Если шифрованное общение прослушивать и знать открытые ключи, то прочитать, что вы пишите маловероятно.
Уязвимость только в том случае — если человек посередине может изменять трафик между вами и быть свидетелем обмена ключами.
Полагаю пакет Яровой такого не предусматривает, они вроде только пишут трафик. На подмене ключей довольно просто спалиться — если делать это массово.
Были мысли, что Tox не уязвим потому, что использует открытый ключ в качестве логина, но на деле уязвим процесс передачи логина другому лицу по открытым каналам. Там также может быть человек по середине, который заменит логин на свой и будет транслировать сообщения между собеседниками.
Уязвим процесс обмена открытыми ключами. Представим ситуацию в которой пытаются установить защищённое соединение Доминик и Дарлин, а Элиот контролирует канал связи между ними.
Дарлин:
— Дом, шифруй для меня сообщения этим ключом AAAAB3NzaC1yc2EAAAABJQAAAQEAhsnh5...
Ещё не зашифрованное сообщение проходит через Элиота и он подменяет в нём открытый ключ на свой. Доминик получает сообщение:
— Дом, шифруй для меня сообщения этим ключом AAAAB3NzaC1yc2EAAAABJQAAAQEAiPqU9+...
Доминик начинает шифровать общение ключом который подменил Элиот и отвечает зашифрованным сообщением со своим открытым ключом. Его тоже перехватывает и подменяет Элиот.
Что имеем в итоге? У Элиота есть настоящие открытые ключи, а у девушек — поддельные. Элиот принимает сообщение от Дом. Дешифрует его закрытым ключом, который сгенерировал сам и шифрует открытым ключом который увёл у Дарлин. Тоже он проделывает в обратном направлении. Так девушки продолжают общаться по шифрованному каналу и даже не знают о том, что сообщения для них шифрует Элиот.
Чтобы девушкам понять, что их похакали, достаточно сравнить ключи по независимому каналу, например созвониться и вслух прочитать ключи друг другу, или иным способом сравнить ключи. До тех пор MitM останется незамеченным.
Если не ошибаюсь, так скайп был устроен — p2p+ноды. Кстати использование нод может ли привести к MitM с подменой трафика в токсе? Или использование открытого ключа вместо логина, такое исключает?
Зачем? Ведь есть же tox. И как показал его пример, у пипла такая схема не приживается. Слишком сложно для рядового пользователя. А телеграмм — просто, но сомнительно.
Вся эта доблестная защита секьюрности, от тёмных лап теневого правительства, навела на мысль о том — «А, что если у них есть доступ к получению и отправке моих СМС? Что тогда? Они могут залогинится на своих мобилках и читать поток моих незащищённых чатов, даже такого безопасного мессенджера как Telegram‽»
Пошёл в настройки. Зашёл в активные сеансы и вижу, что есть третий активный сеанс с нижегородским адресом и версией мобильной операционной системы до боли похожей на мою. «Глюк» — подумал я и странный сеанс на всякий случай завершил. А паранойя осталась.
З.Ы. для тех кто полагается на Tox
В токсе по умолчанию вся переписка пишется на винт в открытом виде. Будьте осмотрительны, снимите галку и контакт лист попросите.
Если шифрованное общение прослушивать и знать открытые ключи, то прочитать, что вы пишите маловероятно.
Уязвимость только в том случае — если человек посередине может изменять трафик между вами и быть свидетелем обмена ключами.
Полагаю пакет Яровой такого не предусматривает, они вроде только пишут трафик. На подмене ключей довольно просто спалиться — если делать это массово.
Были мысли, что Tox не уязвим потому, что использует открытый ключ в качестве логина, но на деле уязвим процесс передачи логина другому лицу по открытым каналам. Там также может быть человек по середине, который заменит логин на свой и будет транслировать сообщения между собеседниками.
Уязвим процесс обмена открытыми ключами. Представим ситуацию в которой пытаются установить защищённое соединение Доминик и Дарлин, а Элиот контролирует канал связи между ними.
Дарлин:
— Дом, шифруй для меня сообщения этим ключом AAAAB3NzaC1yc2EAAAABJQAAAQEAhsnh5...
Ещё не зашифрованное сообщение проходит через Элиота и он подменяет в нём открытый ключ на свой. Доминик получает сообщение:
— Дом, шифруй для меня сообщения этим ключом AAAAB3NzaC1yc2EAAAABJQAAAQEAiPqU9+...
Доминик начинает шифровать общение ключом который подменил Элиот и отвечает зашифрованным сообщением со своим открытым ключом. Его тоже перехватывает и подменяет Элиот.
Что имеем в итоге? У Элиота есть настоящие открытые ключи, а у девушек — поддельные. Элиот принимает сообщение от Дом. Дешифрует его закрытым ключом, который сгенерировал сам и шифрует открытым ключом который увёл у Дарлин. Тоже он проделывает в обратном направлении. Так девушки продолжают общаться по шифрованному каналу и даже не знают о том, что сообщения для них шифрует Элиот.
Чтобы девушкам понять, что их похакали, достаточно сравнить ключи по независимому каналу, например созвониться и вслух прочитать ключи друг другу, или иным способом сравнить ключи. До тех пор MitM останется незамеченным.
А хорошие штуки они такие. Делаются в первую очередь — для себя.
Майор может сам сидеть из под сервисных номеров и не ждать когда его добавят.
Если не ошибаюсь, так скайп был устроен — p2p+ноды. Кстати использование нод может ли привести к MitM с подменой трафика в токсе? Или использование открытого ключа вместо логина, такое исключает?
Зачем? Ведь есть же tox. И как показал его пример, у пипла такая схема не приживается. Слишком сложно для рядового пользователя. А телеграмм — просто, но сомнительно.
А разве он не говорил, что если бы не LSD, он бы до этого не додумался? В тексте про секвои и поездку, может он trip так описывает?
Размышления о том, что на выходе он мог бы получить массив, находятся в секции после постановки задачи.
Вся задача укладывается в одно предложение:
Но про
Object.values()вы правы, так проще.del
Постановка задачи не включала информацию о формате выходных данных
Сравните результаты:
reduce— возвращает объект, аfilter— массивМетоды fromEntries и entries ещё не вошли в стандарт. Через reduce надёжней:
Вся эта доблестная защита секьюрности, от тёмных лап теневого правительства, навела на мысль о том — «А, что если у них есть доступ к получению и отправке моих СМС? Что тогда? Они могут залогинится на своих мобилках и читать поток моих незащищённых чатов, даже такого безопасного мессенджера как Telegram‽»
Пошёл в настройки. Зашёл в активные сеансы и вижу, что есть третий активный сеанс с нижегородским адресом и версией мобильной операционной системы до боли похожей на мою. «Глюк» — подумал я и странный сеанс на всякий случай завершил. А паранойя осталась.
З.Ы. для тех кто полагается на Tox
В токсе по умолчанию вся переписка пишется на винт в открытом виде. Будьте осмотрительны, снимите галку и контакт лист попросите.
Опубликован законопроект о цифровых профилях россиян