Consens pentru OpenID

Publicat pe 12 februarie 2008 de Zoli Herczeg

Google, IBM, Microsoft, VeriSign și Yahoo! au devenit membri ai OpenID Foundation. OpenID este un sistem de identitate simplu, care elimină necesitatea de a utiliza perechi multiple de username/password pentru situri web lipsite de pretenții deosebite de securitate (bloguri, situri personale, rețele sociale etc). OpenID devine interesant în combinație cu ”information card”-uri fiindcă se elimină riscul furtului și reutilizării tokenului OpenID de către siturile de phishing. Mai departe, OpenID devine și mai interesant dacă furnizorii de identitate sunt capabili să certifice ”claim”-uri senzitive, de genul CNP, adresă, vârstă etc.

Una peste alta, trăim vremuri interesante! Cele 7 legi ale identității sunt poruncile de bază ale bibliei identității.
Citiți evanghelia lui Kim Cameron și gândurile discipolilor săi!

Clarificare adaugata in 14 feb: Consensul nu e despre faptul ca OpenID este unica solutie de acum incolo. Nici pe departe! Totusi, OpenID isi va avea rolul sau pe web alaturi de alte solutii mai solide, cum ar fi SAML sau metasistemul de identitate bazat pe protocoalele WS-*.

Filed under: Identitate, Interoperabilitate

# re: Consens pentru OpenID

Wednesday, February 13, 2008 12:10 AM by andreir

Sunt tare curios cum Microsoft a privit aderarea la OpenID tinand cont ca intr-o vreme pedala destul de mult pe .NET Passport.

O fi resimtita ca o recunoastere a nereusitei .NET Passport?

# re: Consens pentru OpenID

Wednesday, February 13, 2008 12:27 AM by zoltanhe

OpenID nu este un „silver bullet”. Colaborarea cu OpenID este veche si este recunoasterea ca este o alternativa utila pentru single-sign-on pe situri nepretentioase. Daca vrei, OpenID este inca un tip de token, pe langa cele existente deja, mai mult sau mai putin puternice: X509, Kerberos sau SAML. Ramane valid si tokenul clasic, format din username si password, insa probabil doar pe perioada de tranzitie. Problema cu OpenID este ca tokenul este un simplu URL.

.NET Passport sau versiunea curenta numita Live ID este o solutie perfecta pentru proprietatile (siturile) Microsoft. Intr-adevar, ideea initiala de a incuraja si pe altii (alte situri) sa adopte .NET Passport a fost gresita.

# re: Consens pentru OpenID

Wednesday, February 13, 2008 8:28 PM by das

Cu OpenId o sa fie foarte usor sa se faca un profil al utilizatorului: pe site-uri a intrat, ce a cumparat etc; deci o sa fie mina de aur pentru cei vor putea sa adune datele si cum provideri de identitate o sa fie doar citiva pina la teoria BigBrother mai e un mic pas.

# re: Consens pentru OpenID

Thursday, February 14, 2008 2:02 AM by zoltanhe

das, frumusetea metasistemelor de identitate este tocmai faptul ca providerii de identitate detin doar setul de „claim”-uri ale userilor si nu au nici o treaba cu activitatea acestora. Activitatea userilor ramane pe siturile vizitate. Imagineaza-ti ca un sit web outsourseaza identificarea userilor catre un tert (provider de identitate) si nu vrea sa afle decat un set precis de claim-uri, pe care le cere de la user. Numai ca user-ul nu introduce acele claim-uri intr-un form ci delega providerul sa le trimita in numele sau.

Smecheria devine splendida in momentul in care comunicatia dintre cele 3 parti (user, sit si provider) se face prin protocoale standard, fiindca toate cele 3 parti sunt libere sa aleaga orice tehnologie.

# re: Consens pentru OpenID

Thursday, February 14, 2008 8:51 AM by Gabi Citron

Probabil ca intr-un viitor nu foarte indepartat vom avea nevoie toti de un OpenID, daca vrem sa ne platim impozitele online.

