Új hozzászólás Aktív témák
-
Nagy Gábor
tag
Úgy tűnik, visszatérőben a régi, húsz évvel ezelőtti idők, amikor a víruskészítők még nem kitekkel gyárttatták sorozatban ''termékeiket''. Itt egyelőre megint a méret a lényeg, hisz az RFID tag-ek kapacitása általában 1 KB alatt van, amely csak alaposan ''optimalizált'' víruskód fogadására és közvetítésére elegendő.
Rettegni azonban még nem kell, legalábbis egyelőre, mivel - szerencsére - az RFID alkalmazása még nem általános, csak néhány speciális helyen. Igaz, ott alaposan megszívjhaták mind az üzemeltetők, mind az érintett felhasználók.
A magam részéről már előre félek, mi mident fognak még ebből kihozni.dr. Nagy Gábor
-
Jim Tonic
nagyúr
Mondjuk egy ilyen chipnél nekem alapból a biztonság kérdése jutna eszembe. Nem is tudom, mit képzeltek. Azt mondjuk nem tudom, miért kell ennek írhatónak lennie. Miért nem elég csak a leolvashatóság. Mint egy immobilisernél.
[Szerkesztve]Alcohol & calculus don't mix. Never drink & derive.
-
Phix
tag
Ezen én is megakadtam. De szerintem ezt a jó tudósemberek már csak ''továbbgondolták''... Mert az oké, hogy csináltak egy ilyen chipet, az is rendben van, hogy ez csúnya dolgokat tud művelni a rendszerrel (hiszen abba tudnia kell írni, mondjuk, ha egy raktárnyilvántartóra gondolunk). De hogy aztán ez a megfertőzött rendszer bármit is írhatna a többi leolvasott RFID-tagre, háááát... legalábbis kétséges.
[ Jövő héten újabb érdekességekkel jelentkezünk a tudomány és a technika világából ]
-
Nagy Gábor
tag
Irod:
>> Mondjuk egy ilyen chipnél nekem alapból a biztonság kérdése jutna eszembe.
jogosan!
>> Nem is tudom, mit képzeltek. Azt mondjuk nem tudom, miért kell ennek
>> írhatónak lennie. Miért nem elég csak a leolvashatóság. Mint egy
>> immobilisernél.
Nem csupán az a gond, hogy írhatók is (külön elektronika kellene bele, ami alaposan megdrágítaná az alkalmazott elektronikát) az RFID tag-ek, hanem sokfélék, és a fejlődés abba az irányba megy (ez nem feltétlenül sajnálatos), hogy minél nagyobb adatmennyiséget tároljhasson és tudjon átadni a leolvasónak.
Egyetlen dolgot hiányoltam az írásból, méghozzá a forrás megadását, mert ez így valahogy a levegőben lóg. Én némi (kb 5 perc) kereséssel megtaláltam a holland kutatók oldalát, amit melegen ajánlok a figyelmetekbe: [link]
Érdemes beleovasni, magam is sok újat tanultam.
[Szerkesztve]dr. Nagy Gábor
-
Nagy Gábor
tag
Hello Phix!
Írod:
> ...szerintem ezt a jó tudósemberek már csak ''továbbgondolták''...
Nem csupán továbbgondolták, de ellenőrizték is. Sajnos mindaz lehetséges, amit leírtak, és sajnos komoly az esély arra is, hogy ha nem készül fel ellene az iparág, ezzel a lehetőséggel előbb-utóbb valaki vissza is fog élni. Lásd még tételesen bemutatva a ''lehetőségeket'' :
[link] és [link]
Ismerem annyira a VX világot, hogy ne legyek túlzottan optimista.dr. Nagy Gábor
-
Phix
tag
válasz Nagy Gábor #4 üzenetére
Én pedig, ha már voltál ilyen szorgalmas, és megkerested az oldalt, engedelmeddel belinkelném a hírbe. Köszönöm!
[ Jövő héten újabb érdekességekkel jelentkezünk a tudomány és a technika világából ]
-
gejza
csendes tag
Nem az a problema, hogy lehet irni az ic-re!
Vegyetek mar eszre, hogy valamilyen egyedi adatot (pl mint a barcode) tarolni
kell rajta. Egy ilyen beavatkozasnak mindenkinek lehetossegenek kell lennie.
Mi lenne, ha pl az aruhaz lanc nem tudna az adott termekekhez hozzarendelt
azonositot beallitani.
Ami veszelyes, es a cikk nem igazan emelte ki az az, hogy mi tortenik az adott
leolvasott adatokkal.
Vagyis, ha a rendszer az adatokat csak kiolvassa, majd csinal valami osszehasonlitast
pl egy adatbazis egy rekordjaval, igazabol semmi veszely nincs.
Azonban, termeszetesen ha pl valahogy meg lehet oldani a leolvasott adattal pl egy sql injectet, na onnantol kezd veszelyes lenni.
De ez nem az RFID miatt van, hanem amiatt, hogy mit csinalnak a leolvasott adattal. -
tomcs
őstag
oke hogy irhato.. de ennek pontosan egyszer irhatonak kene lennie, kulonben marha nagy gebaszok le7nek...
pl az adatok beirasa utan 1 specialis ''bitet'' is at kell egetni, ami utan mar a tobbinek csak az olvasasa le7seges.
egyebkent nem ertem miert igy csinaljak. ennek elvileg nem kene futtathato kodot tartalmaznia, csak adatokat. vagy legalabbis el nem tudom kepzelni, miert kellene. a leolvaso rendszer kiszedi az adatokat, aztan azokat olyan tablaba rakja, ahova akarja. ehez nem kell kodot tartalmaznia az rfid csipnek.
az viszont - szerintem - tulsagosan amator hiba lenne, ha egyszeruen annyi lenne hogy nem figyeltek pl az adatok formazasara, es egy szabalytalanul (ugyesen szabalytalanul..) kuldott adatra nem azt mondja hogy ''opsz ez nem jo'' hanem szepen nekiall lefuttatni.... -
tomcs
őstag
ooo
sql parancs szerintem boven futtathato kodnak szamit. legalabbis, vmit - eredetileg adatkent - atadsz es a rendszer meg vegrehajtja.
elhiszem hogy kellemetlen dolog, meg sokat kell pocsolodni a kivedesevel, de tudjuk, ha egy kulso eszkozrol, pl egy webes formrol erkezik vmi adat. a form ugy van megirva, hogy a kuldott adat csak 'a', vagy mondjuk 'b' lehet.
ezutan a feldologzo programot ugy irjuk meg, hogy az kaphat akarmilyen inputot, tudja rola hogy az csak adat, es ha sem 'a', sem 'b' akkor meg dob mondjuk egy kivetelt vagy barmi mas modon lekezeli.
feltetelezni hogy a feldolgozo inputjara csak az 'a' vagy csak a 'b' erkezhet meg, szvsz rettenetesen amator hiba.
vagy itt nem ilyesmirol van szo? -
gejza
csendes tag
''vagy itt nem ilyesmirol van szo?''
De pontosan.
Egyedul az adat feldolgozo reszen mulik az egesz.
''sql parancs szerintem boven futtathato kodnak szamit. legalabbis, vmit - eredetileg adatkent - atadsz es a rendszer meg vegrehajtja.''
De szerintem az adat, illetve a hozzafuzott szabvanyos sql parancs az tovabbra sem futtathato kod.
Ugyanarrol beszelunk amugy. Ha a rendszer birka modon vegre hajtja az adott adaton a szokasos (pl) select-et, es ugye az adat egy kicsit tobb mint aminek kene lennie, akkor nem csoda ha szethullik az egesz rendszer. -
tomcs
őstag
abban az ertelemben nem futtathato kod, hogy gepi kodu utasitasokat tartalmaz es az ip szepen lepked rajta, de attol meg odairsz valamit, amit a szever megcsinal. (tehat az en ertelmezesemben igy egy script, vagy egy sql parancs meg boven belefer a futtathato kategoriaba.. mind1)
most ezt nem egeszen ertem, de az oltari nagy baromsagnak tunik, hogy a rendes mukodes soran az atkuldott adathoz olyan sql parancs is tartozzon amit le kell futtatni. tulajdonkeppen az a baj, hogy fogalmam sincs, hol tart pl a rendszer amirol a cikk szol, megis vmi teszt-ize-akarmi aminel mar egyaltalan annak orultek hogy elindult vagy vmi olyan amit mar konkretan hasznalnak vagy hasznalni fognak.
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest