URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 85788
[ Назад ]

Исходное сообщение
"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."

Отправлено opennews , 28-Июл-12 13:56 
Представлен проект Cryptocat (https://crypto.cat/), в рамках которого создана реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым (http://ru.wikipedia.org/wiki/%D0%AD%D0%B.... Код клиентской и серверой части распространяется (https://github.com/kaepora/cryptocat) под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor (http://xdtfje3c46d2dnjd.onion).


В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов.


Клиентская часть выполнена (https://github.com/kaepora/cryptocat/tree/master/src/client) в виде браузерного web-приложения. Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox,  которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей. Также доступны отдельные приложения для платформ Android, iPhone и Blackberry. Приложение для Android примечательно тем, что оно  использует для передачи данных анонимную сеть Tor и в качестве сервера задействует скрытый сервис Tor.

URL: http://www.wired.com/threatlevel/2012/07/crypto-cat-encrypti.../
Новость: http://www.opennet.me/opennews/art.shtml?num=34438


Содержание

Сообщения в этом обсуждении
"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 13:56 
> Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ.

Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 14:10 
> Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

1. шифрование с открытым ключом для обмена сеансовыми ключами
2. шифрование с открытым ключом для аутентификации собеседника


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено umbr , 28-Июл-12 17:15 
Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 28-Июл-12 17:34 
> Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.

К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
Проще им ссылку на чат кинуть.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено umbr , 28-Июл-12 18:11 
А для таких придуман скайп.

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 18:38 
А для таких придуман СОРМ и обещание сотрудничества Быдлогейтсов со спецурой.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 28-Июл-12 18:42 
честному человеку, как известно, нечего скрывать.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 28-Июл-12 19:08 
честному руководителю какого-нибудь холдинга от конкурентов скрывать и впрямь нечего, а как же.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено umbr , 28-Июл-12 19:15 
честный руководитель какого-нибудь холдинга, проконсультировавшись со спецами по безопасности, не станет использовать для связи школьные поделки

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 28-Июл-12 22:07 
очень хорошо, что ты осознал наконец, что скрывать естьчо. и неважно, честный ты или...

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено umbr , 29-Июл-12 01:35 
это скорее дань традиции

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 28-Июл-12 21:57 
> честному человеку, как известно, нечего скрывать.

Если это не сарказм - ждем твоих паспортных данных, а также логинов, паролей и кредитных карт где деньги лежат :)


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Харитон , 28-Июл-12 22:16 
> честному человеку, как известно, нечего скрывать.

договаривать неохота?

честному человеку нечего скрывать от честных людей.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 29-Июл-12 15:31 
ты честный человек да?

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Cuernud , 30-Июл-12 11:07 
Ага, и дверь запирать не нужно.

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено umbr , 28-Июл-12 19:17 
про "СОРМ и обещание сотрудничества" знают не только на опеннете ;)

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 15:54 
> К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
> Проще им ссылку на чат кинуть.

Такие люди и безопасность - несовместимы.
Поэтому хоть скайп.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 29-Июл-12 16:43 
>> К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
>> Проще им ссылку на чат кинуть.
> Такие люди и безопасность - несовместимы.
> Поэтому хоть скайп.

Если это мой офис и я знаю, что там все сидят с тонких клиентов, которые прицеплены к моему серверу, то очень  даже норм.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено XoRe , 29-Июл-12 22:10 
>> Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.
> К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже
> о жаббере.
> Проще им ссылку на чат кинуть.

А ключ написать в скайп)


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено жабабыдлокодер , 28-Июл-12 14:10 
Проблем-то! Можно записать ключ на бумажку и послать ее обычной почтой. Или голубиной. Можно продиктовать по телефону. Можно взять раба, обрить ему голову, вытатуировать ключ на ней, подождать, пока он не обрастет, и отправить адресату. Вариантов - сколько угодно.

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 21:59 
> вытатуировать ключ на ней, подождать, пока он не обрастет, и отправить
> адресату. Вариантов - сколько угодно.

Ну тогда и сообщение можно тем же каналом отправить. К чему лишние сложности? :)


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено жабабыдлокодер , 28-Июл-12 22:37 
Чатиться очень долго получится...

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 03:43 
> Чатиться очень долго получится...

Ну ключ то передавать устраивает, значит и чатиться сойдет. Да и вообще, вон RFC1149 работает же :)


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено XoRe , 29-Июл-12 22:10 
>> Чатиться очень долго получится...
> Ну ключ то передавать устраивает, значит и чатиться сойдет. Да и вообще,
> вон RFC1149 работает же :)

http://ru.wikipedia.org/wiki/IP_%EF%EE%F1...

зачет)


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено saNdro , 29-Июл-12 00:57 
Чем Вас алгоритм Диффи-Хелмана не устраивает?

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 03:44 
> Чем Вас алгоритм Диффи-Хелмана не устраивает?

Например тем что активный MITM может впарить левый скрипт и весь диффи-хеллман пойдет лесом.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено UnitedShowAboard , 30-Июл-12 06:22 
Опубликовать зашифрованную (подписанную) своим публичным ключем фразу до его передачи аппоненту.
Таким образом аппонент получит возможность проверить полученный ключ на подлинность.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 30-Июл-12 13:14 
> аппоненту.

про сколько же интересных вещей можно узнать на опеннете! «толмуды», «аппоненты»…


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 30-Июл-12 23:09 
>Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

Судя по бурному обсуждению и твоему заминусованному здравому посту - тут одно школоло. Тебя никто не понял. Зато все знают слова "криптография с открытым ключем".


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 14:00 
Внимание, вопрос: а что в этой схеме помешает атакующему притвориться легитимным сервером и вгрузить свой вариант JS-а, отсылающий ему ключи шифрования, например? Или просто нешифрованную копию текста? Полудохлый SSL, который сам крякабелен путем втюхивания левого сертификата любой из 100500 ауторитей? Так можно было и не париться с AES на JS тогда и просто SSL юзать...

Дело в том что криптография не защищает от случая когда сам криптографический код - потенциально недоверяемый. Просто потому что атакующий может впарить по пути нечто иное. В случае отдельного приложения установленного локально у атакующего нет методов оперативно заменить криптографический код и его обвязку. Но в вебне то юзер должен скачать этот самый код, обеспечивающий шифрование. И вот тут атакующий может вовремя подсуетиться.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 14:12 
> а что в этой схеме помешает ...

ничего. Вас спасёт FreedomBox.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 19:15 
> ничего. Вас спасёт FreedomBox.

А давайте вы уточните какая именно технология меня спасет? Аналог этого бокса я и сам наколхожу за жалкие $20 из того что есть, если оно мне станет надо.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 28-Июл-12 14:50 
а ещё мы все завтра можем умереть. и никакая криптография не спасёт.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 28-Июл-12 19:19 
> а ещё мы все завтра можем умереть. и никакая криптография не спасёт.

Просто толку то от защиты которая по факту является дверью в чистом поле? От чего она защищает? От MITM? Активный MITM может впарить левый скрипт. От сервера? Сервер тоже может впарить левый скрипт. Ну и в чем смысл такого шифрования? Создать ложное ощущение защищенности, в надежде что хомячки и так схавают и будут думать что оно шифрованное, но при том можно будет при желании прослушать?

Понимаешь, Кэп, криптографию не катит строить на гнилом фундаменте. Или уж есть очевидные продолбы, или нет. В данном случае они есть и никак не фиксятся особо. Ну разве что некое оффлайновое веб-приложение которое не перекачивается каждый раз с сервера... но проще GPG какой-нибудь взять или там IM клиент с OTR. Вебня + JS просто не предусматривает сколь-нибудь эффективного противодействия подмене скриптов что по пути, что на сервере.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 29-Июл-12 03:11 
AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат намертво к сайту, его нельзя будет подменить что бы браузер не заметил и он не проверяется через доверенные центры которые могут быть дискредитированы потому что самоподписанный.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 29-Июл-12 03:56 
> AGPLv3 позволяет тебе развернуть свой сервер,

Окей, но
1) А какие основания у В. Пупкина доверять мне?
2) А как гарантировать что к пользователю придет именно тот скрипт который ему отправил сервер, а не нечто левое, от хакеров/спецслужб/прочих добрых или не очень добрых сущностей, hijack-ающих трафф. От которых по идее и защищаемся. А то прозрачные прокси еще не отменяли, например.

> а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат
> намертво к сайту, его нельзя будет подменить что бы браузер не заметил

А его и не надо подменять. Достаточно сломать очередной из 100500 DigiNotar-образных CA и от их лица подписать что "а вот этот хост - белый и пушистый. И вообще оно - сайт вот этого гражданина. DigiNotar'ом клянусь!". А то что это другой сертификат подписанный другим CA - так кто ж там разберется? Была бы какая-то стандартная механика в браузере для детектирования таких фокусов - я еще понимаю. Но ее ж нет! Поэтому мало кто заметит что теперь сертификат какой-то другой, подписан очередным DigiNotar'ом, который клянется что сайт правильный и принадлежит мне. А то что это CA хакнули или просто что-то зажали в тиски - так поди ж разберись. И лечится весь этот дебилизм разве что выносом всех корневых CA сертификатов... после чего ваша жизнь станет не слишком пресной :)

> и он не проверяется через доверенные центры которые могут быть дискредитированы
> потому что самоподписанный.

И что? Как это помешает впарить на поддельном сайте ДРУГОЙ сертификат сервера? Выписанный другим CA на этот же домен, например? Да, это будет другой сертификат. А радости то? Это ж вполне может выглядеть для юзера как валидный сертификат. На вот этот вот домен с вот этим сервером. А то что это другой сертификат, и это вообще не тот сервер как-то и не будет отловлено. Потому что кто угодно может выписывать сертификаты на что угодно.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Af. , 29-Июл-12 17:14 
> 1) А какие основания у В. Пупкина доверять мне?
> 2) А как гарантировать что к пользователю придет именно тот скрипт который

1) Это не имеет отношения к информатике. При обмене оба в чём-то доверяют друг другу или третьему арбитру. Иначе процесс попросту НЕ существует. От каменного века и до сих пор.

2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо человеческого предательства или засланного казачка, а эта тема к информатике отношения не имеет.

P.S. Насколько помню, в новостях не компрометировали только предварительный обмен открытыми ключами собственного "изготовления". Кстати, за их использование в некоторых странах могут наказать.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 30-Июл-12 12:02 
> 1) Это не имеет отношения к информатике.

Вообще-то имеет. При использовании нормальных средств криптографии ожидается что нет откровенных подстав такого плана что кто-то посторонний может впарить что попало + возможность проверить кто чем является. В этой схеме данная возможность или отсуствует или столь невнятна что я ее не разглядел. Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет. И предоставлены внятные доказательства авторства пакетов в виде подписей. Поэтому какой попало MITM вгрузить что попало не сможет. А вот вебня никогда не делалась с упором на аутентификацию того что именно и кто вгружает клиенту в браузер...

> При обмене оба в чём-то доверяют друг другу или третьему арбитру.

В указанной схеме нет явных методов проверить что код занимающийся шифрованием исходит от того от кого задекларировано, а не левого MITM.

> Иначе процесс попросту НЕ существует. От каменного века и до сих пор.

Спасибо, Капитан.

> 2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо
> человеческого предательства или засланного казачка,

Зато оно должно спасать от MITM. И активных и пассивных. Личный сервер это прекрасно, но опять же - кто гарантирует что юзеру придет именно тот код который мой сервак слал? Браузеры никогда не создавались для аутентифицированной доставки кода.

> а эта тема к информатике отношения не имеет.

Зато к информатике имеет отношение что браузер запускает все что ему пришлет сервер и все сервера в этом плане равноправны. Грубо говоря если вместо сервера Васи мне подсунут сервер Пети, который отгрузит похожий по внешним признакам скрипт - фиг отличишь. Потому что ничто не мешает ему вести себя похоже. Есть SSL, но его надежность - ниже всякой критики.

> Кстати, за их использование в некоторых странах могут наказать.

А в некоторых странах так и вовсе могут камнями закидать.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено GG , 30-Июл-12 12:22 
> Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет.

Как будто тот, кто писал и собирал не мог проебать свою подпись
Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу

Ну или https и зафаерволить все левые хосты для полной секурности


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 30-Июл-12 12:53 
> Как будто тот, кто писал и собирал не мог проeбать свою подпись

В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс мирового класса. И полпланеты сразу же будет трубить о данном факте.

> Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу

См. выше. А в упомянутой вами механике - вообще очевидных простых методов проверить кто и что, внушающих доверие - просто нет. Потому что вебня никогда не предназначалась для проверки кто автор кода. Она просто не о том.

> Ну или https

А https - не есть полностью секурный протокол. Потому что большая пачка CA доверяемых по дефолту. И каждый может за другого поставить подпись. Вон comodohacker удостоверил себе что он гугл, мозилла, скайп и что там еще - все и сразу. CA конечно сдох, но секурность 100500 CA которые бырыжат сертификатами за бабло и могут подписать все и всем доверия как-то не внушает. Вот тут уже хаксоры или парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину в N субъектах примерно в N раз выше чем в 1 субъекте.

> и зафаерволить все левые хосты для полной секурности

К сожалению я делаю вывод что вы - ламер. Вы попросту не представляете себе как работает прозрачный прокси. Позорище космофлота.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено коксюзер , 30-Июл-12 15:01 
> В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс
> мирового класса. И полпланеты сразу же будет трубить о данном факте.

Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, все, кто доверял ключу, продолжат доверять. Ну и случай с Red Hat показывает, что всем, в принципе... ну вы понели.

> там еще - все и сразу. CA конечно сдох, но секурность

К сожалению, Comodo жив.

> 100500 CA которые бырыжат сертификатами за бабло и могут подписать все
> и всем доверия как-то не внушает. Вот тут уже хаксоры или
> парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину
> в N субъектах примерно в N раз выше чем в 1
> субъекте.

Да. Вообще, забавны все эти рассуждения, по сути, о том, как неопытные пользователи будут удалять из браузера сертификаты CA и проверять по независимым каналам подлинность самоподписанного сертификата (а то и аж целостность получаемых скриптов!), дабы заткнуть паклей дыры в дизайне Cryptocat. Который, что характерно, нацелен на тех, кто не знает, как это делается, либо на тех, кому... ну вы понели. Не говоря о том, что поставить и настроить чат-клиент с OTR - гораздо проще и удобнее, чем все эти пляски.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено GG , 30-Июл-12 15:30 
> К сожалению я делаю вывод что вы - ламер.

Если я ламер, кто кто ты тогда?
Выводятел?


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено GG , 29-Июл-12 11:20 
> AGPLv3 позволяет тебе

Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код хостящегося на твоём личном серваке публичного сервиса.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено filosofem , 28-Июл-12 15:54 
 

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено filosofem , 28-Июл-12 15:55 
Внимание тоже вопрос: что что вам помешало читать дальше слова "web-приложения"?
Оно вызывает у вас какие-то сильные переживания?

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 19:27 
> Внимание тоже вопрос: что что вам помешало читать дальше слова "web-приложения"?

Так я прочитал. И мне не понятно:
1) Что защитит от подмены скрипта на пробэкдореный по пути от сервака до юзера? Ну воткнет некто прозрачный проксь и впарит исправленный скрипт, который ключ налево сливает, например. Или просто юзерский ввод отсылает не только на сервак, но и допустим на посторонний сервак логгирования. А что помешает то? Не вижу в статье этого момента.
2) Что защитит от произвола сервера? Ну или что помешает отгрузить какой-то левак под видом "типа надежного шифрования"? Ну в случае GPG - там майнтайнеры в репах и авторы GPG своей репутацией отвечают, в приличных дистрах подписи на релиз лепят + история всех патчей. Можно проверить что оно именно авторское а не какое попало. А тепеь я захожу на некий серват этой системы. Как мне собственно по простому проверить что оно секурное? Может сервак с трояненым скриптом какой-то школьник с жидким мозгом поставил, которому и терять то нечего? А как мне отличить хороший сервер и код от нехорошего?



"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено filosofem , 28-Июл-12 22:22 
Если вам тяжело там читать, цитирую, не благодарите:
>Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей.

 


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 02:54 
> Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox

Что по сути является тем же яваскриптом. В случае Chrome и установки из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox сказать сейчас не могу.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 03:15 
>> Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox
> Что по сути является тем же яваскриптом. В случае Chrome и установки
> из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox
> сказать сейчас не могу.

Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения глазами перед установкой.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 30-Июл-12 12:43 
> Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения
> глазами перед установкой.

Вот это уже более здравый аргумент в отличие от клоунов рядом.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 03:58 
> позволяют полностью вынести логику работы чата на сторону клиента,
> используя сервер только для хранения зашифрованных данных и списка
> подключенных пользователей.

А тут тоже интересный вопрос - это надо смотреть насколько нельзя дополнения подменить. Там есть проверка подписей, например? Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод?


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 10:44 
>Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод?

Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров станет ТАК ковыряться, может стоит взглянуть сразу в сторону github.com/prof7bit/TorChat ?


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 30-Июл-12 12:26 
> Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров
> станет ТАК ковыряться,

"Безопасность имеет 2 уровня: high и нехай" (с) кто-то из параноиков. Ну то-есть, если там нет подписей, ковыряния там на аж 10 минут средне-паршивого скрипткидиса - аж научиться прозрачный прокси ставить. И редиректить на нем некоторые URL. Стандартный сисадминский скилл любого вменяемого админа в энтерпрайзной локалке.

Атака стоит $0, не требует каких-то спец-скиллов и вычислительных мощностей. Wtf - "ТАК"?

> github.com/prof7bit/TorChat

Какая-то неведомая фигня на паскале. А что-то наподобие но менее велосипедное, например как плагин к кутиму/пиджину не бывает случайно? Я пока в курсе насчет OTR, неплохая в принципе штука. Явно с умом делалось, протокол достаточно продуман и по этому поводу пролезает поверх почти любого мыслимого IM протокола. End-to-end шифрование. Есть аутентификация собеседника, можно проверить фингерпринт ключа, но нет доказуемых цифровых подписей на сообщениях, так что в перехваченном траффике - фиг кому и что докажешь. Есть perfect forward secrecy, когда ключ расшифровки временный и есть только в RAM и изничтожается из RAM после завершения сессии, что не позволяет расшифровать перехваченный траффик "когда-нибудь потом". Вот это нормально задизайненая штука. И оно имеет важный плюс: код всего этого лежит у меня на диске, а пакет с оным подписан. По желанию левой пятки постороннего MITM я libotr на что-то левое не заменю. Просто потому что для этого надо подделать цифровую подпись пакета (удачи!) и убедить меня вгрузить апдейт (удачи, я проверяю по поводу чего такие апдейты выкатываются).