# re: Consens pentru OpenID

Thursday, February 14, 2008 9:34 AM by zoltanhe

Gabi, nu cred ca pentru operatiuni atat de senzitive este potrivit OpenID. Dimpotriva…

# re: Consens pentru OpenID

Thursday, February 14, 2008 11:58 AM by Gabi Citron

Asta depinde de provider. Pana la urma e vorba de ce relatie exista intre cel care face autorizarea si cel care face autentificarea.

# re: Consens pentru OpenID

Thursday, February 14, 2008 12:05 PM by Geo

The Dark Side.

http://www.gnucitizen.org/blog/hijacking-openid-enabled-accounts

# re: Consens pentru OpenID

Thursday, February 14, 2008 6:02 PM by zoltanhe

Gabi, eu ma refeream la slabiciunile native ale OpenID, cum ar fi ca e gandit sa transporte claimul de username (fara altceva si fara posibilitatea de extindere) si nu in utlimul rand slabiciunea la phishing, adica tocami ce ne indica si

Geo: intr-adevar, este trivial ca cineva sa creeze un provider fake si sa-ti fure identitatea. De aia, daca faza initiala a OpenID se combina cu information cards, atunci se elimina slabiciunea la phishing.

# re: Consens pentru OpenID

Friday, March 07, 2008 12:07 PM by Gabi Citron

„MCTI supune consultării publice proiectul de act normativ pentru autentificarea prin protocolul OpenID”

http://www.mcti.ro/index.php?id=28&L=&lege=1412

# re: Consens pentru OpenID

Sunday, March 09, 2008 6:37 PM by adiroiban

Nu cred ca se va ajunge in situatia in care nu te vei putea autentifica pe PayPal fara OpenID.

OpenID este perfect pentru site-uri pe care nu iti pasa ce se intampla cu username-ul si parola ta (ex site-ul acesta). Prin integrarea OpenID nu va mai trebui sa ai 100 de conturi pe 100 de bloguri, forumul, wiki-uri … dintre care multe stocheaza parola in clar. Cu OpenID parola nu ajunge la blog-ul acesta.

Chiar daca Google. IBM, Yahoo, Microsoft isi fac publicitate prin faptul ca sustin OpenID in afara de Blogger am vazut foarte putin aplicatii utile ale OpenID.

Fara de sistemul actual, prin folosirea OpenID avem doar de castigat. Poti fi sigur ca webmasterul nu iti stie parola iar daca providerul tau de OpenID suporta HTTPS te poti autentifica cu HTTPS si pe site-uri ce nu suporta HTTPS.

# re: Consens pentru OpenID

Monday, March 10, 2008 9:54 AM by zoltanhe

PayPal sau orice alt site, va decide singur ce fel de autentificare acceptă. Decizia asta este de business: dacă pierde clienți, va accepta și username/password. Dacă pierderea asta de clienți este compensată de alte câștiguri, atunci de ce nu?

# re: Consens pentru OpenID

Monday, March 10, 2008 11:40 AM by dreq

Avand in vedere obiectivele OpenID, precum si riscurile pe care le implica, probabil ca un PayPal sau alt similar nu isi va risca imaginea fara garantii serioase. Garantii pe care standardul in sine nu le poate oferi din motive … evidente.

In special in cazul platilor online, care nici acum nu au o imagine prea buna, dupa atatia ani de prezenta pe piata, o afectare a imaginii publice inseamna scoatere de pe piata. Chiar daca initial au existat ratiuni de business in spatele acceptarii OpenID.

Ooops, formatele vechi nu sunt secure?

Publicat pe 5 ianuarie 2008 de Zoli Herczeg

Nu, gresit! Totusi, Office 2003 SP3 blocheaza o serie de formate de documente (foarte putin folosite in Microsoft Office), fiindca parserele pentru aceste formate nu sunt secure. Exista suport in continuare pentru aceste formate, doar ca s-a modificat comportamentul default al Office, cu scopul de a reduce suprafata de atac. MOICE si File Block Functionality sunt disponibile inca din luna mai 2007, doar ca acum sunt incluse in SP3.

Am spus ooops, fiindca in KB-ul de mai sus (938810) scria pana ieri ca formatele sunt insecure… ceea ce este fals.
David LeBlanc, mr. Writing Secure Code, ne explica SP3-ul mai pe larg aici, MOICE-ul aici si isi cere scuze pentru KB-ul bulibasit aici.

