forum.opennet.ru

Составление сообщения

Исходное сообщение

"Linux-смартфон PinePhone доступен для заказа"
Отправлено Аноним, 21-Янв-20 21:35

> речь шла про протокол, я про него и написал
Сферический протокол в вакууме - здорово, а какой смысл им козырять в отрыве от продвигаемой программы? Простейший пример: можно юзать либу, но допустим прихранивать ключи а потом по какому-нибудь магическому пакету сливать это. Бэкдор уровня школьника - и таки полностью нагибает "нормальную" схему.
> сырцов нет - это к матриксу
Может сразу в ООН?
> получается противоречие, если Васян не очень умный, то может надо позаботиться о
> его стороне линка?
Если Васян не очень умный - ему, конечно, можно попробовать помочь, но всегда будет риск что он парой глупых действий аннулирует все потуги.
Пример: WPA2 достаточно секурен сам по себе и https сам по себе - не бэкдор. Однако, если гугл "сбэкапает" ваш пароль от вайфай себе на сервер по https - как вам такая "безопасность"? Они это кстати и делают по дефолту, "но вы можете отключить". Так что достаточно разок подключить что-то левое в свою сеть - и вы можете смело менять пароль, потому что он уже пролюблен.
> смысл в том что лучше быть защищенным в 95% случаев, чем только в 15%
Попробуем инверсию? Факапнуться с оценкой реальной безопасности линка в 5% случаев вроде лучше, чем в 85%, не?
> Не думаю.. целевая точка доставки картошки - это ваше раписание в "открытом доступе"
Ваша мобилка прыгающая по сотам - уже ваше расписание и маршруты. А если у вас вайфай сканит эфир или блюпуп какой типа наушников - то ваш MAC адрес шикарно разлетается, можно и поточнее уже, если нужно, и доступно уже совсем любому желающему.

> простой вопрос, а зачем передавать открытым текстом, если можно разговаривать в
> более приватном режиме?
Ну вот именно картошку - вроде бы однофигственно. А что-то интереснее этого - там ложное ощущение безопасности может доставить неприятных моментов, пожалуй. Потому что если вы надеялись на шифрование а оно вас подвело - это, наверное, плохо.
Я хорошо отношусь к шифрованию. Но когда проприетарное нечто начинает доказывать что у них секурное крипто - не проходит по самым базовым критериям FAQ криптографов и дает ложное ощущение безопасности без должных оснований.
> Это почему? Васяна по голосу не узнать потому что он пил месяц не просыхая?
Помнить детали голоса всех Васянов может оказаться довольно утомительно. И если вы с Васяном каждый день не общаетесь голосом - да мало ли, простыл человек, например? И еще мне кажется что уже недалек день, когда имеючи немного записей Васяна можно будет в реалтайме кроить любые фразы "совсем как Васян". Возможно этот день наступил - как минимум некоторые синтезаторы речи по большому счету делали выжимку из спича диктора и синтезировали из нее "почти как диктор". Все комбо в целом кажется замороченным, но наверное по мере развития технологий это все заскриптуют и станет настолько же сложно как запуск Kali Linux кулхацкерами.
> я про ватсап, воис через мессенджер, но это неважно
> но не пофиг ли мне куда уйдет звонок?
А, если через него - еще может быть.
> ты думаешь прям спецы сидят воис подделывают? ))) не доросли еще!
Насчет этого я не сильно уверен.
> и скорее залезут к вам в жильё натыкают жучков и камер, чем
> будут заморачиваться ватсапом
Ну как бы "залезть в дом" тоже может быть интересное начинание. Например, а что если камеры уже были натыканы ДО залезавших? :)
> список приложений отличается в разных партий трубок - повод нервничать
Пара лишних бинарей в файловой системе - совершенно не обязаны как либо отображаться в манеджере приложений. В именно детальном списке процессов и тредов еще может быть, но кто ж это в андроиде смотреть полезет кроме совсем уж линуксоидов? Около 99% юзерей тупо не заметят ничего вообще :). Иногда конечно бывают забавные факапы - как например "у камеры что-то лампочка включается сама". Это вроде в каком-то браузере такой баг был.

> Я повторюсь, что лучше быть защищенным на 95%, чем на 1%.
А как при этом избежать того что факапы с оценкой защищенности окажутся не в менее 1% случаев а в более чем 90+%? И лучше ли это?
> Вот именно друг, и где гарантия, что ты правильно оцениваешь безопасность телеграма?
Я считаю что наличие сорца положительно влияет на качество аудита кода программы.
> Вероятность того что в ватсапе нет никаких закладок и сигнал используется как
> задекларировано - очень большая.
Не согласен. Как это оценено и какие к тому предпосылки?
> Ватсап ковыряли умельцы и не раз. Ничего прям экстра-неординарного не нашли.
> Безусловно это еще не гаранития.
Более того - найти даже тривиальный бэкдор реверсом затея довольно сложная. А если бэкдор делал не совсем дилетант - весьма маловероятно и крайне трудоемко.
Более того - в некоторых чудных юрисдикциях есть законы по которым разработчик должен сунуть бэкдор если его попросили и не может об этом рассказать под страхом тюряги. И какая гарантия что нечто подобное не имело место в том или ином проекте? В случае проекта с сорцами такие поползновения могут быть довольно шустро запалены теми кто луркает в комитах, изучая чего и почему накомитили. А в случае непонятного бинаря - ну выгрузили вам новый, где 1500 изменений. Попробуйте угадать что за изменения, даже если прошлая версия и не была с бэкдором, например.
> оцениваю в 95%) не содержит вообще бекдоров и на 100% не содержит бекдоров
> местного товарищ майора.
Про местного товарищмайора может быть и верно для вашей юрисдикции. Но товарищмайоры иногда умеют и кооперироваться, да и если вы с Васяном станете интересны, кмк даже эти имеют шансы развести васяна на несколько кликов. Или поюзать какие-нить дыры в старинном непатченом китайском андроиде, etc.
> И как замена GSM... подчеркиваю именно как замена GSM - это отличный
> вариант, намного лучше телеграма.
Насчет "намного лучше" позволю себе не согласиться. Если что-то вкусно выглядит но пруфов не показывает - возможно, это вообще ловушка? Как минимум было бы очень логично вопить про секурность, не показывая пруфов. А потом совершенно случайно окажется что немного приукрасили. Нет-нет, что вы, ключи сливали в какой там еще файл в отладочных целях, и слив произвольного файла по какому там магическому пакету - это для отладки, вы ничего не подумайте :).
> А если мне нужен канал поинтереснее, то это и токс и матрикс и что угодно что проверено
> на 100% и самим скомпилировано если уж прям так надо это всё.
Вот токс и матрикс я еще могу понять в плане кивания на хоть какую-то безопасность.

> Пароли к примеру я в ватсап не скидываю.
Более того - я бы вообще дважды подумал до того как печатать на мобилке сколь-нибудь ценные пароли.