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 31-Июл-12 21:08 
>Какая-то неведомая фигня на паскале.

на Python же


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено vasek , 07-Авг-12 13:02 
> на Python же

бууэээ...


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено троллМорде , 07-Авг-12 14:32 
сам ты бууэээ...

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Fyjybv , 13-Авг-12 14:29 
В wheezy во всяком случае есть - значит уже не бууээ
http://packages.debian.org/wheezy/torchat

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 29-Июл-12 11:25 
> Там есть проверка подписей, например?

Запили своё, йопта
С проверкой подписей и обновлением со своего собственного сервера, а не через cws
Что хрум, что лиса - никаких препятствий не чинят


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 30-Июл-12 12:32 
> Запили своё, йопта

А, вот оно что - "йопта-wannabe-криптографы". Ну так бы сразу и сказали.

> С проверкой подписей и обновлением со своего собственного сервера,

Дык у меня уже пакетный менеджер есть. Он как раз именно так и сделан. Какие ключи у меня в кейринге стоят - таким и будем доверять. Скажу что доверять только мне - значит только мне. Правда мне придется переподписывать пачку пакетов :)

> а не через cws

Что есть cws?

> Что хрум, что лиса - никаких препятствий не чинят

В пакетном манагере есть готовая понятная механика которой я могу проверить что libotr - от именно авторов оной либы, а не откуда-то сбоку. И апдейты я буду вгружать не по желанию левого mitm а когда сам захочу. И в отличие от - я не могу найти в OTR очевидных проблем реализации так сходу. Ы? Вот это - простая и достаточно понятная механика. Без явных подлян. А в этой хреновине туева хуча неучтенных факторов. Злоумышленнику достаточно чтобы сработал хотя-бы один из них.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 30-Июл-12 12:55 
> В пакетном манагере есть готовая понятная механика которой я могу проверить что
> libotr — от именно авторов оной либы, а не откуда-то сбоку.

точно можешь? а расскажи про этот крутой механизм, а? он ведь должен гарантировать, например, что авторы не потеряли случайно свои ключи. что авторов под пытками не заставили подписать левое. и ещё 100500 факторов. это же эпохальная разработка, о такой весь мир должен шуметь — ан, тишина.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 30-Июл-12 15:27 
> Дык у меня уже пакетный менеджер есть.

Поставил убунту = стал крутым сисадмином, криптографом и пацаном


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено коксюзер , 29-Июл-12 07:05 
> Дело в том что криптография не защищает от случая когда сам криптографический
> код - потенциально недоверяемый. Просто потому что атакующий может впарить по
> пути нечто иное. В случае отдельного приложения установленного локально у атакующего
> нет методов оперативно заменить криптографический код и его обвязку. Но в
> вебне то юзер должен скачать этот самый код, обеспечивающий шифрование. И
> вот тут атакующий может вовремя подсуетиться.

OMG, не в сказку ли я попал? Да это же разумный коммент на опеннете на тему безопасности, и не от solardiz'а сотоварищи!


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 29-Июл-12 10:02 
> OMG, не в сказку ли я попал? Да это же разумный коммент
> на опеннете на тему безопасности, и не от solardiz'а сотоварищи!

понимаешь, в чём дело: этот камент совсем не по теме. потому что авторы cryptocat нигде не обещали 100% защиты по всем точкам.

хочешь, я тебе выдам примерно такой же вообще про любую систему? итак: «предположим, что в фирмварь зашит кейлоггер…» думаю, ты понял принцип.

ребята написали реализацию шифрования и прочее на js. сейчас это модно. доставкой своего кода и самовалидацией проект не занимается. поэтому все вопли про MITM являются не «хорошими, годными каментами о security», а обычными демагогическими воплями — вне зависимости от того, насколько они верны фактически.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено коксюзер , 29-Июл-12 16:08 
> понимаешь, в чём дело: этот камент совсем не по теме. потому что
> авторы cryptocat нигде не обещали 100% защиты по всем точкам.

Во-первых, мы с вами на брудершафт не пили. Во-вторых, коммент полностью по теме, поскольку модель угроз, в рамках которой Cryptocat может что-то предложить, не включает активный MitM и тем самым учитывает что угодно, но не реалии 21 века и даже не конца 20-го, включая реалии "этой страны".

> хочешь, я тебе выдам примерно такой же вообще про любую систему? итак:
> «предположим, что в фирмварь зашит кейлоггер…» думаю, ты понял принцип.

Вы это всерьёз или так, "потроллить"? Всегда есть риск, что куда-то зашит кейлоггер, или кто-то дистанционно читает ПЭМИН с клавиатуры, монитора, сетевой карты, или снимает скрытой камерой и т.п. Но риски эти как правило значительно ниже по сравнению с рисками в случаях, когда перехват зашифрованных сообщений и их расшифровку можно осуществлять автоматически, на порядки дешевле, проще и практически незаметно. С учётом возможности расшифровки, веб-ресурсы с Cryptocat (факт их использования) - это маркер потенциальных жертв для репрессивных режимов. И если те режимы где-то до сих пор не воспользовались возможностью, они ей рано или поздно воспользуются. И хуже будет, если это произойдёт после формирования ложного представления о безопасности Cryptocat, когда туда потекут массы диссидентов. Идея эта крайне старая (~ 8 лет или старше), обсуждалась в сообществе многократно, но не была реализована исходя из соображений, схожих с вышеизложенными. А парень, пусть и неосознанно, просто подставляет тех, кто ему поверит.

> ребята написали реализацию шифрования и прочее на js. сейчас это модно. доставкой
> своего кода и самовалидацией проект не занимается. поэтому все вопли про

Вы констатируете, допустим, факты. Комментатор выше и я дали им оценку, противопоставить которой вам по сути нечего, кроме неловких намёков на всем известные риски и попыток опровергнуть относительную практическую ценность всех современных CMS тем, что она не является абсолютной.

> MITM являются не «хорошими, годными каментами о security», а обычными демагогическими
> воплями — вне зависимости от того, насколько они верны фактически.

К сожалению, это ваши вопли являются сугубо демагогическими, ложными и даже вредными, если бы автор Cryptocat уже не начал гораздо более масштабную работу по введению масс в заблуждение, сам того не ведая (я надеюсь).


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 30-Июл-12 12:39 
294-й же. Не то чтобы я супер-про в шифровании, но я вполне себе владею "азами" + зачастую могу прикинуть с какой стороны можно попробовать зайти чтобы нечто попытаться взломать. Ну вот и озвучил наиболее подозрительные векторы атак, поинтересовавшись а как с этим борятся.

Похоже, борятся с атаками чисто троллингом :). Чего ради Кэп растроллился - я вообще не понял. Нет бы хоть по существу троллил, а то только какашками кидается как какой-нибудь iZEN прямо. Хотя вроде ж не тупой субъект -> не понятно чего паясничает.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 30-Июл-12 12:57 
подустал от псевдоумных комментариев. да, танки не летают. нет, в техспецификациях и не было сказано, что будут летать. да, в болоте утонут. нет, никто и не собирался делать плавающий танк. и так далее.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 31-Июл-12 00:16 
> никто и не собирался делать плавающий танк. и так далее.

Ну вот немцы тоже так считали. А потом истошно крыли "ужасную русскую распутицу", и с поводом и без. А вот советские конструкторы не забывали о давлении гусениц на грунт. По поводу чего мне не известно о массовых воплях насчет распутицы с советской стороны :).

Может быть я не так уж и неправ советуя не забывать о проходимости танка не только по шоссе но и по хрен знает какому г-ну, которое почему-то в природе встречается чаще шоссе? :)


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 31-Июл-12 02:53 
(вздыхает) ты притворяешься, или таки действительно не врубаешься?

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено Аноним , 30-Июл-12 12:41 
> понимаешь, в чём дело: этот камент совсем не по теме. потому что
> авторы cryptocat нигде не обещали 100% защиты по всем точкам.

Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того чтобы доказать миру что на JS можно еще и AES реализовать.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 30-Июл-12 13:06 
> Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того
> чтобы доказать миру что на JS можно еще и AES реализовать.

и что тут такого декоративного? по твоей логике *вся* секурность декоративная. докажи, что в твоей системе, в биосе и так далее нет руткитов. докажи, что их нет у собеседника. докажи, что… и так далее.

любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять. не доверяешь чужому серверу — подними свой. считаешь, что по дороге могли подменить js? используй SSL с самодельным сертификатом. считаешь, что юзер — дятел, и не будет читать информацию о сертификате, прежде чем согласиться (и до сих пор не вынес нафиг «trusted authorities»)? идиотизм неизлечим, такому никакое шифрование не поможет.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено GG , 30-Июл-12 15:32 
> любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять

Вынужден категорически не согласиться
Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от кого не зависеть


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 30-Июл-12 15:45 
> Вынужден категорически не согласиться
> Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от
> кого не зависеть

ещё раз: ты 100% уверен, что в твоей системе, в железе и ты пы нет руткитов? на чём основана такая уверенность?


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено GG , 30-Июл-12 16:54 
> ещё раз: ты 100% уверен, что в твоей системе, в железе и
> ты пы нет руткитов? на чём основана такая уверенность?

Ещё раз: на моём заводе всё оборудование я произвёл сам, своими руками. И я знаю, как оно работает. Никому доверять не нужно.

Хотя это, конечно же, ближе к утопии, чем к современным потреблядям


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 30-Июл-12 17:21 
>> ещё раз: ты 100% уверен, что в твоей системе, в железе и
>> ты пы нет руткитов? на чём основана такая уверенность?
> Ещё раз: на моём заводе всё оборудование я произвёл сам, своими руками.
> И я знаю, как оно работает. Никому доверять не нужно.

и всё своё железо? и всю схематику проверял досконально? и прошивки? и код всего софта? unreal.


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено GG , 30-Июл-12 17:47 
> и всё своё железо? и всю схематику проверял досконально? и прошивки? и
> код всего софта? unreal.

Посмотри в словаре, что такое утопия


"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено arisu , 30-Июл-12 17:53 
не тупи, пожалуйста.

"В рамках проекта Cryptocat создан web-чат с шифрованием..."
Отправлено GG , 30-Июл-12 18:18 
> не тупи, пожалуйста.

сам не тупи, пожалуйста.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 30-Июл-12 12:55 
> OMG, не в сказку ли я попал?

О, это же paxuser собственной персоной. Не в сказку ли я попал? :)


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 14:29 
Ну теперь-то жабберу точно капец.

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 14:57 
А был же такой firetalks уже давно, от наших соотечественников.

В чём принципиальная разница?


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 19:22 
> А был же такой firetalks уже давно, от наших соотечественников.
> В чём принципиальная разница?

А также был SILC, IRC с SSL, OTR и еще много всяких пепелацев. Некоторые даже внушающие поболее доверия нежели это. И?


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 28-Июл-12 17:06 
Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безграмотными каментами по поводу перехвата ключа и потому поясняю сразу:
- генерится два ключа:
-- маленький
-- большой
- маленький передаётся в сеть
-- он пригоден только для шифрования
- большой никуда не передаётся
-- только с ним можно расшифровать зашифрованное маленьким

Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни кто кроме владельца подписи не сможет.

Единственная проблема может быть в самом алгоритме шифрования, но на то оно и aGPL, чтобы патчи выходили сразу же.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 17:57 
>[оверквотинг удален]
> - маленький передаётся в сеть
> -- он пригоден только для шифрования
> - большой никуда не передаётся
> -- только с ним можно расшифровать зашифрованное маленьким
> Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать
> месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо
> из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни
> кто кроме владельца подписи не сможет.
> Единственная проблема может быть в самом алгоритме шифрования, но на то оно
> и aGPL, чтобы патчи выходили сразу же.

(смех Баттхеда) копетан нам рассказал азы асимметричного шифрования. Хвала ему! О великий копетан


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 20:41 
> Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безграмотными каментами по поводу перехвата ключа и потому поясняю сразу:
> Я подозреваю адово немеряное количество всяких безграмотных одминов
> срущих безграмотными каментами
> безграмотных одминов
> безграмотными каментами
> безграмотных

Отправлено GG, 28-Июл-12 17:06

"Значит, когда эти баритоны кричат «бей разруху!» — Я смеюсь. Клянусь вам, мне смешно! Это означает, что каждый из них должен лупить себя по затылку!"


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено saNdro , 29-Июл-12 01:03 
>[оверквотинг удален]
> - маленький передаётся в сеть
> -- он пригоден только для шифрования
> - большой никуда не передаётся
> -- только с ним можно расшифровать зашифрованное маленьким
> Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать
> месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо
> из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни
> кто кроме владельца подписи не сможет.
> Единственная проблема может быть в самом алгоритме шифрования, но на то оно
> и aGPL, чтобы патчи выходили сразу же.

Если вы про асимметричное шифрование, то учите теорию. разница в функциях закрытого и открытого ключей, только в том, что из первого можно сгенерировать второй, из второго первый нет.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено коксюзер , 29-Июл-12 07:24 
> из первого можно сгенерировать второй

Тогда это уже не ключи, а файлы, где в файл приватного ключа вложен публичный или исходные простые числа.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 28-Июл-12 17:36 
Эллиптические кривые?)
ГОСТом чтоле шифрут?))

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 03:18 
> Эллиптические кривые?)
> ГОСТом чтоле шифрут?))

Ты думаешь что только ГОСТ основан на эллиптических кривых?)))


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 03:30 
> Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения.

да неужели не могут?! ну этоже просто смешно :-D :-D

...хотите сказать что у администратора сервера НЕТ(?) полномочий в любой (удобный для него) момент времени -- поменять Javascript-код отправляемый определённым клиентам?

