Más

Hash de gráficos de capa de características


En una aplicación web en la que estoy trabajando actualmente, algunos de los datos del servicio GIS son incorrectos. Por ejemplo, puede haber varios polígonos que deberían ser un gráfico singular, pero en cambio, cada uno es su propio gráfico individual. Entonces, lo que estoy haciendo ahora es crear una llamada hash GraphicHash que está codificada por el nombre de cada gráfico en el atributo.

A partir de ahí, obtengo cada gráfico y hago una unión en sus extensiones.

var GraphicHash = {}; // hash para todos los gráficos var ctr = 0; // contador de colisiones var zoom_change = false; // genera el hash con clave en REC_AREA_NAME, si hay colisión, luego agrega un número al final recLayer.on ("graphic-add", function (evt) {if (zoom_change == false) {var cur_graphic = toIDCase (evt .graphic.attributes.REC_AREA_NAME); if (GraphicHash [cur_graphic] == null) {GraphicHash [cur_graphic] = evt.graphic;} else if (GraphicHash [cur_graphic] .attributes.STREET_ADDRESS! = evt.graphic.attributes.STREET_ADDRESS) {GraphicHash [cur_graphic + ctr]; ctr ++;} else {var new_extent = GraphicHash [cur_graphic] .geometry.getExtent (). Union (evt.graphic.geometry.getExtent ()); GraphicHash [cur_graphic] .geometry.getExtent () .update (nueva_extensión);}}});

Sin embargo, después de haber creado ese hash, me gustaría revisar cada gráfico, calcular el centroide y luego mostrarlo en el mapa. Actualmente estoy haciendo lo siguiente:

para (gráfico var en GraphicHash) {var centroid = GraphicHash [gráfico] .geometry.getCentroid (); GraphicHash [gráfico] .setGeometry (centroide); GraphicHash [gráfico] .setSymbol (recSymbol); //graphic_array.push(GraphicHash[graphic]); recLayer.add (GraphicHash [gráfico]); }

Hago esto en el evento "update-end". Sin embargo, en algunos casos obtengo errores donde getCentroid () no es una función y otras veces tengo problemas donde existe un punto para uno de los valores hash, pero parece que no se han incluido otros polígonos que necesitaban ser hash, y esos los polígonos que no tienen hash aparecen en el mapa como polígonos.


El gráfico parece que ya se agregó a la capa, por lo que restablecer una geometría y un símbolo debería funcionar.

No podrá volver a agregar el mismo gráfico.

En su lugar, debe crear una nueva instancia del gráfico en el bucle for.

var g = nuevo gráfico (centroide, recSymbol); recLayer.add (g);

Gestión del rendimiento y mejora de la calidad

Personas sanas externas
Healthy People proporciona objetivos nacionales de 10 años basados ​​en la ciencia para mejorar la salud de todos los estadounidenses. Durante tres décadas, Healthy People ha establecido puntos de referencia y ha monitoreado el progreso a lo largo del tiempo para fomentar la colaboración entre sectores, guiar a las personas hacia la toma de decisiones de salud informadas y medir el impacto de las actividades de prevención.

Clasificaciones y hojas de ruta de salud del condado Externo
Las clasificaciones anuales miden factores de salud vitales, incluidas las tasas de graduación de la escuela secundaria, la obesidad, el tabaquismo, el desempleo, el acceso a alimentos saludables, la calidad del aire y el agua, la desigualdad de ingresos y los nacimientos de adolescentes en casi todos los condados de Estados Unidos. Proporcionan una instantánea de cómo la salud se ve influenciada por el lugar donde vivimos, aprendemos, trabajamos y jugamos.

Acción de movilización hacia la salud comunitaria (MATCH) Externo
Proporciona a las comunidades información confiable y completa sobre su estado de salud actual en forma de las primeras clasificaciones de salud del condado de la nación y los rsquos, que se actualizarán cada año.

Comunitario externo externo
Community Commons es una plataforma interactiva de mapeo, redes y aprendizaje para el movimiento amplio de comunidades y rsquo saludables, sostenibles y habitables. Ofrece una aplicación basada en web que ayuda a los usuarios a visualizar datos de forma interactiva a través de Sistemas de Información Geográfica (SIG).

Espacio de colaboración STLT Notas de campo

Sistemas de información geográfica (M. Eng.)

Aquellos que estén familiarizados con el procesamiento efectivo de datos utilizando sistemas de información de vanguardia pueden elegir entre muchas posibilidades profesionales diferentes en puestos clave en nuestra sociedad. Esto se aplica especialmente para el futuro, ya que las posibilidades de generar y aplicar datos están lejos de agotarse por completo. Al mismo tiempo, está aumentando la demanda de expertos bien capacitados en los sectores público y privado. Independientemente de la industria en la que trabaje, si está interesado en incluir SIG en su entorno de trabajo, puede profundizar sus conocimientos, habilidades y métodos en este programa de maestría integrado en la carrera en Sistemas de Información Geográfica. Los graduados están familiarizados con los conocimientos más recientes en el campo y utilizan métodos científicos de manera interdisciplinaria. Como es el caso de todos los programas de grado en la Universidad de Anhalt, el programa de educación continua se caracteriza por su fuerte orientación práctica: se reconocen los problemas de la vida laboral diaria y se desarrollan soluciones específicas para ellos.

Requisitos

Un título universitario calificado en un programa de licenciatura o diploma con un período de estudio estándar de al menos siete semestres (seis semestres son posibles si se toman módulos adicionales), así como experiencia profesional calificada relacionada con eso, que generalmente dura al menos un año. La admisión se otorga mediante un proceso de selección.

Preguntas técnicas sobre el curso

Preguntas organizativas

Preguntas generales

Notas
Normativas y condiciones
Folleto informativo
Enlaces al Instituto de Información Geográfica y Topografía

Die Investition in einen modern ausgestatteten Laptop (Preiskategorie 800 - 1.000 Euro) erleichtert Ihnen die Studienabläufe, da bspw. die Moodle-Lernplattform nur über das Internet erreichbar ist. Todo el software-Grundausstattung benötigen Sie neben einem aktuellen Windows-Betriebssystem einen Web-Browser sowie gängige Office-Software (Microsoft Office). Zusätzliche Fachsoftware wird als kostenfreie und vollwertige Studentenversion bereitgestellt, die Sie während des Studiums nutzen können.

Bildungsurlaub
In den meisten Bundesländern wird Arbeitnehmerinnen und Arbeitnehmern die Möglichkeit geboten, sich für eine bestimmte Zeit von ihrer Berufstätigkeit freistellen zu lassen, um Gelegenheiten zur Weiterbildung wahrzunehmen. Muere wird als Bildungsurlaub bzw. Bildungsfreistellung bezeichnet. Informieren Sie sich unter: http://www.iwwb.de.

Bildungsprämie
Mit der Bildungsprämie wird die berufliche Weiterbildung vom Staat gefördert. Sie setzt gezielt finanzielle Anreize, um die Weiterbildung bezahlbar zu machen und die individuellen Möglichkeiten im Beruf zu erweitern. Informieren Sie sich unter: http://www.bildungspraemie.info/

Programa de crédito Bildungsk
Durch das Bildungskreditprogramm wird ein zeitlich befristeter, zinsgünstiger Kredit zur Unterstützung von Studierenden angeboten. Informieren Sie sich unter: http://www.bmbf.de

Aufstiegsstipendium
Dieses Programm gibt besonders talentierten Frauen und Männern mit Berufserfahrung einen zusätzlichen finanziellen Anreiz zur Aufnahme eines Hochschulstudiums. Die Aufstiegsstipendien richten sich insbesondere an diejenigen, die ihren Hochschulzugang durch Ausbildung, Fortbildung oder Berufspraxis erworben haben. Weitere Informationen erhalten Sie unter: http://www.bmbf.de/aufstiegsstipendium

Begabtenförderungswerke
Begabte Studierende können ein Stipendium eines der vom BMBF unterstützten Begabtenförderungswerke erhalten. Voraussetzung für die Aufnahme ist neben überdurchschnittlichen Leistungen auch gesellschaftliches Compromiso. Weitere Informationen unter: http://www.stipendiumplus.de/

Alternativa Förder- bzw. Kreditmöglichkeiten
Möglicherweise könnten auch alternativa Förder- bzw. Kreditmöglichkeiten en Frage kommen. Eine entsprechende Übersicht zur Prüfung verschiedener Studienkredite finden Sie unter: http://www.che.de/downloads/CHE_AP_224_Studienkredit_Test_2019.pdf

Stipendiendatenbank
Eine übersichtliche Stipendiendatenbank, die auch vielfältige Angebote anderer Stiftungen wentält, finden Sie unter: http://www.stipendienlotse.de/.

