| 1.2, timur.davletshin (ok), 22:46, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Всё бы хорошо, но осилить его так массы и не смогли. А про обмен ключами вообще молчу. Его не осилили даже массы из целевой аудитории. Плюс, опять какая-то фрагментация наметилась с этими новыми autocrypt'ами и p≡p.
Короче, нет в жизни счастья )))
P.S. ироничность в том, что auto-key-retrieve вроде как даже по дефолту сделали и оно даже работает в первом приближении (доверять или нет скаченному всё же приходится ручками). Но перевыгрузить ключи на новый дефолтный сервер, который не подвержен спаму подписями, смогли далеко не все. Увы.
| | |
| |
| |
| 3.11, timur.davletshin (ok), 23:12, 08/04/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
О, это отдельная песня! Ещё с SSL сертификатами вообще швах. У меня тут как-то вполне себе успешный (уже давно руководитель) коллега утверждал на кислых щах, что какой-нибудь CA (пускай Digicert) может читать HTTPS трафик условно того же whitehouse.gov )))
| | |
| |
| 4.18, DeerFriend (?), 00:38, 09/04/2021 [^] [^^] [^^^] [ответить]
| +10 +/– |
В зависимости от контекста, он мог быть даже прав. Любой CA, присутствующий у тебя в браузере в списке доверенных, договорившись с твоим провайдером, может выпустить сертификаты для митм, с помощью которых сможет читать твой трафик.
На этом была основана попытка Казахстана обязать своих граждан добавить национальный сертификат в список доверенных в браузер.
| | |
| |
| 5.24, Lex (??), 05:03, 09/04/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
В рамках «защиты от терроризма», в сша могут не только прослушивать всех кого не лень.
Более-менее крупные конторы, работающие с сетью, регулярно «куда надо» ключи передают.. или не передают и не работают в сша.
Казахстан решил более простым путём пойти, но чем закончилось - неизвестно( вроде бы, особо ничем )
| | |
| |
| 6.26, Аноним (26), 08:30, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
>Более-менее крупные конторы, работающие с сетью, регулярно «куда надо» ключи передают.. или не передают и не работают в сша.
По какому закону?
| | |
| |
| 7.38, Lex (??), 12:06, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> По какому закону?
Ты не в РФ, чтобы конкретный закон спрашивать - у каждого штата весьма большая свобода в законотворчестве.
Происходит это на базе жирного федерального закона - т.н Патриотического акта, принятого по итогу того_самого 11 сентября. Закон, в частности, расширил права ФБР по подслушиванию и электронной слежке, что многими было расценено как нарушение четвёртой поправки к конституции.
Принят, кстати, еще осенью далекого 2001-го.
С 2015-го для АНБ формально запретили неограниченную электронную слежку и прослушивание. Но возможность подобного по суду - оставили. Другое дело, что помимо анб еще куча ведомств информацию любыми способами добывала.
Для остальных ведомств - когда как. Отдельно стоит упомянуть, что запрет( ограничение. По суду или при наличии подозрений - можно ) прослушивания и электронной слежки относился лишь к гражданам сша.
| | |
|
|
| 5.28, timur.davletshin (ok), 08:49, 09/04/2021 [^] [^^] [^^^] [ответить]
| –6 +/– |
> В зависимости от контекста, он мог быть даже прав. Любой CA, присутствующий
> у тебя в браузере в списке доверенных, договорившись с твоим провайдером,
> может выпустить сертификаты для митм, с помощью которых сможет читать твой
> трафик.
> На этом была основана попытка Казахстана обязать своих граждан добавить национальный сертификат
> в список доверенных в браузер.
Ну вот и ещё один "специалист" нашёлся.
| | |
| 5.41, DmA (??), 17:11, 09/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
поэтому фсб и требует предустановка отечественных программ на пк и телефоны, с программами проставтятся и нужные СА, чтобы можно было любой трафик смотреть.
Странные эти госконторы, на заборе пишешь, недовольны, незаметно пишешь, хотят, чтобы им видно было! Начитались роман "1984", про мыслепреступление :)
| | |
| |
| 6.59, timur.davletshin (ok), 17:21, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Что сможет приложение яндекса, посаженное в "песочницу" с отключенными правами (уже не говорю, если я его вообще банально отключу)? Ах, да, непоправимо травмировать психику мнительных личностей оно сможет.
| | |
|
|
| 4.19, Аноним (20), 00:42, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вообще-то может. Делает mitm, подсовывает сертификат закрывающий whitehouse.gov и свой рутовый (ну или свой промежуточный, удостоверенный рутовым). Собственно стать удостоверяющим центром и было неудачным планом казахстана по захвату мира. Собственно фишинг на том и живет, за исключением того что не может выпустить серт на сам домен и выпускает на whiteh0use.gov.
| | |
|
|
| 2.39, suffix (ok), 12:14, 09/04/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
 А простому пользователю в обычной жизни зачем он нужен ?
Для шифрования переписки хватает s/mime который и без сабжа можно бесплатно получить и обмен ключами s/mime прост как валенок !
| | |
| |
| 3.46, timur.davletshin (ok), 18:54, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А простому пользователю в обычной жизни зачем он нужен ?
> Для шифрования переписки хватает s/mime который и без сабжа можно бесплатно получить
> и обмен ключами s/mime прост как валенок !
Смеялсо. А что там с обменом "ключами"? Найдёшь ключ по адресу почты? В реальности единственное преимущество s/mime в том, что оно в коммерческих почтовиках реализовано "изкаропки". В остальном всё ещё хуже, чем в PGP/GPG (включая безопасность). Но зато его реально используют в некоторых конторах, контор же, где было бы PGP/GPG обязательным, я не видел.
P.S. простому пользователю знать про шифрование не нужно вообще. Ему нужен тикток/ютуб и вотсап с инстой.
| | |
| |
| 4.47, suffix (ok), 19:08, 09/04/2021 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Ну то что есть целые, доступные всем сервисы для хранения публичных ключей понятно что Вы не знаете - там как раз по почте и ищется.
Но в моём случае всё ещё проще - мой ник suffix, общаюсь на русском - достаточно зайти на https://suffix.ru
| | |
| |
| 5.48, timur.davletshin (ok), 19:12, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну то что есть целые, доступные всем сервисы для хранения публичных ключей понятно что Вы не знаете - там как раз по почте и ищется.
И конечно же вы назовёте их и ткнёте меня моськой в инструкцию, как это подцепить в Outlook или почту на Андроиде. Прямо жду )))
| | |
| |
| |
| 7.50, timur.davletshin (ok), 19:35, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
И как ты себе предлагаешь общение данного самодельного сервиса с любой из почтовых программ? Я же говорил, в случае с s/mime всё ещё хуже, чем с PGP/GPG.
| | |
| |
| 8.51, suffix (ok), 19:37, 09/04/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Главное что можно скачать public key - а уж ручками куда угодно вставить можно -... текст свёрнут, показать | | |
| |
| |
| |
| |
| 12.55, suffix (ok), 19:55, 09/04/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Ну на год-то и s mime бесплатные есть - и таки для простых людей они в разы ле... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
| 2.60, Аноним (60), 17:54, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> осилить его так массы и не смогли.
Другого пути нет. Массы программистов должны осилить PGP для подписи комитов и релизов.
| | |
| |
| 3.62, timur.davletshin (ok), 18:19, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Массы программистов должны осилить PGP для подписи комитов и релизов.
Зачем? Большая часть проектов без этого обходится.
| | |
|
|
| |
| 2.5, timur.davletshin (ok), 22:54, 08/04/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
Вот и все так. Forward secrecy же банально не нужен. Напрямую им вообще никто не пользуется. Зачем мне знать все эти опции, если я шифрую сообщения в почтовике или мессенджере? Надо только уметь секретный ключ хранить и не забыть пароль. Но и это осилили единицы. Поэтому и юзаем двухфакторную аутентификацию с привязкой к номеру телефона. Три четверти вон каждый раз при покупке нового телефона округляет глаза и спрашивает "какой такой логин и пароль? я ничего не помню".
| | |
| |
| 3.61, Аноним (60), 17:58, 10/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Надо только уметь секретный ключ хранить
Научи. Я на полном чертеже, но буду критиковать.
| | |
|
| |
| 3.16, Аноним (-), 00:13, 09/04/2021 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> SELinux
в отличии от крайне нужного сабжа, SELinux - малополезная шляпа.
крутые малварщики и вирмейкры под линукс пренебрежительно отзываются о SELinux.
на лоре или опеннете малограмотные юзеры уповают на этот SELinux. что как бы показывает неказистый уровень... лучше статьи хермита почитайте...
| | |
| |
| 4.27, Аноним (26), 08:35, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>SELinux - малополезная шляпа
... для анонимов опеннета. После обработки высокооплачиваемыми специалистами на фуллтайме- весьма полезная. Напр. почти полностью прибивает dirty cow на старых вёдрах, при использовании методов обхода рут получается ненадёжно, прошивкой рекавери, с тройной перезагрузкой и риском кирпича.
| | |
| |
| 5.68, Аноним (-), 02:52, 05/06/2021 [^] [^^] [^^^] [ответить] | +/– | а ты шо сам не аноним с опеннета и хватит ссылаться на высокооплачиваемых с... большой текст свёрнут, показать | | |
|
|
|
| 2.22, Аноним (20), 00:49, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Конечно нужно, это ж самое распространенное и надежное из альтернатив.
Для разработчиков и вовсе грех такое не знать, множество софта используют gpg и не понимать как он абстрактно работает автоматически отправляет в лигу макак.
Для пользователя тоже будет не лишним, хотя бы чтобы переписываться без ограничений и бекапы шифровать.
Основы то легко учатся, достаточно потратить вечер (а то и 3-4 часа), а вчитываться во всевозможные алгоритмы и запоминать все ключи смысла нет никакого.
| | |
| |
| 3.35, Аноним (3), 11:36, 09/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Не знаю, что это и зачем оно для разработчика, но для пользователя точно не нужно. Переписка шифруется мессенджером, бекап и прочие файлы — luks2, veracrypt и ещё уйма средств для шифрования файлов. И на освоение всего это уйдёт меньше часа. Потому что это не древнее легаси с криптографией времён говна мамонтов, а продукт сделанный для пользователя.
| | |
|
|
| 1.10, Аноним (10), 23:11, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
С тех пор как задудосили сервера 2 года назад все дружно отказались от повсеместного использования и полезность упала.
| | |
| |
| 2.13, timur.davletshin (ok), 23:20, 08/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Сервера не прекращали работать, пострадали только те, у кого были в связках ключи, подписанные кучей левых подписей. Да и запилили новые дефолтные сервера давно. Но, как я писал выше, осилить gpg --refresh-keys смогли не все.
| | |
| |
| 3.31, Аноним (10), 09:49, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну конечно, проблемы не у серверов (которые позволяют слишком много и не верифицируют), а у клиентов (gnupg). Однако, факт имеет место, все дружно перешли с публичных серверов на васяносервера (которым уже нет никакого доверия и которые могут быть скомпроментированы одновременно, поскольку являются частью одной инфраструктуры) и в итоге это никому не надо стало ssl is good enough и вообще заигрались с верификациями: так нужный пейлоад не подсунешь и сообщение не подменишь.
| | |
|
|
| 1.25, Аноним (26), 07:42, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Предложен экспериментальный фоновый процесс
Неужели без фоновых процессов нельзя?
| | |
| |
| 2.37, Anonizmus (?), 12:04, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Let's Encrypt - да, но вот всякие certbot осилить без помощи индусских статеек я так и не сумел. Мне проще было открыть RFC и наговнокодить свой клиент, чем допиливать то, что есть.
| | |
|
| 1.57, Аноним (57), 12:43, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Столько жалоб при этом в комментах к новостям альтернативных реализаций пишут "НИНУЖНО".
Как же не нужно, если для использования этой реализации нужно сначала получить степень в Computer Science? И то не факт, что поможет.
| | |
| 1.66, Anona (?), 22:16, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что разработчики думают о проблеме 2038 года? В стандарте RFC4880 для таймштампов 4 байта.
| | |
|