Filed under: Office

# re: Ooops, formatele vechi nu sunt secure?

Saturday, January 05, 2008 8:13 PM by dpopa

Chiar azi dadeam cu ochiul pe aici , o discutie ceva mai aprinsa

http://blogs.technet.com/tarpara/archive/2008/01/02/office-2003-sp3-legacy-file-formats-disabled.aspx

# re: Ooops, formatele vechi nu sunt secure?

Saturday, January 05, 2008 9:43 PM by MrSmersh

Vad ca dincolo subiectul Open XML inca mai infierbinta spiritele.

# re: Ooops, formatele vechi nu sunt secure?

Sunday, January 06, 2008 10:41 AM by zoltanhe

Nu are nici o legatura cu Open XML. Decat foarte remote: intr-adevar, daca se convertesc formatele vechi in ceva nou, atunci putem trai fara parserele (insecure) pt formatele vechi. Duh…

# re: Ooops, formatele vechi nu sunt secure?

Sunday, January 06, 2008 2:22 PM by MrSmersh

Nu are legatura cu Open XML dar discutia de pe blogul postat de dpopa alunecase pe subiectul asta. Si clar ca noile formate sint mult mai bune, macar ca sint „trasparente” si XML adica XML parser care oarecum mai simplu, si datorita folosirii extensive si la altceva a mers cam pe toate ramurile de cod deci bine testat.

# re: Ooops, formatele vechi nu sunt secure?

Monday, January 07, 2008 10:40 AM by tudor.t

Singura problema care o vad e pentru userii care au pe undeva arhivate niste documente in formate foarte vechi si care cand isi vor instala SP3 nu vor mai putea sa le dechida (fara sa faca niste modificari prin registry..)

Probabil cineva la MS a considerat ca nu mai renteaza sa se corecteze parserele respective care erau „insecure”.. Asta e..

Windows si Mac in salbaticie

Publicat pe 19 decembrie 2007 de Zoli Herczeg

Desi metodologia este mai subtire decat in studiul lui Jeff despre IE si Firefox, cifrele de pe zdnet sunt… well, vedeti si voi: 44 la 243 in favoarea lui Windows Vista/XP (mai putin e mai bine).
Se pare ca AAPL va trebui sa faca si altceva decat campanii de marketing.

Filed under: Securitate

# re: Windows si Mac in salbaticie

Wednesday, December 19, 2007 11:03 PM by MrSmersh

Si era pe lista de pus la „depese din…” Ce ar zice unii e ca la „Total extremely critical” e 4-0. No da restul rascumpara asta, dar nu va culcati pe o ureche, acolo la MS 🙂

# re: Windows si Mac in salbaticie

Wednesday, December 19, 2007 11:44 PM by dpopa

Zoli, te rog sa-mi dai voie sa folosesc un cuvant pe care si tu l-ai folosit la un moment dat : bullshit ! E la adresa celor de la zdnet care au facut raportul, si modul in care este prezentat, aruncand oarece responsabilitate la Secunia in spate :

„Since Secunia doesn’t offer individual numbers for Mac OS X 10.5 and 10.4, I merged the XP and Vista vulnerabilities so that we can compare Vista + XP flaws to Mac OS X. In case you’re wondering how 19 plus 12 could equal 23, this is because there are many overlapping flaws that is shared between XP and Vista so those don’t get counted twice just as I don’t count something that affects Mac OS X 10.4 and 10.5 twice.”

Nu ma stiu eu la Mac OS, dar cred ca au si versiune de desktop si de server pt 10.4 si 10.5, pe cand Vista si XP e doar desktop. Nu m-ar mira ca anumite vulnerabilitati la MAC sa fie doar pt server, dar totusi incluse in raport. Irelevant. Trecem mai departe.

Si, mai apoi. Care e cota de piata ? Sa aruncam o privire :

http://marketshare.hitslink.com/report.aspx?qprid=10

Adica,

XP+Vista ~ 87,5 %

MAC OS ~ 3.22 %

Si acu’ haide sa rotunjim putin calculele.

– Raportul la vulnerabilitati este de 44 la 243 ~ 1 MS / 5 MAC

– La cota de piata este de 87,5 la 3,22 ~ 29 MS / 1 MAC

Si daca vrem putem lansa intrebarile worl-wide :

– ce e mai riscant, 1 vulnerabilitate de MS sau 5 de MAC ?

– ce e mai scump, sa aplici 1 patch de MS sau 5 de MAC ?

Cred ca MS ar putea sa investeasca ceva mai mult in securitate si sa mai echilibreze balanta. Sau sa-si mai reduca din cota de piata Smile

# re: Windows si Mac in salbaticie

Thursday, December 20, 2007 12:29 AM by zoltanhe

Ok, ok. Am sa reciclez un comentariu de la post-ul cu IE-Firefox: Concluziile sunt cu totul altele:

1) daca vrei sa fii mai secure, se poate (de ex SDL);

2) nimeni nu poate sustine ca este secure, nici Windows si nici Mac… oricum ai numara.

3) nu poti sa devii mai secure prin campanii de marketing (vezi ORCL sau AAPL).

# re: Windows si Mac in salbaticie

Thursday, December 20, 2007 3:54 PM by psergiu

Se pare că băjeții de la Secunia au măsurat la OSX toate bug-urile de la droaia de aplicații care vin bundled cu sistemul (inclusiv pe cele de la plugin-ul de Macromedia Flash) si la XP/Vista strict pe cele de OS. Dacă adunăm și toate bug-urile de Office, IE, Messenger și ale codecilor de la Media Player poate cifrele finale vor fi altfel. Poate.

# re: Windows si Mac in salbaticie

Saturday, December 22, 2007 9:46 PM by psergiu

O analiză amănuntită a „analizei” făcută de ZDNet

http://www.roughlydrafted.com/2007/12/21/vista-vs-mac-os-x-security-why-george-ous-zdnet-vulnerability-numerology-is-absurd/

# re: Windows si Mac in salbaticie

Sunday, December 23, 2007 11:36 AM by zoltanhe

Sergiu, se numeste denial… Ba mai mult, textul asta nu numai ca neaga ca ar fi o problema ci incearca sa discrediteze autorii „analizei”. Nu cred ca textul initial dorea sa fie o analiza. Mai degraba este o observatie.

Mai tineti minte in primii ani ai acestui mileniu cine era in denial? Si cine intra in defensiva cand era aratat cu degetul?

# re: Windows si Mac in salbaticie

Thursday, December 27, 2007 12:57 PM by MrSmersh

Acuma si ZDNet sint partinitori, cine mai urmeaza? Ca citeodata nu sintem de acord cu ei nu inseaman ca nu zic ceva.

Si au si dreptul la parearea lor… Asa cum si noi la a noastra, si in completare de aia de vreo 3 ani au trecut la bloguri ca sa se comenteze.

IE si Firefox in salbaticie

Publicat pe 3 decembrie 2007 de Zoli Herczeg

Da. E greu sa securizezi o aplicatie, care trebuie sa manance tot rahatul de pe net, by default. Jeff a facut un studiu de securitate/vulnerabilitati pentru cele doua browsere mai importante de pe net: IE si Firefox.

Concluzia mea: it’s a wild out there, dar daca vendorii pun osul, pot face treaba buna.
Vezi SDL sau Security Development Lifecycle.

Alte resurse:

Blogul SDL
Blogul lui Mike Howard, tatal SDL-ului
Blogul lui David LeBlanc, tatal Writing Secure Code SE (impreuna cu Mike)
Blogul lui Larry Osterman, domnul Threat Model.

Filed under: Internet Explorer, Securitate

# re: IE si Firefox in salbaticie

Monday, December 03, 2007 10:21 AM by Valy Greavu

Conform http://www.w3schools.com/browsers/browsers_stats.asp se pare ca Firefox a luat-o inaintea IE, cu toate ca insumat IE se tine bine.

