Messages posted by: lamer

Bản thảo (khác bản in ở một vài lỗi chính tả và thiết kế sách, nội dung thì không khác gì lắm) của sách vừa được tải lên tại địa chỉ chính. Hy vọng nhiều bạn sẽ có điều kiện tham khảo.

http://www.bluemoon.com.vn/books/8935048992197.html

Về lý thuyết mà nói thì ví dụ này không đáng để giải.

Giả sử CPU là 3 GHz, tức là 3 tỷ xung nhịp một giây.

Giả sử trung bình một lệnh mã máy tốn 3 xung. Tức với CPU như vậy thì sẽ chạy được 1 tỷ lệnh máy trong một giây.

Giả sử một lệnh Python tương đương 10 nghìn lệnh mã máy (10000 là quá sức tưởng tượng rồi). Tức là sẽ chạy được 100 nghìn lệnh Python trong một giây, hay nói cách khác là 100 lệnh trong một milli giây (ms).

Phép so sánh hai ký tự không thể tốn hơn 10 lệnh được (vài lệnh LOAD, COMPARE_OP, và JUMP_IF_FALSE...), tức là chạy được ít nhất 10 lệnh so sánh trong một milli giây. Tức là trong một milli giây đã có thể thực hiện xong toàn bộ việc so sánh kết quả (8 ký tự?).

Vậy thì, sự khác biệt giữa kết quả đúng, và kết quả sai là ở chỗ nào?

Nói như vậy không có nghĩa là không thể giải được. Rõ ràng là trong đoạn mã kiểm tra đã có sự chênh lệch giữa dữ liệu đúng và dữ liệu sai, nhưng để đo được sự chênh lệch đó cần nhiều yếu tố khác ngoài yếu tố kỹ thuật, chẳng hạn như sự kiên nhẫn và... may mắn smilie

.

Đối với mình, những bài đánh đố như thế này chỉ mang tính chất thủ thuật, hơn là giải thuật. Và mình cũng mong được ai đó (chẳng hạn như chính tác giả?) chỉ mình biết cách giải khoa học.

freakmind wrote:

Code:

for (i = 0; i < sizeof(secret_passwd); i++) {
result &= (s[i] == secret_passwd[i]);
}
return result;

Khi đã nói về side channel tức là ta đang nói về cách hiện thức hoá cụ thể của một vấn đề. Mà nhìn vào đoạn code này thì tính đúng đắn, 0 hay 1, của hiện thực không còn nữa.

Giả sử như result là 0 ngay từ đầu thì hàm này trả về cái gì? Đó là chưa kể đến việc có thể bị SEGFAULT vì truy cập vào vùng nhớ chưa xác định trong trường hợp chuỗi s ngắn hơn secret_passwd. Nhưng mà về vấn đề đang bàn ở đây là code vậy được rồi smilie

.

Chủ thớt viết thử đoạn mã so sánh hai chuỗi đi.

truyennxt wrote:

Mình chỉ biết là như vậy, và "theo mình nghĩ" thì khi một lệnh A được gửi đi rồi "chờ" phản hồi lại thì attacker sẽ lợi dụng thời điểm đó để có thể "can thiệp" rồi gửi phản hồi "giả". Cộng thêm có thể "chặn" phản hồi "thật".

Đây là định nghĩa của "active attack".

"Side-channel attack", như freakmind diễn đạt, là

freakmind wrote:

kiểu attack mà dựa vào những yếu tố "bên lề" chứ không dựa vào lỗi trực tiếp của hệ thống.

Tưởng tượng như muốn đi tìm hiểu thông tin về bạn gái mà không dám hỏi trực tiếp bạn gái thì chúng ta đi theo họ quan sát họ làm cái gì, hay hỏi han hàng xóm của bạn gái. Những thông tin thu thập được dĩ nhiên là không đảm bảo hoàn toàn chính xác vì nó không phải là thông tin do chính người bạn gái cho ta biết, nhưng tỷ lệ đúng của nó đủ cao để ta có thể tin vào chúng.

Ví dụ (hơi phi thật tế) của WinDak thể hiện rõ sự khác biệt giữa hai luồng thực thi của dữ liệu đúng, và dữ liệu sai. Chính vì vậy, hầu hết những người lập trình kinh nghiệm sẽ không dùng hàm strcmp() để so sánh password với nhau mà sẽ phải sử dụng một hàm tự viết để đảm bảo rằng kết quả của việc so sánh không làm lộ thông tin về dữ liệu so sánh.

Chủ chủ đề có muốn tự viết ra một đoạn mã so sánh chuỗi như vậy rồi cùng thảo luận tiếp không?

Câu hỏi gốc đâu phải làm thế nào để "tháo gỡ".

Câu hỏi gốc là làm sao để "mã hoá" được như vậy.

Vậy thì sao "gi" lại là "gi" mà không phải là "g" và "i"?

Mã hóa xong giải mã ra khác hẳn nhau (Ngựa Gióng NGỰA GIÓNG ngựa gióng như trong ví dụ) thì làm sao mà xài được đây?

Vả lại, hình như thiếu mất phụ âm "qu" thì phải? Hay là quân được hiểu là phụ âm q và vần uân?

http://www.microsoft.com/downloads/details.aspx?FamilyID=7d8e6144-8276-4a62-a4c8-7af77c06b7ac&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=0baff8e8-ab17-4e82-a1ff-7bf8d709d9fb&displaylang=en

Hoặc dùng bản Express cũng được. Miễn phí.

Nhưng rõ ràng là Leopard không có Visual Studio, chỉ có Xcode tương tự như Visual Studio thôi.

http://www.bkav.com.vn/tin_tuc_noi_bat/27/03/2009/2/2189/

http://www.itbusinessedge.com/cm/community/news/sec/blog/over-a-third-of-security-suites-fail-virus-bulletin-test-on-windows-vista/?cs=42767

Câu cuối cùng:

Microsoft's free security suite, Microsoft Security Essentials, achieved the VB100 award.

Ba từ khoá quan trọng "Microsoft", "free" "VB100".

nhuhoang wrote:

ko có client nào kết nối

nhuhoang wrote:

Rình rập một chú “cừu non” đi lạc

Sao khó hiểu quá vậy?

Không phải là forum nhưng những trang này có nhiều sản phẩm hay.

pocoo.org

pylonshq.com

plone.org

thaihoang210 wrote:

Ở hn có chỗ nào bán không các anh chỉ cho em với?

Ở Hà Nội bạn gọi điện cho anh Việt (số điện thoại ở các trang trước) để mua sách nhé.

Ở Thành Phố thì các bạn vui lòng ra nhà sách Phước Long địa chỉ đã có ở các bài trên nhé.

Mình đọc đề 3 lần rồi mà vẫn chưa hiểu mục đích là làm cái gì.

Tìm chu trình có trọng số nhỏ nhất, hay tìm tất cả chu trình trong đồ thị.

Ví dụ như nếu có hai chu trình xuất phát từ đỉnh 2 kết thúc tại đỉnh 2 và có trọng số là 5, và 8. Thì sẽ xuất ra chu trình có trọng số 5, 8 hay cả hai chu trình đó?

Trong bài viết Đạo đức nghiên cứu lỗ hổng bảo mật http://www.bluemoon.com.vn/articles/the.ethics.of.vulnerability.research.html), Bruce có viết:

Các kỹ sư an ninh nhìn thế giới khác với những kỹ sư khác. Thay vì chú trọng vào vấn đề làm sao các hệ thống hoạt động, họ tập trung vào vấn đề làm sao các hệ thống hư hại, bị làm hư hại, và làm sao để phòng--hay chống--những hư hại đó. Đa số các lỗi bảo mật phần mềm không bao giờ xuất hiện trong quá trình hoạt động thông thường, chỉ xuất hiện khi có kẻ cố tình tận dụng chúng. Cho nên các kỹ sư an ninh cần phải suy nghĩ như những kẻ phá hoại này.

Bạn nào có điều kiện thì nên NGHIÊM TÚC XEM XÉT việc đăng ký học.

Trường này thuộc hàng đầu THẾ GIỚI chứ không chỉ Trung Quốc!

Mô hình TCP/IP cũng "thắng" mô hình OSI ở chỗ nó được sử dụng cho Internet. Còn OSI thì chỉ dừng lại ở bàn giấy.

Python đúng là rất có lợi. Điểm mạnh nhất của Python là ở chỗ nó giúp bạn đạt được điều mình cần thực hiện trong một khoảng thời gian ngắn nhất. Tiền có thể kiếm ra, nhưng thời gian thì không bao giờ kiếm ra được, và Python giúp bạn tiết kiệm nhất nhiều thời gian! Rất, rất nhiều.

So với Java, hay C++ thì Python thuận tiện trong việc sử dụng hơn. Nhưng Python không đi sâu xuống mức hợp ngữ như C++ được.

Nếu bạn ở đâu đó gần công viên phần mềm Quang Trung thì hãy cố gắng đi tham dự hội thảo GNOME Asia. Tại đó có một bài trình bày về các nét chính của Python.

Ở TPHCM và Hà Nội vẫn còn sách nhé các bạn. Theo các địa chỉ và số điện thoại mình đã gửi nhé.

Có lẽ phải nhờ bạn bè mua giúp rồi gửi ra Nha Trang đó kiki9999.

baothu wrote:

hix,đỡ hơn mấy bác là ở HN còn chả có cuốn nào (

Các bạn ở Hà Nội gọi điện theo số 090-426-9724 gặp anh Việt để mua sách nhé.

bolzano_1989 wrote:

Hiện giờ còn 1 cuốn ở Kios Bách Khoa.

Em mới vừa mua về xong. Lúc vô hỏi tựa sách, không chị bán hàng nào biết quyển "Nghệ Thuật Tận Dụng Lỗi Phần Mềm", ai cũng bảo ở đây không có quyển đó. Hơi nghi ngờ, em dò mấy kệ sách liền thì mới thấy, nó nằm liền dưới quyển "Tổng hợp kiến thức tin học căn bản cho mọi người" ở kệ sách Tin Học. Suýt nữa là em bỏ về giống anh xnohat rồi .

Cám ơn em chia sẻ kinh nghiệm tìm sách.

Lần sau hỏi sách thì hỏi sách ốc sên. Người ta nhìn cái bìa có con ốc sên dễ nhớ hơn là cái tên vô nghĩa của sách.

Tại Ki-ốt 61, 62, 63 Đại học Bách Khoa TPHCM trên đường Tô Hiến Thành cũng có bán sách này nữa.

xnohat wrote:

@Lamer: mình ra đấy kiếm rồi, họ bảo ... hết rồi T_T.

Mình vừa đội mưa đội gió đi đến nhà sách Phước Long 178 Đỗ Xuân Hợp quận 09 để xem qua một lần nữa.

Kết quả là vẫn còn sách trên kệ Tin học.

Hôm qua mình đã gửi ra Hà Nội thêm 100 quyển sách này.

Khoảng đầu tuần sau các bạn ở Hà Nội có thể mua sách tại người quen của mình. Mình sẽ cập nhật lại địa chỉ cụ thể sau nhé.