Door karma4: http://www.gnu.org/software/libc/manual/html_node/crypt.html
Ik heb geen precieze tijdlijn paraat, maar de crypt-functie in Linux-distro's is al vele jaren in staat om sterkere hashes te gebruiken. De huidige versie in Debian ondersteunt ook MD5 (wat je natuurlijk ook niet meer moet gebruiken), SHA256 en SHA512. De laatste is de default voor nieuwe wachtwoorden.
https://stackoverflow.com/questions/2179649/are-passwords-on-modern-unix-linux-systems-still-limited-to-8-characters
Dat is alleen van toepassing op de DES-variant. Ik vraag me af of ik nog heb meegemaakt dat die werd gebruikt. Ik ben voor het eerst in 1997 met Linux gaan werken, als ik me niet vergis.
http://www.linuxquestions.org/questions/linux-general-1/overcoming-sys_auth-16-group-limit-when-mounting-a-netapp-nfs-export-4175547310/.
http://nfsworld.blogspot.nl/2005/03/whats-deal-on-16-group-id-limitation.html:
NFS version 4 combines locking and filing (and mounting) in one single protocol. So use NFS version 4 with RPCSEC_GSS to blast past the 16 group identifier limitation.
[...]
Another approach to consider is ACLs. NFSv4 has them.
Het lijkt erop dat je gemakzuchtig wat zwaar achterhaalde informatie bij elkaar zoekt op het web en daar gewichtig mee doet. Dit zijn geen voorbeelden die uitleggen dat je iets op een verkeerde manier moet gebruiken, het zijn voorbeelden van beperkingen die in hedendaagse versies van de software achterhaald zijn.
Door Neb Poorten: Het deplorabele kennisniveau dat Microsoft hier etaleert en wat jarenlang is gebruikt om .NET programmeurs te onderwijzen in encryptie verklaart misschien veel van de problemen m.b.t. security in haar software.
Maar maak jij je niet aan net zoiets schuldig, Neb? Het is niet fraai als Microsoft zwaar achterhaalde informatie op zijn website laat staan, maar om nou te gaan doen alsof dat representatief is voor het kennisniveau van Microsoft vind ik te kort door de bocht, binnen dat bedrijf is echt wel meer kennis aanwezig.
Dat wil niet zeggen dat ik vind dat ze het altijd goed gepresenteerd en toegepast hebben. Een voorbeeld uit eigen ervaring, dat hopelijk ook zwaar verouderd is ;-).
Ik heb ruim tien jaar geleden een tijdje meegewerkt aan een webapplicatie die in ASP.NET werd ontwikkeld. Daar kreeg ik te maken met onder meer het gebruik van vesleutelde cookies door het ASP.NET-framework. Ik vraag me bij zoiets af hoe ze die versleuteling dan regelen, en ik heb me suf gezocht in de toenmalige documentatie en er geen woord over gevonden. Ik geloof dat MSDN nu een stuk gestructureerder is, maar toen was het voor een groot deel een netwerk van naar elkaar linkende artikeltjes met voorbeeldjes van hoe je zus kan doen en hoe je zo kan doen, met een slechte index erop waardoor je nooit wist of je alles al gehad had of net dat brokje informatie wat je zocht had gemist, en waar uitleg over dingen waar niemand een leuk how-to-verhaaltje over had geschreven soms onmogelijk in terug te vinden was.
Ik heb toen mijn antwoord geforceerd door zo'n versleutelde cookie in een request door troep te vervangen, waarop de betreffende encryptie-library crashte. Aan de crash kon ik zien in welke libraryfunctie het werd afgehandeld, en aan de naam daarvan welk algoritme werd gebruikt. Dat was op zich een prima algoritme, alleen bleef het abracadabra waar dan de gebruikte sleutel vandaan kwam en of het wel op een goede manier werd toegepast.
Mijn klacht toen was niet dat de implementatie niet deugde, maar dat ik er geen documentatie over kon vinden waarmee ik dat enigzins kon beoordelen. De documentatie toen leek op overstappende VB-programmeurs gericht te zijn, die in die tijd hevig afgaven op hoe moeilijk (toen nog) Sun de Java-documentatie had opgezet; de grootste klacht was dat Sun conceptuele verhalen schreef met veel te weinig codevoorbeelden. En dat was grappig genoeg documentatie waarin ik antwoorden op dit soort vragen moeiteloos wist terug te vinden, en als ik de concepten snapte had ik geen codevoorbeelden meer nodig. Mijn conclusie was dat Microsoft zich op een heel ander slag programmeurs richtte dan Sun. Sun richtte zich op mensen die op een conceptueel niveau wilden snappen waar ze mee bezig waren; Microsoft richtte zich op mensen die niet lastig wilden worden gevallen met diepgaand begrip maar een voorbeeldje wilden kopiëren dat werkte zonder er al te diep over na te hoeven denken.
Als ik verder in de tijd kijk naar Microsoft's documentatie, van voor de .NET-tijd, eind jaren '90 heb ik het dan over, dan verwezen de webpagina's veelvuldig naar allerlei Word-documenten die door Microsoft-medewerkers over diverse onderwerpen waren geschreven. Ik kan me bijvoorbeeld herinneren dat dat was waar ik op uitkwam toen ik threadingmodellen van Windows probeerde te doorgronden. Ik vond in een behoorlijk ongestructureerd geheel twee Word-documenten die duidelijk leken, een over die modellen in het algemeen en een over hoe IIS ze toepaste, en IIS leek volgens dat tweede document dingen te doen die volgens het eerste niet mogelijk waren. Als ik het artikel waar Ned naar linkte lees dan krijg ik de indruk dat het wel eens een restant uit die tijd kan zijn geweest dat domweg aan alle opruimacties ontsnapt is. Niet fraai, maar zoiets kan gebeuren.