Steuerliche Auswirkungen
Aufwendungen, die aus der Inanspruchnahme eines Darlehens entstehen sowie Lehrgangs-, Prüfungs- und Unterbringungskosten, können beim Lohnsteuerjahresausgleich oder bei der Einkommensteuererklärung als Werbungskosten oder Songesetderadera.

Der Studiengang richtet sich as weiterbildender Studiengang an Berufstätige, die im engeren oder weiteren Umfeld von Geoinformationssystemen arbeiten. Voraussetzungen zur Aufnahme des Studiums sind der Studienabschluss eines mindestens sechssemestrigen Studiums (mente de soltero) sowie ein Jahr Berufstätigkeit.

Im zweiten Semester des Masterstudiengangs Geoinformationssysteme ist eine Sommerschule zu absolvieren. Die Teilnehmer erhalten praxisrelevante Aufgabenstellungen, die entsprechend fachlicher Vorgaben im Team zu bearbeiten sind. Wir empfehlen dazu das GIS-Camp der Hochschule Anhalt, das seit einigen Jahren als interdisziplinäre Veranstaltung erfolgreich durchgeführt wird. Da alle Teilnehmer aus unterschiedlichen Arbeits- und Fachgebieten kommen, ergeben sich hierbei interessante fachübergreifende Betrachtungen sowie ein umfangreicher Erfahrungsaustausch. Fachlicher Höhepunkt ist jeweils das öffentliche Kolloquium zum Camp-Ende, an dem alle Teilnehmerinnen und Teilnehmer ihre Ergebnisse präsentieren werden.

Darüber hinaus dient das Camp auch dazu, sich in einer ungezwungenen Arbeitsatmosphäre und losgelöst vom üblichen Lern- und Berufsalltag kennen zu lernen und auszutauschen. Ausflüge, Streifzüge durch die Natur, Exkursionen und vielfältige sportliche Angebote ergänzen den wissenschaftlichen Tagesabschnitt.

Der Termin des GIS-Camps im Jahr 2020 steht fest und kann somit unkompliziert in die Urlaubsplanung der Familie integriert werden: Die Sommerschule findet von Mitte bis Ende Juli 2020 auf dem Campus in Dessau statt. Nähere Información dazu bitte unter [email protected] erfragen.

Hinter dem Begriff „Geoinformationssysteme“ verbirgt sich here die erweiterte Bedeutung von Computersystemen, die mit Geodaten umgehen. Der Studiengang ist deshalb in different Teilmodule gegliedert, die durch Wahlpflichtmodule zur Spezialisierung auf bestimmte Themen, wie z. B. Geostatistik, Projektmanagement und vieles mehr sowie auf spezielle Anwendungsbereiche, wie z. B. Umwelt oder Kommune, ergänzt werden. Zu den Teilmodulen gehören:

  • Sistema de geoinformación (Grundlagen, Anwendungen, Modellierung, Analyze u. A.)
  • Datenbanken und Geodatenbanken
  • Geodaten (Datenquellen, Erfassungsverfahren, Formate u. A.)
  • Fernerkundung
  • Visualisierung und Kartographie
  • Geodateninfrastrukturen
  • Projektarbeit

Im berufsbegleitenden Studium werden mehr als 90 Prozent der Studieninhalte internetfähig aufbereitet und sind somit orts- und zeitunabhängig nutzbar. Wenige Präsenztermine vor Ort - an der Hochschule bzw. in einem regionalen Studienzentrum - sind aus organisatorischen und rechtlichen Gründen erforderlich. Die Präsenzphasen werden so knapp wie möglich gehalten. Sie dienen der Einführung in die E-Learning-Umgebung, in die jeweiligen Module des Semesters und der Arbeit mit speziellen Geräten oder Fachsoftware. Außerdem müssen in dieser Zeit auch Prüfungen abgelegt werden. Nicht zuletzt lernen Sie sich als Teilnehmer und auch Ihre Online-Tutoren persönlich kennen.

Für Projektaufgaben können Sie alternativa Vorschläge, wie zum Beispiel die Verwendung eigener Daten oder angepasste Aufgabenstellungen, einreichen. Für die Master-Thesis empfehlen wir Ihnen, dass Sie sich Themen aus Ihrem eigenen Tätigkeitsumfeld suchen.

Wir planen bis zu zwei Präsenzphasen pro Semester im Umfang eines verlängerten Wochenendes (Freitag und Sonnabend). Zusätzlich ist noch eine Sommerschule im Umfang von zwei Wochen zu absolvieren.

Bei dem so genannten Blended Learning (Verknüpfung von Präsenzveranstaltungen und virtuellem Lernen auf der Basis neuer Informations- und Kommunikationsmedien), werden den Studierenden über eine Lernplattform im Internet Manuskripte und mit Aufgaben bereitgestellt anmunikationsmedien. Studierende können hier außerdem ihre fertiggestellten Aufgaben einreichen und mit den Lehrenden kommunizieren.

Wenn ein Kurs aktiv ist, sind die Kursbetreuer regelmäßig online erreichbar und beantworten alle Fragen, die über ein Forum oder per E-Mail gestellt werden. Auch die Praxisprojekte sind in Lerngruppen über das Netz bearbeitbar. Wir verstehen die Kommunikation zwischen Teilnehmern und Kursbetreuern, als auch den Teilnehmern untereinander, als ein wesentliches Element für den Lernerfolg.


Solución de seguridad de plataforma de entorno confiable AMI® TruE ™

La solución de seguridad de plataforma de entorno confiable AMI TruE ™ permite la informática confidencial que aísla los datos confidenciales en un enclave de CPU cifrado durante el procesamiento, utilizando Intel® Software Guard Extensions (Intel® SGX) y las bibliotecas de seguridad Intel® para centros de datos (Intel® SecL-DC) que se encuentra en los últimos procesadores Intel® Xeon ™ para permitir un entorno verdaderamente confiable para la informática confidencial y la ejecución segura en la nube.

AMI TruE permite una informática segura, una certificación de cargas de trabajo fácil de implementar y claves de aplicaciones seguras sin comprometer la confidencialidad ni agregar costos. Ofrece una solución de centro de datos integral y segura que es escalable, extensible y está diseñada para aplicaciones de nube a borde. Establece y rastrea los servidores y el estado de cómputo confiable # 8217 en el centro de datos, cumple con las regulaciones de soberanía de datos, ejecuta cargas de trabajo confidenciales en servidores confiables y proporciona medidas de remediación para plataformas no confiables.

AMI TruE ayuda a los centros de datos a proteger las plataformas a lo largo de todo el ciclo de vida de la plataforma, proporcionando seguridad y verificación de firmware de extremo a extremo en todo el centro de datos e integrándose con otras herramientas de gestión y orquestación del centro de datos para proporcionar una visión integral de la seguridad del firmware de la plataforma para todos los servidores en uso . Los ataques a la cadena de suministro se pueden evitar fácilmente al certificar el firmware enviado y la información de hash del software de las nuevas plataformas. Después de la implementación, la validación de la confianza del servidor continúa dando fe de la integridad del firmware y el software que se ejecutan en toda la empresa.


Recuperación de imágenes por teledetección con codificación de funciones profundas de Inception V4 y reducción de dimensionalidad de Largevis

La recuperación de imágenes por teledetección es un medio eficaz para gestionar y compartir datos masivos de imágenes por teledetección. En este artículo, se ha propuesto un método de recuperación de imágenes de detección remota, que adopta Inception V4 como red troncal para extraer las características profundas. Para representar la información visual de bajo nivel de la imagen de teledetección, se extraen y reorganizan los mapas de características generados a partir del primer bloque de reducción de Inception V4 mediante el uso de núcleos convolucionales de 5 × 5. A continuación, se explota VLAD (descriptores de vectores localmente agregados) para codificar las características reorganizadas para obtener un vector de representación de características compacto. El vector está en cascada con las características extraídas de las capas completamente conectadas para formar el vector de características general de la imagen. Para evitar el problema de la “maldición de la dimensionalidad”, se utiliza el método de reducción de la dimensionalidad de Largevis para reducir la dimensionalidad del vector de características de la imagen, mientras se mejora su capacidad discriminativa. El vector de características de dimensionalidad reducida se utiliza para la recuperación de imágenes con LMétrica de medición de distancia 2. Los resultados experimentales en los conjuntos de datos de RS19, UCM y RSSCN7 han demostrado que, en comparación con los métodos existentes, el método propuesto puede obtener un rendimiento de recuperación de última generación.