In schimb cel mai trist lucru este acela in care end-userii considera ca le merge Internetul mai repede daca browseaza cu Firefox sau Opera. Este aberant sa crezi ca ti se largeste banda daca utilizezi altceva decit IE Smile

# re: IE si Firefox in salbaticie

Monday, December 03, 2007 12:44 PM by yu_li_yan

Audiatur et altera pars:

http://weblogs.mozillazine.org/schrep/archives/2007/11/use_the_metric_which_suits_you.html

[…] there is no way for anyone outside of Microsoft to confirm how many vulnerabilities ever existed in Internet Explorer. […] How many bugs were identified and fixed using the SDL during development? Your guess is as good as mine.</blockquote>

# re: IE si Firefox in salbaticie

Tuesday, December 04, 2007 11:50 PM by zoltanhe

yu_li_an, ce era sa zica? Asa mai bine neaga (ca are probleme) si injura pe Microsoft.

Discutie cu vendorul X de software:

Intrebare: Ce faceti ca sa va imbunatatiti securitatea produselor?

Raspuns: A, suntem tari. Uite Microsoft cate buguri de securitate are.

Intrebare: Nu. Nu m-ati inteles. Ce faceti VOI?

Raspuns: Pai nimic. Noi suntem atat de meseriasi ca scriem cod beton. Uite la MS cate buguri are…

# re: IE si Firefox in salbaticie

Wednesday, December 05, 2007 2:32 AM by Dr.House

apache 1.3.34 per debian php 4.4.4. are o buba mica ..http://jayomega.net/tmp/ si http://jayomega.net/cgi-bin/awstats.pl {Error: SiteDomain parameter not defined in your config/domain file. You must edit it for using this version of AWStats.

Setup (‘/etc/awstats/awstats.conf’ file, web server or permissions) may be wrong.

Check config file, permissions and AWStats documentation (in ‘docs’ directory).

„se vad” cu „ie 7” si cu un fisier text atasat la un command prompt !

# re: IE si Firefox in salbaticie

Wednesday, December 05, 2007 10:26 AM by yu_li_yan

Dragă Zoli,

Deocamdată, echipa IE este cea trebuie să demonstreze ceva în materie de calitate şi securitate. C-o fi din cauza market share-ului mai mare, sau a vechimii, ne interesează mai puţin; faptul rămâne că IE are un track record groaznic în materie de securitate.

Din păcate, modul în care Jeff Jones înţelege să _demonstreze ceva_ este stupefiant. Ţi se pare totul în regulă cu următorul mod de a trage concluzii? :

„În România stomatologii tratează un număr mai mic de carii decât în America. DECI românii au dinţi mai sănătoşi”.

versus

„În IE s-au raportat un număr mai mic de issue-uri decât în Firefox. DECI IE este mai sigur”.

🙂

@baba cloantza: mulţumesc de notificare, am reparat

# re: IE si Firefox in salbaticie

Wednesday, December 05, 2007 12:00 PM by zoltanhe

yu_li_yan, sunt de acord ca IE e departe de a straluci. De altfel nici eu si nici Jeff nu am spus asta. Concluziile sunt cu totul altele:

1) daca vrei sa fii mai secure, se poate (de ex SDL);

2) nimeni nu poate sustine ca este secure, nici IE si nici Firefox… oricum ai numara.

3) nu poti sa devii mai secure prin campanii de marketing (vezi ORCL sau AAPL)

# re: IE si Firefox in salbaticie

Wednesday, December 05, 2007 11:44 PM by Dr.House

Ma bucur ca am fost de folos , dar ca un fapt : sunt un hidden unix , adica ma joc pentru mine dar numai cu distributii vechi sau cu versiuni ciudate sau versiuni folosite in educatie- invatamant , am renuntat la forumuri open source , dar sa stii ca am ajuns la concluzia ca nu exista os sigur si nici browsere , nimik nu este sigur , nici viatza , nici salariul , nimik ! De un singur lucru sunt sigur : exista pareri !

Noi suntem simpli consumatori de soft asa ca ne resemnam in a ingurgita ceea ce exista pe piatza si sa ne facem datoria de a arata unde sa gresit cu respectivul soft , faptul ca ne dam cu o tabara sau alta nu ne avantajeaza cu nimik pentru ca „parerea noastra nu conteaza ” dar se tine cont de ea !

# Windows si Mac in salbaticie

Wednesday, December 19, 2007 9:19 PM by Weblogul lui Zoli

Desi metodologia este mai subtire decat in studiul lui Jeff despre IE si Firefox , cifrele de pe zdnet

Information Cards la wurbe

Publicat pe 8 octombrie 2007 de Zoli Herczeg

Andrei Maxim a avut o prezentare in 4 oct la a doua intalnire a wurbe, despre „Identitate pe Web”. Da, a vorbit despre infocarduri si implementari de aiurea (CardSpace pe Windows+IE, ID Selection Extension pe Windows+Firefox, Java ID Selector pe orice+Java+Firefox sau DigitalMe pe Mac sau SUSE). Imi imaginez ce discutii s-au iscat acolo… fiindca lumea de obicei refuza sa creada ca o chestie atat de cool pe web sa vina de la Microsoft.
Wurbe e un „user group” de web development (si design?), infiintat recent. O initiativa super.
Poate contribuim si noi…

Bafta!

Filed under: Identitate, Interoperabilitate

Fara parola in Windows Live

Publicat pe 28 septembrie 2007 de Zoli Herczeg

Cipi a observat ca logon-ul cu Live ID suporta acum (beta) si information cards. Ceea ce inseamna ca daca aveti Vista sau .NET 3.0, puteti face logon fara parola, folosind identity selectorul numit Windows CardSpace. Exista deja selectoare de identitate si pentru alte platforme. Detalii pe www.identityblog.com (situl lui Kim Cameron), pe msdn, si pe www.netfx3.com.

Cand BillG spunea ca „the password is dead”, se referea la faptul ca smartcard-urile sunt viitorul. Multi l-au injurat atunci, dar de data asta discutia devine foarte foarte serioasa cu information cardurile.

Tehnologia se poate implementa pe orice platforma (se folosesc protocoale standard):

WS-SecurityPolicy pentru descrierea politicilor
WS-MetadataExchange pentru interogarea politicilor
WS-Trust pentru serviciul de security token (STS)
SOAP (decorat cu WS-Security) pentru mesaje
SAML, Kerberos, X509, sau orice altceva pentru security token

Filed under: .NET, Identitate, Beta

SMTP, spam, phishing si fraude bancare

Publicat pe 29 mai 2007 de Zoli Herczeg

Sunt la intalnirea „Cyberthreats 2007” organizat de Institutul Bancar Roman si CIO Council si se vorbeste destul de mult de phishing, in contextul atacurilor recente asupra clientilor unor banci de renume din Romania. As vrea sa subliniez aici expresia ASUPRA CLIENTILOR, deoarece, chiar daca atacurile se folosesc de imaginea bancilor in cauza, ele se concentreaza asupra clientilor, incercand sa-i convinga sa viziteze situri false si sa introduca acolo date personale (nr card, pin, etc). Ceea ce vreau sa spun este ca radacina problemei este simpla: SMTP si faptul ca standardul permite spoofing-ul adresei celui care trimite email. Asta duce la spam, care duce la phishing si de aici e doar un pas pana la fraude banoase.

Daca vrem sa rezolvam problema, atunci nu trebuie sa ne gandim la solutii sofisticate (desi acestea fac deliciul specialistilor in securitate) ci trebuie sa rezolvam problema SMTP-ului. Una din solutii ar fi sa autentificam tot ce misca pe email, lucru care este aproape imposibil azi. O alta solutie, realizabila azi, este sa autentificam serverele de email. Concret, asta se poate realiza cu SenderID, un mecanism simplu, prin care verfiicam (la nivel de servere de email) daca email-ul cu un anumit domeniu in campul „sender” vine intr-adevar de pe unul din serverele care deservesc acel domeniu. Cool!

E nevoie totusi ca tehnologia sa fie adoptata si de furnizorii de internet, care deservesc (cu email) marea masa a utilizatorilor.

Filed under: Securitate, Exchange

# re: SMTP, spam, phishing is fraude bancare

Tuesday, May 29, 2007 1:42 PM by Gabi Citron

SMTP are o extensie numita SPF, din care a evoluat ServerID. Este suportat de majoritatea MTA-urilor, foarte simplu de implementat si totusi nu pare sa fi penetrat pe scara larga. Cred ca ServerID merita toata atentia pentru ca, promovat de Microsoft, va avea o rata de implementare mai buna. Astept ziua cand inregistrarea de mai jos va avea „v=spf2.0″… Wink

microsoft.com. TXT IN 3600 „v=spf1 mx include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com ~all”

# 1.ooo.ooo euro! Sînt bogat!

Tuesday, May 29, 2007 4:32 PM by Adrian Munteanu – Jurnal de optimist

Poate or fi citit băieţii ultimul post al lui Zoly …şi s-au grăbit cu mailul… DAYZERS NEDERLAND:

Monica a ajuns pe Channel 9

Publicat pe 25 mai 2007 de Zoli Herczeg

Din ciclul „Women in Technology” :), puteti sa o urmariti pe Monica Ene-Pietrosanu, fosta noastra colega de departament, actualmente team lead la centrul de suport. Pentru cine nu o stie, detine un doctarat in criptografie, a lucrat 8 ani in Redmond la PKI, EFS etc.

Filed under: Securitate

# re: Monica a ajuns pe C9

Sunday, May 27, 2007 11:27 AM by AISBERG

Zoli, noi deja am vazut filmuletul 🙂

Vineri, a fost premiera 😛

# re: Monica a ajuns pe C9

Sunday, May 27, 2007 10:03 PM by MrSmersh

Intr-un fel e pacat ca a schimbat departamentul, impresia mea e ca lucram foarte bine cu ea…

Dar e o avansare :). Oricum foarte interesnat partea cu phd in criptografie, tare as vrea sa vad teza.

Imagini fierbinti cu Britney Spears sau Windows Update?

Publicat pe 4 aprilie 2007 de Zoli Herczeg

Ce preferati? Eu zic sa va stapaniti curiozitatea si sa alegeti Windows Update. Ieri s-a postat un buletin de securitate out-of-band, care corecteaza un numar de 7 bug-uri din care cel care se refera la .ani (cursoare animate) este CRITIC (remote code execution) pentru toate versiunile de Windows (inclusiv Vista) si mai mult, este exploatat in mod activ in internet (atacatorii urmaresc sa instaleze un rootkit si sa transforme masina atacata in zombie, parte dintr-un botnet). Asta e motivul pentru care s-a emis buletinul mai devreme (in mod normal, emitem buletine in a doua marti a fiecarei luni).

Ufff…

Filed under: Securitate

# 24 de postari pierdute + comentariile

Sunday, November 30, 2008 12:30 PM by Weblogul lui Zoli

Asta dupa caderea de saptamana trecuta: doua discuri crapate simultan, plus backup (numai) din februarie.

Un milion de încercări de phishing pe săptămână

Publicat pe 8 februarie 2007 de Zoli Herczeg

Atât oprește Phishing Filter-ul din IE7. De la lansarea lui în octombrie, Internet Explorer 7 a blocat mai mult de 10 milioane de încercări de phishing. Informația asta e de actualitate acum, când la conferința RSA din San Francisco s-a anunțat suportul pentru Extended Validation SSL Certificates în IE7. Un pas important către un internet mai verde.

Filed under: Internet Explorer

# re: Un milion de încercări de phishing pe săptămână

Thursday, February 08, 2007 4:15 PM by MrSmersh

Sper ca esti ferm convins ca mai mult o sa se vorbeasca de cite nu a oprit decit de cite a oprit 🙂 Ca de, pe unii nicicum nu poti sa ii multumesti… BTW ai vazut catzavencu iara?

# re: Un milion de încercări de phishing pe săptămână

Thursday, February 08, 2007 5:43 PM by zoltanhe

Comparativ cu alte filtre, stăm foarte bine și la rata de reușita și la rata de „false positives”.

Ce mai scrie la ziar?

# re: Un milion de încercări de phishing pe săptămână

Thursday, February 08, 2007 6:15 PM by MrSmersh

De vizita lui Bill, de decoratiile primite = slugarnicie, piraterie si normal Linux e mai bun etc… Nenea care scrie articolele ii apreciez si repect pasiunea pentru Linux, da sa o mai lase mai moale.

