» WinRAR (часть 2)

Still777

Цитата:

насколько высоко вы сами оцениваете криптостойкость шифрования своей программы, особенно начиная с версии 3.93 и до 5.40.

В шифровании RAR этих версий используется AES. Про уязвимости в AES или в его реализации в WinRAR мне ничего не известно. Известный мне метод поиска пароля это перебор. Противостоять ему можно, выбирая пароли от 10 - 12 символов и больше, желательно из больших и маленьких букв.


Цитата:

Это невероятно удобно и ни один другой известный мне архиватор не может похвастаться таким функционалом, но очень хотелось бы знать, не снижается ли криптостойкость из-за такого автоматического метода создания архивов

Криптостойкость созданных архивов не снижается.


Цитата:

может ли человек, сведущий в этой сфере, имея прямой доступ к ПК как-нибудь "взломать" программу и достать пароль из профиля

Легко. WinRAR честно об этом предупреждает при сохранении пароля в профиле. Сохраняйте пароль в профиле, только если уверены, что у злоумышленника нет доступа к данным реестра.


Цитата:

Еще благодаря вашему совету, я научился в начале названия всех своих архивов добавлять нужное слово через Backup/Generate archive name by mask, но не влияет ли вся эта автоматизированность и удобство на криптостойкость зашифрованных архивов?

"Backup/Generate archive name by mask" на криптостойкость не влияет.

d3adb33f

Цитата:

Я теперь пишу про мафф говоря что было бы неплохо чтоб рар конвертил html + folder в maff формат, потому как банального сжатия в зип с переименованием расширения в maff недостаточно, там ещё кое чего нужно.

Это не задача архиватора.

08:56 18-07-2016
Цитата:

Добавлять информацию для быстрого открытия - выбрать Для всех файлов (применимо только к РАР5).

А подробней про эту фичу можно? Какие плюсы/минусы? Сейчас посмотрел в параметрах стоит только для крупных файлов.
Или в каком разделе справки это написано?

regist123
В этом же разделе диалога архивирования нажать Help.

Подскажите куда по умолчанию сохраняются распакованные файлы в windows 8?

Bepa

Цитата:

Подскажите куда по умолчанию сохраняются распакованные файлы в windows 8?

Если речь о распаковке с помощью WinRAR, файлы сохраняются там, куда указал пользователь. Либо в папке, выбранной в диалоге распаковки, либо в папке, указанной в контекстном меню проводника, либо в папке-назначении перетаскивания, либо в текущей папке. Пользователь выбирает и метод распаковки, и, в зависимости от метода, место для распакованных файлов.

Есть, правда, в настройках WinRAR параметр - папка по умолчанию для распакованных файлов. Но по умолчанию она пустая.

Eugene Roshal

Цитата:

Легко. WinRAR честно об этом предупреждает при сохранении пароля в профиле. Сохраняйте пароль в профиле, только если уверены, что у злоумышленника нет доступа к данным реестра

Специально проверил, до версии 5.31 все русскоязычные WinRAR'ы скачанные с rarlab.com при сохранении пароля в профиле просто спрашивают: "Вы действительно хотите сохранить пароль в профиле?" и все, больше никаких предупреждений - проверено на своей версии 5.21(x64) с оф.сайта и только с версии 5.31 winrar предупреждает: "Хранящиеся в профиле пароли не зашифрованы , поэтому их может увидеть любой, у кого есть доступ к вашему компьютеру. Вы действительно хотите сохранить пароль в профиле?"

Still777
Цитата:

я и не знал, что опасно хранить пароль в профил

Хранить любые пароли опасно. Хоть в реестре, хоть в профиле, хоть на бумажке.
А если пароль будет зашифрован - для его расшифровки тоже потребуется пароль.
Обычно его называют мастер-паролем, с помощью него шифруются все пароли в менеджере паролей.
В ВинРАР этого нет, но не факт, что это и нужно...

сейчас менеджеров паролей валом, некоторые даже платные. Лучше все в голове хранить

Если файлы разного размера нужно разбивать на определенное количество частей, вычислить размер части, при котором последний парт будет примерно такой же по весу как и остальные, можно только с калькулятором?)

Still777

А консольный rar с ключами использовать? У вас что, со скриптами отношения как у Мурки с Бобиком? Или вы как один мой знакомый рассуждаете - "Программы должны быть графическими чтобы мышкой и делай что хочешь, а командная строка и прочие страшилки это выдумки злых сисадминов чтобы их с работы не выгнали!".

Добавлено:
saqwe

Думаю плюс-минус километр по оценке сжатия, да и то для конкретного случая.

VictorVG4, не имею опыта работы с консольным rar'ом, буду знакомиться, если там реализована такая возможность о которой я писал выше, то это будет большим плюсом для меня.

VictorVG4

Цитата:

опыта работы с консольным rar'ом, буду знакомиться

Опыта с консольным rar'ом имею немного (но есть, из тех далёких времён... Правда, в случае с архиваторами, больше с arj)
И согласен, в консольном виде (или, как вариант, через командную строку) многие программы, особенно из тех времён, имеют бОльшие возможности. Но! Если не растопыривать пальцы веером, и не представлять себя крутым программером (но только программером. оставшимся в тех же временах), всё же GUI не зря придуман, удобнее. Хотя, в необдуманных случаях, возможностей выбора (или вариантов) поменьше. Но нужно ли?
# В исправлении - исправил только орфографию, не суть дела или мысль.

Still777
нет разницы консольный или нет. Вы не понимаете смысла. Что для того чтобы автоматизировать и не вводить каждый раз вручную надо пароль где-то хранить (помнить). А будет это батник, профиль архивации, листочек прелепленный к экрану монитора уже не имеет значение. Если у человека будет доступ к этому хранилищу паролей (сидеть перед монитором и читать листочек), откроет ваш профиль архивации и в открытом виде увидит ваш пароль, откроет ваш батник и посмотрит с какими ключами вы там запускаете и т.д.

В фаерфоксе есть такая фича, что у каждого профиля выставляется мастер пароль который вводиш единожды, и он открывает доступ ко всем паролям которые в профиле хранятся, удобно и секьюрно, можно и для рара такое сделать.

Still777
вы прям работник секретной конторы судя по описанию. интересно сколько вам платят, что немогут софт купить для нормальный секретной переписки.

Могу посоветовать очень простой и удобный способ хранения паролей в голове, причём очень длинных и динамических в неограниченном колличестве.

итак способ 1:
находите в нете утилиту которая показывает строковой хэш, например SHA512 или ещё ченить экзотическое,
договариваетесь с коллегами из сектора A, что ваше кодовое слово это например слово "улыбок тебе дед макар" или что угодно другое например фамилия начальника отдела. Далее обуславливаетесь что пароль на архив это хэш текста состоящего из: кодовое слово + текущая дата (которую можно посмотреть в свойствах файла когда он был создан)
далее вводите кодовое слово плюc текущую дату в формате 01.12.2016 и вычисляете утилитой хэш текста
"улыбок тебе дед макар01.12.2016" получаете вот такой результат:
4461468a4d409263276c9b90795b56fc9b4ca97be01136835b79c6cd1c086b7f384489ec66c3bad58b9d4d5da8c38b0bb050f0f4a7bf03cd3c94dfbcfbc0bed9
измените дату результат будет другой.

способ 2:
вычисляете хэш из секретного слова + имя ариха, к примеру слово: "птн пнх", имя архива: "секретные материалы.rar" в итоге ваш человек вычисляет пароль по хэшу текста: "птн пнх секретные материалы.rar"
и получает пароль: 7bd6e434c3e2166b5bf63fe4921e86d3cdc1df6975ba9829eee2304beb3ac29d97060f7e083c0dbae041029191fd640de8b1331ef875001417810d8d0300e64e

таким образом в зависимости от имени архива не меняя секретного слова у вас каждый раз будет новый пароль который не надо хранить, записывать и так далее ...

что касается утилиты для вычисления хэша текста, то их полно, даже есть онлайновые, вот к примеру первое, что выдал гугл: _http://www.miniwebtool.com/sha512-hash-generator/


как вы понимаете способ по сути один, просто в разных вариациях, иными словами я хотел показать сам принцип, ну а на базе принципа можно изобретать что-то своё ...

d3adb33f

Цитата:

В фаерфоксе есть такая фича, что у каждого профиля выставляется мастер пароль который вводиш единожды, и он открывает доступ ко всем паролям которые в профиле хранятся, удобно и секьюрно, можно и для рара такое сделать

Вы прям предугадали, я сам хотел написать про мастер-пароль для хранения множества логинов и паролей в одном профиле Firefox, правда там используется 3DES, а не AES, но это тоже очень неплохо и кроме брутфорса Firefox тоже вроде не поддается атаке.

За метод с хэш спасибо.

Still777
Цитата:

как это конкретно делается

Например взять этот bin:784a794c7e4e7b5064525354 из вашего WinRAR.ini, вставить в свой и поглядеть в самом WinRar-е.

Still777

Цитата:

Но даже такой, продуманный способ безопасного использования, не заменит по удобству уже встроненную в WinRAR возможность зашифровать свои пароли от профилей, допустим как в Firefox

Если мы делаем мастер-пароль для профилей, мы также должны сделать его и для диалога "Управление паролями" (password organizer). Иначе это было бы нелогично.

Но мастер-пароль в WinRAR входит в некоторое противоречие с фунцией автоматического завершения частично введенных паролей на основе хранящейся в organizer'е информации. Если эта функция включена, пользователь может ввести только первые буквы, и WinRAR заполнит недостающую часть. Если для пароля задана метка, автозавершение работает для меток, но если метка не задана, оно работает для самих паролей.

Но чтобы автозавершение работало, WinRAR должен знать текст паролей, то есть, мастер пароль придется запрашивать каждый раз при распаковке зашифрованного архива. В том числе и в случае, если пользователь не собирался использовать сохраненный пароль, а хотел ввести другой пароль вручную. То есть, идеального решения я не вижу. Мы должны или:

1. Сделать мастер-пароль в профилях, но не в organizer, что всегда будет вызывать недоуменные вопросы.

2. Отключить автозавершение на основе сохраненных в organizer паролей, что может расстроить пользователей, привыкших к такой функции.

3. Запрашивать мастер пароль для каждого зашифрованного архива, что может помешать пользователям, которые хотели ввести какой-то пароль вручную. Им придется выполнять лишнее действие по отмене запроса мастер пароля.

Другими словами, мастер-пароль ухудшает функцию автозавершения паролей.

В принципе, это можно пережить, и я не исключаю, что когда-нибудь мастер-пароль и будет реализован. Хотя удобен он, только если пользователь хранит в WinRAR множество паролей, которые он не помнит. Иначе если мне все равно надо вводить мастер-пароль, так я могу сразу ввести реальный пароль.

Наверное, такие пользователи есть, но в каком количестве - не знаю.


Цитата:

Очень интересно было бы узнать, по какому алгоритму можно расшифровать и преобразовать этот код в мой тестовый пароль 12345?

Если это интересно, смотрите соответствующий код WinRAR в отладчике. Описывать этот алгоритм я не вижу ни пользы, ни необходимости. Достаточно понимать, что раз при доступе к паролям не запрашивается мастер-пароль, злоумышленник для чтения паролей всегда может проделать те же действия, что и программа.

xChe

Цитата:

Например взять этот bin:784a794c7e4e7b5064525354 из вашего WinRAR.ini

Допустим он взял этот самый бин и вставил себе в профиль, но с помощью этого профиля он сможет ведь только создавать новые зашифрованные архивы, но не открывать их?
Сейчас специально проверил, при открытии запароленных архивов, WinRAR в окошке просит ввести пароль и нет возможности открыть этот архив с помощью профиля (насколько я знаю с помощью профилей с сохраненными паролями можно только создавать зашифрованные архивы, но нельзя открыть их с помощью того же профиля)
Тогда получается какую пользу дает возможность ему (потенциальному злоумышленнику)
создавать зашифрованные архивы, которые он сам же не может открыть?
Как я понимаю, есть какой-то алгоритм расшифровки bin:784a794c7e4e7b5064525354 в исходный пароль 12345 и он довольно простой как можно судить из сообшений Евгения Рошаля.

Still777
Цитата:

Допустим он взял этот самый бин и вставил себе в профиль

Насчёт паролей в профилях не пробовал. Я про сохранённые - по кнопке Password Organize они показываются в явном виде...
Ну наверное можно данные из HKCU\Profiles\0\PasswordWide=bin:784a794c7e4e7b5064525354 подставить в HKCU\Passwords\PE0=bin:784a794c7e4e7b5064525354 а потом смотреть в списке сохранённых паролей.

ЗЫ: Да баловство это всё... Какая вам разница какой там алгоритм?

Still777

На деле идея с мастер-паролем бессмысленна по более простой причине - в большинстве контор люди рассуждают просто "У нас секретов нет, а если есть пусть об этом болит голова у начальства!" и я не раз видел стикеры со списками паролей чуть ли не в сортире. Смешно? Да, но это люди и в основном не профессионалы понимающие сложность алгоритмов и шифров. Бухгалтеры, технологи, секретарши - а для них сам факт наличия пароля уже даёт ощущение безопасности. Вам нужно что-то закрыть серьёзно? Ну раскошельтесь на тот же КРИПТОН или пусть специально для вас напишут контейнер с алфавитом Шенно-Фано переменной длинны и со случайным ключом и не морочьте людям головы.

Те у кого есть действительно секретные данные умеют их скрыть, а вам что список любовниц от жены надо спрятать? Да один чёрт жена узнает их всех по именам, ваши женщины между собой сговорятся и открутят вам всё, что выступает за пределы корпуса ибо нет страшнее врага чем оскорблённая женщина.

И хватит вам тут изображать из себя академика а то заставлю вас разбирать на запчасти соракамерный булев куб под секундомер.

Eugene Roshal
Лично я и все мои знакомые никогда не пользуются функцией password organizer, потому что если пароль при сохранении в профиле хоть как-то кодируется (как я понял слабо), то в менеджере паролей, который появился с 4.00 версии, все пароли буквально на виду и их даже не надо доставать из профиля.
Я даже продолжительное время пользовался старой версией 3.93, именно из-за отсутствия password organizer, из опасения, что могу по невнимательности как-нибудь сохранить свой пароль в открытом виде в этом самом менеджере для паролей.
Хотя я, конечно, не утверждаю, что все согласятся со мной в бесполезности и даже в опасности хранения своих паролей в открытом виде в password organizer
Насколько я знаю, в WinRAR'е профили и password organizer независимы друг от друга, так что возможность поставить мастер пароль именно на профиль (или профили) не затрагивая password organizer только принесла бы ошутимую пользу WinRAR'у и его репутации по части безопасности.
Считаю, что password organizer с его хранением паролей без шифрования в открытом виде, ждет учесть функции добавления электронной подписи, которая была убрана с 5.00 версии.
Хотя , конечно, вам виднее и вам решать


Добавлено:
VictorVG4

Уважаемый, а вы собственно кто такой, чтобы мне что-то заставлять или указывать?
Здесь форум, где все равны, я пишу свои предложения по возможному усовершенствованию безопасности WinRAR и вам не обязательно на них отвечать,
потому что кроме плебейского стиля общения, хамства и досужих фантазий я в них не увидел ни одного дельного совета.

Still777

Цитата:

кроме плебейского стиля общения, хамства и досужих фантазий я в них не увидел ни одного дельного совета.

Вот прежде чем вешать ярлыки сначала справки наведите. Говорят иногда полезно.

Коли мне не то что инженер или техник, а просто лаборант подобную ахинею выдаст - пинком вылетит с работы за профнепригодность а после пусть жалуется хоть в Небесную Канцелярию. С вас, раз вы такой грамотный - математически строгая формулировка теоремы Шеннона-Фано о не взламываемом коде и её обоснование со всеми выкладками и логическое уравнение с анализом временных состояний многоустойчивого триггера Эрла на стол!

P.S.

Как любил говаривать таким как вы профессор Фролов с кафедры МО МИРЭиА "Не хотите отвечать по билетам - будете сдавать в полном объёме курса!". Сами нарвались, вперёд!

VictorVG4
Довольно балаган устраивать. В теме FAR всех разогнал, теперь здесь то же самое? Пожалуйста, не надо. Для самоутверждения есть другие места.
Прошу простить за

DimmY

Цитата:

Для самоутверждения

А оно мне надо? Это пусть молодёжь этим занимается, а мне это не интересно. И про Фар - ты задал там вопрос - тебе ответили и ты используя полученные ответы решил свои задачи. Так в чём там криминал? Ты же не один наш общий знакомый с лингвистикой наперевес.

К сожалению, именно этим ты и занимаешься почти везде. Говорили тебе об этом много раз, но без эффекта. Выходит, интересно. Может, хотя бы сейчас услышишь.

Eugene Roshal
По поводу WinRAR 5.40 Beta-4: Уважаемый Евгений, не могли бы Вы объединить два дистрибутива (32-разрядный и 64-разрядный) в один установщик? И предлагать пользователю при установке, какую версию поставить, если система 64-разрядная?

5.40 beta 4 Eng

Цитата:

1. Bugs fixed:
a) if ZIP archive contained an archive comment shorter than
24 characters, the comment page was not displayed in archive
properties in Windows Explorer;
b) 'WinRAR x *.rar' command crashed if complete .part1.rar,
.part2.rar, ..., .partN.rar volume set was found when expanding
*.rar mask.

Eugene Roshal
Цитата:

мастер-пароль ухудшает функцию автозавершения паролей.

Надо сделать радиобаттоны: 1) использовать автозавершение паролей; 2) использовать мастер-пароль.
И по дефолту чтобы был выбран первый вариант (как в нынешних версиях).

Evaline

Цитата:

По поводу WinRAR 5.40 Beta-4: Уважаемый Евгений, не могли бы Вы объединить два дистрибутива (32-разрядный и 64-разрядный) в один установщик?

Почти вдвое больше нагрузка на сервер. Причем, доля 64-битной версии в скачиваниях понемногу растет, и, вполне вероятно, в будущем только небольшому проценту пользователей потребуется 32-битная версия. А качать ее при объединенном дистрибутиве пришлось бы все равно всем.

Eugene Roshal

Поддержу. У меня по моим проектам похожая статистика. Например по FarUE3 х86 - 8410 скачиваний за два года, по х64 - 1040 скачиваний начиная с 01 июня 2016, по SumatraPDF не скажу - обновление архива совпало со сбоем на сервере и слетели ссылки. Пока по ней статистики ещё нет.