Esta es una vista previa del contenido de la suscripción, acceda a través de su institución.


Python 3.3+ incluye mksalt en crypt, lo que lo hace mucho más fácil (y más seguro) de usar:

Si no proporciona un argumento a crypt.mksalt (podría aceptar crypt.METHOD_CRYPT,. MD5, SHA256 y SHA512), utilizará el más fuerte disponible.

El ID del hash (número después del primer $) está relacionado con el método utilizado:

  • 1 - & GT MD5
  • 2a - & gt Blowfish (no en glibc de línea principal agregado en algunas distribuciones de Linux)
  • 5 - & gt SHA-256 (desde glibc 2.7)
  • 6 - & gt SHA-512 (desde glibc 2.7)

Te recomiendo que busques qué son las sales y qué tal y, según los comentarios de smallclamgers, la diferencia entre cifrado y hash.

Actualización 1: la cadena producida es adecuada para scripts de sombra y kickstart.
Actualización 2: Advertencia. Si está utilizando una Mac, consulte el comentario sobre el uso de esto en Python en una Mac donde no parece funcionar como se esperaba.

En macOS deberías no use las versiones anteriores, porque Python usa la versión del sistema de crypt () que no se comporta igual y usa encriptación DES insegura. Puede usar esta plataforma independiente de una línea (requiere passlib - instalar con pip3 install passlib):


2 respuestas 2

Si utiliza un algoritmo de cifrado determinista (para que pueda verificar las contraseñas sin la clave privada), básicamente funciona como un hash backtoored. Un atacante podrá utilizar una fuerza bruta o un ataque de diccionario con normalidad.

Un problema obvio con cualquier cifrado reversible es que revela (al menos algo sobre) la longitud de la contraseña. (Por ejemplo, si usa RSA sin procesar, debe decidir cómo manejar contraseñas más largas que el módulo). Con un hash de contraseña real, puede permitir una longitud prácticamente ilimitada sin filtrar nada al respecto si su base de datos está comprometida. Entre otras cosas, esto también puede permitir que un atacante gaste sus recursos en descifrar las contraseñas más cortas sin desperdiciarlas en aquellas que son demasiado fuertes para descifrarlas.

También pierde la oportunidad de usar un hash de contraseña lento y / o duro de memoria. Si bien el cifrado asimétrico suele ser más lento de lo que sería un simple hash criptográfico, no es más lento en muchos órdenes de magnitud como lo permite un hash de contraseña.

Finalmente, hay un único punto de falla (su clave privada) que permite filtrar todas las contraseñas en la base de datos. Si su clave, a pesar de sus precauciones, está comprometida, un ataque puede descifrar todos los hashes. Esto significa que el esquema es al menos teóricamente más débil que el hash de contraseñas que no tiene puerta trasera y, por lo tanto, requiere que cada contraseña sea atacante individualmente.

También recomendaría usar funciones de hash de contraseña establecidas, aunque en lugar de cualquiera de las que menciona SEJPM, recomendaría usar cualquier lenguaje de programación o bibliotecas disponibles que ya sean compatibles. Ya sea bcrypt o scrypt.

Si realmente necesita que la contraseña de texto sin formato sea recuperable, podría almacenar tanto un hash de contraseña seguro como un cifrado de clave pública no determinista normal de la contraseña: $ H (s, p) || E_(p) $. La verificación de la contraseña se realizaría utilizando el hash de contraseña lento y la posible recuperación de la contraseña de texto sin formato se realizaría mediante el descifrado. Las limitaciones con respecto a la longitud de la contraseña y un solo punto de falla que mencioné anteriormente todavía se aplicarían.


8 Respuestas 8

¿Por qué no se usa? Porque es mucho trabajo extra para una ganancia cero. Un sistema así no sería más seguro. Incluso podría ser menos seguro porque da la falsa impresión de ser más seguro, lo que lleva a los usuarios a adoptar prácticas menos seguras (como reutilización de contraseñas, contraseñas de diccionario, etc.).

En teoría, esto no proporciona ninguna seguridad adicional, pero en la práctica se puede utilizar para proteger contra "sitios fraudulentos" que no codifican su contraseña en el servidor.

¿Cómo te protege esto exactamente? Parece que todo lo que quieres hacer es hash de la contraseña hash, lo cual no tiene sentido. Porque la contraseña hash se convertiría en la contraseña.

Hay muchos sitios en Internet que requieren información de inicio de sesión, y la única forma de protegerse contra la reutilización de contraseñas es la "promesa" de que las contraseñas están codificadas en el servidor, lo cual no siempre es cierto.

¿Qué tal no usar la misma contraseña para más de un sitio? La razón por la que los sitios web utilizan el hash de la contraseña en teoría es para evitar el acceso a su cuenta si están comprometidos. Usar la misma contraseña para varios sitios web es simplemente estúpido.

Si usó javascript, todo lo que el "hacker" tendría que hacer es usar el mismo método en las contraseñas hash-hash. Una vez que tenga la información hash, es justo el tiempo que se necesita para calcular la contraseña-> mismo hash en la base de datos que es un factor que impide el acceso a una cuenta.

Porque agregaría poco o ningún valor. El motivo del hash es que si su base de datos es pirateada, el pirata informático no tendría una lista de contraseñas válidas, solo hash. Por tanto, no podían hacerse pasar por ningún usuario. Su sistema no tiene conocimiento de la contraseña.

La seguridad proviene de los certificados SSL más alguna forma de autenticación. Quiero que mis usuarios proporcionen una contraseña para poder calcular el hash a partir de ella.

Además, el algoritmo hash estaría en el servidor en un área más segura. Poniéndolo en el cliente, es bastante fácil obtener el código fuente para Javascript, incluso si sus archivos de scripts de referencia están ocultos.

la mayoría de las respuestas aquí parecen perder completamente el sentido del hash de contraseña del lado del cliente.

la cuestión es no para asegurar el acceso al servidor en el que está iniciando sesión, ya que interceptar un hash no es más seguro que interceptar una contraseña de texto sin formato.

el punto es realmente asegurar la contraseña del usuario, que suele ser mucho más valioso que el acceso de inicio de sesión a un sitio individual, ya que la mayoría de los usuarios reutilizarán su contraseña para varios sitios (no deberían, pero la realidad es que lo hacen, por lo que no debería descartarse).

ssl es excelente para protegerse contra ataques mitm, pero si una aplicación de inicio de sesión se ve comprometida en el servidor, ssl no protegerá a sus usuarios. Si alguien ha obtenido acceso maliciosamente a un servidor web, es probable que pueda interceptar las contraseñas en texto sin formato porque en la mayoría de los casos las contraseñas solo se procesan mediante un script en el servidor. luego, el atacante puede probar esas contraseñas en otros sitios (generalmente más valiosos) con nombres de usuario similares.

la seguridad es defensa en profundidad, y el hash del lado del cliente simplemente agrega otra capa. recuerde que si bien proteger el acceso a su propio sitio es importante, proteger el secreto de las contraseñas de sus usuarios es mucho más importante debido a la reutilización de contraseñas en otros sitios.

La solución es más sencilla que eso. Certificados de cliente. Creo un certificado de cliente en mi máquina. Cuando me registro en un sitio web, hacemos un apretón de manos utilizando mi certificado de cliente y el certificado del servidor.

No se intercambian contraseñas e incluso si alguien piratea la base de datos, todo lo que tendrá es la clave pública de mi certificado de cliente (que debe ser salada y encriptada por el servidor para un nivel adicional de seguridad).

El certificado de cliente puede almacenarse en una tarjeta inteligente (y cargarse en una bóveda segura en línea usando una contraseña maestra).

La belleza de todo esto es que elimina el concepto de phishing. nunca ingresa una contraseña en un sitio web, solo se está comunicando con ese sitio web. Todo lo que obtienen es su clave pública, que es inútil sin una clave privada. La única susceptibilidad es encontrar una colisión durante un apretón de manos y eso solo funcionaría una vez en un solo sitio web.

Microsoft intentó proporcionar algo como esto en Windows con Cardspace y luego lo envió como un estándar abierto. OAuth es algo similar pero se basa en una "parte emisora" intermediada. Por otro lado, las InfoCards pueden ser autoemitidas. Esa es la verdadera solución al problema de las contraseñas. eliminar las contraseñas por completo.

Sin embargo, OAuth es un paso en la dirección correcta.

Definitivamente es posible y, en realidad, no es necesario esperar a que aparezca un sitio web.

Eche un vistazo a SuperGenPass. Es un bookmarklet.

Simplemente reconoce los campos de las contraseñas, concatena lo que escribe con el dominio del sitio web, lo modifica, lo estropea un poco para obtener solo caracteres "admitidos" en la contraseña, y solo entonces se envía su contraseña hash por cable.

Al utilizar el dominio del sitio en el proceso, obtiene una contraseña única por sitio, incluso si siempre reutiliza la misma contraseña.

No es extremadamente seguro (base64-MD5), pero distribuyes perfectamente una implementación basada en sha-2 si lo deseas.

El único inconveniente es si el dominio cambia, en cuyo caso deberá pedirle al sitio web que restablezca su contraseña porque no podrá recuperarla usted mismo. Sin embargo, no sucede a menudo, por lo que lo considero una compensación aceptable.

Me gusta la respuesta de X4u, pero en mi opinión, algo así debería integrarse en el navegador / la especificación html, ya que por el momento es solo la mitad de la respuesta.

Aquí hay un problema que tengo como usuario: no tengo ni idea de si mi contraseña se utilizará con hash en el otro extremo cuando se almacene en la base de datos. Es posible que las líneas entre el servidor y yo estén encriptadas, pero no tengo idea de lo que sucede con mi contraseña una vez que llega al destino; tal vez esté almacenada como texto sin formato. El administrador de la base de datos puede terminar vendiendo la base de datos y, antes de que te des cuenta, todo el mundo conoce tu contraseña.

La mayoría de los usuarios reutilizan las contraseñas. Gente no técnica porque no conocen nada mejor. Gente técnica porque una vez que llegas a la contraseña número 15, la mayoría de la gente no tiene la oportunidad de recordarla a menos que la anote (lo cual todos sabemos que también es una mala idea).

Si Chrome o IE o lo que sea que esté usando pudiera decirme que un cuadro de contraseña se convertirá instantáneamente en un hash del lado del cliente utilizando un sal generado por el servidor y en una caja de arena con la contraseña en sí, entonces sabría que, como usuario, podría reutilizar una contraseña con menos riesgo. Todavía querría los canales encriptados y no quiero que se escuchen escuchas durante la transmisión.

El usuario debe saber que su contraseña ni siquiera está disponible para ser enviada al servidor, solo el hash. En la actualidad, incluso utilizando la solución de X4U, no tienen forma de saber que este es el caso porque no sabe si esa tecnología está en uso.

Creo que es un buen método para usar al crear algo como un framework, CMS, software de foro, etc., donde no controlas los servidores en los que podría estar instalado. Es decir, SÍ, siempre debe recomendar el uso de SSL para inicios de sesión y actividad de inicio de sesión, pero algunos sitios que usan su marco / cms no lo tendrán, por lo que aún podrían beneficiarse de esto.

Como han señalado otros, el beneficio aquí NO es que un ataque MITM no pueda permitir que otra persona inicie sesión en este sitio en particular como usted, sino que ese atacante no podría usar la misma combinación de nombre de usuario / contraseña para inicie sesión posiblemente en docenas de otros sitios en los que podría tener cuentas.

Dicho esquema debe agregarse con una sal aleatoria o con una combinación de sales específicas del sitio y del nombre de usuario, de modo que alguien que obtenga la contraseña no pueda usarla para el mismo nombre de usuario en otros sitios (incluso en sitios que usan el esquema de hash idéntico). ), ni contra otros usuarios del sitio web que puedan tener la misma contraseña.

Otros han sugerido que los usuarios deben crear contraseñas únicas para cada sitio que utilicen o utilizar administradores de contraseñas. Si bien este es un buen consejo en teoría, todos sabemos que es una locura confiar en el mundo real. El porcentaje de usuarios que hacen cualquiera de estas cosas es pequeño y dudo que eso cambie pronto.

Entonces, un hash de contraseña de javascript es lo mínimo que un desarrollador de framework / cms puede hacer para limitar el daño de alguien que intercepta contraseñas en tránsito (lo cual es fácil en las redes wifi en estos días) si tanto el propietario del sitio como los usuarios finales son negligentes sobre seguridad (que probablemente lo sean).


¿Cuál es la mejor herramienta de supervisión de equilibradores de carga del mercado?

Tan importante como abordar el tema "¿Qué es el equilibrio de carga?" La pregunta es saber cuál de las muchas opciones de software de equilibrio de carga de aplicaciones es la más adecuada para su departamento de TI. He incluido una breve lista de algunos de mis favoritos para ayudarlo a acotar su búsqueda. Si bien cada uno de estos balanceadores de carga de aplicaciones es único, todos tienen una cosa en común: ayudarlo a mantenerse lo más eficiente y efectivo posible.

Monitor de rendimiento de red SolarWinds

Network Performance Monitor es una plataforma de monitoreo de red de múltiples proveedores diseñada para proporcionar a los administradores de sistemas información detallada de la red en tiempo real. ¿Se pregunta cómo probar el equilibrio de carga del servidor? Este completo software de monitoreo de red muestra todos sus dispositivos, aplicaciones, redes y proveedores para ayudarlo a llegar rápidamente a la raíz de cualquier problema, incluidos los relacionados con los balanceadores de carga de aplicaciones.

Los equilibradores de carga de aplicaciones que funcionan de manera deficiente provocan interrupciones del servicio intermitentes o ralentizaciones graves. Network Performance Monitor ayuda a mantener a raya estos problemas al equiparlo con las herramientas necesarias para rápidamente aislar la fuente de cualquier problema de equilibrio de carga. Una vez que sepa dónde se origina el problema, puede actuar para resolverlo. Aproveche la prueba gratuita de NPM completamente funcional de 30 días.

Monitor de aplicaciones de amplificador y servidor SolarWinds

Server & amp Application Monitor es otra herramienta del equipo de SolarWinds. Esta plataforma está diseñada para monitorear sus aplicaciones y su infraestructura de soporte, incluidas las que se ejecutan en las instalaciones y en la nube.

A través de la aplicación AppInsight ™ de la herramienta, puede monitorear de cerca sus servicios de información de Internet (IIS) para evaluar las conexiones actuales, publicar solicitudes y recibir solicitudes. Si resulta evidente que el valor es demasiado alto para cualquier servidor IIS, se pueden implementar técnicas adicionales de equilibrio de carga de aplicaciones para ayudar a minimizar la carga en el servidor en cuestión. Puede probarlo usted mismo con una prueba gratuita de 30 días.

Monitor de red Paessler PRTG

PRTG Network Monitor de Paessler es, como su nombre indica, una herramienta diseñada para monitorear su infraestructura de TI y mantenerlo al tanto de los problemas antes de que detengan la productividad. Desde la perspectiva del equilibrador de carga de aplicaciones, esta herramienta se puede utilizar para recopilar y ver datos detallados sobre todos sus equilibradores de carga globales, cortafuegos, servidores web y tráfico, para ayudarlo a mantener la estabilidad del tráfico, garantizar el tiempo de actividad y monitorear el consumo de ancho de banda. Es una plataforma integral, pero su implementación puede resultar costosa para las organizaciones más grandes.


2 respuestas 2

Ethereum usa KECCAK-256. Cabe señalar que no sigue el estándar basado en FIPS-202 (también conocido como SHA-3), que se finalizó en agosto de 2015.

De acuerdo con esto, NIST cambió el relleno a SHA3-256 (M) = KECCAK [512] (M || 01, 256). Esto era diferente del acolchado propuesto por el equipo de Keccak en la versión 3 de la presentación de Keccak SHA-3 (versión final, ganadora). La diferencia son los bits "01" adicionales que se añaden al mensaje. La gente ahora está llamando a la "versión 3 enviada" SHA-3 Keccak hash "Keccak" y al estándar NIST SHA-3 finalizado "SHA-3".

Usando este generador en línea y el compilador en línea Solidity, probé la diferencia entre Keccak-256 y SHA3-256. Hice hash de la palabra pruebas usando Ethereum y los algoritmos de hash 2 SHA3:


Ver el vídeo: Top 4 Dying Programming Languages of 2019. by Clever Programmer (Octubre 2021).