Ca Bill a capatat decoratii, merite are: capitalistul nr 1 al planetei (arestat si banuit numai pentru depasiri de viteza :)), filantrop nr 1 al planetei, si a avut (si are) o influenta tehnica incontenstabila. Nu cred ca comparatiile facute in articol au vreun merit…

Si vorba aia daca judeci Linuxu dupa sustinatori nu l-ai mai instala de loc, ca cine stie, face graffiti-uri pe colegii de rack 🙂 sau le ocupa bandwidth-u ca sint monopolisti capitalisti sau…

Si da preturile Microsoft sint citeodata (si cu ajutorul distribuitorilor) cam „over the top”, dar tot gasesti o cale legala sau o solutie tehnica… Nimeni nu e intr-o profesie numai de amorul artei, pina si Linus Torvald mai e si platit ca programator. Deci da e frumos sa dai ceva pe un program/serviciu, altcumva nici noi nu am rezista…

Si aici nu o sa fii de acord cu mine, exista si aplicatii la care sa folosesti Linuxu e mai bine/avantajos :), si daca vrei altceva nu inseamna neaparat ca e mai bun ci ca e mai potrivit la ce ai nevoie.

# re: Un milion de încercări de phishing pe săptămână

Friday, February 09, 2007 8:45 AM by zoltanhe

Știi ce nu înțeleg eu? De câte ori aud de „faimoasa rubrică de Linux din Cațavencu”, tot timpul aud că lovește (pueril) in MS și produsele ei… Chiar nu găsește nimic interesant cu ce să se „fălească”? Na, că îi mai dau și idei. Când mă întâlnesc cu el, trebuie să-i spun să-mi de-a o bere.

Una peste alta, până acum nu se ridică la nivelul cititorului de Cațavencu.

Mă aștept să văd și articole despre:

– PostgreSQL, care e muuult mai secure decât Oracle Unpatchable

– Consultanța SNS, care e mult mai profesională decât IBM Global Services

– Compiere care e mult mai eficient decât SAP

– Recipientele de polietilenă (PET) care sunt mult mai… ecologice(?!) decât TetraPak

– și alte chestii cool la adresa marilor corporatiști, (extrapolez din primul articol) „producători de Dacii vechi și scumpe”.

# re: Un milion de încercări de phishing pe săptămână

Friday, February 09, 2007 10:09 AM by MrSmersh

Postgre! Postgre!

Aici ai atins o coarda sensibila, la toti care vor MySql eu le zic daca vreti open source zic Postgre, se comporta ca o baza de date adevarata. Si mere bine si .N(i)et cu el si e (daca vrei) si pe Windows. Drivere si .Net provideri cam ciudate da in rest e OK.

Si daca tot sintem aici daca ar fi dupa cum imi place mie la alegerea de baze de date lista ar fi SQL Server, Postgre, Oracle, DB2 Universal si apoi AS400… Imi principal ma refer la cit de usor de folosit, cit intuitiva e baza de date si curat SQL-ul ca limbaj. BTW: Atentie Microsoft la inflatia de tipuri exotice, care de care mai ciudate cu modificatori etc, vreo (max) 7 de baza clare ajung. Secure, no fiecare e cu buba lui, da ma laud, am reusit sa fac sa crape un AS400 complet(stil ecran albastru, sa fim politici corect, ca la screen saver de la Microsoft WinInternals :))numai rulind un test al database abstraction layerului la care lucram.

Si Oracle, IBM, Apple etc, toti au apucaturi de corporatii mari pe linga care (in general) Microsoft e mic copil, si folosesc Linux si Unix ca arme in politica concurentei mai mult decit in concurenta tehnica propriu-zisa.

End (l)useru e rege :), lasati-l pe el sa hotareasca, nu il mai aburiti atita!

Cu Andrei (Ignat) mai vorbeam sa incercam sa vedem poate vedem cum sa scriem si ceva de Windows ca sa echilibram balanta cu „faimoasa rubrică de Linux din Cațavencu”. Sa vedem poate ne pica o idee cum.