Что стоит добавить — это в каких стандартах языка всё это работает. Статья явно рассчитана на не очень опытного разработчика, и может запутать в этом смысле.
Note: In response to the disclosure of Meltdown and Spectre vulnerabilities (CVE-2017-5753, CVE-2017-5715, and CVE-2017-5754), Samsung is adding patch for CVE-2017-13218, which is provided by Google and effectively mitigates all three related CVE’s. Samsung security index (SSI) of SMR Jan-2018 Release MS includes patch for CVE-2017-13218, in addition to all patches in SMR Jan-2018 Release 1.
Статья хороша тем, что показывает, как понять, уязвим ваш телефон или нет. Надо посмотреть, какой в нем процессор (и какие у процессора ядра) — на маркете или к примеру на gsmarena. Важная ссылка, которая к сожалению не приведена — developer.arm.com/support/security-update. Там табличка хорошая — Variant 1 и 2 это Spectre, variant 3 и 3а — Meltdown. Как видно, у них разные уязвимые ядра (и соответственно процессоры, из этих ядер состоящие).
Meltdown гораздо легче эксплуатировать. Именно эту уязвимость правят в первую очередь. К нему уязвимо ядро Cortex A75 и все процессоры, включающие его. Если в смарте процессор, использующий это ядро… Ну что ж, не повезло. Лучше не использовать имхо на нем браузер и ставить новые проги и обновления старых до обновления системы.
Такое впечатление, что ядра Cortex A15, A57, A72 также подвержены Meltdown, но использовать его практически достаточно сложно и патчить их не будут.
Spectre подвержены ядра Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73, A75. Для них с патчами пока не понятно. Какие-то есть, но насколько они эффективны… Но они есть, соответственно тоже можно ждать обновления от производителей, а пока — как всегда — соблюдать обычную цифровую гигиену.
Также надо помнить, что подвержены также варианты ядер от Qualcomm и других производителей(Samsung, Huawei и тд.). К примеру тот же Google Pixel на Qualcomm Cryo, и раз для него уже выпущено обновление, то значит и ядро Cryo уязвимо, а это процессор Qualcomm Snapdragon 821. Другие смарты на 821м соответственно должны тоже обновится, но когда…
Важно, что Cortex A53 не подвержен ни одной из уязвимостей вроде как, что означает — множество «младших» андроидов не уязвимо в этом смысле.
Ну, если коротко отвечать на это, то их взгляд изложен в модели угроз. А вообще это не криптография в браузере в привычном смысле. Криптография в браузере — это у меня в топике было. А это все равно что встроить в браузер свой GNUPG. Шифрование обеспечивается самим плагином.
i2p, к сожалению, вот-вот станет у нас в России незаконным.
А что вы подразумеваете под «интеграцией анонимных почт в свои сайты в качестве альтернативы email»?
Да, выше как раз это и обсуждается. И то, как с этим бороться.
В статье описаны warrant canary, которые как раз и должны противодействовать данным ситуациям. Warrant canary — это страница, которая говорит, что сервис НЕ получал данного ордера. Суть в том, что заставить создателей сервиса что-то сделать гораздо сложнее с точки зрения закона, чем заставить что-то НЕ делать. Таким образом, отсутствие обновления warrant canary может быть признаком того, что сервис данный ордер получил.
К сожалению, всегда существует компромисс между безопасностью и удобством. Если добавить слишком много безопасности, то удобство будет слишком низким(и наоборот). Часто из-за этого повышение уровня безопасности проваливается. По-моему, вебмейлы вышеописанные являются достаточно хорошим компромиссом.
Все эти проекты предлагают немного другой функционал, отличный от стандартной электронной почты и не совместимый с ней. Они, конечно, все очень достойные. О них стоит рассказать. Может, возьметесь?
Но в моей практике для пользователя часто важна обратная совместимость. И поэтому внедрение таких прогрессивных решений может быть несколько спорным. А вот использование шифропочт не является достаточно революционным. Все уже привыкли к вебмейлам. И надеюсь мой обзор будет полезен именно этим.
Да, тоже вариант. Немного сложный в реализации, зато доступный опять же неограниченному кругу лиц.
P.S. Правда, я бы все же в том случае, если вы не доверяете поставщику почты, использовал тот же вышеупомянутый Enigmail.
Нет. Отдельный германский проект. Г-н Левинсон работает над упомянутым двумя комментариями выше DarkMail.
И еще я бы все-таки ориентировался не только на персоналии, а на объективные факторы. Я специально не стал упоминать создателей вышеописанных сервисов. Все меняется. Тот же Lavabit отдельные ордеры на раскрытие информации вроде как удовлетворял, пока что не получил свой сверхширокий ордер «на всех» и не начался скандал собственно.
Meltdown гораздо легче эксплуатировать. Именно эту уязвимость правят в первую очередь. К нему уязвимо ядро Cortex A75 и все процессоры, включающие его. Если в смарте процессор, использующий это ядро… Ну что ж, не повезло. Лучше не использовать имхо на нем браузер и ставить новые проги и обновления старых до обновления системы.
Такое впечатление, что ядра Cortex A15, A57, A72 также подвержены Meltdown, но использовать его практически достаточно сложно и патчить их не будут.
Spectre подвержены ядра Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73, A75. Для них с патчами пока не понятно. Какие-то есть, но насколько они эффективны… Но они есть, соответственно тоже можно ждать обновления от производителей, а пока — как всегда — соблюдать обычную цифровую гигиену.
Также надо помнить, что подвержены также варианты ядер от Qualcomm и других производителей(Samsung, Huawei и тд.). К примеру тот же Google Pixel на Qualcomm Cryo, и раз для него уже выпущено обновление, то значит и ядро Cryo уязвимо, а это процессор Qualcomm Snapdragon 821. Другие смарты на 821м соответственно должны тоже обновится, но когда…
Важно, что Cortex A53 не подвержен ни одной из уязвимостей вроде как, что означает — множество «младших» андроидов не уязвимо в этом смысле.
А что вы подразумеваете под «интеграцией анонимных почт в свои сайты в качестве альтернативы email»?
В статье описаны warrant canary, которые как раз и должны противодействовать данным ситуациям. Warrant canary — это страница, которая говорит, что сервис НЕ получал данного ордера. Суть в том, что заставить создателей сервиса что-то сделать гораздо сложнее с точки зрения закона, чем заставить что-то НЕ делать. Таким образом, отсутствие обновления warrant canary может быть признаком того, что сервис данный ордер получил.
Но в моей практике для пользователя часто важна обратная совместимость. И поэтому внедрение таких прогрессивных решений может быть несколько спорным. А вот использование шифропочт не является достаточно революционным. Все уже привыкли к вебмейлам. И надеюсь мой обзор будет полезен именно этим.
P.S. Правда, я бы все же в том случае, если вы не доверяете поставщику почты, использовал тот же вышеупомянутый Enigmail.
И еще я бы все-таки ориентировался не только на персоналии, а на объективные факторы. Я специально не стал упоминать создателей вышеописанных сервисов. Все меняется. Тот же Lavabit отдельные ордеры на раскрытие информации вроде как удовлетворял, пока что не получил свой сверхширокий ордер «на всех» и не начался скандал собственно.