forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

В рамках проекта Cryptocat создан web-чат с шифрованием на с..., opennews (??), 28-Июл-12, (0) [смотреть все]

Осталось придумать как безопасно передать ключ по сети Проблема курицы и яйца , Аноним (-), 13:56 , 28-Июл-12, (1) –1 //

1 шифрование с открытым ключом для обмена сеансовыми ключами2 шифрование с отк, Аноним (-), 14:10 , 28-Июл-12, (3) +4 //

Тем кто знает что такое шифрование с открытым ключом хватит и джаббера , umbr (ok), 17:15 , 28-Июл-12, (16) +3 //

К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере П, GG (ok), 17:34 , 28-Июл-12, (17) –1

А для таких придуман скайп , umbr (ok), 18:11 , 28-Июл-12, (21) –4

А для таких придуман СОРМ и обещание сотрудничества Быдлогейтсов со спецурой , Аноним (-), 18:38 , 28-Июл-12, (22) +7

честному человеку, как известно, нечего скрывать , arisu (ok), 18:42 , 28-Июл-12, (23) –7

честному руководителю какого-нибудь холдинга от конкурентов скрывать и впрямь не, Аноним (-), 19:08 , 28-Июл-12, (24) +7

честный руководитель какого-нибудь холдинга, проконсультировавшись со спецами по, umbr (ok), 19:15 , 28-Июл-12, (26) –6

очень хорошо, что ты осознал наконец, что скрывать естьчо и неважно, честный ты, Аноним (-), 22:07 , 28-Июл-12, (36) +4

это скорее дань традиции, umbr (ok), 01:35 , 29-Июл-12, (42) –1

Если это не сарказм - ждем твоих паспортных данных, а также логинов, паролей и к, Аноним (-), 21:57 , 28-Июл-12, (34) +4
договаривать неохота честному человеку нечего скрывать от честных людей , Харитон (?), 22:16 , 28-Июл-12, (37) +6
ты честный человек да , Аноним (-), 15:31 , 29-Июл-12, (73)
Ага, и дверь запирать не нужно , Cuernud (?), 11:07 , 30-Июл-12, (88)

про СОРМ и обещание сотрудничества знают не только на опеннете , umbr (ok), 19:17 , 28-Июл-12, (27)

Такие люди и безопасность - несовместимы Поэтому хоть скайп , Аноним (-), 15:54 , 29-Июл-12, (74) +2

Если это мой офис и я знаю, что там все сидят с тонких клиентов, которые прицепл, GG (ok), 16:43 , 29-Июл-12, (77)

А ключ написать в скайп , XoRe (ok), 22:10 , 29-Июл-12, (85)

Проблем-то Можно записать ключ на бумажку и послать ее обычной почтой Или голу, жабабыдлокодер (ok), 14:10 , 28-Июл-12, (4) +4 //

Ну тогда и сообщение можно тем же каналом отправить К чему лишние сложности , Аноним (-), 21:59 , 28-Июл-12, (35) +1 //

Чатиться очень долго получится , жабабыдлокодер (ok), 22:37 , 28-Июл-12, (39)

Ну ключ то передавать устраивает, значит и чатиться сойдет Да и вообще, вон RFC, Аноним (-), 03:43 , 29-Июл-12, (49) –1

http ru wikipedia org wiki IP_ EF EE F1 F0 E5 E4 F1 F2 E2 EE EC_ EF EE F7 F2 E, XoRe (ok), 22:10 , 29-Июл-12, (84)

Чем Вас алгоритм Диффи-Хелмана не устраивает , saNdro (?), 00:57 , 29-Июл-12, (40) //

Например тем что активный MITM может впарить левый скрипт и весь диффи-хеллман п, Аноним (-), 03:44 , 29-Июл-12, (50)

Опубликовать зашифрованную подписанную своим публичным ключем фразу до его пер, UnitedShowAboard (?), 06:22 , 30-Июл-12, (87) //

про сколько же интересных вещей можно узнать на опеннете 171 толмуды 187 , , arisu (ok), 13:14 , 30-Июл-12, (101)

Судя по бурному обсуждению и твоему заминусованному здравому посту - тут одно шк, Аноним (-), 23:09 , 30-Июл-12, (112)

Внимание, вопрос а что в этой схеме помешает атакующему притвориться легитимным, Аноним (-), 14:00 , 28-Июл-12, (2) +4 //

ничего Вас спасёт FreedomBox , Аноним (-), 14:12 , 28-Июл-12, (5) //

А давайте вы уточните какая именно технология меня спасет Аналог этого бокса я , Аноним (-), 19:15 , 28-Июл-12, (25)

а ещё мы все завтра можем умереть и никакая криптография не спасёт , arisu (ok), 14:50 , 28-Июл-12, (7) //

Просто толку то от защиты которая по факту является дверью в чистом поле От чег, Аноним (-), 19:19 , 28-Июл-12, (28) //

AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволя, Аноним (-), 03:11 , 29-Июл-12, (44)

Окей, но1 А какие основания у В Пупкина доверять мне 2 А как гарантировать ч, Аноним (-), 03:56 , 29-Июл-12, (51)

1 Это не имеет отношения к информатике При обмене оба в чём-то доверяют друг д, Af. (?), 17:14 , 29-Июл-12, (82)

Вообще-то имеет При использовании нормальных средств криптографии ожидается что, Аноним (-), 12:02 , 30-Июл-12, (89)

Как будто тот, кто писал и собирал не мог проебать свою подписьИли не мог под вл, GG (ok), 12:22 , 30-Июл-12, (90)

В принципе мог, но такие случаи крайне редки Это будет ломовой секурити-анонс м, Аноним (-), 12:53 , 30-Июл-12, (96) –1

Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, вс, коксюзер (?), 15:01 , 30-Июл-12, (102)
Если я ламер, кто кто ты тогда Выводятел , GG (ok), 15:30 , 30-Июл-12, (104)

Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код , GG (ok), 11:20 , 29-Июл-12, (59)

, filosofem (ok), 15:54 , 28-Июл-12, (11)
Внимание тоже вопрос что что вам помешало читать дальше слова web-приложения , filosofem (ok), 15:55 , 28-Июл-12, (12) //

Так я прочитал И мне не понятно 1 Что защитит от подмены скрипта на пробэкдор, Аноним (-), 19:27 , 28-Июл-12, (31) +1 //

Если вам тяжело там читать, цитирую, не благодарите , filosofem (ok), 22:22 , 28-Июл-12, (38) +1

Что по сути является тем же яваскриптом В случае Chrome и установки из webstore, Аноним (-), 02:54 , 29-Июл-12, (43)

Разрешаю Вам снять галочку автоматического обновления и проверить исходный код р, Аноним (-), 03:15 , 29-Июл-12, (45) +4

Вот это уже более здравый аргумент в отличие от клоунов рядом , Аноним (-), 12:43 , 30-Июл-12, (95)

А тут тоже интересный вопрос - это надо смотреть насколько нельзя дополнения под, Аноним (-), 03:58 , 29-Июл-12, (52)

Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров станет , Аноним (-), 10:44 , 29-Июл-12, (58) +5

Безопасность имеет 2 уровня high и нехай с кто-то из параноиков Ну то-есть, Аноним (-), 12:26 , 30-Июл-12, (91)

на Python же, Аноним (-), 21:08 , 31-Июл-12, (115) +3

бууэээ , vasek (?), 13:02 , 07-Авг-12, (116) –3

сам ты бууэээ , троллМорде (?), 14:32 , 07-Авг-12, (117) +3
В wheezy во всяком случае есть - значит уже не бууээhttp packages debian org w, Fyjybv (?), 14:29 , 13-Авг-12, (118) +4

Запили своё, йоптаС проверкой подписей и обновлением со своего собственного серв, GG (ok), 11:25 , 29-Июл-12, (61) +2

