Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В рамках проекта Cryptocat создан web-чат с шифрованием на с..., opennews (??), 28-Июл-12, (0) [смотреть все] Осталось придумать как безопасно передать ключ по сети Проблема курицы и яйца , Аноним (-), 13:56 , 28-Июл-12, (1) –1 // 1 шифрование с открытым ключом для обмена сеансовыми ключами2 шифрование с отк, Аноним (-), 14:10 , 28-Июл-12, (3) +4 // Тем кто знает что такое шифрование с открытым ключом хватит и джаббера , umbr (ok), 17:15 , 28-Июл-12, (16) +3 // К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере П, GG (ok), 17:34 , 28-Июл-12, (17) –1 А для таких придуман скайп , umbr (ok), 18:11 , 28-Июл-12, (21) –4 А для таких придуман СОРМ и обещание сотрудничества Быдлогейтсов со спецурой , Аноним (-), 18:38 , 28-Июл-12, (22) +7 честному человеку, как известно, нечего скрывать , arisu (ok), 18:42 , 28-Июл-12, (23) –7 честному руководителю какого-нибудь холдинга от конкурентов скрывать и впрямь не, Аноним (-), 19:08 , 28-Июл-12, (24) +7 честный руководитель какого-нибудь холдинга, проконсультировавшись со спецами по, umbr (ok), 19:15 , 28-Июл-12, (26) –6 очень хорошо, что ты осознал наконец, что скрывать естьчо и неважно, честный ты, Аноним (-), 22:07 , 28-Июл-12, (36) +4 это скорее дань традиции, umbr (ok), 01:35 , 29-Июл-12, (42) –1 Если это не сарказм - ждем твоих паспортных данных, а также логинов, паролей и к, Аноним (-), 21:57 , 28-Июл-12, (34) +4 договаривать неохота честному человеку нечего скрывать от честных людей , Харитон (?), 22:16 , 28-Июл-12, (37) +6 ты честный человек да , Аноним (-), 15:31 , 29-Июл-12, (73) Ага, и дверь запирать не нужно , Cuernud (?), 11:07 , 30-Июл-12, (88) про СОРМ и обещание сотрудничества знают не только на опеннете , umbr (ok), 19:17 , 28-Июл-12, (27) Такие люди и безопасность - несовместимы Поэтому хоть скайп , Аноним (-), 15:54 , 29-Июл-12, (74) +2 Если это мой офис и я знаю, что там все сидят с тонких клиентов, которые прицепл, GG (ok), 16:43 , 29-Июл-12, (77) А ключ написать в скайп , XoRe (ok), 22:10 , 29-Июл-12, (85) Проблем-то Можно записать ключ на бумажку и послать ее обычной почтой Или голу, жабабыдлокодер (ok), 14:10 , 28-Июл-12, (4) +4 // Ну тогда и сообщение можно тем же каналом отправить К чему лишние сложности , Аноним (-), 21:59 , 28-Июл-12, (35) +1 // Чатиться очень долго получится , жабабыдлокодер (ok), 22:37 , 28-Июл-12, (39) Ну ключ то передавать устраивает, значит и чатиться сойдет Да и вообще, вон RFC, Аноним (-), 03:43 , 29-Июл-12, (49) –1 http ru wikipedia org wiki IP_ EF EE F1 F0 E5 E4 F1 F2 E2 EE EC_ EF EE F7 F2 E, XoRe (ok), 22:10 , 29-Июл-12, (84) Чем Вас алгоритм Диффи-Хелмана не устраивает , saNdro (?), 00:57 , 29-Июл-12, (40) // Например тем что активный MITM может впарить левый скрипт и весь диффи-хеллман п, Аноним (-), 03:44 , 29-Июл-12, (50) Опубликовать зашифрованную подписанную своим публичным ключем фразу до его пер, UnitedShowAboard (?), 06:22 , 30-Июл-12, (87) // про сколько же интересных вещей можно узнать на опеннете 171 толмуды 187 , , arisu (ok), 13:14 , 30-Июл-12, (101) Судя по бурному обсуждению и твоему заминусованному здравому посту - тут одно шк, Аноним (-), 23:09 , 30-Июл-12, (112) Внимание, вопрос а что в этой схеме помешает атакующему притвориться легитимным, Аноним (-), 14:00 , 28-Июл-12, (2) +4   // ничего Вас спасёт FreedomBox , Аноним (-), 14:12 , 28-Июл-12, (5)   // А давайте вы уточните какая именно технология меня спасет Аналог этого бокса я , Аноним (-), 19:15 , 28-Июл-12, (25)   а ещё мы все завтра можем умереть и никакая криптография не спасёт , arisu (ok), 14:50 , 28-Июл-12, (7)   // Просто толку то от защиты которая по факту