Этот пример в очередной раз показывает, что систему валидации лицензионного ключа надо строить на основе асимметричной криптографии, а не вычислении магических хэшей. Тогда при «правильном» выборе параметров криптосистемы единственный путь для взлома защиты будет патч, что уже менее изящно.
К слову сказать, в продуктах JetBrains используется именно такой механизм (правда, до определенного момента параметры криптосистемы были слабоваты).
В ней описывает так же гомоморфное шифрование на матрицах но, кажется, более эффективное с плане скорости и производительности. К сожалению, я уже около года не особенно слежу за этой областью, поэтому не знаю, были ли найдены какие-то уязвимости у нее, но выглядит она интереснее.
1. Логика показывает, что никак. Точнее, он точно не будет повторять все движения «оригинала». Так как реально окружающей его реальности он видеть не будет, попытка воспроизводить все действия приведет к натыканию на стены и препятствия, каким бы просторным и пустым не было помещение, где он будет пребывать.
2. Мне кажется, мозг вполне способен «дорисовать» все ощущения. Это как с погружением в хорошую книжку. Пока читаешь, практически влезаешь в шкуру героев: испытываешь из эмоции, моделируешь окружающее пространство, физические ощущения. Только здесь картинку и звук мозгу конструировать не придется.
3. «Человека, пока что состоящего в отношениях». Ну либо девушка тоже осознанно участвует в эксперименте.
Wildcard сертификат можно, конечно, но стоит он недетских денег. Что касается общего резюме, то опасность такого вида трекинга сильно преувеличена, а PoC я пилю исключительно ради искусства :-)
На данный момент я знаю, что Chrome и Firefox планировали сбрасывать HSTS кэш при очистке кукисов, так ли это — я не проверял. Зато знаю, что Firefox при заходе в приватный режим стартует с пустым кэшем HSTS, а у Chrome он общий в обоих режимах. Соответственно, за пользователем хрома таким способом можно следить даже если он попытается зайти в приват, но с точки зрения общих рисков такое решение кажется более правильным (угроза безопасности кажется более серьезной, чем гипотетическая слежка).
Последнюю недельку в качестве сайд-проекта пишу PoC для HSTS Super Cookie, которая работала бы при включенном NoScript, и для этой балалайки нужно иметь сертификат на ~32 поддомена. При чем самоподписанный для этого не годится, а выкидывать сотню с лишним баксов только «ради искусства» казалось нерациональным. Я уже было похоронил идею делать живую демку, ограничившись исходниками на гитхабе, и тут такой подарок судьбы. Шикарно.
Что меня в этом покоробило больше всего, так это то, что уведомление пришло ровно за день до «часа Х». Выходные, отпуска, занятость другими делами — не важно.
Возможно, эта ссылка уже появлялась в комментариях к предыдущим постам, но все же оставлю ее здесь.
Я Orbiter осваивал (и продолжаю осваивать) во многом руководствуясь этими видео. Автор рассказывает все очень подробно и доходчиво (порой немного чересчур :-), единственное ограничение — повествование идет на английском. Впрочем, он там довольно простой.
В основе РБД, кстати, лежит реляционная алгебра, которая тоже формализуется языком математики, но она куда сложнее, чем матлогика, необходимая для анализа этой задачи. Так что вы, строго говоря, только усложнили решение.
Не соглашусь. Есть язык математики, который устоялся, и который понимают очень много людей. И есть ваш язык — смесь SQL, форм и табличек, которые изобрели вы, но понимаете их тоже только вы.
Мне кажется, главный цинизм вашего решения — использование отбойного молотка для забивания гвоздей. Я имею ввиду, что использовать реляционные базы данных и SQL для решения логических задач не совсем уместно.
И статья значительно выиграет, если вы добавите в нее математические формулы вместо не очень внятных словесных описаний систем уравнений.
Про Новосибирск: позавчера ездил на метро, прошел через рамку, рамка пискнула, сотрудница полиции попросила пройти в отдельную комнатку, «прокатить» сумку через рентген вроде тех, что стоят в аэропортах. После чего попросила сказать, что я везу металлического, кроме планшета. Ответом «кошелек, ключи и запасной аккумулятор» вполне удовлетворилась и пожелала счастливого пути. Открывать сумку просить не стала, хотя до появления рентгена периодически с такой просьбой сталкивался, когда приходилось таскать уж очень много железяк (видимо, что-то у рамки зашкаливало от моей сумки :-) Кстати, все это всегда было предельно вежливо.
Но парадокс ситуации в том, что рамки стоят далеко не на всех станциях, что делает их пользу нулевой. Если злодей захочет пронести что-то плохое, он просто пойдет через самую загруженную станцию, на которой рамок нет. Вероятно потому, что проверить весь поток людей на этих станциях без создания диких пробок невозможно.
К слову сказать, в продуктах JetBrains используется именно такой механизм (правда, до определенного момента параметры криптосистемы были слабоваты).
Xiao L., Bastani O., Yen I. L. An Efficient Homomorphic Encryption Protocol for Multi-User Systems //IACR Cryptology ePrint Archive. – 2012. – Т. 2012. – С. 193.
В ней описывает так же гомоморфное шифрование на матрицах но, кажется, более эффективное с плане скорости и производительности. К сожалению, я уже около года не особенно слежу за этой областью, поэтому не знаю, были ли найдены какие-то уязвимости у нее, но выглядит она интереснее.
2. Мне кажется, мозг вполне способен «дорисовать» все ощущения. Это как с погружением в хорошую книжку. Пока читаешь, практически влезаешь в шкуру героев: испытываешь из эмоции, моделируешь окружающее пространство, физические ощущения. Только здесь картинку и звук мозгу конструировать не придется.
3. «Человека, пока что состоящего в отношениях». Ну либо девушка тоже осознанно участвует в эксперименте.
На данный момент я знаю, что Chrome и Firefox планировали сбрасывать HSTS кэш при очистке кукисов, так ли это — я не проверял. Зато знаю, что Firefox при заходе в приватный режим стартует с пустым кэшем HSTS, а у Chrome он общий в обоих режимах. Соответственно, за пользователем хрома таким способом можно следить даже если он попытается зайти в приват, но с точки зрения общих рисков такое решение кажется более правильным (угроза безопасности кажется более серьезной, чем гипотетическая слежка).
Последнюю недельку в качестве сайд-проекта пишу PoC для HSTS Super Cookie, которая работала бы при включенном NoScript, и для этой балалайки нужно иметь сертификат на ~32 поддомена. При чем самоподписанный для этого не годится, а выкидывать сотню с лишним баксов только «ради искусства» казалось нерациональным. Я уже было похоронил идею делать живую демку, ограничившись исходниками на гитхабе, и тут такой подарок судьбы. Шикарно.
Я Orbiter осваивал (и продолжаю осваивать) во многом руководствуясь этими видео. Автор рассказывает все очень подробно и доходчиво (порой немного чересчур :-), единственное ограничение — повествование идет на английском. Впрочем, он там довольно простой.
И статья значительно выиграет, если вы добавите в нее математические формулы вместо не очень внятных словесных описаний систем уравнений.
Но парадокс ситуации в том, что рамки стоят далеко не на всех станциях, что делает их пользу нулевой. Если злодей захочет пронести что-то плохое, он просто пойдет через самую загруженную станцию, на которой рамок нет. Вероятно потому, что проверить весь поток людей на этих станциях без создания диких пробок невозможно.