Re: [Hackmeeting] opinioni su crypto.cat?

このメッセージを削除

このメッセージに返信
著者: Giuseppe .
日付:  
To: hackmeeting
題目: Re: [Hackmeeting] opinioni su crypto.cat?
2015-09-04 19:49 GMT+02:00 lobo <lobo@???>:
> non sono un esperto a riguardo ma mi pare che math.random() non sia una fonte di entropia "buona"


Questo pero' non ha nulla a che fare con javascript. `Math.random` non
e' cryptosicura, ma come non lo e' nemmeno `random` in glibc [1].

`window.crypto.getRandomValues`[2] e' scritta per essere cryptosicura piuttosto.

Tre talk che io ho trovato interessanti al riguardo:

* "Keeping secrets with javascript", Tim Taubert,
youtube.com/watch?v=yf4m9LdO1zI
* "Why Browser Cryptography Is Bad & How We Can Make It Great", Nadim
Kobeissi, youtube.com/watch?v=r95Apc5riyE
* "Usable Crypto: Introducing miniLock", Nadim Kobeissi, vimeo.com/101237413

Oltre al post "storico" di Matasano sec (~2011) <
https://web.archive.org/web/20110925120934/http://www.matasano.com/articles/javascript-cryptography/

bella!

[1] http://security.stackexchange.com/a/4966/54702
[2] https://developer.mozilla.org/en-US/docs/Web/API/RandomSource/getRandomValues