А, вот оно что - йопта-wannabe-криптографы Ну так бы сразу и сказали Дык у ме, Аноним (-), 12:32 , 30-Июл-12, (92) –1

точно можешь а расскажи про этот крутой механизм, а он ведь должен гарантирова, arisu (ok), 12:55 , 30-Июл-12, (98)
Поставил убунту стал крутым сисадмином, криптографом и пацаном, GG (ok), 15:27 , 30-Июл-12, (103)

OMG, не в сказку ли я попал Да это же разумный коммент на опеннете на тему безо, коксюзер (?), 07:05 , 29-Июл-12, (54) //

понимаешь, в чём дело этот камент совсем не по теме потому что авторы cryptoca, arisu (ok), 10:02 , 29-Июл-12, (57) –1 //

Во-первых, мы с вами на брудершафт не пили Во-вторых, коммент полностью по теме, коксюзер (?), 16:08 , 29-Июл-12, (75)

294-й же Не то чтобы я супер-про в шифровании, но я вполне себе владею азами , Аноним (-), 12:39 , 30-Июл-12, (93)

подустал от псевдоумных комментариев да, танки не летают нет, в техспецификаци, arisu (ok), 12:57 , 30-Июл-12, (99)

Ну вот немцы тоже так считали А потом истошно крыли ужасную русскую распутицу , Аноним (-), 00:16 , 31-Июл-12, (113)

вздыхает ты притворяешься, или таки действительно не врубаешься , arisu (ok), 02:53 , 31-Июл-12, (114)

Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради тог, Аноним (-), 12:41 , 30-Июл-12, (94)

и что тут такого декоративного по твоей логике вся секурность декоративная д, arisu (ok), 13:06 , 30-Июл-12, (100)

Вынужден категорически не согласитьсяДоверять приходится только собеседнику в се, GG (ok), 15:32 , 30-Июл-12, (105)

ещё раз ты 100 уверен, что в твоей системе, в железе и ты пы нет руткитов на , arisu (ok), 15:45 , 30-Июл-12, (106)

Ещё раз на моём заводе всё оборудование я произвёл сам, своими руками И я знаю, GG (ok), 16:54 , 30-Июл-12, (107)

и всё своё железо и всю схематику проверял досконально и прошивки и код всего, arisu (ok), 17:21 , 30-Июл-12, (108)

Посмотри в словаре, что такое утопия, GG (ok), 17:47 , 30-Июл-12, (109)

не тупи, пожалуйста , arisu (ok), 17:53 , 30-Июл-12, (110)

сам не тупи, пожалуйста , GG (ok), 18:18 , 30-Июл-12, (111)

О, это же paxuser собственной персоной Не в сказку ли я попал , Аноним (-), 12:55 , 30-Июл-12, (97)

Ну теперь-то жабберу точно капец , Аноним (-), 14:29 , 28-Июл-12, (6) –1
А был же такой firetalks уже давно, от наших соотечественников В чём принципиаль, Аноним (-), 14:57 , 28-Июл-12, (8) //

А также был SILC, IRC с SSL, OTR и еще много всяких пепелацев Некоторые даже вн, Аноним (-), 19:22 , 28-Июл-12, (30) +1

Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безг, GG (ok), 17:06 , 28-Июл-12, (15) –2 //

gt оверквотинг удален смех Баттхеда копетан нам рассказал азы асимметричного, Аноним (-), 17:57 , 28-Июл-12, (20) –2
Отправлено GG, 28-Июл-12 17 06 Значит, когда эти баритоны кричат 171 бей разр, Аноним (-), 20:41 , 28-Июл-12, (33) +2
gt оверквотинг удален Если вы про асимметричное шифрование, то учите теорию р, saNdro (?), 01:03 , 29-Июл-12, (41) //

Тогда это уже не ключи, а файлы, где в файл приватного ключа вложен публичный ил, коксюзер (?), 07:24 , 29-Июл-12, (55)

Эллиптические кривые ГОСТом чтоле шифрут , Аноним (-), 17:36 , 28-Июл-12, (18) –2 //

Ты думаешь что только ГОСТ основан на эллиптических кривых , Аноним (-), 03:18 , 29-Июл-12, (46)

да неужели не могут ну этоже просто смешно -D -D хотите сказать что у адми, Аноним (-), 03:30 , 29-Июл-12, (48) //

ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать вы, Аноним (-), 06:08 , 29-Июл-12, (53) +1 //

вместо того чтобы тупо обзываться оскорблениямиможет лучше напишешь ЧТО именн, Аноним (-), 12:58 , 29-Июл-12, (63)

Согласно с законом о защите секретной информации в РФ защиту своей информации до, GG (ok), 13:23 , 29-Июл-12, (69)

ну, вот теперь мне всё ясно - такбы сразу и сказал, Xasd (ok), 13:28 , 29-Июл-12, (70)

А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из о, GG (ok), 11:23 , 29-Июл-12, (60) –1 //

для того чтобы была возможность системному администратору комфортного подслушива, Аноним (-), 12:51 , 29-Июл-12, (62) //

ты вообще смотрел, как он работает, прежде чем это понаписать , GG (ok), 13:10 , 29-Июл-12, (65)

читал новость и заходил по ссылкечто написанного мной -- не так -- по твоему мне, Xasd (ok), 13:22 , 29-Июл-12, (68)

И что по твоему мешает админу выложить исходники Думаешь из юзеров у кого-то хва, GG (ok), 13:32 , 29-Июл-12, (71)

У кого-либо из гиков хватит ума указать пальцем на нужную строку, после чего бри, Af. (?), 17:08 , 29-Июл-12, (80)

Будет уже поздноА потом появится какой-нибудь хомяк и напишет 8212 Да нет там, GG (ok), 17:13 , 29-Июл-12, (81)

пользоваться русским криптопродуктом в россии хорошее предложение силовики про, Anonim (??), 14:34 , 29-Сен-12, (119)
а вообще зачем этот огород есть пейджеры, есть gpg, есть tor - есть продукты го, Anonim (??), 14:39 , 29-Сен-12, (120)

Сообщения [Сортировка по времени | RSS]

7. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от arisu (ok), 28-Июл-12, 14:50

а ещё мы все завтра можем умереть. и никакая криптография не спасёт.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от Аноним (-), 28-Июл-12, 19:19

> а ещё мы все завтра можем умереть. и никакая криптография не спасёт.
Просто толку то от защиты которая по факту является дверью в чистом поле? От чего она защищает? От MITM? Активный MITM может впарить левый скрипт. От сервера? Сервер тоже может впарить левый скрипт. Ну и в чем смысл такого шифрования? Создать ложное ощущение защищенности, в надежде что хомячки и так схавают и будут думать что оно шифрованное, но при том можно будет при желании прослушать?
Понимаешь, Кэп, криптографию не катит строить на гнилом фундаменте. Или уж есть очевидные продолбы, или нет. В данном случае они есть и никак не фиксятся особо. Ну разве что некое оффлайновое веб-приложение которое не перекачивается каждый раз с сервера... но проще GPG какой-нибудь взять или там IM клиент с OTR. Вебня + JS просто не предусматривает сколь-нибудь эффективного противодействия подмене скриптов что по пути, что на сервере.

Ответить | Правка | Наверх | Cообщить модератору

44. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от Аноним (-), 29-Июл-12, 03:11

AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат намертво к сайту, его нельзя будет подменить что бы браузер не заметил и он не проверяется через доверенные центры которые могут быть дискредитированы потому что самоподписанный.

Ответить | Правка | Наверх | Cообщить модератору

51. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от Аноним (-), 29-Июл-12, 03:56

> AGPLv3 позволяет тебе развернуть свой сервер,
Окей, но
1) А какие основания у В. Пупкина доверять мне?
2) А как гарантировать что к пользователю придет именно тот скрипт который ему отправил сервер, а не нечто левое, от хакеров/спецслужб/прочих добрых или не очень добрых сущностей, hijack-ающих трафф. От которых по идее и защищаемся. А то прозрачные прокси еще не отменяли, например.
> а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат
> намертво к сайту, его нельзя будет подменить что бы браузер не заметил
А его и не надо подменять. Достаточно сломать очередной из 100500 DigiNotar-образных CA и от их лица подписать что "а вот этот хост - белый и пушистый. И вообще оно - сайт вот этого гражданина. DigiNotar'ом клянусь!". А то что это другой сертификат подписанный другим CA - так кто ж там разберется? Была бы какая-то стандартная механика в браузере для детектирования таких фокусов - я еще понимаю. Но ее ж нет! Поэтому мало кто заметит что теперь сертификат какой-то другой, подписан очередным DigiNotar'ом, который клянется что сайт правильный и принадлежит мне. А то что это CA хакнули или просто что-то зажали в тиски - так поди ж разберись. И лечится весь этот дебилизм разве что выносом всех корневых CA сертификатов... после чего ваша жизнь станет не слишком пресной :)
> и он не проверяется через доверенные центры которые могут быть дискредитированы
> потому что самоподписанный.
И что? Как это помешает впарить на поддельном сайте ДРУГОЙ сертификат сервера? Выписанный другим CA на этот же домен, например? Да, это будет другой сертификат. А радости то? Это ж вполне может выглядеть для юзера как валидный сертификат. На вот этот вот домен с вот этим сервером. А то что это другой сертификат, и это вообще не тот сервер как-то и не будет отловлено. Потому что кто угодно может выписывать сертификаты на что угодно.

Ответить | Правка | Наверх | Cообщить модератору

82. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от Af. (?), 29-Июл-12, 17:14

> 1) А какие основания у В. Пупкина доверять мне?
> 2) А как гарантировать что к пользователю придет именно тот скрипт который
1) Это не имеет отношения к информатике. При обмене оба в чём-то доверяют друг другу или третьему арбитру. Иначе процесс попросту НЕ существует. От каменного века и до сих пор.
2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо человеческого предательства или засланного казачка, а эта тема к информатике отношения не имеет.
P.S. Насколько помню, в новостях не компрометировали только предварительный обмен открытыми ключами собственного "изготовления". Кстати, за их использование в некоторых странах могут наказать.

Ответить | Правка | Наверх | Cообщить модератору

89. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от Аноним (-), 30-Июл-12, 12:02

> 1) Это не имеет отношения к информатике.
Вообще-то имеет. При использовании нормальных средств криптографии ожидается что нет откровенных подстав такого плана что кто-то посторонний может впарить что попало + возможность проверить кто чем является. В этой схеме данная возможность или отсуствует или столь невнятна что я ее не разглядел. Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет. И предоставлены внятные доказательства авторства пакетов в виде подписей. Поэтому какой попало MITM вгрузить что попало не сможет. А вот вебня никогда не делалась с упором на аутентификацию того что именно и кто вгружает клиенту в браузер...
> При обмене оба в чём-то доверяют друг другу или третьему арбитру.
В указанной схеме нет явных методов проверить что код занимающийся шифрованием исходит от того от кого задекларировано, а не левого MITM.
> Иначе процесс попросту НЕ существует. От каменного века и до сих пор.
Спасибо, Капитан.
> 2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо
> человеческого предательства или засланного казачка,
Зато оно должно спасать от MITM. И активных и пассивных. Личный сервер это прекрасно, но опять же - кто гарантирует что юзеру придет именно тот код который мой сервак слал? Браузеры никогда не создавались для аутентифицированной доставки кода.
> а эта тема к информатике отношения не имеет.
Зато к информатике имеет отношение что браузер запускает все что ему пришлет сервер и все сервера в этом плане равноправны. Грубо говоря если вместо сервера Васи мне подсунут сервер Пети, который отгрузит похожий по внешним признакам скрипт - фиг отличишь. Потому что ничто не мешает ему вести себя похоже. Есть SSL, но его надежность - ниже всякой критики.
> Кстати, за их использование в некоторых странах могут наказать.
А в некоторых странах так и вовсе могут камнями закидать.