# p.s.: такая же псевдобезопасность, как и JavaApplets (с цифровыми подписями) для банк-клиентов.

# p.s.s.: разумеется придётся наружить AGPL-лицензию, чтобы прослушивать сообщения определённых клиентов.. но думаю это не особо большая проблема


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 06:08 
ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать выше производятся худшей и меньшей частью форумчан, а думающая часть просто помалкивает, иначе о горе нам всем

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 12:58 
> ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать
> выше производятся худшей и меньшей частью форумчан, а думающая часть просто
> помалкивает, иначе о горе нам всем

вместо того чтобы тупо обзываться оскорблениями

может лучше напишешь ЧТО(?) именно мешает системному администратору -- модифицировать серверную сторону крипто-чата таким образом, чтобы функция различным пользователям чата выдавался различный Javascript-код???

для кого-то (99% пользователей) Javascript-код, который всё шифрует по чесноку, а для кого-то (1% от всех пользователей) Javascript-код который нифиги ничего не шифрует. что тут такого уж невозможного?

(нет, нет, я говорю НЕ про интернет-провайдера и НЕ про мифический ФБР, а именно ПРО хозяина сервера с чатом)


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 29-Июл-12 13:23 
> а как поступим с остальными пользователями этого чата?

Согласно с законом о защите секретной информации в РФ защиту своей информации должен обеспечивать владелец этой информации.
Мягко грубо говоря: кому нужна безопасность, тот о ней и должен заботиться.
Кто насрал на свою безопасность, тот сам дурак.
Если юзер тупой - он всё-равно посадит себе кейлоггера и это будет проще, чем подменить ему скрипт в бровзере.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Xasd , 29-Июл-12 13:28 
>> а как поступим с остальными пользователями этого чата?
> Согласно с законом о защите секретной информации в РФ защиту своей информации
> должен обеспечивать владелец этой информации.
> Мягко грубо говоря: кому нужна безопасность, тот о ней и должен заботиться.
> Кто насрал на свою безопасность, тот сам дурак.
> Если юзер тупой - он всё-равно посадит себе кейлоггера и это будет
> проще, чем подменить ему скрипт в бровзере.

ну, вот .. теперь мне всё ясно :-)

такбы сразу и сказал


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 29-Июл-12 11:23 
> придётся наружить AGPL-лицензию

А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Аноним , 29-Июл-12 12:51 
>> придётся нарушить AGPL-лицензию
> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался

для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата" ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.

(тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить всё как есть)

но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL. а если её опубликовать, то заговор системного администратора раскроется :-D


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 29-Июл-12 13:10 
>>> придётся нарушить AGPL-лицензию
>> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался
> для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата"
> ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.
> (тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям
> [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить
> всё как есть)
> но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL.
> а если её опубликовать, то заговор системного администратора раскроется :-D

ты вообще смотрел, как он работает, прежде чем это понаписать?


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Xasd , 29-Июл-12 13:22 
>>>> придётся нарушить AGPL-лицензию
>>> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался
>> для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата"
>> ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.
>> (тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям
>> [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить
>> всё как есть)
>> но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL.
>> а если её опубликовать, то заговор системного администратора раскроется :-D
> ты вообще смотрел, как он работает, прежде чем это понаписать?

читал новость и заходил по ссылке

что написанного мной -- не так -- по твоему мнению?

что вообще за личностные придирки? напиши по сути, а не личные оскорбления и/или намёки

update: http://www.opennet.me/openforum/vsluhforumID3/85788.html#70


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 29-Июл-12 13:32 
> читал новость и заходил по ссылке

И что по твоему мешает админу выложить исходники?
Думаешь из юзеров у кого-то хватит ума их прочитать?


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Af. , 29-Июл-12 17:08 
>> читал новость и заходил по ссылке
> И что по твоему мешает админу выложить исходники?
> Думаешь из юзеров у кого-то хватит ума их прочитать?

У кого-либо из гиков хватит ума указать пальцем на нужную строку, после чего бригадиры хомячков поймут нужное и объяснят своим подопечным.


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено GG , 29-Июл-12 17:13 
>>> читал новость и заходил по ссылке
>> И что по твоему мешает админу выложить исходники?
>> Думаешь из юзеров у кого-то хватит ума их прочитать?
> У кого-либо из гиков хватит ума указать пальцем на нужную строку, после
> чего бригадиры хомячков поймут нужное и объяснят своим подопечным.

Будет уже поздно
А потом появится какой-нибудь хомяк и напишет:
— Да нет там вируса, я проверил, просто аваста отключи и всё работает!


"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Anonim , 29-Сен-12 14:34 
пользоваться русским криптопродуктом в россии? хорошее предложение. силовики промышляют коммерческим шпионажем не хуже конкурентов и криминала!

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Отправлено Anonim , 29-Сен-12 14:39 
а вообще зачем этот огород? есть пейджеры, есть gpg, есть tor - есть продукты готовые, которые все это содержат. причем в большом потоке стороннего чат-сервиса затеряться легче.