ist, wird sie nur vorübergehend in Betrieb sein.

  Die aktuell gemessenen 0.13µSv/h (indoor) sind jedenfalls schoneinmal um eine Größenordnung plausibeler als das, was das Chinagadget so anzeigt.

• [l] Wenn alle um einen rum so einen Jahreswechsel für ein besonderes Ereignis halten, dann auch von mir:

  Ein frohes Neues allerseits!