ссылки для программистов (англ.)

[avva]

Немного из недавнего и накопившегося:

• Learning to Program: What are the best sites for learning programming?
  
  Неплохой обзор сайтов с подробными уроками программирования (где видеоуроками, где просто) для тех, кто совсем не умеет и хочет научиться.
  
  
  
• Data Compression Explained.
  
  Нечто среднее между очень длинным FAQ'ом и небольшой книгой. Краткое введение в основы сжатия данных и подробный обзор основных подходов и алгоритмов. Написано, по-моему, ясно и аккуратно, но несколько сжато для совсем неопытного в программировании читателя. Не требует знаний об алгоритмах сжатия.
  
  
  
• You Are Dangerously Bad At Cryptography.
  
  Отличная запись о том, почему опасно самому наивно использовать криптографические алгоритмы, с несколькими наглядными примерами.
  
  В дискуссии на HN есть тоже немало интересного. В частности, Томас Птачек напоминает, что его компания Matasano продолжает предлагать широкой публике Crypto Challenges - набор упражнений по прикладному криптоанализу, не требующих предварительных знаний в криптографии. Я сам не пытался пока делать Crypto Challenges, не нашел на это времени, но несколько моих знакомых, которым я доверяю, очень и очень их хвалят. Думаю, что всем, кому хочется больше знать в этой области, стоит попробовать.

Comments

[cat_mucius]

В смысле? Если у сайта есть програмная дырка, которая позволяет подменить в юзерском record-е в базе данных один сертификат другим - то это таки плохо. Что тут можно предложить, кроме как залатать дырку?

И что в этом смысле меняется от того, что сертификат самоподписанный? Если в базе будет лежать не сам сертификат, а его серийник, присвоенный местным CA, а хакер его подменит - что изменится?

Или Вы имеете в виду сценарий, когда хакер подменяет сертификат на стадии регистрации нового юзера? Ну, SSL. :-)

[trueblacker.livejournal.com]

вы говорите, что дали бы пользователям самим обновлять сертификат, чтобы они могли его заменить на такой, какой им нравится.
А что помешает сделать эту операцию хакеру?

[cat_mucius]

Ну как что. Аутентификация и шифрование. :-)

Сценарий раз: регистрируется новый юзер. Вместо поля "введите пароль" сайт предоставляет поле "залейте сертификат". Эта сессия защищена обычным SSL по серверному сертификату. Последующие сессии после регистрации требуют аутентификации по клиентскому.

Сценарий два: юзер хочет заменить на сайте свой сертификат на новый. Для этого ему надо пройти аутентификацию по старому - что хакер, как мы предполагаем, не может проделать за него.

На каком этапе дырка?

[trueblacker.livejournal.com]

на этапе первоначальной заливки сертификата и замены сертификата в случае утери личного ключа. Как сервер определяет, валидный ли пользователь залил сертификат?

[cat mucius (from livejournal.com)]

А, кажется, понимаю. Вы корпоративную среду имеете в виду, где посторонний Вася со стороны не может прийти и просто зарегиться на сайте? Да, конечно, там гораздо больше смысла раздавать сертификаты централизовано.

А если мы о публичном сервисе, то как, скажем, Gmail определяет, валидный ли пользователь пришёл и открыл новый аккаунт с своим паролем? Да никак, нет на этом этапе ещё такого зверя, как "валидный пользователь".

Что до утери ключа - то тут могут использоваться те же механизмы, что и в случае забытого пароля. Можно и длиннющий бэкап-пароль определить при регистрации, всякие коды, которые тот же Gmail использует в случае сбоя 2-step verification.