В мире утверждают новые правила по укреплению кибербезопасности, разрабатывают новые средства киберзащиты, которые затруднят противникам компрометацию сетей и работу во взломанных сетях, ведут речь о двухступенчатой аутентификации, шифровании, контроле входа в систему.
Однако когда реально предложена новая идея с действующим образцом, который может продемонстрировать новый уровень безопасности, от нее отмахиваются даже не вникнув в суть происходящего.
Казалось бы, ты специалист, программист, ты можешь понять в чем проблема со взломами,
но над тобой довлеет догма что все что попало в интернет можно расшифровать, а ты попробуй, вот возьми и докажи что эта новая система вовсе не является новой, что такую систему хоть кто то, хоть где то использует в интернете, и самое главное докажи что ее можно взломать, а не просто сидя в кресле у камина в Санкт Петербурге поставить минус моему комментарию, всего лишь пару раз перезагрузив демо страничку и так ничего и не поняв и не удосужившись заглянуть в Sources, Console, Application любезно предоставляемые Chrome (F12), а еще лучше так и предложи свою разработку по укреплению кибербезопасности, чтобы различные варианты можно было сравнить и выбрать лучший, и безопасный и удобный пользователю и не требующий дополнительных денег на приобретение смартфонов со сканированием радужки глаз и отпечатков пальцев с ежесекундным тотальным слежением за перемещениями человека.
Google внедрит двухфакторную аутентификацию для всех пользователей — для сбора номеров телефонов или имеет намерение на самом деле улучшить защиту их данных, в этом и состоит вопрос:
«Вы можете этого не осознавать, но пароли — самая большая угроза вашей сетевой безопасности — их легко украсть, их трудно запомнить, а управлять ими утомительно.»
Настолько утомительно, что «Недавно мы запустили нашу новую функцию импорта паролей, которая позволяет людям легко загружать до 1000 паролей за раз с различных сторонних сайтов в наш Менеджер паролей (бесплатно).
Сделав этот шаг, вы можете быть уверены, что все ваши пароли защищены нашей передовой технологией безопасности и конфиденциальности.» — и доверили козлу сторожить в огороде капусту, а волку пасти овец.
А можно ли реально улучшить защиту данных не задействуя смартфоны, и не усложняя пользователям общение с Gmail, или любым другим почтовым сервисом, любым серьезным сайтом?
Не вдаваясь в подробности реализации хочу предложить к рассмотрению свое решение проблемы динамически защищенной авторизации пользователей, внешне ничем не отличающееся от привычных логина и пароля, адрес демо: key.mywebcommunity.org
которое тем не менее практически исключает появление подобных сообщений: «Мы обнаружили подозрительную активность в Вашем аккаунте...».
Логин, пароль, TOTP, CHAP, токен, ключ, знание, владение, шифрованный трафик — все в одном флаконе удобнее и безопаснее чем с SMS, желаете смотреть демо?
Остается только поблагодарить Вас и за статью, и за ответ. И привести свое восприятие темы:
Даже MITM атака для такой схемы не нужна, поскольку человеком посередине является сам клиент.
Парадокс? гугл получает от клиента запрос от том насколько он клиент «хороший»,
смотрит (проверяет) в своих «черных списках» если ли что на клиента, и отправляет опять же клиенту! свою резолюцию,
и он (клиент) якобы должен (обязан) ничего не меняя передать сей вердикт (справку) на сервер для выводов по своей пригодности.
Желая иметь оперативные данные о своем клиенте сервер при любом к нему обращении гоняет клиента в гугл, а тот знай пишет в свои БД, время обращения, ip, город, и все остальное.
«API безопасного просмотра позволяет вашему приложению проверять, помечен ли URL, используемый в приложении, Google как угроза.»
Во первых о какой угрозе идет речь, и во вторых для этого вовсе не обязательно серверу каждый раз использовать ресурсы клиента для подобной проверки, серверу достаточно самому напрямую без ухищрений спросить об этом у всезнающего сервиса.
Об Аттестации устройства:
«люди, использующие модифицированную версию Android, не смогут использовать приложения, реализующие проверку.»
Очень уж кратко, и наверно по этому поводу Вы верно написали: «И ни намека на комплексное объяснение особенностей проверки по SafetyNet на сервере».
Если в данном контексте речь идет о бесплатных копиях программ (пиратских) то это ли забота сервера, или все же это забота гугла, который пытается этим предложением распространить свое влияние на клиента бойкотированием через сервер ему вовсе не принадлежащий, но изъявивший желание сотрудничать против клиента?
Что сделал клиент серверу? всего лишь спросил какой то контент, и уже виноват?
Клиент отправляет на сервер нормальный, не хакерский запрос, и в ответ ему рычание по науськиванию управляющего сервиса?
Еще раз о том что позволяет проверить технология:
«в процессе взаимодействия клиента и сервера нет больше никого, кроме вашего приложения и сервера», а об этом ничего у developer.android.com/training/safetynet/attestation.
«Но нужно серверу для того что бы понять что об этом клиенте думает Google.» — и это тоже цель гугла, чтобы все спрашивали у него его мнение! (зависимость)
А если по этой теме еще и дополнять (популяризировать) алгоритмы Google — вопрос. Полезно ли это? Клиенту?