Исходное сообщение
"Linux-смартфон PinePhone доступен для заказа" Отправлено Аноним, 21-Янв-20 21:35
> речь шла про протокол, я про него и написал Сферический протокол в вакууме - здорово, а какой смысл им козырять в отрыве от продвигаемой программы? Простейший пример: можно юзать либу, но допустим прихранивать ключи а потом по какому-нибудь магическому пакету сливать это. Бэкдор уровня школьника - и таки полностью нагибает "нормальную" схему. > сырцов нет - это к матриксу Может сразу в ООН? > получается противоречие, если Васян не очень умный, то может надо позаботиться о > его стороне линка? Если Васян не очень умный - ему, конечно, можно попробовать помочь, но всегда будет риск что он парой глупых действий аннулирует все потуги. Пример: WPA2 достаточно секурен сам по себе и https сам по себе - не бэкдор. Однако, если гугл "сбэкапает" ваш пароль от вайфай себе на сервер по https - как вам такая "безопасность"? Они это кстати и делают по дефолту, "но вы можете отключить". Так что достаточно разок подключить что-то левое в свою сеть - и вы можете смело менять пароль, потому что он уже пролюблен. > смысл в том что лучше быть защищенным в 95% случаев, чем только в 15% Попробуем инверсию? Факапнуться с оценкой реальной безопасности линка в 5% случаев вроде лучше, чем в 85%, не? > Не думаю.. целевая точка доставки картошки - это ваше раписание в "открытом доступе" Ваша мобилка прыгающая по сотам - уже ваше расписание и маршруты. А если у вас вайфай сканит эфир или блюпуп какой типа наушников - то ваш MAC адрес шикарно разлетается, можно и поточнее уже, если нужно, и доступно уже совсем любому желающему. > простой вопрос, а зачем передавать открытым текстом, если можно разговаривать в > более приватном режиме? Ну вот именно картошку - вроде бы однофигственно. А что-то интереснее этого - там ложное ощущение безопасности может доставить неприятных моментов, пожалуй. Потому что если вы надеялись на шифрование а оно вас подвело - это, наверное, плохо. Я хорошо отношусь к шифрованию. Но когда проприетарное нечто начинает доказывать что у них секурное крипто - не проходит по самым базовым критериям FAQ криптографов и дает ложное ощущение безопасности без должных оснований. > Это почему? Васяна по голосу не узнать потому что он пил месяц не просыхая? Помнить детали голоса всех Васянов может оказаться довольно утомительно. И если вы с Васяном каждый день не общаетесь голосом - да мало ли, простыл человек, например? И еще мне кажется что уже недалек день, когда имеючи немного записей Васяна можно будет в реалтайме кроить любые фразы "совсем как Васян". Возможно этот день наступил - как минимум некоторые синтезаторы речи по большому счету делали выжимку из спича диктора и синтезировали из нее "почти как диктор". Все комбо в целом кажется замороченным, но наверное по мере развития технологий это все заскриптуют и станет настолько же сложно как запуск Kali Linux кулхацкерами. > я про ватсап, воис через мессенджер, но это неважно > но не пофиг ли мне куда уйдет звонок? А, если через него - еще может быть. > ты думаешь прям спецы сидят воис подделывают? ))) не доросли еще! Насчет этого я не сильно уверен. > и скорее залезут к вам в жильё натыкают жучков и камер, чем > будут заморачиваться ватсапом Ну как бы "залезть в дом" тоже может быть интересное начинание. Например, а что если камеры уже были натыканы ДО залезавших? :) > список приложений отличается в разных партий трубок - повод нервничать Пара лишних бинарей в файловой системе - совершенно не обязаны как либо отображаться в манеджере приложений. В именно детальном списке процессов и тредов еще может быть, но кто ж это в андроиде смотреть полезет кроме совсем уж линуксоидов? Около 99% юзерей тупо не заметят ничего вообще :). Иногда конечно бывают забавные факапы - как например "у камеры что-то лампочка включается сама". Это вроде в каком-то браузере такой баг был. > Я повторюсь, что лучше быть защищенным на 95%, чем на 1%. А как при этом избежать того что факапы с оценкой защищенности окажутся не в менее 1% случаев а в более чем 90+%? И лучше ли это? > Вот именно друг, и где гарантия, что ты правильно оцениваешь безопасность телеграма? Я считаю что наличие сорца положительно влияет на качество аудита кода программы. > Вероятность того что в ватсапе нет никаких закладок и сигнал используется как > задекларировано - очень большая. Не согласен. Как это оценено и какие к тому предпосылки? > Ватсап ковыряли умельцы и не раз. Ничего прям экстра-неординарного не нашли. > Безусловно это еще не гаранития. Более того - найти даже тривиальный бэкдор реверсом затея довольно сложная. А если бэкдор делал не совсем дилетант - весьма маловероятно и крайне трудоемко. Более того - в некоторых чудных юрисдикциях есть законы по которым разработчик должен сунуть бэкдор если его попросили и не может об этом рассказать под страхом тюряги. И какая гарантия что нечто подобное не имело место в том или ином проекте? В случае проекта с сорцами такие поползновения могут быть довольно шустро запалены теми кто луркает в комитах, изучая чего и почему накомитили. А в случае непонятного бинаря - ну выгрузили вам новый, где 1500 изменений. Попробуйте угадать что за изменения, даже если прошлая версия и не была с бэкдором, например. > оцениваю в 95%) не содержит вообще бекдоров и на 100% не содержит бекдоров > местного товарищ майора. Про местного товарищмайора может быть и верно для вашей юрисдикции. Но товарищмайоры иногда умеют и кооперироваться, да и если вы с Васяном станете интересны, кмк даже эти имеют шансы развести васяна на несколько кликов. Или поюзать какие-нить дыры в старинном непатченом китайском андроиде, etc. > И как замена GSM... подчеркиваю именно как замена GSM - это отличный > вариант, намного лучше телеграма. Насчет "намного лучше" позволю себе не согласиться. Если что-то вкусно выглядит но пруфов не показывает - возможно, это вообще ловушка? Как минимум было бы очень логично вопить про секурность, не показывая пруфов. А потом совершенно случайно окажется что немного приукрасили. Нет-нет, что вы, ключи сливали в какой там еще файл в отладочных целях, и слив произвольного файла по какому там магическому пакету - это для отладки, вы ничего не подумайте :). > А если мне нужен канал поинтереснее, то это и токс и матрикс и что угодно что проверено > на 100% и самим скомпилировано если уж прям так надо это всё. Вот токс и матрикс я еще могу понять в плане кивания на хоть какую-то безопасность. > Пароли к примеру я в ватсап не скидываю. Более того - я бы вообще дважды подумал до того как печатать на мобилке сколь-нибудь ценные пароли.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру