2014-11-02 7:14 GMT+01:00 Kuba Niewiarowski marsjaninzmarsa@gmail.com:
W każdym razie i losowość w browserowym dżejesie ma szanse na poprawę, bo JS uzyskuje dostęp do coraz większej liczby czynników zewnętrznych - są API do przechwytywania dźwięku, dostępu do akcelerometru, wreszcie można kazać użytkownikowi ruszać losowo myszą po ekranie[2], miejsc z którego można uzyskać przyzwoitej jakości szum pojawia się coraz więcej. Racja jednak, że dopóki nie pojawią się API dające dostęp do naprawdę niskopoziomowej pseudolosowości na poziomie jądra, to to wszystko będą półśrodki.
Ale czy serio te półśrodki nie są close enough?
Półśrodki mają to do siebie, że da się ich źle użyć. A skoro czegoś da się źle użyć, to znaczy, że pół świata to zrobi źle (pragnę w tym miejscu zauważyć, że "desktopowych" bibliotek do kryptografii również to dotyczy…). Zbieranie entropii czy implementacja algorytmów kryptograficznych to nie jest problem który powinien być rozwiązywany w "aplikacjach końcowych".
I trochę zbaczając z tematu: przez zadowalanie się "close enough" czy "good enough" mamy kernelowe api które nie dotykają sprzętu i zawierają "maybe" i/lub "probably" w dokumentacji zachowania. Żeby daleko nie szukać, epoll(7).
Serio to nie jest już wystarczająco trudne do złamania?