является дверью в чистом поле От чег, Аноним (-), 19:19 , 28-Июл-12, (28)   // AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволя, Аноним (-), 03:11 , 29-Июл-12, (44)   Окей, но1 А какие основания у В Пупкина доверять мне 2 А как гарантировать ч, Аноним (-), 03:56 , 29-Июл-12, (51)   1 Это не имеет отношения к информатике При обмене оба в чём-то доверяют друг д, Af. (?), 17:14 , 29-Июл-12, (82)   Вообще-то имеет При использовании нормальных средств криптографии ожидается что, Аноним (-), 12:02 , 30-Июл-12, (89)   Как будто тот, кто писал и собирал не мог проебать свою подписьИли не мог под вл, GG (ok), 12:22 , 30-Июл-12, (90)   В принципе мог, но такие случаи крайне редки Это будет ломовой секурити-анонс м, Аноним (-), 12:53 , 30-Июл-12, (96) –1   Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, вс, коксюзер (?), 15:01 , 30-Июл-12, (102)   Если я ламер, кто кто ты тогда Выводятел , GG (ok), 15:30 , 30-Июл-12, (104)   Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код , GG (ok), 11:20 , 29-Июл-12, (59)   , filosofem (ok), 15:54 , 28-Июл-12, (11)   Внимание тоже вопрос что что вам помешало читать дальше слова web-приложения , filosofem (ok), 15:55 , 28-Июл-12, (12)   // Так я прочитал И мне не понятно 1 Что защитит от подмены скрипта на пробэкдор, Аноним (-), 19:27 , 28-Июл-12, (31) +1   // Если вам тяжело там читать, цитирую, не благодарите , filosofem (ok), 22:22 , 28-Июл-12, (38) +1   Что по сути является тем же яваскриптом В случае Chrome и установки из webstore, Аноним (-), 02:54 , 29-Июл-12, (43)   Разрешаю Вам снять галочку автоматического обновления и проверить исходный код р, Аноним (-), 03:15 , 29-Июл-12, (45) +4   Вот это уже более здравый аргумент в отличие от клоунов рядом , Аноним (-), 12:43 , 30-Июл-12, (95)   А тут тоже интересный вопрос - это надо смотреть насколько нельзя дополнения под, Аноним (-), 03:58 , 29-Июл-12, (52)   Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров станет , Аноним (-), 10:44 , 29-Июл-12, (58) +5   Безопасность имеет 2 уровня high и нехай с кто-то из параноиков Ну то-есть, Аноним (-), 12:26 , 30-Июл-12, (91)   на Python же, Аноним (-), 21:08 , 31-Июл-12, (115) +3   бууэээ , vasek (?), 13:02 , 07-Авг-12, (116) –3   сам ты бууэээ , троллМорде (?), 14:32 , 07-Авг-12, (117) +3   В wheezy во всяком случае есть - значит уже не бууээhttp packages debian org w, Fyjybv (?), 14:29 , 13-Авг-12, (118) +4   Запили своё, йоптаС проверкой подписей и обновлением со своего собственного серв, GG (ok), 11:25 , 29-Июл-12, (61) +2   А, вот оно что - йопта-wannabe-криптографы Ну так бы сразу и сказали Дык у ме, Аноним (-), 12:32 , 30-Июл-12, (92) –1   точно можешь а расскажи про этот крутой механизм, а он ведь должен гарантирова, arisu (ok), 12:55 , 30-Июл-12, (98)   Поставил убунту стал крутым сисадмином, криптографом и пацаном, GG (ok), 15:27 , 30-Июл-12, (103)   OMG, не в сказку ли я попал Да это же разумный коммент на опеннете на тему безо, коксюзер (?), 07:05 , 29-Июл-12, (54)   // понимаешь, в чём дело этот камент совсем не по теме потому что авторы cryptoca, arisu (ok), 10:02 , 29-Июл-12, (57) –1   // Во-первых, мы с вами на брудершафт не пили Во-вторых, коммент полностью по теме, коксюзер (?), 16:08 , 29-Июл-12, (75)   294-й же Не то чтобы я супер-про в шифровании, но я вполне себе владею азами , Аноним (-), 12:39 , 30-Июл-12, (93)   подустал от псевдоумных комментариев да, танки не летают нет, в техспецификаци, arisu (ok), 12:57 , 30-Июл-12, (99)   Ну вот немцы тоже так считали А потом истошно крыли ужасную русскую распутицу , Аноним (-), 00:16 , 31-Июл-12, (113)   вздыхает ты притворяешься, или таки действительно не врубаешься , arisu (ok), 02:53 , 31-Июл-12, (114)   Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради тог, Аноним (-), 12:41 , 30-Июл-12, (94)   и что тут такого декоративного по твоей логике вся секурность декоративная д, arisu (ok), 13:06 , 30-Июл-12, (100)   Вынужден категорически не согласитьсяДоверять приходится только собеседнику в се, GG (ok), 15:32 , 30-Июл-12, (105)   ещё раз ты 100 уверен, что в твоей системе, в железе и ты пы нет руткитов на , arisu (ok), 15:45 , 30-Июл-12, (106)   Ещё раз на моём заводе всё оборудование я произвёл сам, своими руками И я знаю, GG (ok), 16:54 , 30-Июл-12, (107)   и всё своё железо и всю схематику проверял досконально и прошивки и код всего, arisu (ok), 17:21 , 30-Июл-12, (108)   Посмотри в словаре, что такое утопия, GG (ok), 17:47 , 30-Июл-12, (109)   не тупи, пожалуйста , arisu (ok), 17:53 , 30-Июл-12, (110)   сам не тупи, пожалуйста , GG (ok), 18:18 , 30-Июл-12, (111)   О, это же paxuser собственной персоной Не в сказку ли я попал , Аноним (-), 12:55 , 30-Июл-12, (97)   Ну теперь-то жабберу точно капец , Аноним (-), 14:29 , 28-Июл-12, (6) –1 А был же такой firetalks уже давно, от наших соотечественников В чём принципиаль, Аноним (-), 14:57 , 28-Июл-12, (8) // А также был SILC, IRC с SSL, OTR и еще много всяких пепелацев Некоторые даже вн, Аноним (-), 19:22 , 28-Июл-12, (30) +1 Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безг, GG (ok), 17:06 , 28-Июл-12, (15) –2 // gt оверквотинг удален смех Баттхеда копетан нам рассказал азы асимметричного, Аноним (-), 17:57 , 28-Июл-12, (20) –2 Отправлено GG, 28-Июл-12 17 06 Значит, когда эти баритоны кричат 171 бей разр, Аноним (-), 20:41 , 28-Июл-12, (33) +2 gt оверквотинг удален Если вы про асимметричное шифрование, то учите теорию р, saNdro (?), 01:03 , 29-Июл-12, (41) // Тогда это уже не ключи, а файлы, где в файл приватного ключа вложен публичный ил, коксюзер (?), 07:24 , 29-Июл-12, (55) Эллиптические кривые ГОСТом чтоле шифрут , Аноним (-), 17:36 , 28-Июл-12, (18) –2 // Ты думаешь что только ГОСТ основан на эллиптических кривых , Аноним (-), 03:18 , 29-Июл-12, (46) да неужели не могут ну этоже просто смешно -D -D хотите сказать что у адми, Аноним (-), 03:30 , 29-Июл-12, (48) // ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать вы, Аноним (-), 06:08 , 29-Июл-12, (53) +1 // вместо того чтобы тупо обзываться оскорблениямиможет лучше напишешь ЧТО именн, Аноним (-), 12:58 , 29-Июл-12, (63) Согласно с законом о защите секретной информации в РФ защиту своей информации до, GG (ok), 13:23 , 29-Июл-12, (69) ну, вот теперь мне всё ясно - такбы сразу и сказал, Xasd (ok), 13:28 , 29-Июл-12, (70) А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из о, GG (ok), 11:23 , 29-Июл-12, (60) –1 // для того чтобы была возможность системному администратору комфортного подслушива, Аноним (-), 12:51 , 29-Июл-12, (62) // ты вообще смотрел, как он работает, прежде чем это понаписать , GG (ok), 13:10 , 29-Июл-12, (65) читал новость и заходил по ссылкечто написанного мной -- не так -- по твоему мне, Xasd (ok), 13:22 , 29-Июл-12, (68) И что по твоему мешает админу выложить исходники Думаешь из юзеров у кого-то хва, GG (ok), 13:32 , 29-Июл-12, (71) У кого-либо из гиков хватит ума указать пальцем на нужную строку, после чего бри, Af. (?), 17:08 , 29-Июл-12, (80) Будет уже поздноА потом появится какой-нибудь хомяк и напишет 8212 Да нет там, GG (ok), 17:13 , 29-Июл-12, (81) пользоваться русским криптопродуктом в россии хорошее предложение силовики про, Anonim (??), 14:34 , 29-Сен-12, (119) а вообще зачем этот огород есть пейджеры, есть gpg, есть tor - есть продукты го, Anonim (??), 14:39 , 29-Сен-12, (120) 1,2,6,8,15,18,48,119,120

Сообщения

[Сортировка по времени | RSS]

2. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+4 +/–
Сообщение от Аноним (-), 28-Июл-12, 14:00
Внимание, вопрос: а что в этой схеме помешает атакующему притвориться легитимным сервером и вгрузить свой вариант JS-а, отсылающий ему ключи шифрования, например? Или просто нешифрованную копию текста? Полудохлый SSL, который сам крякабелен путем втюхивания левого сертификата любой из 100500 ауторитей? Так можно было и не париться с AES на JS тогда и просто SSL юзать... Дело в том что криптография не защищает от случая когда сам криптографический код - потенциально недоверяемый. Просто потому что атакующий может впарить по пути нечто иное. В случае отдельного приложения установленного локально у атакующего нет методов оперативно заменить криптографический код и его обвязку. Но в вебне то юзер должен скачать этот самый код, обеспечивающий шифрование. И вот тут атакующий может вовремя подсуетиться.
Ответить | Правка | Наверх | Cообщить модератору

	5. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от Аноним (-), 28-Июл-12, 14:12
	> а что в этой схеме помешает ... ничего. Вас спасёт FreedomBox.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от Аноним (-), 28-Июл-12, 19:15
	> ничего. Вас спасёт FreedomBox. А давайте вы уточните какая именно технология меня спасет? Аналог этого бокса я и сам наколхожу за жалкие $20 из того что есть, если оно мне станет надо.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 28-Июл-12, 14:50
	а ещё мы все завтра можем умереть. и никакая криптография не спасёт.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	28. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 28-Июл-12, 19:19
	> а ещё мы все завтра можем умереть. и никакая криптография не спасёт. Просто толку то от защиты которая по факту является дверью в чистом поле? От чего она защищает? От MITM? Активный MITM может впарить левый скрипт. От сервера? Сервер тоже может впарить левый скрипт. Ну и в чем смысл такого шифрования? Создать ложное ощущение защищенности, в надежде что хомячки и так схавают и будут думать что оно шифрованное, но при том можно будет при желании прослушать? Понимаешь, Кэп, криптографию не катит строить на гнилом фундаменте. Или уж есть очевидные продолбы, или нет. В данном случае они есть и никак не фиксятся особо. Ну разве что некое оффлайновое веб-приложение которое не перекачивается каждый раз с сервера... но проще GPG какой-нибудь взять или там IM клиент с OTR. Вебня + JS просто не предусматривает сколь-нибудь эффективного противодействия подмене скриптов что по пути, что на сервере.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 29-Июл-12, 03:11
	AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат намертво к сайту, его нельзя будет подменить что бы браузер не заметил и он не проверяется через доверенные центры которые могут быть дискредитированы потому что самоподписанный.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 29-Июл-12, 03:56
	> AGPLv3 позволяет тебе развернуть свой сервер, Окей, но 1) А какие основания у В. Пупкина доверять мне? 2) А как гарантировать что к пользователю придет именно тот скрипт который ему отправил сервер, а не нечто левое, от хакеров/спецслужб/прочих добрых или не очень добрых сущностей, hijack-ающих трафф. От которых по идее и защищаемся. А то прозрачные прокси еще не отменяли, например. > а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат > намертво к сайту, его нельзя будет подменить что бы браузер не заметил А его и не надо подменять. Достаточно сломать очередной из 100500 DigiNotar-образных CA и от их лица подписать что "а вот этот хост - белый и пушистый. И вообще оно - сайт вот этого гражданина. DigiNotar'ом клянусь!". А то что это другой сертификат подписанный другим CA - так кто ж там разберется? Была бы какая-то стандартная механика в браузере для детектирования таких фокусов - я еще понимаю. Но ее ж нет! Поэтому мало кто заметит что теперь сертификат какой-то другой, подписан очередным DigiNotar'ом, который клянется что сайт правильный и принадлежит мне. А то что это CA хакнули или просто что-то зажали в тиски - так поди ж разберись. И лечится весь этот дебилизм разве что выносом всех корневых CA сертификатов... после чего ваша жизнь станет не слишком пресной :) > и он не проверяется через доверенные центры которые могут быть дискредитированы > потому что самоподписанный. И что? Как это помешает впарить на поддельном сайте ДРУГОЙ сертификат сервера? Выписанный другим CA на этот же домен, например? Да, это будет другой сертификат. А радости то? Это ж вполне может выглядеть для юзера как валидный сертификат. На вот этот вот домен с вот этим сервером. А то что это другой сертификат, и это вообще не тот сервер как-то и не будет отловлено. Потому что кто угодно может выписывать сертификаты на что угодно.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Af. (?), 29-Июл-12, 17:14
	> 1) А какие основания у В. Пупкина доверять мне? > 2) А как гарантировать что к пользователю придет именно тот скрипт который 1) Это не имеет отношения к информатике. При обмене оба в чём-то доверяют друг другу или третьему арбитру. Иначе процесс попросту НЕ существует. От каменного века и до сих пор. 2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо человеческого предательства или засланного казачка, а эта тема к информатике отношения не имеет. P.S. Насколько помню, в новостях не компрометировали только предварительный обмен открытыми ключами собственного "изготовления". Кстати, за их использование в некоторых странах могут наказать.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 30-Июл-12, 12:02
	> 1) Это не имеет отношения к информатике. Вообще-то имеет. При использовании нормальных средств криптографии ожидается что нет откровенных подстав такого плана что кто-то посторонний может впарить что попало + возможность проверить кто чем является. В этой схеме данная возможность или отсуствует или столь невнятна что я ее не разглядел. Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет. И предоставлены внятные доказательства авторства пакетов в виде подписей. Поэтому какой попало MITM вгрузить что попало не сможет. А вот вебня никогда не делалась с упором на аутентификацию того что именно и кто вгружает клиенту в браузер... > При обмене оба в чём-то доверяют друг другу или третьему арбитру. В указанной схеме нет явных методов проверить что код занимающийся шифрованием исходит от того от кого задекларировано, а не левого MITM. > Иначе процесс попросту НЕ существует. От каменного века и до сих пор. Спасибо, Капитан. > 2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо > человеческого предательства или засланного казачка, Зато оно должно спасать от MITM. И активных и пассивных. Личный сервер это прекрасно, но опять же - кто гарантирует что юзеру придет именно тот код который мой сервак слал? Браузеры никогда не создавались для аутентифицированной доставки кода. > а эта тема к информатике отношения не имеет. Зато к информатике имеет отношение что браузер запускает все что ему пришлет сервер и все сервера в этом плане равноправны. Грубо говоря если вместо сервера Васи мне подсунут сервер Пети, который отгрузит похожий по внешним признакам скрипт - фиг отличишь. Потому что ничто не мешает ему вести себя похоже. Есть SSL, но его надежность - ниже всякой критики. > Кстати, за их использование в некоторых странах могут наказать. А в некоторых странах так и вовсе могут камнями закидать.
	Ответить | Правка | Наверх | Cообщить модератору

	90. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 12:22
	> Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет. Как будто тот, кто писал и собирал не мог проебать свою подпись Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу Ну или https и зафаерволить все левые хосты для полной секурности
	Ответить | Правка | Наверх | Cообщить модератору

	96. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	–1 +/–
	Сообщение от Аноним (-), 30-Июл-12, 12:53
	> Как будто тот, кто писал и собирал не мог проeбать свою подпись В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс мирового класса. И полпланеты сразу же будет трубить о данном факте. > Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу См. выше. А в упомянутой вами механике - вообще очевидных простых методов проверить кто и что, внушающих доверие - просто нет. Потому что вебня никогда не предназначалась для проверки кто автор кода. Она просто не о том. > Ну или https А https - не есть полностью секурный протокол. Потому что большая пачка CA доверяемых по дефолту. И каждый может за другого поставить подпись. Вон comodohacker удостоверил себе что он гугл, мозилла, скайп и что там еще - все и сразу. CA конечно сдох, но секурность 100500 CA которые бырыжат сертификатами за бабло и могут подписать все и всем доверия как-то не внушает. Вот тут уже хаксоры или парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину в N субъектах примерно в N раз выше чем в 1 субъекте. > и зафаерволить все левые хосты для полной секурности К сожалению я делаю вывод что вы - ламер. Вы попросту не представляете себе как работает прозрачный прокси. Позорище космофлота.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от коксюзер (?), 30-Июл-12, 15:01
	> В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс > мирового класса. И полпланеты сразу же будет трубить о данном факте. Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, все, кто доверял ключу, продолжат доверять. Ну и случай с Red Hat показывает, что всем, в принципе... ну вы понели. > там еще - все и сразу. CA конечно сдох, но секурность К сожалению, Comodo жив. > 100500 CA которые бырыжат сертификатами за бабло и могут подписать все > и всем доверия как-то не внушает. Вот тут уже хаксоры или > парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину > в N субъектах примерно в N раз выше чем в 1 > субъекте. Да. Вообще, забавны все эти рассуждения, по сути, о том, как неопытные пользователи будут удалять из браузера сертификаты CA и проверять по независимым каналам подлинность самоподписанного сертификата (а то и аж целостность получаемых скриптов!), дабы заткнуть паклей дыры в дизайне Cryptocat. Который, что характерно, нацелен на тех, кто не знает, как это делается, либо на тех, кому... ну вы понели. Не говоря о том, что поставить и настроить чат-клиент с OTR - гораздо проще и удобнее, чем все эти пляски.
	Ответить | Правка | Наверх | Cообщить модератору

	104. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 15:30
	> К сожалению я делаю вывод что вы - ламер. Если я ламер, кто кто ты тогда? Выводятел?
	Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

	59. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 29-Июл-12, 11:20
	> AGPLv3 позволяет тебе Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код хостящегося на твоём личном серваке публичного сервиса.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	11. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от filosofem (ok), 28-Июл-12, 15:54
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	12. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от filosofem (ok), 28-Июл-12, 15:55
	Внимание тоже вопрос: что что вам помешало читать дальше слова "web-приложения"? Оно вызывает у вас какие-то сильные переживания?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	31. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+1 +/–
	Сообщение от Аноним (-), 28-Июл-12, 19:27
	> Внимание тоже вопрос: что что вам помешало читать дальше слова "web-приложения"? Так я прочитал. И мне не понятно: 1) Что защитит от подмены скрипта на пробэкдореный по пути от сервака до юзера? Ну воткнет некто прозрачный проксь и впарит исправленный скрипт, который ключ налево сливает, например. Или просто юзерский ввод отсылает не только на сервак, но и допустим на посторонний сервак логгирования. А что помешает то? Не вижу в статье этого момента. 2) Что защитит от произвола сервера? Ну или что помешает отгрузить какой-то левак под видом "типа надежного шифрования"? Ну в случае GPG - там майнтайнеры в репах и авторы GPG своей репутацией отвечают, в приличных дистрах подписи на релиз лепят + история всех патчей. Можно проверить что оно именно авторское а не какое попало. А тепеь я захожу на некий серват этой системы. Как мне собственно по простому проверить что оно секурное? Может сервак с трояненым скриптом какой-то школьник с жидким мозгом поставил, которому и терять то нечего? А как мне отличить хороший сервер и код от нехорошего?
	Ответить | Правка | Наверх | Cообщить модератору

	38. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+1 +/–
	Сообщение от filosofem (ok), 28-Июл-12, 22:22
	Если вам тяжело там читать, цитирую, не благодарите: >Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от Аноним (-), 29-Июл-12, 02:54
	> Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox Что по сути является тем же яваскриптом. В случае Chrome и установки из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox сказать сейчас не могу.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+4 +/–
	Сообщение от Аноним (-), 29-Июл-12, 03:15
	>> Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox > Что по сути является тем же яваскриптом. В случае Chrome и установки > из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox > сказать сейчас не могу. Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения глазами перед установкой.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от Аноним (-), 30-Июл-12, 12:43
	> Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения > глазами перед установкой. Вот это уже более здравый аргумент в отличие от клоунов рядом.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от Аноним (-), 29-Июл-12, 03:58
	> позволяют полностью вынести логику работы чата на сторону клиента, > используя сервер только для хранения зашифрованных данных и списка > подключенных пользователей. А тут тоже интересный вопрос - это надо смотреть насколько нельзя дополнения подменить. Там есть проверка подписей, например? Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод?
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	58. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+5 +/–
	Сообщение от Аноним (-), 29-Июл-12, 10:44
	>Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод? Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров станет ТАК ковыряться, может стоит взглянуть сразу в сторону github.com/prof7bit/TorChat ?
	Ответить | Правка | Наверх | Cообщить модератору

	91. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от Аноним (-), 30-Июл-12, 12:26
	> Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров > станет ТАК ковыряться, "Безопасность имеет 2 уровня: high и нехай" (с) кто-то из параноиков. Ну то-есть, если там нет подписей, ковыряния там на аж 10 минут средне-паршивого скрипткидиса - аж научиться прозрачный прокси ставить. И редиректить на нем некоторые URL. Стандартный сисадминский скилл любого вменяемого админа в энтерпрайзной локалке. Атака стоит $0, не требует каких-то спец-скиллов и вычислительных мощностей. Wtf - "ТАК"? > github.com/prof7bit/TorChat Какая-то неведомая фигня на паскале. А что-то наподобие но менее велосипедное, например как плагин к кутиму/пиджину не бывает случайно? Я пока в курсе насчет OTR, неплохая в принципе штука. Явно с умом делалось, протокол достаточно продуман и по этому поводу пролезает поверх почти любого мыслимого IM протокола. End-to-end шифрование. Есть аутентификация собеседника, можно проверить фингерпринт ключа, но нет доказуемых цифровых подписей на сообщениях, так что в перехваченном траффике - фиг кому и что докажешь. Есть perfect forward secrecy, когда ключ расшифровки временный и есть только в RAM и изничтожается из RAM после завершения сессии, что не позволяет расшифровать перехваченный траффик "когда-нибудь потом". Вот это нормально задизайненая штука. И оно имеет важный плюс: код всего этого лежит у меня на диске, а пакет с оным подписан. По желанию левой пятки постороннего MITM я libotr на что-то левое не заменю. Просто потому что для этого надо подделать цифровую подпись пакета (удачи!) и убедить меня вгрузить апдейт (удачи, я проверяю по поводу чего такие апдейты выкатываются).
	Ответить | Правка | Наверх | Cообщить модератору

	115. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+3 +/–
	Сообщение от Аноним (-), 31-Июл-12, 21:08
	>Какая-то неведомая фигня на паскале. на Python же
	Ответить | Правка | Наверх | Cообщить модератору

	116. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	–3 +/–
	Сообщение от vasek (?), 07-Авг-12, 13:02
	> на Python же бууэээ...
	Ответить | Правка | Наверх | Cообщить модератору

	117. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+3 +/–
	Сообщение от троллМорде (?), 07-Авг-12, 14:32
	сам ты бууэээ...
	Ответить | Правка | Наверх | Cообщить модератору

	118. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+4 +/–
	Сообщение от Fyjybv (?), 13-Авг-12, 14:29
	В wheezy во всяком случае есть - значит уже не бууээ http://packages.debian.org/wheezy/torchat
	Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

	61. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+2 +/–
	Сообщение от GG (ok), 29-Июл-12, 11:25
	> Там есть проверка подписей, например? Запили своё, йопта С проверкой подписей и обновлением со своего собственного сервера, а не через cws Что хрум, что лиса - никаких препятствий не чинят
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	92. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	–1 +/–
	Сообщение от Аноним (-), 30-Июл-12, 12:32
	> Запили своё, йопта А, вот оно что - "йопта-wannabe-криптографы". Ну так бы сразу и сказали. > С проверкой подписей и обновлением со своего собственного сервера, Дык у меня уже пакетный менеджер есть. Он как раз именно так и сделан. Какие ключи у меня в кейринге стоят - таким и будем доверять. Скажу что доверять только мне - значит только мне. Правда мне придется переподписывать пачку пакетов :) > а не через cws Что есть cws? > Что хрум, что лиса - никаких препятствий не чинят В пакетном манагере есть готовая понятная механика которой я могу проверить что libotr - от именно авторов оной либы, а не откуда-то сбоку. И апдейты я буду вгружать не по желанию левого mitm а когда сам захочу. И в отличие от - я не могу найти в OTR очевидных проблем реализации так сходу. Ы? Вот это - простая и достаточно понятная механика. Без явных подлян. А в этой хреновине туева хуча неучтенных факторов. Злоумышленнику достаточно чтобы сработал хотя-бы один из них.
	Ответить | Правка | Наверх | Cообщить модератору

	98. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 30-Июл-12, 12:55
	> В пакетном манагере есть готовая понятная механика которой я могу проверить что > libotr — от именно авторов оной либы, а не откуда-то сбоку. точно можешь? а расскажи про этот крутой механизм, а? он ведь должен гарантировать, например, что авторы не потеряли случайно свои ключи. что авторов под пытками не заставили подписать левое. и ещё 100500 факторов. это же эпохальная разработка, о такой весь мир должен шуметь — ан, тишина.
	Ответить | Правка | Наверх | Cообщить модератору

	103. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 15:27
	> Дык у меня уже пакетный менеджер есть. Поставил убунту = стал крутым сисадмином, криптографом и пацаном
	Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

	54. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от коксюзер (?), 29-Июл-12, 07:05
	> Дело в том что криптография не защищает от случая когда сам криптографический > код - потенциально недоверяемый. Просто потому что атакующий может впарить по > пути нечто иное. В случае отдельного приложения установленного локально у атакующего > нет методов оперативно заменить криптографический код и его обвязку. Но в > вебне то юзер должен скачать этот самый код, обеспечивающий шифрование. И > вот тут атакующий может вовремя подсуетиться. OMG, не в сказку ли я попал? Да это же разумный коммент на опеннете на тему безопасности, и не от solardiz'а сотоварищи!
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	57. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	–1 +/–
	Сообщение от arisu (ok), 29-Июл-12, 10:02
	> OMG, не в сказку ли я попал? Да это же разумный коммент > на опеннете на тему безопасности, и не от solardiz'а сотоварищи! понимаешь, в чём дело: этот камент совсем не по теме. потому что авторы cryptocat нигде не обещали 100% защиты по всем точкам. хочешь, я тебе выдам примерно такой же вообще про любую систему? итак: «предположим, что в фирмварь зашит кейлоггер…» думаю, ты понял принцип. ребята написали реализацию шифрования и прочее на js. сейчас это модно. доставкой своего кода и самовалидацией проект не занимается. поэтому все вопли про MITM являются не «хорошими, годными каментами о security», а обычными демагогическими воплями — вне зависимости от того, насколько они верны фактически.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от коксюзер (?), 29-Июл-12, 16:08
	> понимаешь, в чём дело: этот камент совсем не по теме. потому что > авторы cryptocat нигде не обещали 100% защиты по всем точкам. Во-первых, мы с вами на брудершафт не пили. Во-вторых, коммент полностью по теме, поскольку модель угроз, в рамках которой Cryptocat может что-то предложить, не включает активный MitM и тем самым учитывает что угодно, но не реалии 21 века и даже не конца 20-го, включая реалии "этой страны". > хочешь, я тебе выдам примерно такой же вообще про любую систему? итак: > «предположим, что в фирмварь зашит кейлоггер…» думаю, ты понял принцип. Вы это всерьёз или так, "потроллить"? Всегда есть риск, что куда-то зашит кейлоггер, или кто-то дистанционно читает ПЭМИН с клавиатуры, монитора, сетевой карты, или снимает скрытой камерой и т.п. Но риски эти как правило значительно ниже по сравнению с рисками в случаях, когда перехват зашифрованных сообщений и их расшифровку можно осуществлять автоматически, на порядки дешевле, проще и практически незаметно. С учётом возможности расшифровки, веб-ресурсы с Cryptocat (факт их использования) - это маркер потенциальных жертв для репрессивных режимов. И если те режимы где-то до сих пор не воспользовались возможностью, они ей рано или поздно воспользуются. И хуже будет, если это произойдёт после формирования ложного представления о безопасности Cryptocat, когда туда потекут массы диссидентов. Идея эта крайне старая (~ 8 лет или старше), обсуждалась в сообществе многократно, но не была реализована исходя из соображений, схожих с вышеизложенными. А парень, пусть и неосознанно, просто подставляет тех, кто ему поверит. > ребята написали реализацию шифрования и прочее на js. сейчас это модно. доставкой > своего кода и самовалидацией проект не занимается. поэтому все вопли про Вы констатируете, допустим, факты. Комментатор выше и я дали им оценку, противопоставить которой вам по сути нечего, кроме неловких намёков на всем известные риски и попыток опровергнуть относительную практическую ценность всех современных CMS тем, что она не является абсолютной. > MITM являются не «хорошими, годными каментами о security», а обычными демагогическими > воплями — вне зависимости от того, насколько они верны фактически. К сожалению, это ваши вопли являются сугубо демагогическими, ложными и даже вредными, если бы автор Cryptocat уже не начал гораздо более масштабную работу по введению масс в заблуждение, сам того не ведая (я надеюсь).
	Ответить | Правка | Наверх | Cообщить модератору

	93. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 30-Июл-12, 12:39
	294-й же. Не то чтобы я супер-про в шифровании, но я вполне себе владею "азами" + зачастую могу прикинуть с какой стороны можно попробовать зайти чтобы нечто попытаться взломать. Ну вот и озвучил наиболее подозрительные векторы атак, поинтересовавшись а как с этим борятся. Похоже, борятся с атаками чисто троллингом :). Чего ради Кэп растроллился - я вообще не понял. Нет бы хоть по существу троллил, а то только какашками кидается как какой-нибудь iZEN прямо. Хотя вроде ж не тупой субъект -> не понятно чего паясничает.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 30-Июл-12, 12:57
	подустал от псевдоумных комментариев. да, танки не летают. нет, в техспецификациях и не было сказано, что будут летать. да, в болоте утонут. нет, никто и не собирался делать плавающий танк. и так далее.
	Ответить | Правка | Наверх | Cообщить модератору

	113. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 31-Июл-12, 00:16
	> никто и не собирался делать плавающий танк. и так далее. Ну вот немцы тоже так считали. А потом истошно крыли "ужасную русскую распутицу", и с поводом и без. А вот советские конструкторы не забывали о давлении гусениц на грунт. По поводу чего мне не известно о массовых воплях насчет распутицы с советской стороны :). Может быть я не так уж и неправ советуя не забывать о проходимости танка не только по шоссе но и по хрен знает какому г-ну, которое почему-то в природе встречается чаще шоссе? :)
	Ответить | Правка | Наверх | Cообщить модератору

	114. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 31-Июл-12, 02:53
	(вздыхает) ты притворяешься, или таки действительно не врубаешься?
	Ответить | Правка | Наверх | Cообщить модератору

	94. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от Аноним (-), 30-Июл-12, 12:41
	> понимаешь, в чём дело: этот камент совсем не по теме. потому что > авторы cryptocat нигде не обещали 100% защиты по всем точкам. Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того чтобы доказать миру что на JS можно еще и AES реализовать.
	Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

	100. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 30-Июл-12, 13:06
	> Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того > чтобы доказать миру что на JS можно еще и AES реализовать. и что тут такого декоративного? по твоей логике *вся* секурность декоративная. докажи, что в твоей системе, в биосе и так далее нет руткитов. докажи, что их нет у собеседника. докажи, что… и так далее. любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять. не доверяешь чужому серверу — подними свой. считаешь, что по дороге могли подменить js? используй SSL с самодельным сертификатом. считаешь, что юзер — дятел, и не будет читать информацию о сертификате, прежде чем согласиться (и до сих пор не вынес нафиг «trusted authorities»)? идиотизм неизлечим, такому никакое шифрование не поможет.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 15:32
	> любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять Вынужден категорически не согласиться Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от кого не зависеть
	Ответить | Правка | Наверх | Cообщить модератору

	106. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 30-Июл-12, 15:45
	> Вынужден категорически не согласиться > Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от > кого не зависеть ещё раз: ты 100% уверен, что в твоей системе, в железе и ты пы нет руткитов? на чём основана такая уверенность?
	Ответить | Правка | Наверх | Cообщить модератору

	107. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 16:54
	> ещё раз: ты 100% уверен, что в твоей системе, в железе и > ты пы нет руткитов? на чём основана такая уверенность? Ещё раз: на моём заводе всё оборудование я произвёл сам, своими руками. И я знаю, как оно работает. Никому доверять не нужно. Хотя это, конечно же, ближе к утопии, чем к современным потреблядям
	Ответить | Правка | Наверх | Cообщить модератору

	108. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 30-Июл-12, 17:21
	>> ещё раз: ты 100% уверен, что в твоей системе, в железе и >> ты пы нет руткитов? на чём основана такая уверенность? > Ещё раз: на моём заводе всё оборудование я произвёл сам, своими руками. > И я знаю, как оно работает. Никому доверять не нужно. и всё своё железо? и всю схематику проверял досконально? и прошивки? и код всего софта? unreal.
	Ответить | Правка | Наверх | Cообщить модератору

	109. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 17:47
	> и всё своё железо? и всю схематику проверял досконально? и прошивки? и > код всего софта? unreal. Посмотри в словаре, что такое утопия
	Ответить | Правка | Наверх | Cообщить модератору

	110. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от arisu (ok), 30-Июл-12, 17:53
	не тупи, пожалуйста.
	Ответить | Правка | Наверх | Cообщить модератору

	111. "В рамках проекта Cryptocat создан web-чат с шифрованием..."	+/–
	Сообщение от GG (ok), 30-Июл-12, 18:18
	> не тупи, пожалуйста. сам не тупи, пожалуйста.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."	+/–
	Сообщение от Аноним (-), 30-Июл-12, 12:55
	> OMG, не в сказку ли я попал? О, это же paxuser собственной персоной. Не в сказку ли я попал? :)
	Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема