Дуже жаль, що в мої студентські роки не було цього каналу. Якби мені 10 років тому так пояснювали програмування як це робить Віктор - я б був зовсім іншою людиною зараз 😅
Дуже круте відео. Тема складна, не згодний що легка, бо якраз кількістю і якістю нюансів визначається складність. Дякую, що допомогли хоча б частково розібратися
Вивчав криптографію два роки... Відео чудове але воно дійсно концептуальне! Для розуміння більшості речей все ж потрібно хоч раз реалізувати ці алгоритми або хоч поглянути як вони працюють (онлайн з візуалізацією) а ще краще знати модульну математику;) в свій час це було для мене цікаво... але для 95% роботи дійсно достатньо 15 рядочків коду з використанням готових рішень;) дякую!
Привіт, дякую за чудові відео. Пропоную ідею для наступного: Коли потрібно використовувати jwt а коли звичайні сесії, в чому різниця, також можна розповісти про використання jwt refresh token і refresh token rotation, reuse detection)
ще варто додати, що при асиметричному шифруванні ми маємо ліміт на розмір даних - не можна зашифрувати дані довші за сам ключ. З симетричним шифруванням такого ліміту немає і можна шифрувати теоретично не обмежений розмір даних
симетричні алгоритми теж працюють з блоками даних фіксованої довжини, а не з усіма даними одночасно. Теоретично, по такій схемі (розбиваючи на блоки) можна шифрувати і за допомогою асиметрії, але самі асиметричні алгоритми просто повільні і тому на практиці таке не використовують.
Дякуємо за україномовний контент! Між тим, пан би хоч словом обмовився про веселкови таблиці, про FIDO… і взагалі БІЛЬШ ЗВЕРНУВ УВАГУ СОУЗАЧІВ НА БІЛЬШ СУЧАСНИ (стійки) технології, стандарти. Бо саме тому, що використовують це «лайно мамонта», ми щодня бачімо тисячи зламаних сервісів. А в нас на сході ДУЖЕ фаховий ворог, якій не заспокоїться ще десятками років! ---- ПЕРЕМОГА НЕОДМІННО БУДЕ НА БОЦІ УКРАЇНИ ! ВІРТЕ та НАПРЯМУ ДОПОМОГАЙТЕ ЗСУ, ТерОбороні, Волонтерам та родинам наших Украінськіх Захісників та Захісниць!
Дякую! В відео про веселкові таблиці згадував, коли говорив про сіль. Але буде окреме відео про те, як зберігати паролі в базі й там вже в деталях розповім. Дякую за ідею для теми :)
Ох ці українці, тільки б критикувати. Зроби своє відео 😂 а для початківців, щоб взагалі зрозуміти основи основ - все впорядку. Перед тим як літати, треба навчитись ходити 🥴🤓
Коли Віктор заговорив про слона в кімнаті і почав розказувати про доставку публічного ключа, я в цей момент - ну нічого собі, невже мій "казанок" варить як треба...
Хотілось би побачити реальний приклад з ХТТПС за таким сценарієм. Є вебсайт хттпс з сертифікатом (можна селф сігнед), аналізуємо дані що прийшли по ваершарку, тобто беремо дату, сертифікати у нас є, й декодимо. Це реально?
Тут основна проблема, що приватного ключа недостатньо для розшифровки трафіку, оскільки зараз для обміну симетричним ключем використовується алгоритм діффі хеллмана. Тобто навіть, якщо слухати весь трафік й бачити весь процес конекту, то симетричний ключ не передається. Окрім того на кожну сесію він новий. Подумаю як це правильно зробити, але mitm з подміною сертифікатів точно буде в відео про https
Чи можна змінивши час і дату на телефоні згенерувати одноразовий пароль який буде валідним у майбутньому(до прикладу за 2 дні у визначений проміжок часу)?
У випадку TOTP можна, і раніше коли автоматична синхронізація часу на пристрої не була поширена, існувала проблема розсинхронізації часу між сервером та клієнтським пристроєм. Як наслідок код з клієнтського пристрою не співпадав з сервером. Тому часто додається вікно свободи: приймається не лише поточний код, але й кілька минулих та наступних (зазвичай таке вікно роблять від 1 до 5 хв), що компенсує можливу розбіжність між часом серверу (який зазвичай завжди синхронізований) з часом клієнтського пристрою. В нинішній час це рідко є проблемою (лише на пристроях, на яких навмисно вимкнено автоматичну синхронізацію). Також знаючи seed яким ініційовано TOTP алгоритм можна згенерувати код для будь-якого моменту в минулому і майбутньому, і для цього не обовʼязково змінювати час на самому пристрої.
Якщо питання про механізм шарінгу, то це відбувається один раз під час додавання двофакторної аутентифікації. Сайт показує qr код, а з телефона скануєш й в ньому сікрет або можна вручну вести на телефоні сам сікрет, якщо сайт його показує
@@AboutProgrammingможе декілька років, як піде 😂 насправді, це добре, тепер курсів буде недостатньо, треба буде вчитись декілька років з постійною практикою і самовдосконаленням щоб зайти в професію відповідно, буде менше "випадкових" людей
"xor" це "exclusive or" ("виключне або"). Тобто для умови "A xor B" він повертає true якщо або А true, або B true. Якщо обидва true, то xor повертає false (в цьому відмінність від or, й тому це exclusive or). Й відповідно є побітова версія цього оператора, коли порівнюємо просто біти. Ми можемо взяти дві строки й побітово порівнювати їх через xor й на виході отримати нову строку з результатами побітового xor. Це такий спосіб накласти на строку іншу рандому строку й отримати зашифровану строку. Якщо потім на зашифровану строку знову накласти одну з вихідних строк, то отримаємо другу вихідну строку
Видео хорошее и правильное. Но есть одно но. Это все работает без вмешательства ресурсов государств. Ну не все в видео, но многое. Во время войны всякие проги типа Дія опасны. Например Китай. Он имеет кучу оборудования в Украине. Это значит что возможна подмена трафа как между объектами коммуникации так и между сертификационными центрами. Последствия сами понимаете. Это почему в США полным ходом меняется оборудование провайдеров на отечественное. У них гос программа на это.
Все варианты где пользователь не получил приватный ключ физически на флешку или сгенерил у себя на компе и не отдал публичный ключ своему контакту опасны во время войны. Да и в этом случае есть варианты и с течением времени все более опасны. Не буду о них.
Дякую. Але не до кінця розумію в якому контексті йде мова про небезпеку програм типу Дія. Відносно підміни трафу, то шифрування якраз й вирішує цю проблему. Щоб заглянути в https трафік треба підмінити сертифікат, а для цього він має бути підписаний кимось, кому браузер буде довіряти, але браузери сьогодні мають власні списки сертифікатів кореневих центрів сертифікації. Тобто, я би сказав, що навпаки, в таких умовах шифрування стає більш критичним
@@ВудиВулдбекер Так, якщо приватний ключ хтось передав користувачу, то це проблема. Але якщо візьмемо той самий https, то приватний ключ нікому ніколи не передається, підписується лише сертифікат з публічним ключем. Й якщо хтось кудись передає приватний ключ, то це проблема навіть не під час війни. Але згоден, що певні додаткові ризики виникають
Віктор інженерний Uncle який всім потрібен, допомагає розібратися з будь яким питанням в цьому складному світі програмування!)
що не відос - то скарбниця знань, дякую, було дуже корисно і не менш цікаво
Чудове відео, дуже інформативно і корисно! Так тримати, Вікторе!
Дуже цікаво й корисно, взагалі тема безпеки сама по собі крута, хотілось би більше відео про це, якщо можна)
давно ж не було нових відео)
Дуже круте відео і максимально зрозуміла подача. Дякую!
вже додаю це в наш список must watch для девів 😊
Тема супер. Дуже подобається, як розклав все по поличках!)
Це крутяк, ви просто неймовірний, чекаю на нові відео !!!!!
Дуже жаль, що в мої студентські роки не було цього каналу. Якби мені 10 років тому так пояснювали програмування як це робить Віктор - я б був зовсім іншою людиною зараз 😅
Дуже круте відео. Тема складна, не згодний що легка, бо якраз кількістю і якістю нюансів визначається складність. Дякую, що допомогли хоча б частково розібратися
Вивчав криптографію два роки... Відео чудове але воно дійсно концептуальне! Для розуміння більшості речей все ж потрібно хоч раз реалізувати ці алгоритми або хоч поглянути як вони працюють (онлайн з візуалізацією) а ще краще знати модульну математику;) в свій час це було для мене цікаво... але для 95% роботи дійсно достатньо 15 рядочків коду з використанням готових рішень;) дякую!
Віктор, прошу вас записати відео про електронну пошту, дуже подобається ваша подача матеріалу!
Гарна ідея для теми. Дякую!
ох, часом провалював я співбесіди по цій темі, а тут так лаконічно та доступно пояснено, кайф, дякую!
Дуже круте відео, як завжди все дуже лаконічно, періодично передивляюся ваші відео щоб згадати базу)
Привіт, дякую за чудові відео.
Пропоную ідею для наступного:
Коли потрібно використовувати jwt а коли звичайні сесії, в чому різниця, також можна розповісти про використання jwt refresh token і refresh token rotation, reuse detection)
Дуже цікаво розповідаєте, вам варто читати курси.
Лайк на підтримку каналу.
дякую за відос, додам в список для перегляду тіммейтів. Те відчуття коли довго хотів зробити щось подібне, але ви впорались швидше і краще 😊
ура новий відос)
дякую за відео, вподобайка та й коментар для популяризації контенту
Слава Україні!
Дякую! Було цікаво
оо, дуже цікава тема, дякую :) буде кльово щось ще на подобну тематику
Все дуже зрозуміло, супер!
дякую, дуже цікаво!
ще варто додати, що при асиметричному шифруванні ми маємо ліміт на розмір даних - не можна зашифрувати дані довші за сам ключ. З симетричним шифруванням такого ліміту немає і можна шифрувати теоретично не обмежений розмір даних
Шо??))
Що за дурниці ви говорите?
симетричні алгоритми теж працюють з блоками даних фіксованої довжини, а не з усіма даними одночасно. Теоретично, по такій схемі (розбиваючи на блоки) можна шифрувати і за допомогою асиметрії, але самі асиметричні алгоритми просто повільні і тому на практиці таке не використовують.
Дякуємо за україномовний контент!
Між тим, пан би хоч словом обмовився про веселкови таблиці, про FIDO… і взагалі БІЛЬШ ЗВЕРНУВ УВАГУ СОУЗАЧІВ НА БІЛЬШ СУЧАСНИ (стійки) технології, стандарти.
Бо саме тому, що використовують це «лайно мамонта», ми щодня бачімо тисячи зламаних сервісів.
А в нас на сході ДУЖЕ фаховий ворог, якій не заспокоїться ще десятками років!
----
ПЕРЕМОГА НЕОДМІННО БУДЕ НА БОЦІ УКРАЇНИ !
ВІРТЕ та НАПРЯМУ ДОПОМОГАЙТЕ ЗСУ, ТерОбороні, Волонтерам та родинам наших Украінськіх Захісників та Захісниць!
Дякую! В відео про веселкові таблиці згадував, коли говорив про сіль. Але буде окреме відео про те, як зберігати паролі в базі й там вже в деталях розповім. Дякую за ідею для теми :)
Ох ці українці, тільки б критикувати. Зроби своє відео 😂 а для початківців, щоб взагалі зрозуміти основи основ - все впорядку. Перед тим як літати, треба навчитись ходити 🥴🤓
Дяка. Як завжди, супер.
Дуууууууже круте і зрозуміле відео. дякс за контент
особливо шифрування - завжди було дуже цікаво і сама ідея , яка прийшла комусь в голову в минулому просто геніальна(принаймні на сьогоднішній день)
Кльове відео в цілому, але як на мене трохи сумбурне для людей, які не дуже в темі)
Так, трохи є, взагалі планував його на 5 хв, а вийшло 37 :)
Йой тільки думав де взяти контент з шифрування. Ну це лайк і обов'язково перегляд
@@vladcid3938 дякую за лайк. Але в відео по суті база, тому не очікуй якогось хардкора)
@@AboutProgramming та все одна не р@снявий же контент дивитися
@@AboutProgramming ми очікуємо хардкора на цю тему в наступному відео)
Дякую за огляд цікавої теми!
Дякую за контент
Дякую за твою круту роботу❤
Дуже цікава тема, дякую за відео!
Дякую, з цим вже можна починати розбиратись в темі)
Коли Віктор заговорив про слона в кімнаті і почав розказувати про доставку публічного ключа, я в цей момент - ну нічого собі, невже мій "казанок" варить як треба...
Класно зроблено. А от пінгвина я ще не бачив :)
Дякую!
"Якийсь зловмисник, давайте намалюємо чого чорним" 😀
То для контрасту 🙈
Привіт з Кривого Рогу 👋
Хотілось би побачити реальний приклад з ХТТПС за таким сценарієм. Є вебсайт хттпс з сертифікатом (можна селф сігнед), аналізуємо дані що прийшли по ваершарку, тобто беремо дату, сертифікати у нас є, й декодимо. Це реально?
Тут основна проблема, що приватного ключа недостатньо для розшифровки трафіку, оскільки зараз для обміну симетричним ключем використовується алгоритм діффі хеллмана. Тобто навіть, якщо слухати весь трафік й бачити весь процес конекту, то симетричний ключ не передається. Окрім того на кожну сесію він новий. Подумаю як це правильно зробити, але mitm з подміною сертифікатів точно буде в відео про https
Чи можна змінивши час і дату на телефоні згенерувати одноразовий пароль який буде валідним у майбутньому(до прикладу за 2 дні у визначений проміжок часу)?
Круте питання) думаю, що має бути можна, але сам ще перевіряв
У випадку TOTP можна, і раніше коли автоматична синхронізація часу на пристрої не була поширена, існувала проблема розсинхронізації часу між сервером та клієнтським пристроєм. Як наслідок код з клієнтського пристрою не співпадав з сервером. Тому часто додається вікно свободи: приймається не лише поточний код, але й кілька минулих та наступних (зазвичай таке вікно роблять від 1 до 5 хв), що компенсує можливу розбіжність між часом серверу (який зазвичай завжди синхронізований) з часом клієнтського пристрою. В нинішній час це рідко є проблемою (лише на пристроях, на яких навмисно вимкнено автоматичну синхронізацію).
Також знаючи seed яким ініційовано TOTP алгоритм можна згенерувати код для будь-якого моменту в минулому і майбутньому, і для цього не обовʼязково змінювати час на самому пристрої.
в прикладі про гугл аутентифікацію з часом. як один сікрет шариться між клієнтом і сервером?
Так, той самий сікрет
Якщо питання про механізм шарінгу, то це відбувається один раз під час додавання двофакторної аутентифікації. Сайт показує qr код, а з телефона скануєш й в ньому сікрет або можна вручну вести на телефоні сам сікрет, якщо сайт його показує
Mate Academy дійсно крута школа і раніше це працювало
але в наш час є великі сумніви з приводу швидкості знаходження першої роботи
Так, декілька місяців на пошук зараз треба
@@AboutProgrammingможе декілька років, як піде 😂
насправді, це добре, тепер курсів буде недостатньо, треба буде вчитись декілька років з постійною практикою і самовдосконаленням щоб зайти в професію
відповідно, буде менше "випадкових" людей
топчік, дяка
15:31 - це можна трактувати як расизм?😅
Помилився з вибором кольору маркера й канал закенселили 😅
❤❤❤
А що у вас за камера?
Це відео знімав на Fuji X-E4 + об'єктив XC 15-45mm. Всі відео з минулого року робив на iPhone. Фон зробив через зелений екран
тема корисна, продовжуй будь ласка
👍🤝
Що означає "ксорити"?
"xor" це "exclusive or" ("виключне або"). Тобто для умови "A xor B" він повертає true якщо або А true, або B true. Якщо обидва true, то xor повертає false (в цьому відмінність від or, й тому це exclusive or). Й відповідно є побітова версія цього оператора, коли порівнюємо просто біти. Ми можемо взяти дві строки й побітово порівнювати їх через xor й на виході отримати нову строку з результатами побітового xor. Це такий спосіб накласти на строку іншу рандому строку й отримати зашифровану строку. Якщо потім на зашифровану строку знову накласти одну з вихідних строк, то отримаємо другу вихідну строку
Як Ви зробили таке боке?
Якійсь ефект в Gimp)
@@AboutProgramming А що Gimp дозволяє працювати з відео? Чи це chroma key у Вас?
Так, це chromakey + картинка розмита через Gimp. Gimp для відео не вміє такого
0:55 немає посилання на відео, це інформація для автора.
Так поспішав викласти відео, що забув. Дякую! Зараз виправлю
Видео хорошее и правильное. Но есть одно но. Это все работает без вмешательства ресурсов государств. Ну не все в видео, но многое. Во время войны всякие проги типа Дія опасны. Например Китай. Он имеет кучу оборудования в Украине. Это значит что возможна подмена трафа как между объектами коммуникации так и между сертификационными центрами. Последствия сами понимаете. Это почему в США полным ходом меняется оборудование провайдеров на отечественное. У них гос программа на это.
Все варианты где пользователь не получил приватный ключ физически на флешку или сгенерил у себя на компе и не отдал публичный ключ своему контакту опасны во время войны. Да и в этом случае есть варианты и с течением времени все более опасны. Не буду о них.
Дякую. Але не до кінця розумію в якому контексті йде мова про небезпеку програм типу Дія. Відносно підміни трафу, то шифрування якраз й вирішує цю проблему. Щоб заглянути в https трафік треба підмінити сертифікат, а для цього він має бути підписаний кимось, кому браузер буде довіряти, але браузери сьогодні мають власні списки сертифікатів кореневих центрів сертифікації. Тобто, я би сказав, що навпаки, в таких умовах шифрування стає більш критичним
Не все так безопасно как кажется. Если нужны сервера, которые ломают хттпс траф в пределах компании то могу дать контакты. Тут объяснять тяжко.
@@ВудиВулдбекер Так, якщо приватний ключ хтось передав користувачу, то це проблема. Але якщо візьмемо той самий https, то приватний ключ нікому ніколи не передається, підписується лише сертифікат з публічним ключем. Й якщо хтось кудись передає приватний ключ, то це проблема навіть не під час війни. Але згоден, що певні додаткові ризики виникають
Да, приватный передавать нельзя. Это я написал старый метод наших банков. Приходишь с флешкой, они генерят ключи и приватный типа у себя не сохраняют.
Мало щось знати, ще треба вміти донести думку... У автора з цим проблеми.
А з розумінням чого саме виникають складнощі? Можливо є конкретно якісь аспекти, де було незрозуміло?