Ответить | Правка | Наверх | Cообщить модератору

90. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от GG (ok), 30-Июл-12, 12:22

> Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет.
Как будто тот, кто писал и собирал не мог проебать свою подпись
Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу
Ну или https и зафаерволить все левые хосты для полной секурности

Ответить | Правка | Наверх | Cообщить модератору

96. "В рамках проекта Cryptocat создан web-чат с шифрованием..." –1 +/–

Сообщение от Аноним (-), 30-Июл-12, 12:53

> Как будто тот, кто писал и собирал не мог проeбать свою подпись
В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс мирового класса. И полпланеты сразу же будет трубить о данном факте.

> Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу
См. выше. А в упомянутой вами механике - вообще очевидных простых методов проверить кто и что, внушающих доверие - просто нет. Потому что вебня никогда не предназначалась для проверки кто автор кода. Она просто не о том.
> Ну или https
А https - не есть полностью секурный протокол. Потому что большая пачка CA доверяемых по дефолту. И каждый может за другого поставить подпись. Вон comodohacker удостоверил себе что он гугл, мозилла, скайп и что там еще - все и сразу. CA конечно сдох, но секурность 100500 CA которые бырыжат сертификатами за бабло и могут подписать все и всем доверия как-то не внушает. Вот тут уже хаксоры или парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину в N субъектах примерно в N раз выше чем в 1 субъекте.
> и зафаерволить все левые хосты для полной секурности
К сожалению я делаю вывод что вы - ламер. Вы попросту не представляете себе как работает прозрачный прокси. Позорище космофлота.

Ответить | Правка | Наверх | Cообщить модератору

102. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от коксюзер (?), 30-Июл-12, 15:01

> В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс
> мирового класса. И полпланеты сразу же будет трубить о данном факте.
Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, все, кто доверял ключу, продолжат доверять. Ну и случай с Red Hat показывает, что всем, в принципе... ну вы понели.
> там еще - все и сразу. CA конечно сдох, но секурность
К сожалению, Comodo жив.
> 100500 CA которые бырыжат сертификатами за бабло и могут подписать все
> и всем доверия как-то не внушает. Вот тут уже хаксоры или
> парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину
> в N субъектах примерно в N раз выше чем в 1
> субъекте.
Да. Вообще, забавны все эти рассуждения, по сути, о том, как неопытные пользователи будут удалять из браузера сертификаты CA и проверять по независимым каналам подлинность самоподписанного сертификата (а то и аж целостность получаемых скриптов!), дабы заткнуть паклей дыры в дизайне Cryptocat. Который, что характерно, нацелен на тех, кто не знает, как это делается, либо на тех, кому... ну вы понели. Не говоря о том, что поставить и настроить чат-клиент с OTR - гораздо проще и удобнее, чем все эти пляски.

Ответить | Правка | Наверх | Cообщить модератору

104. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от GG (ok), 30-Июл-12, 15:30

> К сожалению я делаю вывод что вы - ламер.
Если я ламер, кто кто ты тогда?
Выводятел?

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

59. "В рамках проекта Cryptocat создан web-чат с шифрованием..." +/–

Сообщение от GG (ok), 29-Июл-12, 11:20

> AGPLv3 позволяет тебе
Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код хостящегося на твоём личном серваке публичного сервиса.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	7. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 28-Июл-12, 14:50
	а ещё мы все завтра можем умереть. и никакая криптография не спасёт.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	28. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 28-Июл-12, 19:19
	> а ещё мы все завтра можем умереть. и никакая криптография не спасёт. Просто толку то от защиты которая по факту является дверью в чистом поле? От чего она защищает? От MITM? Активный MITM может впарить левый скрипт. От сервера? Сервер тоже может впарить левый скрипт. Ну и в чем смысл такого шифрования? Создать ложное ощущение защищенности, в надежде что хомячки и так схавают и будут думать что оно шифрованное, но при том можно будет при желании прослушать? Понимаешь, Кэп, криптографию не катит строить на гнилом фундаменте. Или уж есть очевидные продолбы, или нет. В данном случае они есть и никак не фиксятся особо. Ну разве что некое оффлайновое веб-приложение которое не перекачивается каждый раз с сервера... но проще GPG какой-нибудь взять или там IM клиент с OTR. Вебня + JS просто не предусматривает сколь-нибудь эффективного противодействия подмене скриптов что по пути, что на сервере.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 29-Июл-12, 03:11
	AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат намертво к сайту, его нельзя будет подменить что бы браузер не заметил и он не проверяется через доверенные центры которые могут быть дискредитированы потому что самоподписанный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 29-Июл-12, 03:56
	> AGPLv3 позволяет тебе развернуть свой сервер, Окей, но 1) А какие основания у В. Пупкина доверять мне? 2) А как гарантировать что к пользователю придет именно тот скрипт который ему отправил сервер, а не нечто левое, от хакеров/спецслужб/прочих добрых или не очень добрых сущностей, hijack-ающих трафф. От которых по идее и защищаемся. А то прозрачные прокси еще не отменяли, например. > а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат > намертво к сайту, его нельзя будет подменить что бы браузер не заметил А его и не надо подменять. Достаточно сломать очередной из 100500 DigiNotar-образных CA и от их лица подписать что "а вот этот хост - белый и пушистый. И вообще оно - сайт вот этого гражданина. DigiNotar'ом клянусь!". А то что это другой сертификат подписанный другим CA - так кто ж там разберется? Была бы какая-то стандартная механика в браузере для детектирования таких фокусов - я еще понимаю. Но ее ж нет! Поэтому мало кто заметит что теперь сертификат какой-то другой, подписан очередным DigiNotar'ом, который клянется что сайт правильный и принадлежит мне. А то что это CA хакнули или просто что-то зажали в тиски - так поди ж разберись. И лечится весь этот дебилизм разве что выносом всех корневых CA сертификатов... после чего ваша жизнь станет не слишком пресной :) > и он не проверяется через доверенные центры которые могут быть дискредитированы > потому что самоподписанный. И что? Как это помешает впарить на поддельном сайте ДРУГОЙ сертификат сервера? Выписанный другим CA на этот же домен, например? Да, это будет другой сертификат. А радости то? Это ж вполне может выглядеть для юзера как валидный сертификат. На вот этот вот домен с вот этим сервером. А то что это другой сертификат, и это вообще не тот сервер как-то и не будет отловлено. Потому что кто угодно может выписывать сертификаты на что угодно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Af. (?), 29-Июл-12, 17:14
	> 1) А какие основания у В. Пупкина доверять мне? > 2) А как гарантировать что к пользователю придет именно тот скрипт который 1) Это не имеет отношения к информатике. При обмене оба в чём-то доверяют друг другу или третьему арбитру. Иначе процесс попросту НЕ существует. От каменного века и до сих пор. 2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо человеческого предательства или засланного казачка, а эта тема к информатике отношения не имеет. P.S. Насколько помню, в новостях не компрометировали только предварительный обмен открытыми ключами собственного "изготовления". Кстати, за их использование в некоторых странах могут наказать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 30-Июл-12, 12:02
	> 1) Это не имеет отношения к информатике. Вообще-то имеет. При использовании нормальных средств криптографии ожидается что нет откровенных подстав такого плана что кто-то посторонний может впарить что попало + возможность проверить кто чем является. В этой схеме данная возможность или отсуствует или столь невнятна что я ее не разглядел. Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет. И предоставлены внятные доказательства авторства пакетов в виде подписей. Поэтому какой попало MITM вгрузить что попало не сможет. А вот вебня никогда не делалась с упором на аутентификацию того что именно и кто вгружает клиенту в браузер... > При обмене оба в чём-то доверяют друг другу или третьему арбитру. В указанной схеме нет явных методов проверить что код занимающийся шифрованием исходит от того от кого задекларировано, а не левого MITM. > Иначе процесс попросту НЕ существует. От каменного века и до сих пор. Спасибо, Капитан. > 2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо > человеческого предательства или засланного казачка, Зато оно должно спасать от MITM. И активных и пассивных. Личный сервер это прекрасно, но опять же - кто гарантирует что юзеру придет именно тот код который мой сервак слал? Браузеры никогда не создавались для аутентифицированной доставки кода. > а эта тема к информатике отношения не имеет. Зато к информатике имеет отношение что браузер запускает все что ему пришлет сервер и все сервера в этом плане равноправны. Грубо говоря если вместо сервера Васи мне подсунут сервер Пети, который отгрузит похожий по внешним признакам скрипт - фиг отличишь. Потому что ничто не мешает ему вести себя похоже. Есть SSL, но его надежность - ниже всякой критики. > Кстати, за их использование в некоторых странах могут наказать. А в некоторых странах так и вовсе могут камнями закидать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 12:22
	> Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет. Как будто тот, кто писал и собирал не мог проебать свою подпись Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу Ну или https и зафаерволить все левые хосты для полной секурности
	Ответить \| Правка \| Наверх \| Cообщить модератору


	96. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	–1 +/–
	Сообщение от Аноним (-), 30-Июл-12, 12:53
	> Как будто тот, кто писал и собирал не мог проeбать свою подпись В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс мирового класса. И полпланеты сразу же будет трубить о данном факте. > Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу См. выше. А в упомянутой вами механике - вообще очевидных простых методов проверить кто и что, внушающих доверие - просто нет. Потому что вебня никогда не предназначалась для проверки кто автор кода. Она просто не о том. > Ну или https А https - не есть полностью секурный протокол. Потому что большая пачка CA доверяемых по дефолту. И каждый может за другого поставить подпись. Вон comodohacker удостоверил себе что он гугл, мозилла, скайп и что там еще - все и сразу. CA конечно сдох, но секурность 100500 CA которые бырыжат сертификатами за бабло и могут подписать все и всем доверия как-то не внушает. Вот тут уже хаксоры или парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину в N субъектах примерно в N раз выше чем в 1 субъекте. > и зафаерволить все левые хосты для полной секурности К сожалению я делаю вывод что вы - ламер. Вы попросту не представляете себе как работает прозрачный прокси. Позорище космофлота.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	102. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от коксюзер (?), 30-Июл-12, 15:01
	> В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс > мирового класса. И полпланеты сразу же будет трубить о данном факте. Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, все, кто доверял ключу, продолжат доверять. Ну и случай с Red Hat показывает, что всем, в принципе... ну вы понели. > там еще - все и сразу. CA конечно сдох, но секурность К сожалению, Comodo жив. > 100500 CA которые бырыжат сертификатами за бабло и могут подписать все > и всем доверия как-то не внушает. Вот тут уже хаксоры или > парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину > в N субъектах примерно в N раз выше чем в 1 > субъекте. Да. Вообще, забавны все эти рассуждения, по сути, о том, как неопытные пользователи будут удалять из браузера сертификаты CA и проверять по независимым каналам подлинность самоподписанного сертификата (а то и аж целостность получаемых скриптов!), дабы заткнуть паклей дыры в дизайне Cryptocat. Который, что характерно, нацелен на тех, кто не знает, как это делается, либо на тех, кому... ну вы понели. Не говоря о том, что поставить и настроить чат-клиент с OTR - гораздо проще и удобнее, чем все эти пляски.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	104. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 15:30
	> К сожалению я делаю вывод что вы - ламер. Если я ламер, кто кто ты тогда? Выводятел?
	Ответить \| Правка \| К родителю #96 \| Наверх \| Cообщить модератору


	59. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 29-Июл-12, 11:20
	> AGPLv3 позволяет тебе Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код хостящегося на твоём личном серваке публичного сервиса.
	Ответить \| Правка \| К родителю #44 \| Наверх \| Cообщить модератору