По поводу статьи в ][ “Неслучайные числа”

XA-119Недавно на сайте журнала “Хакер” увидел анонс нового выпуска. Одна из статей имела до боли знакомое название – “Неслучайные числа. Взлом генератора случайных чисел – ultimate-баг движка PHP“. Постоянные читатели моего блога, которые еще не видели эту статью, думаю, догадываются, о чем там ведется речь. Журнал я покупаю время от времени, в основном, чтобы почитать действительно стоящие статьи (обычно одна-две за полгода). В этот раз мой поход в близлежащий киоск был вызван интересом исключительно к данной статье – анонсы остальных публикаций меня не радовали, особенно “Юморим по-хакерски. Ломаем Радио Юмор FM“, автора и примерное содержание которой я мог предположить наперед (кто читал хотя бы пару выпусков журанала за последние 2 года меня сразу поймет =)). Автором статьи, к моему удивлению, оказался Маг, хотя сначала я думал, что это будет Элект, с которым мы обменивались опытом и информацией по поводу генераторов случайных чисел и усечению данных в MySQL. Тем не менее, статья мне понравилась, правда она мне показалась не очень доходчивой. Во всяком случае, мне пришлось бы не один раз перечитывать всю статью от начала до конца, чтобы вникнуть в суть дела, если бы не провел собственное исследование. Возможно формат журнала помешал Магу уместить все мысли в рамках одной статьи, а может просто сам характер материала, о котором всему миру поведал Стефан, довольно сложен для осмысления =). Еще одни момент, который я хотел бы отметить, – это недостаточная стилистическая обработка текста. Впрочем, для статей в рубрике “Взлом” это не так уж и важно, хотя для любителей рассказать историю одной скули – это один из основных компонентов, если автор рассчитывает получить одобрение на публикацию =). Среди фактических ошибок обнаружил лишь одну: в описании особенностей функции rand() не сказано про то, что они актуальны только для win32. Наверное, автор не заметил мой маленький апдейт статьи =). В целом, статья неплохая. Спасибо Магу за врезку в статье с кучей ссылок на мой блог =). Кстати, такая статья могла бы появиться намного раньше, ведь Стефан впервые описал подобного рода уязвимость в PunBB еще в феврале 2008 года. Что еще более удивительно, это эксплоит, появившийся вслед за advisory на следующий день и написанный совершенно другим человеком.


Posted

in

by

Tags:

Comments

8 responses to “По поводу статьи в ][ “Неслучайные числа””

  1. Mag Avatar

    =) респект тебе, ибо постоянно читаю твой блог

  2. Corwin Avatar
    Corwin

    ты бы поосторожней с постами в блоге, а то ненароком у стройкова появится еще тем на десяток хек ст0тей = )

  3. Izzet Avatar
    Izzet

    вопросик возник: что поменяется, если в функции rand задается диапазон? н.р. rand(5,10). Можно ли в этом случае угадать следующее псевдослучайное число?

  4. Raz0r Avatar

    @Corwin
    тссссс… а то он увидит… =)

    @Izzet
    в этом случае вновь сгенерированное число, к сожалению, не станет сидом для следующего, если конечно имеется в виду win32.

  5. touzoku Avatar

    Сто лет уже не покупал “Хакер”, купил как раз из-за этой статьи, ибо читал ее уже в твоем блоге, интересно стало что же напишут в журнале.

  6. Maxkon Avatar

    Мда. Я, признаться, уже и не надеялся, что в Хакере напишут что-нибудь стоящее. Уже давно журнал превратился в желтую газетку для школьников, бредящих романтикой взлома.
    Рад, что ошибался.

  7. Kerny Avatar
    Kerny

    http://www.xakep.ru/post/46579/default.asp?page=3
    вы про эту статью????
    это гавно полное про скулю….

  8. Spider Agent Avatar

    В журнале не читал – ток слушал про нее от другов, но не жалею как-то. Помоему, тут вариант стати в разы получше будет. Сэнкс

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.