Придумывайте свой алгоритм — абсолютно верно. И не с точки зрения «стоимости», а потому что это будет собственный алгоритм, работающий для вас и клиента, не на кого то постороннего.
Не достаточно подробное описание процесса верификации порождает некоторые вопросы:
Клиент начинает процесс и получает nonce с сервера, и он же (клиент) отправляет nonce гуглу.
— Сервер с гуглом не общается при этом?
Клиенту возвращается JWS, с информацией о нем же самом, т.е. о клиенте.
— Сервер и тут не общается с гуглом? Нужна ли информация клиенту о нем же? И почему время начинается от гугла, а не от сервера?
Клиент отправляет JWS в неизменном виде на Backend для проверки.
— На этом этапе Клиент точно не меняет ничего? даже время?
На стороне сервера: анализ того что прошло через руки клиента? И тут сервер тоже не общается с гуглом? (ну хотя бы проверки ради)
Вся верификация клиента происходит на основании данных полученных от клиента, или прошедших через клиента, т.е. еще до того как будет сделан вывод по верификации, сервер полагает что эти данные верны и неподдельны, презумпция?
И что позволяет проверить технология:
Что именно вы являетесь автором приложения, которое сейчас взаимодействует с сервером.
— Конечно же я, но только вот кто же я, то ли я это клиент, то ли не клиент?
Что в процессе взаимодействия клиента и сервера нет больше никого, кроме вашего приложения и сервера.
— На чем основан такой вывод? из статьи ничего этого не видно.
Есть два параметра, на основе которых можно принимать решение о надежности устройства: ctsProfileMatch и basicIntegrity.
ctsProfileMatch — более строгий критерий, он определяет сертифицировано ли устройство в Google Play и верифицировано ли устройство в сервисе проверки безопасности Google.
basicIntegrity — определяет, что устройство не было скомпрометировано.
— И тут не все ясно, сервис может подтвердить что когда то устройство было зарегистрировано у них, всего лишь. А было ли оно скомпрометировано или нет откуда гуглу это ведомо?
Что операционная система мобильного устройства не претерпела изменений, критичных для обеспечения безопасного обмена с сервером (не «заручено» — не взломано, а также то, что устройство прошло аттестацию совместимости с Android).
— Вообще ничем не подтвержденный предосудительный рекламный вывод, ведущий в обман доверчивого читателя?
И еще вопрос: сервер самостоятельно без гугла не может провести всю процедуру, рассчитывая и опираясь на себя самого, а не на чей то посторонний авторитет, и доверяя только себе?
Это предложение гугла, который собственно и заинтересован в сборе информации не обязательно его касающейся, стоит ли идти в капкан?
Так бывает, отклоняются люди от ответа на основной вопрос уходят в дебри и цепляясь за мелочи переходят на хи-хи ха-ха, не надо перечислять элементы себестоимости, пытаться рассчитать ебитда, и припутывать сюда индекс Доу—Джонса, курс валют и проценты МВФ в исследуемый период времени.
Вы против честного пропорционального труду распределения благ, или Вы не против заплатить своему парикмахеру за свою одну стрижку весь свой месячный доход/зарплату программиста? примерно так звучал мой вопрос, и ответ на него предполагался в самой краткой форме — да-нет, если бы ответ был дан в поддержку честного образа жизни, то можно было подняться на уровень вопросов заданных выше — Воровать нельзя. Но вижу мне одному приходится отстаивать позицию что воровство это плохо, что если были бы созданы условия не допускающие и пресекающие воровство, то от этого выиграли бы большинство людей (90%). И мне просто дико встретить такой отпор у людей которые дружат с математикой, логикой, ассемблер устно вычисляют в уме в пару секунд, лихо управляются с дебаггерами и реверс-инжинирингом, и проверяют сдачу в магазине переводя копейки в 64 разрядную систему прикола ради, и которые при всей своей образованности и математическом складе ума напрочь позабыли сказки детства, отвергли для себя и Библию, и целиком добро как категорию, и сегодня говорят мне что Добро может восторжествовать над злом только в сказках, что Это сложные и запутанные понятия, и их невозможно чётко определить, а что если такого умника разок дубиной по башке то он наверно так и не поймет это добро или это зло, а может подумает что в лечебных целях.
Отвечать даже нет желания, чтобы не оказаться в итоге не только отхабренным, но забаненным навеки.
Откуда парикмахер возьмет деньги на аренду, уборщицу, налоги и т.п., если ему будут оплачивать только его работу? — а кто сказал что все деньги что попали в руки парикмахеру должны пойти ему на зарплату? Вопрос был куда проще и четче — готов ли программист отдать за одну единственную стрижку все что имелось у него в кошельке в расчете на ЕГО целый месяц жизни, в т.ч. и на завтраки, обеды, на памперсы его ребенку, и на газ и электроэнергию и пиво с сигаретами, а еще на микстуру от диареи.
Внимательный Вы, +++, )))
(спасибо что не написали: о, гуманитарики в чате!)
В случае — За 1/3 часа человек оплачивает почти целый час — по ходу парикмахер у него действительно любимый.
Настает кульминационный момент — не хотите открыто признать что не против честного пропорционального труду распределения благ, и против того чтобы Вас обманывали (парикмахеры), но отчего то все спорите и спорите. Похоже в целом вы люди хорошие, но закрутила так жизнь, что ничего положительно в Катаре в упор не хотите увидеть и поверит в идеал, а там местами чудеса-чудесные-мудрые-искусные и основанием/фундаментом служит нетерпимость к воровству, иначе их аборигены (90%) были бы нищими, что вовсе не так, и нам пока в этом плане ой как далеко, при том что у них +45 летом ощущается как +60.
Неплохой из Вас экономист, даже любимому парикмахеру 0.33*3=0.99 понижающий коэффициент к МИНИМАЛЬНОМУ РОТ умудрились придумать, с Вами опасно иметь дело! :)
И почему мне срочно захотелось стать Вашим парикмахером:
12130*0.33*3=12008
наверно потому что формула мне лично подходит, и оттого и Вы мне уже симпатичны :)))
Так сколько там парикмахер за день настрижет зелененьких?
За адресок благодарю, но мне по сегодняшним меркам брюки клеш не очень нравятся.
Добро может восторжествовать над злом только в сказках.
* А в семье? где мама поможет остановить старшего сына от нанесения побоев младшему? Просто остановить, не более того, это ли не торжество благодетели над неверными побуждениями?
Это сложные и запутанные понятия, и их невозможно чётко определить.
* Нанесение побоев и тем более убийство, и как ни крути воровство это такие сложные для Вас понятия, и Вы можете спокойно отнести их к добродетели?
Как можно сказать, что X победило Y, если мы не можем дать чёткое определение ни X, ни Y, ни самому слову «победило», если уж на то пошло.
* В ручном режиме можно обучить в конце концов ИИ, чтобы разграничить добро и зло, если никто не хочет описать более «классическое» определение X и Y.
Даже в религиях, где существуют более-менее четкие определения того, что такое добро и что такое зло, существуют неразрешимые противоречия. Например, во многих религиях есть заповедь «не убий», но если на твою страну напал захватчик, то будет ли злом сопротивляться ему и пытаться убить? Насколько я знаю, не все считают, что этот вопрос разрешим, хотя очень глубоко не копался.
* Да, не убий, если можешь остановить врага иными способами, постараться конечно нужно, ничего не поделаешь, это не просто, и не быстро, но можно, и тогда Ваше сомнение о наличии противоречия отпадет само собой.
Ну или вот взять Столетнюю войну Англии с Францией. Кто в ней добро, а кто зло?
* Не участвовал — ответить не могу :)
* А если бы участвовал, то это я бы у Вас мог спросить Ваш вопрос с куда большей настойчивостью добиваясь ответа, не сомневайтесь.
По поводу всего остального — наивная утопия. Вот сейчас мы можем со стороны наблюдать, к чему приводят наивные попытки бороться «со всем плохим за всё хорошее».
* И где Вы наблюдаете попытки борьбы?
* Утопия, может быть, но это линия, или Вы по одну ее сторону или по другую, вектор так сказать, направление, куда Вам больше нравится смотреть — на проливаемую кровь и смерть или на плюшки-чудеса-благоденствие-умопомрачительное?
* Наивные, о да, Вы похоже не разделяете мои приритеты, значит Вы не наивный, и это точно, рад за Вас.
Люди не хозяева своим мыслям, а часто даже поступкам.
* Если диктуются они из-за моря-окияна, и нет пророка в своем Отечестве, и в собственной голове ничегошеньки не живет и не рождается, то да, так и получается.
Если рассмотреть простой пример: многие (все?) люди завистливы, стремятся к промискуитету, могут совершать нелогичные поступки или даже преступления.
* Мрачная у Вас картина получается, безрадостная какая то, бессмысленная и не рациональная.
Невозможно просто взять и устранить всё это из сознания людей, потому что мы не хозяева даже своему уму, и мы не знаем, каковы будут последствия.
* Невозможно, согласен, но ограничить рамками в пределах разумного можно, и тем самым освободиться от этих гадостей, застраховаться так сказать, только не призывами, а гарантированным наказанием за воровство, за обман, за измену, за отступление от правил и за их обход, за зло.
Может быть, в будущем смогут построить какое-то «идеальное» общество, в котором люди будут постоянно находиться в некотором подавленном (например, медикаментами) состоянии, в котором у них не будут возникать мысли об агрессии или каком-то другом неправомерном поведении.
* Кошмар какой то, ну и общество, нет чтобы увидеть нечто хорошее, прекрасное, в пастельных тонах и свободном полете разума :))
Только во-первых, нормальному человеку в таком обществе жить будет невыносимо, во-вторых, скорее всего, это будет иметь какие-нибудь побочные эффекты, например, отсутствие желания творить.
* Естественно, в таких условиях творчество и созидание и представить невозможно, даже при желании.
Ну вот, например, в США решили, что неграм можно дать пособия, чтобы занимались, чем душе угодно. Однако, оказалось, что им почему-то они не принялись разрабатывать новый тип двигателей, или ПО, или строить дома, а сколачивать банды и грабить магазины. Уверен, что даже после переименования веток в Git из master в main всё останется точно таким же.
* Переименование это и в самом деле чепуха, целить надо в корень, помните? Так вот корень по моему глубокому убеждению основан на воровстве, в различных его проявлениях, все остальные негоразды это его производные, безнаказанные.
* Пособия — а разве они решают проблему воровства, безнаказанности? Значит и этот пример Ваш неудачен, по моему.
Сейчас существует более-менее работающая система. Если не будешь пахать, то будешь жить очень плохо, а чтобы лучше пахал, существует неискоренимое неравенство и постоянное внушение, что счастье — в деньгах и вещах. Сколько бы у тебя не было, надо стремиться к большему. Есть дом в 100 кв.м. — надо стремиться к дому в 200 кв.м. Есть машина стоимостью $15,000 — надо стремиться обладать машиной $50,000. Это, кстати, еще биологией заложено в голову, но также активно подогревается существующей системой. Если возникает желание совершить противоправное действие, то тебя накажут либо деньгами, либо более суровыми мерами.
* Система не более-менее, она на ладан дышит, все кругом бурлит и воюет, и где в ней стабильность, уверенность в «завтрашнем»? В этой системе господствует злато и воровство, насилие и виртуальные проценты, зависть и желание обойти и ближнего и всех остальных.
* Это не система, это как получится, типа куда кривая вывезет.
По-другому не работает. Например, отменить полицию и преследование преступников не сработает, потому что некоторые люди рождаются такими. Им просто неинтересно работать, им нравится АУЕ, ходить на грани, делать что-то подлое. Я лично знаю таких людей, они родились такими, их никто не заставлял. Просто им нравится быть преступниками.
* А вот для того и рамки нужны, и наказание ГАРАНТИРОВАННОЕ, обязательное, безвариантное, и не отсроченное, и не переложенное. И все само сабой и заработает, и самонастроится, ведь так у добрых молодцев?
В СССР пытались вырастить новый тип человека, но ожидаемо не вышло. Мы находимся не на том уровне знаний о человеческом уме, чтобы уметь совершить глобальные изменения в сознании всех людей.
* Если бы Вы это сказали несколько раньше, то я бы Вам поверил. Но сейчас скорость обмена мнениями и пожеланиями и информацией, например с Вами, миллисекунды? Или опять утопия? Нет, это реалии, бунты и поджоги, а новых лозунгов/символов/целей нету, прежние же в опале.
Мне импонирует Ваше стремление осознать мир, оценить потенциальные возможности его прогресса, нащупать сердцевину, пусть даже не добиться успеха на этом поприще, но приложить свои усилия.
(прошу прощения если Вас раздражает мой подстрочный комментарий)
Удачи!
Экий Вы право пессимист, Matshishkapeu, такой что даже в принципе не хотите представить как добро может восторжествовать над злом, так что нечего даже и думать что можно улучшить мир благодаря объединению значительной (>90%) людей вокруг какой либо супер-гениальной идеи дающей возможность не только декларировать, но и реально не тратить деньги на зло, на войны, вооружение, армию, и все системы насилия и угнетения, тюрьмы, инкассаторов, бумагу для печатания купюр, охрану, замки и заборы в конце концов! а направить все доступные ресурсы воистину во благо всех людей. И не надо никого «перебивать», это ведь вовсе не идея, правда?
Однако зацикленность определенно просматривается в Ваших тезисах, одни в шоколаде, другие слуги при них, while это пока выполняется условие, но это до поры до времени, об этом не стоит забывать. Главное что? чтобы люди, так же как и Вы не бедствовали, жили себе да добро наживали, так? но не воровали и убивали ближнего своего, лучше пусть все люди получат возможно иметь плюшки и путешествовать по миру, не только к родителям крышу подправить чтобы не протекала.
По поводу слуг индийского офицера-техника — зависть это черное чувство, здоровья не добавляет, не хочу ни завидовать ему, ни иметь никаких слуг, а то ж ведь это роскошь, а не необходимость для здорового человека. Господа и слуги это перекос, дисбаланс, и как следствие обязательная революция, с переменой классов.
А Вы точно против честного пропорционального труду распределения благ? (а то бы я писал свой ответ покороче). Или Вы не против заплатить своему парикмахеру за свою стрижку (1) весь свой месячный доход/зарплату программиста?
Matshishkapeu — Желая переместить акцент с честного распределения благ на то что 90% никогда не перестанут быть бедными, пожалуйста объясните это на таком примере:
если там где живут индусы сегодня вдруг обнаружится некий высоколиквидный богатейший ресурс станут ли при этом все индусы богатыми и у них не останется бедных,
или все равно 90% индусов так и останутся при своих деньгах, и только кучка богатеев еще больше обогатится?
В этом примере думаю стоит ожидать второй вариант, индусам не грозит избавление от бедности по причине того что во главу угла они не поставят честное распределение не допускающее воровства.
Этот второй вариант можно наблюдать практически во всех странах и народах, за очень редким исключением, одно из которых немного описано в статье.
Если вместо того чтобы отнимать/воровать друг у друга какие то богатства, однажды определить правильные законы и 100% наказывать тех кто их нарушает, т.е. начать жить честно, то результат сам себя проявит, и появятся картины чудес, а не картины войн и разрухи. И основное в этих законах именно то что воровать нельзя! Без этого будем иметь то что имеем, Вашими словами 90% — «г-вно бесправное».
Воровать нельзя — ключевое слово,
и только потом нефть, газ,
почти бесконечные деньги
и как следствие всем соцгарантии.
В обратном порядке никак не получится. О каких всеобщих благах может идти речь для тех народов у которых иное отношение к воровству, где воруют там город не построить даже если дождичек в четверг и по утрам в лесу роса.
Статью написал, ожидаю «песочницу».
Мое demo — nocors.000webhostapp.com/forum2020/index.php
(предупреждение: не пытайтесь сразу что то изучать в/на странице под катом — один неверный запрос=бан на сутки для «замедления» изучающих, сначала просто посмотрите саму страницу, там контента совсем немного, исключительно для проверки что все работает).
Или как я сэкономил $ 100 000
Бхавук Джайн мои деньги не получит точно, потому что в моей системе голосований все правильно — открытый ключ он на то и открытый, что его видят все, но я то пользуюсь для себя закрытым ключом!
Вот только до сих пор не знаю куда б свою систему защиты входа на сайт применить, я же не Эпл и не банк :)))
Захабрят ли меня только лишь за то, что покажу свое demo без детального описания всей системы?
Однако когда реально предложена новая идея с действующим образцом, который может продемонстрировать новый уровень безопасности, от нее отмахиваются даже не вникнув в суть происходящего.
Казалось бы, ты специалист, программист, ты можешь понять в чем проблема со взломами,
но над тобой довлеет догма что все что попало в интернет можно расшифровать, а ты попробуй, вот возьми и докажи что эта новая система вовсе не является новой, что такую систему хоть кто то, хоть где то использует в интернете, и самое главное докажи что ее можно взломать, а не просто сидя в кресле у камина в Санкт Петербурге поставить минус моему комментарию, всего лишь пару раз перезагрузив демо страничку и так ничего и не поняв и не удосужившись заглянуть в Sources, Console, Application любезно предоставляемые Chrome (F12), а еще лучше так и предложи свою разработку по укреплению кибербезопасности, чтобы различные варианты можно было сравнить и выбрать лучший, и безопасный и удобный пользователю и не требующий дополнительных денег на приобретение смартфонов со сканированием радужки глаз и отпечатков пальцев с ежесекундным тотальным слежением за перемещениями человека.
«Вы можете этого не осознавать, но пароли — самая большая угроза вашей сетевой безопасности — их легко украсть, их трудно запомнить, а управлять ими утомительно.»
Настолько утомительно, что «Недавно мы запустили нашу новую функцию импорта паролей, которая позволяет людям легко загружать до 1000 паролей за раз с различных сторонних сайтов в наш Менеджер паролей (бесплатно).
Сделав этот шаг, вы можете быть уверены, что все ваши пароли защищены нашей передовой технологией безопасности и конфиденциальности.» — и доверили козлу сторожить в огороде капусту, а волку пасти овец.
А можно ли реально улучшить защиту данных не задействуя смартфоны, и не усложняя пользователям общение с Gmail, или любым другим почтовым сервисом, любым серьезным сайтом?
Не вдаваясь в подробности реализации хочу предложить к рассмотрению свое решение проблемы динамически защищенной авторизации пользователей, внешне ничем не отличающееся от привычных логина и пароля, адрес демо: key.mywebcommunity.org
которое тем не менее практически исключает появление подобных сообщений: «Мы обнаружили подозрительную активность в Вашем аккаунте...».
Даже MITM атака для такой схемы не нужна, поскольку человеком посередине является сам клиент.
Парадокс? гугл получает от клиента запрос от том насколько он клиент «хороший»,
смотрит (проверяет) в своих «черных списках» если ли что на клиента, и отправляет опять же клиенту! свою резолюцию,
и он (клиент) якобы должен (обязан) ничего не меняя передать сей вердикт (справку) на сервер для выводов по своей пригодности.
Желая иметь оперативные данные о своем клиенте сервер при любом к нему обращении гоняет клиента в гугл, а тот знай пишет в свои БД, время обращения, ip, город, и все остальное.
«API безопасного просмотра позволяет вашему приложению проверять, помечен ли URL, используемый в приложении, Google как угроза.»
Во первых о какой угрозе идет речь, и во вторых для этого вовсе не обязательно серверу каждый раз использовать ресурсы клиента для подобной проверки, серверу достаточно самому напрямую без ухищрений спросить об этом у всезнающего сервиса.
Об Аттестации устройства:
«люди, использующие модифицированную версию Android, не смогут использовать приложения, реализующие проверку.»
Очень уж кратко, и наверно по этому поводу Вы верно написали: «И ни намека на комплексное объяснение особенностей проверки по SafetyNet на сервере».
Если в данном контексте речь идет о бесплатных копиях программ (пиратских) то это ли забота сервера, или все же это забота гугла, который пытается этим предложением распространить свое влияние на клиента бойкотированием через сервер ему вовсе не принадлежащий, но изъявивший желание сотрудничать против клиента?
Что сделал клиент серверу? всего лишь спросил какой то контент, и уже виноват?
Клиент отправляет на сервер нормальный, не хакерский запрос, и в ответ ему рычание по науськиванию управляющего сервиса?
Еще раз о том что позволяет проверить технология:
«в процессе взаимодействия клиента и сервера нет больше никого, кроме вашего приложения и сервера», а об этом ничего у developer.android.com/training/safetynet/attestation.
«Но нужно серверу для того что бы понять что об этом клиенте думает Google.» — и это тоже цель гугла, чтобы все спрашивали у него его мнение! (зависимость)
А если по этой теме еще и дополнять (популяризировать) алгоритмы Google — вопрос. Полезно ли это? Клиенту?
Придумывайте свой алгоритм — абсолютно верно. И не с точки зрения «стоимости», а потому что это будет собственный алгоритм, работающий для вас и клиента, не на кого то постороннего.
Клиент начинает процесс и получает nonce с сервера, и он же (клиент) отправляет nonce гуглу.
— Сервер с гуглом не общается при этом?
Клиенту возвращается JWS, с информацией о нем же самом, т.е. о клиенте.
— Сервер и тут не общается с гуглом? Нужна ли информация клиенту о нем же? И почему время начинается от гугла, а не от сервера?
Клиент отправляет JWS в неизменном виде на Backend для проверки.
— На этом этапе Клиент точно не меняет ничего? даже время?
На стороне сервера: анализ того что прошло через руки клиента? И тут сервер тоже не общается с гуглом? (ну хотя бы проверки ради)
Вся верификация клиента происходит на основании данных полученных от клиента, или прошедших через клиента, т.е. еще до того как будет сделан вывод по верификации, сервер полагает что эти данные верны и неподдельны, презумпция?
И что позволяет проверить технология:
Что именно вы являетесь автором приложения, которое сейчас взаимодействует с сервером.
— Конечно же я, но только вот кто же я, то ли я это клиент, то ли не клиент?
Что в процессе взаимодействия клиента и сервера нет больше никого, кроме вашего приложения и сервера.
— На чем основан такой вывод? из статьи ничего этого не видно.
Есть два параметра, на основе которых можно принимать решение о надежности устройства: ctsProfileMatch и basicIntegrity.
ctsProfileMatch — более строгий критерий, он определяет сертифицировано ли устройство в Google Play и верифицировано ли устройство в сервисе проверки безопасности Google.
basicIntegrity — определяет, что устройство не было скомпрометировано.
— И тут не все ясно, сервис может подтвердить что когда то устройство было зарегистрировано у них, всего лишь. А было ли оно скомпрометировано или нет откуда гуглу это ведомо?
Что операционная система мобильного устройства не претерпела изменений, критичных для обеспечения безопасного обмена с сервером (не «заручено» — не взломано, а также то, что устройство прошло аттестацию совместимости с Android).
— Вообще ничем не подтвержденный предосудительный рекламный вывод, ведущий в обман доверчивого читателя?
И еще вопрос: сервер самостоятельно без гугла не может провести всю процедуру, рассчитывая и опираясь на себя самого, а не на чей то посторонний авторитет, и доверяя только себе?
Это предложение гугла, который собственно и заинтересован в сборе информации не обязательно его касающейся, стоит ли идти в капкан?
Вы против честного пропорционального труду распределения благ, или Вы не против заплатить своему парикмахеру за свою одну стрижку весь свой месячный доход/зарплату программиста? примерно так звучал мой вопрос, и ответ на него предполагался в самой краткой форме — да-нет, если бы ответ был дан в поддержку честного образа жизни, то можно было подняться на уровень вопросов заданных выше — Воровать нельзя. Но вижу мне одному приходится отстаивать позицию что воровство это плохо, что если были бы созданы условия не допускающие и пресекающие воровство, то от этого выиграли бы большинство людей (90%). И мне просто дико встретить такой отпор у людей которые дружат с математикой, логикой, ассемблер устно вычисляют в уме в пару секунд, лихо управляются с дебаггерами и реверс-инжинирингом, и проверяют сдачу в магазине переводя копейки в 64 разрядную систему прикола ради, и которые при всей своей образованности и математическом складе ума напрочь позабыли сказки детства, отвергли для себя и Библию, и целиком добро как категорию, и сегодня говорят мне что Добро может восторжествовать над злом только в сказках, что Это сложные и запутанные понятия, и их невозможно чётко определить, а что если такого умника разок дубиной по башке то он наверно так и не поймет это добро или это зло, а может подумает что в лечебных целях.
Отвечать даже нет желания, чтобы не оказаться в итоге не только отхабренным, но забаненным навеки.
Откуда парикмахер возьмет деньги на аренду, уборщицу, налоги и т.п., если ему будут оплачивать только его работу? — а кто сказал что все деньги что попали в руки парикмахеру должны пойти ему на зарплату? Вопрос был куда проще и четче — готов ли программист отдать за одну единственную стрижку все что имелось у него в кошельке в расчете на ЕГО целый месяц жизни, в т.ч. и на завтраки, обеды, на памперсы его ребенку, и на газ и электроэнергию и пиво с сигаретами, а еще на микстуру от диареи.
(спасибо что не написали: о, гуманитарики в чате!)
В случае — За 1/3 часа человек оплачивает почти целый час — по ходу парикмахер у него действительно любимый.
12130*0.33*3=12008
наверно потому что формула мне лично подходит, и оттого и Вы мне уже симпатичны :)))
Так сколько там парикмахер за день настрижет зелененьких?
За адресок благодарю, но мне по сегодняшним меркам брюки клеш не очень нравятся.
И как жить без идиллии, ума не приложу ))
* А в семье? где мама поможет остановить старшего сына от нанесения побоев младшему? Просто остановить, не более того, это ли не торжество благодетели над неверными побуждениями?
Это сложные и запутанные понятия, и их невозможно чётко определить.
* Нанесение побоев и тем более убийство, и как ни крути воровство это такие сложные для Вас понятия, и Вы можете спокойно отнести их к добродетели?
Как можно сказать, что X победило Y, если мы не можем дать чёткое определение ни X, ни Y, ни самому слову «победило», если уж на то пошло.
* В ручном режиме можно обучить в конце концов ИИ, чтобы разграничить добро и зло, если никто не хочет описать более «классическое» определение X и Y.
Даже в религиях, где существуют более-менее четкие определения того, что такое добро и что такое зло, существуют неразрешимые противоречия. Например, во многих религиях есть заповедь «не убий», но если на твою страну напал захватчик, то будет ли злом сопротивляться ему и пытаться убить? Насколько я знаю, не все считают, что этот вопрос разрешим, хотя очень глубоко не копался.
* Да, не убий, если можешь остановить врага иными способами, постараться конечно нужно, ничего не поделаешь, это не просто, и не быстро, но можно, и тогда Ваше сомнение о наличии противоречия отпадет само собой.
Ну или вот взять Столетнюю войну Англии с Францией. Кто в ней добро, а кто зло?
* Не участвовал — ответить не могу :)
* А если бы участвовал, то это я бы у Вас мог спросить Ваш вопрос с куда большей настойчивостью добиваясь ответа, не сомневайтесь.
По поводу всего остального — наивная утопия. Вот сейчас мы можем со стороны наблюдать, к чему приводят наивные попытки бороться «со всем плохим за всё хорошее».
* И где Вы наблюдаете попытки борьбы?
* Утопия, может быть, но это линия, или Вы по одну ее сторону или по другую, вектор так сказать, направление, куда Вам больше нравится смотреть — на проливаемую кровь и смерть или на плюшки-чудеса-благоденствие-умопомрачительное?
* Наивные, о да, Вы похоже не разделяете мои приритеты, значит Вы не наивный, и это точно, рад за Вас.
Люди не хозяева своим мыслям, а часто даже поступкам.
* Если диктуются они из-за моря-окияна, и нет пророка в своем Отечестве, и в собственной голове ничегошеньки не живет и не рождается, то да, так и получается.
Если рассмотреть простой пример: многие (все?) люди завистливы, стремятся к промискуитету, могут совершать нелогичные поступки или даже преступления.
* Мрачная у Вас картина получается, безрадостная какая то, бессмысленная и не рациональная.
Невозможно просто взять и устранить всё это из сознания людей, потому что мы не хозяева даже своему уму, и мы не знаем, каковы будут последствия.
* Невозможно, согласен, но ограничить рамками в пределах разумного можно, и тем самым освободиться от этих гадостей, застраховаться так сказать, только не призывами, а гарантированным наказанием за воровство, за обман, за измену, за отступление от правил и за их обход, за зло.
Может быть, в будущем смогут построить какое-то «идеальное» общество, в котором люди будут постоянно находиться в некотором подавленном (например, медикаментами) состоянии, в котором у них не будут возникать мысли об агрессии или каком-то другом неправомерном поведении.
* Кошмар какой то, ну и общество, нет чтобы увидеть нечто хорошее, прекрасное, в пастельных тонах и свободном полете разума :))
Только во-первых, нормальному человеку в таком обществе жить будет невыносимо, во-вторых, скорее всего, это будет иметь какие-нибудь побочные эффекты, например, отсутствие желания творить.
* Естественно, в таких условиях творчество и созидание и представить невозможно, даже при желании.
Ну вот, например, в США решили, что неграм можно дать пособия, чтобы занимались, чем душе угодно. Однако, оказалось, что им почему-то они не принялись разрабатывать новый тип двигателей, или ПО, или строить дома, а сколачивать банды и грабить магазины. Уверен, что даже после переименования веток в Git из master в main всё останется точно таким же.
* Переименование это и в самом деле чепуха, целить надо в корень, помните? Так вот корень по моему глубокому убеждению основан на воровстве, в различных его проявлениях, все остальные негоразды это его производные, безнаказанные.
* Пособия — а разве они решают проблему воровства, безнаказанности? Значит и этот пример Ваш неудачен, по моему.
Сейчас существует более-менее работающая система. Если не будешь пахать, то будешь жить очень плохо, а чтобы лучше пахал, существует неискоренимое неравенство и постоянное внушение, что счастье — в деньгах и вещах. Сколько бы у тебя не было, надо стремиться к большему. Есть дом в 100 кв.м. — надо стремиться к дому в 200 кв.м. Есть машина стоимостью $15,000 — надо стремиться обладать машиной $50,000. Это, кстати, еще биологией заложено в голову, но также активно подогревается существующей системой. Если возникает желание совершить противоправное действие, то тебя накажут либо деньгами, либо более суровыми мерами.
* Система не более-менее, она на ладан дышит, все кругом бурлит и воюет, и где в ней стабильность, уверенность в «завтрашнем»? В этой системе господствует злато и воровство, насилие и виртуальные проценты, зависть и желание обойти и ближнего и всех остальных.
* Это не система, это как получится, типа куда кривая вывезет.
По-другому не работает. Например, отменить полицию и преследование преступников не сработает, потому что некоторые люди рождаются такими. Им просто неинтересно работать, им нравится АУЕ, ходить на грани, делать что-то подлое. Я лично знаю таких людей, они родились такими, их никто не заставлял. Просто им нравится быть преступниками.
* А вот для того и рамки нужны, и наказание ГАРАНТИРОВАННОЕ, обязательное, безвариантное, и не отсроченное, и не переложенное. И все само сабой и заработает, и самонастроится, ведь так у добрых молодцев?
В СССР пытались вырастить новый тип человека, но ожидаемо не вышло. Мы находимся не на том уровне знаний о человеческом уме, чтобы уметь совершить глобальные изменения в сознании всех людей.
* Если бы Вы это сказали несколько раньше, то я бы Вам поверил. Но сейчас скорость обмена мнениями и пожеланиями и информацией, например с Вами, миллисекунды? Или опять утопия? Нет, это реалии, бунты и поджоги, а новых лозунгов/символов/целей нету, прежние же в опале.
Мне импонирует Ваше стремление осознать мир, оценить потенциальные возможности его прогресса, нащупать сердцевину, пусть даже не добиться успеха на этом поприще, но приложить свои усилия.
(прошу прощения если Вас раздражает мой подстрочный комментарий)
Удачи!
Однако зацикленность определенно просматривается в Ваших тезисах, одни в шоколаде, другие слуги при них, while это пока выполняется условие, но это до поры до времени, об этом не стоит забывать. Главное что? чтобы люди, так же как и Вы не бедствовали, жили себе да добро наживали, так? но не воровали и убивали ближнего своего, лучше пусть все люди получат возможно иметь плюшки и путешествовать по миру, не только к родителям крышу подправить чтобы не протекала.
По поводу слуг индийского офицера-техника — зависть это черное чувство, здоровья не добавляет, не хочу ни завидовать ему, ни иметь никаких слуг, а то ж ведь это роскошь, а не необходимость для здорового человека. Господа и слуги это перекос, дисбаланс, и как следствие обязательная революция, с переменой классов.
А Вы точно против честного пропорционального труду распределения благ? (а то бы я писал свой ответ покороче). Или Вы не против заплатить своему парикмахеру за свою стрижку (1) весь свой месячный доход/зарплату программиста?
если там где живут индусы сегодня вдруг обнаружится некий высоколиквидный богатейший ресурс станут ли при этом все индусы богатыми и у них не останется бедных,
или все равно 90% индусов так и останутся при своих деньгах, и только кучка богатеев еще больше обогатится?
В этом примере думаю стоит ожидать второй вариант, индусам не грозит избавление от бедности по причине того что во главу угла они не поставят честное распределение не допускающее воровства.
Этот второй вариант можно наблюдать практически во всех странах и народах, за очень редким исключением, одно из которых немного описано в статье.
Если вместо того чтобы отнимать/воровать друг у друга какие то богатства, однажды определить правильные законы и 100% наказывать тех кто их нарушает, т.е. начать жить честно, то результат сам себя проявит, и появятся картины чудес, а не картины войн и разрухи. И основное в этих законах именно то что воровать нельзя! Без этого будем иметь то что имеем, Вашими словами 90% — «г-вно бесправное».
и только потом нефть, газ,
почти бесконечные деньги
и как следствие всем соцгарантии.
В обратном порядке никак не получится. О каких всеобщих благах может идти речь для тех народов у которых иное отношение к воровству, где воруют там город не построить даже если дождичек в четверг и по утрам в лесу роса.
Мое demo — nocors.000webhostapp.com/forum2020/index.php
(предупреждение: не пытайтесь сразу что то изучать в/на странице под катом — один неверный запрос=бан на сутки для «замедления» изучающих, сначала просто посмотрите саму страницу, там контента совсем немного, исключительно для проверки что все работает).
Бхавук Джайн мои деньги не получит точно, потому что в моей системе голосований все правильно — открытый ключ он на то и открытый, что его видят все, но я то пользуюсь для себя закрытым ключом!
Вот только до сих пор не знаю куда б свою систему защиты входа на сайт применить, я же не Эпл и не банк :)))
Захабрят ли меня только лишь за то, что покажу свое demo без детального описания всей системы?