forum.opennet.ru

Составление сообщения

Исходное сообщение

"Эдвард Сноуден дал интервью, в котором поделился мнением о м..."
Отправлено Аноним, 17-Сен-19 12:37

>более безопасные альтернативы
Понимаете ли, в некоторых "безопасных" "альтернативах" нашлись явные (видные невооружённым глазом живому человеку, а также очень тупому статическому анализатору) RCE-бэкдоры. Явные, лежащие там долгое время. Как и в прочем опенсорсном софте.
Из этого делаются следующие выводы:
1. Опен-сорс софт крайне уязвим для внедрения бэкдоров. Его НИКТО НЕ АУДИТИТ. НИКТО. НЕ АУДИТИТ. Даже на уровне простого грепа кодовой базы. Если даже внедрят явный бэкдор в исходники, он будет там годы.
2. если внедрят замаскированные бэкдоры, вы их не найдёте никогда. Поиск таких бэкдоров стоит столько же и даже дороже, чем поиск 0-day уязвимостей. Халявщикам, не нашедшим ни времени, ни денег на тупой аудит - не по карману. АНБ - по карману. Так что ни бэкдоры, ни уявимости вы не найдёте. А если даже и найдёте, то не пофиксите - фикс может означать полную переделку архитектуры.
3. "защищённые" мессенджеры и их пользователи являются мишенью, более ценной, чем средний пользователь. Это значит, что бэкдоры туда обязательно внедрят и уже внедрили. И их никогда не найдут и не пофиксят ввиду пунктов 1 и 2.
Всё это значит, что пользоваться "защищённым" мессенджером - это подвергать себя риску большему, чем пользоваться демонстративно незащищённым. При этом демонстративно незащищённый не даёт ощущения ложной безопасности.

Исходное сообщение
"Эдвард Сноуден дал интервью, в котором поделился мнением о м..." Отправлено Аноним, 17-Сен-19 12:37
>более безопасные альтернативы Понимаете ли, в некоторых "безопасных" "альтернативах" нашлись явные (видные невооружённым глазом живому человеку, а также очень тупому статическому анализатору) RCE-бэкдоры. Явные, лежащие там долгое время. Как и в прочем опенсорсном софте. Из этого делаются следующие выводы: 1. Опен-сорс софт крайне уязвим для внедрения бэкдоров. Его НИКТО НЕ АУДИТИТ. НИКТО. НЕ АУДИТИТ. Даже на уровне простого грепа кодовой базы. Если даже внедрят явный бэкдор в исходники, он будет там годы. 2. если внедрят замаскированные бэкдоры, вы их не найдёте никогда. Поиск таких бэкдоров стоит столько же и даже дороже, чем поиск 0-day уязвимостей. Халявщикам, не нашедшим ни времени, ни денег на тупой аудит - не по карману. АНБ - по карману. Так что ни бэкдоры, ни уявимости вы не найдёте. А если даже и найдёте, то не пофиксите - фикс может означать полную переделку архитектуры. 3. "защищённые" мессенджеры и их пользователи являются мишенью, более ценной, чем средний пользователь. Это значит, что бэкдоры туда обязательно внедрят и уже внедрили. И их никогда не найдут и не пофиксят ввиду пунктов 1 и 2. Всё это значит, что пользоваться "защищённым" мессенджером - это подвергать себя риску большему, чем пользоваться демонстративно незащищённым. При этом демонстративно незащищённый не даёт ощущения ложной безопасности.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру