Отличная отмазка.
Если вам делают принудительный MITM и у вас нет нужного CA, то TLS соединение оборвется на этапе handshake.
Можете не ставить, но работать ничего не будет :)
Хотелось бы услышать комментарий yleo по этому поводу.
Он умеет красноречиво поддерживать отечественную криптографию.
Или РФ просто озаботилась включением своего CA в system store и давно решила этот вопрос?
Тогда все ок :) Точнее нет :)
Ахахах, какое веселье ждет жителей KZ.
Более того, Android, начиная с 7 версии не доверяет user CA в приложениях с настройками по умолчанию.
То есть, CA и не пропишешь для того же YouTube App.
YouTube App из Google Play работать не будет и еще много чего.
Статья называется «Рецепты для ELFов» и вполне соответствует содержимому.
Мне лично было интересно узнать несколько новых инструментов.
Что касается описания ELF — это тема тяжелая и там надо мини-книжку писать.
У меня впечатление, что ELF на порядок сложнее современного PE.
Минимальная работоспособная ручная загрузка PE (VirtualAlloс, релоки, импорты) доступна даже студенту.
А вот ELF…
Не знаю кто чего аннулирует, но вы мне на полном серьезе утверждали, что interrupt endpoint-ы добавили в USB 3.0.
Еще раз, для чайников.
interrupt endpoint-ы для передачи малых пакетов с низкой задержкой добавили в USB 1.1.
Вас сбило с толку слово interrupt?
А оно там просто так, это просто термин, и под капотом там обычный polling.
Не владеете терминологией и техническими деталями — не надо спорить.
Вы что-то серьезно путаете.
Еще в USB 1.1 были interrupt endpoint-ы в дополнение к bulk endpoint-ам.
Пруфлинк: www.beyondlogic.org/usbnutshell/usb4.shtml#Interrupt
interrupt endpoint-ы дают возможность послать маленький пакет с минимальной задержкой, в отличике от bulk-ов.
Берете любой usb2ttl адаптер и там будет interrupt endpoint на прием для обновления состояния канала.
Реализуются они через опрос устройств USB хостом, поэтому не сильно эффективно.
Пользователям MacOS стоит воздержаться от распаковки zip-архивов!
Пользователям Windows стоит отказаться от распаковки архивов через WinRAR!
Куда катится этот мир??
Я не знаю, зачем Leo Perrin написал эту фигню с Колмогоровской сложностью.
Это все детский сад с точки зрения науки, но зато остальным понятно.
Наверное, для этого и написал. Такой хайп на Хабре разгорелся из-за ерунды.
Вообще я помню как, имея опыт кодинга, начал читать книжки по алгебре.
И некоторое время не понимал, почему перестановка — это не перемешивание массива, а именно отображение.
То есть, терминология криптографии ближе к кодингу.
У нас тут не экзамен по криптографии, чтобы требовать от всех строгого соблюдения терминологии.
Вы мне чем-то напоминаете ВАК-овских динозавров, которые готовы сожрать за немного корявую формулировку.
В школьной математике тоже подобные веения. Напридумывают терминов и заставляют их зубрить. Термины ради терминов.
Термины никак не помогают решать задачу сами по себе, а только замусоривают мозги.
Я выступаю за то, чтобы народ понимал суть, чтобы имел в голове модели того, что происходит.
Вы несколько драматизируете.
Я как алгебраист всегда называл перестановкой биективное отображение конечного множества в себя.
Википедия со мной вполне согласна.
В теории групп под перестановкой произвольного множества подразумевается биекция этого множества на себя. Как синоним слову «перестановка» в этом смысле некоторые авторы используют слово подстановка. (Другие авторы подстановкой называют наглядный способ записи перестановки.)
А может быть я просто ни разу не пробовал минусовать на Хабре?
Ваш бы уровень паранои — да в лоно криптоанализа.
Никому не верить, во всем сомневаться.
Хорошо, мы пришли к какому-то общему знаменателю в технической части.
По части остального откомменчусь.
Еще раз.
При выполнении обозначенного Т1 у меня будет возможность использовать только те шифры, которым я доверяю своим умом или с помощью регулятора.
Будет дерьмовая ситуация, когда вам надо коннектиться к национальным сайтам стран N1 и N2 с шифрами K1 и K2, при этом вы не хотите использовать K1 и K2 на других сайтах.
То есть, надо где-то в доменной зоне прописывать набор разрешенных шифров и пойдет еще один виток усложнения веба.
А веба уже и так непростой и много где сломанный.
Чтобы этого всего не было, надо просто не пущать туземные шифры.
Пусть туземцы сами разбираются со своими проблемами, раз они их и создают.
Лечить инфраструктуру, включая OpenSSL и прочие аналогичные проекты, не допуская какое-либо навязывание или дискриминацию национальных стандартов.
Это все туземные комлексы у вас.
Сорри за прямоту.
Это проблемы скорее из области психотерапии, чем криптографии.
Хотя есть и решение из области криптографии.
Несколько туземных стран предлагают свои шифры, и в SSL работает их комбинация (с защитой от возможного сговора двух и более туземных стран).
Будет тормозить, но зато секьюрно.
Стремно — это когда вы не можете выбрать набор шифров и приоритет их использования из-за ограничений инфраструктуры.
«downgrade attack» — здесь это манипуляция, FUD или недопонимание.
Набор шифров выбирают клиент и сервер на основе того, что в них реализовано.
Коммуникации на этом этапе еще не защищены шифрованием.
Итак, допустим, сервер говорит вам, что поддерживает только один шифр.
Вы тоже его поддерживаете. Вы начинаете использовать этот шифр, предложенный сервером.
Только это был не сервер, а MITM прокси.
Шифр был слабым. В результате, вас поимели.
Я, думаю, я верно понимаю суть downgrade attack.
Если нет — исправляйте.
Это что, крипто-шовинизм?
Крипто-шовинизм или нет, но рассмотрим гипотетическую ситуацию.
1) Некое государство N стандартизирует у себя некий блочный
шифр K. N переводит все национальные SSL сервера на шифр K.
2) N добивается включения шифра K в OpenSSL.
Шифр K становится доступен в браузерах при установке SSL соединения.
3) Теперь при подключении любого человека на Земле можно провести MITM атаку, downgrade атаку, и заставить его браузер использовать шифр K при установке SSL соединения.
4) Шифр K содержал закладку, которую никто не заметил.
Туземцы из N тихонько имеют весь мир.
Ситуацию можно ухудшить.
Пусть у нас несколько государств Ni и у каждого свой шифр Ki, на котором работают национальные сервера.
Что теперь делать?
Так что я думаю, никто не будет включать национальные шифры в OpenSSL.
Если вам делают принудительный MITM и у вас нет нужного CA, то TLS соединение оборвется на этапе handshake.
Можете не ставить, но работать ничего не будет :)
Он умеет красноречиво поддерживать отечественную криптографию.
Или РФ просто озаботилась включением своего CA в system store и давно решила этот вопрос?
Тогда все ок :) Точнее нет :)
Более того, Android, начиная с 7 версии не доверяет user CA в приложениях с настройками по умолчанию.
То есть, CA и не пропишешь для того же YouTube App.
YouTube App из Google Play работать не будет и еще много чего.
Мне лично было интересно узнать несколько новых инструментов.
Что касается описания ELF — это тема тяжелая и там надо мини-книжку писать.
У меня впечатление, что ELF на порядок сложнее современного PE.
Минимальная работоспособная ручная загрузка PE (VirtualAlloс, релоки, импорты) доступна даже студенту.
А вот ELF…
Еще раз, для чайников.
interrupt endpoint-ы для передачи малых пакетов с низкой задержкой добавили в USB 1.1.
Вас сбило с толку слово interrupt?
А оно там просто так, это просто термин, и под капотом там обычный polling.
Не владеете терминологией и техническими деталями — не надо спорить.
Еще в USB 1.1 были interrupt endpoint-ы в дополнение к bulk endpoint-ам.
Пруфлинк:
www.beyondlogic.org/usbnutshell/usb4.shtml#Interrupt
interrupt endpoint-ы дают возможность послать маленький пакет с минимальной задержкой, в отличике от bulk-ов.
Берете любой usb2ttl адаптер и там будет interrupt endpoint на прием для обновления состояния канала.
Реализуются они через опрос устройств USB хостом, поэтому не сильно эффективно.
Минимальная задержка 0.000125 секунд в high-speed USB 2.0 режиме.
Пруфлинк:
www.keil.com/pack/doc/mw/USB/html/_u_s_b__interrupt__transfers.html
Вы наверное путаете прерывания, генерируемые устройством и interrupt endpoint-ы.
Это походу разные вещи.
Пользователям Windows стоит отказаться от распаковки архивов через WinRAR!
Куда катится этот мир??
Это все детский сад с точки зрения науки, но зато остальным понятно.
Наверное, для этого и написал. Такой хайп на Хабре разгорелся из-за ерунды.
И некоторое время не понимал, почему перестановка — это не перемешивание массива, а именно отображение.
То есть, терминология криптографии ближе к кодингу.
Вы мне чем-то напоминаете ВАК-овских динозавров, которые готовы сожрать за немного корявую формулировку.
В школьной математике тоже подобные веения. Напридумывают терминов и заставляют их зубрить. Термины ради терминов.
Термины никак не помогают решать задачу сами по себе, а только замусоривают мозги.
Я выступаю за то, чтобы народ понимал суть, чтобы имел в голове модели того, что происходит.
Это гораздо интереснее, если честно :)
Но очень платформоспецифично.
Я как алгебраист всегда называл перестановкой биективное отображение конечного множества в себя.
Википедия со мной вполне согласна.
ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0
Ваши замечения — из области лингвистики, а не криптографии, и никак не отменяют результатов Leo Perrin.
Или обязательно пойдут HTTP заголовки вначале?
Просветите же меня насчет правил.
А может быть я просто ни разу не пробовал минусовать на Хабре?
Ваш бы уровень паранои — да в лоно криптоанализа.
Никому не верить, во всем сомневаться.
По части остального откомменчусь.
Будет дерьмовая ситуация, когда вам надо коннектиться к национальным сайтам стран N1 и N2 с шифрами K1 и K2, при этом вы не хотите использовать K1 и K2 на других сайтах.
То есть, надо где-то в доменной зоне прописывать набор разрешенных шифров и пойдет еще один виток усложнения веба.
А веба уже и так непростой и много где сломанный.
Чтобы этого всего не было, надо просто не пущать туземные шифры.
Пусть туземцы сами разбираются со своими проблемами, раз они их и создают.
Это все туземные комлексы у вас.
Сорри за прямоту.
Это проблемы скорее из области психотерапии, чем криптографии.
Хотя есть и решение из области криптографии.
Несколько туземных стран предлагают свои шифры, и в SSL работает их комбинация (с защитой от возможного сговора двух и более туземных стран).
Будет тормозить, но зато секьюрно.
Набор шифров выбирают клиент и сервер на основе того, что в них реализовано.
Коммуникации на этом этапе еще не защищены шифрованием.
Итак, допустим, сервер говорит вам, что поддерживает только один шифр.
Вы тоже его поддерживаете. Вы начинаете использовать этот шифр, предложенный сервером.
Только это был не сервер, а MITM прокси.
Шифр был слабым. В результате, вас поимели.
Я, думаю, я верно понимаю суть downgrade attack.
Если нет — исправляйте.
Крипто-шовинизм или нет, но рассмотрим гипотетическую ситуацию.
1) Некое государство N стандартизирует у себя некий блочный
шифр K.
N переводит все национальные SSL сервера на шифр K.
2) N добивается включения шифра K в OpenSSL.
Шифр K становится доступен в браузерах при установке SSL соединения.
3) Теперь при подключении любого человека на Земле можно провести MITM атаку, downgrade атаку, и заставить его браузер использовать шифр K при установке SSL соединения.
4) Шифр K содержал закладку, которую никто не заметил.
Туземцы из N тихонько имеют весь мир.
Ситуацию можно ухудшить.
Пусть у нас несколько государств Ni и у каждого свой шифр Ki, на котором работают национальные сервера.
Что теперь делать?
Так что я думаю, никто не будет включать национальные шифры в OpenSSL.