Ehm, predstavte si, ze vite, ze identifikatory jsou jen v rozmezi 0 az 1'000'000. Pak vsechny tyhle identifikatory muzete zahashovat (a je uplne jedno jak dobrym hashem) a pak zkouset jenom ty hashe, co vam to vyplivne. Zadne 2^256 moznosti.
Rika se tomu generovani slovniku a pouzivalo se to pro hackovani hashovanych hesel uz v sedmdesatych letech. Presne to je ten duvod, proc se dnes nepouzivaji slovnikova hesla.
Tohle je ovšem vaše teorie, která je v rozporu s tím, co je napsáno v článku. V článku není napsáno, že hash bude SHA-256 hash číselného identifikátoru. Je tam napsáno, že identifikátor bude SHA-256 hash. A Daniel Dočekal v článku píše: „robota se všemi sha-256 kombinacemi může napsat“. „Se všemi SHA-256 kombinacemi“, ne „se všemi SHA-256 hashi možných číselných identifikátorů“.
Vaše verze, že to udělají špatně a budou jednoduše hashovat to číselné ID, je samozřejmě možná, ale nic v článku jí nenaznačuje. Daniel Dočekal ale píše o vyzkoušení všech možností SHA-256, což je právě těch 2256.
Není to veřejný údaj. To, že prohlížeč URL zobrazuje nebo ukládá do historie ničemu nevadí, protože je to pořád jen ten prohlížeč, kterému uživatel důvěřuje. Ostatně hesla prohlížeč také zobrazuje i ukládá. Referrer si musí provozovatel ošetřit, už vznikají i standardy pro to, aby to mohl ošetřit i na straně prohlížeče.
Pozná se to podle toho, zda je to určené ke zveřejnění nebo není… Představte si jako příklad asymetrickou kryptografii. Vygenerujete si dvojici klíčů, a jeden z nich prohlásíte za privátní, druhý za veřejný. Klidně byste to mohl udělat i opačně. Není to obecná vlastnost klíčů (existují klíče soukromé i veřejné), není to ani předem daná vlastnost konkrétního klíče, je to vlastnost, kterou vy klíči přidělíte. Stejně je to s URL – to není předem ani veřejné ani privátní. Pokud na něj odkážete z nějaké veřejné webové stránky, učiníte to URL veřejné. Pokud si v Dropboxu vytvoříte privátní URL k souboru, v Google Calendar privátní URL ke kalendáři nebo v Doodle získáte privátní URL pro administraci ankety, jsou to privátní URL, se kterými tak musíte zacházet a sdělit je jenom těm, kterým chcete daný soubor nebo kalendář zpřístupnit (administraci Doodle ankety obvykle nezpřístupňujete nikomu).
> pokud bude někdo chtít, tak si prostě toho robota se všemi sha-256 kombinacemi může napsat a poslat ho na jejich web.
Ehm, všech 2^256 možností? Good luck, je to víc než je počet atomů vodíku ve viditelném vesmíru.
Nic proti Dočekalovskému stylu žurnalistiky, ale tahle „obscurity“ už JE dostatečně „secure“.