Не люблю десятку, но вы всё же не правы. В десятке конечно очень много появилось нового (и постоянно добавляют, достаточно хотя бы просто последний чейнджлог почитать). Другой же вопрос — а нафиг это всё большинству надо, особенно домашним юзерам…
И как оно работает? Старому пользователю приходит настойчивая просьба прикрепить другой номер при инициировании регистрации с такого же номера? Там так и написано — «если вы не сделаете это в течение недели, все данные аккаунта будут стёрты»? Жёстко конечно если так. Хотя и логично…
Для кого как. Мне в Opera Presto лишние для меня фичи никогда не мешали. Напротив, было приятно, что разработчики старались обо всех подумать и включить по максимуму «свистелок», не портя дизайн.
Так доверенность липовая нужна, я так понимаю. Для этого надо хотя бы подпись подделать. Хотя наверное, это и несложно.
А я всё не мог понять, как перехват смс осуществляется, теперь вроде ясно.
Но с другой стороны, если вскроется факт — мне кажется продавец такого ларька как минимум работу потеряет. Хотя конечно писать заявление в органы история не быстрая, ещё непонятно, будут ли расследовать…
Окей, я похоже и правда не понял. Как их атакуют? Опишите саму атаку ещё раз, плиз. Двухфакторки нет — в смысле что есть только код из смс для авторизации, как сейчас сделано во многих интернет-магазинах и онлайн-кинотеатрах? Окей, и что из этого?
Как меня смогут взломать, если я не буду пользоваться мобильным неделю?
бессмысленную ерунду типа «QmbFMke1KXqnYy» придумали какие-то злые компьютерщики, чтобы поиздеваться над пользователями
В итоге компьютерщики всё ещё смогут при желании смотреть пиратский контент, а остальные 90 процентов населения — нет. Если считать это достаточной степенью эффективности, то можно сказать, что цель достигнута :)
P.S. Как по мне это совсем не сложный способ, если найти доверенный источник хэша (ведь хочется знать формат файла, его размер и тип озвучки, прежде чем скачивать, а значит, нужен уже по смути аналог торрент-трекера, который непременно будет забанен по домену, если его создать).
идентификация в котором происходит через Mobile ID в том числе для двухфакторной защиты: клиент использует электронный паспорт, а на телефон приходит запрос на подтверждение операции через Mobile ID
Так если я допустим потерял сумку, я потерял всё вместе — и паспорт, и телефон! Они хоть сами думают прежде чем что-то предлагать, может ли это реально помочь?..
К сожалению, травля детей в интернете приводит и к трагическим случаям. Жизнь ребенка и судьбы детей не могут быть ценой анонимности в интернете
Ну какая травля? Сейчас любой ребёнок знает про наличие бан-листа (он есть в любой соцсети и в любом мессенджере). Да, в теории, если представить себе некую антиутопию, травящий может сколотить некую группу сообщников, но это надо их очень сильно замотивировать против жертвы, что в реальной жизни практически невозможно, если они с ней не знакомы, плюс их должно быть много, и в идеале у каждого из них должно быть по нескольку аккаунтов.
Я к тому, что даже если жертва — реально известная личность, организовать массовую травлю без какого-то веского повода очень сложно. А если это — обычный человек, которого никто не знает, то почти невозможно. Все аккаунты, пишущие гадости в ЛС или на стену, быстро будут перебанены. Так что я не очень понимаю, о каком доведении до самоубийства тут идёт речь. Разве что, если кто-то постил порочащие сведения о человеке на многих ресурсах подряд, которые жертва не контролирует, потом каким-то образом форсил и пиарил это, чтобы узнал широкий круг, и потом это доходило до жертвы и его родственников/знакомых… А такие случаи у нас в стране вообще были? Я читал только одну такую историю в ЖЖ от мужчины, которого травили таким образом люди противоположных взглядов года 2-3, приписывая ему то, чего он никогда не говорил и не делал (вроде, обвиняя в педофилии или в чём-то подобном). Было не очень-то массово и эффективно, но он ужасно переживал и был в депрессии из-за этого. Интересно, насколько это массовое явление.
Ааа, вон оно что. Извините, но тут уже на мой взгляд ССЗБ.
То есть если это не подкуп оператора злоумышленником, а банально человек просрочил свою карту неоплатой — он виноват сам. Точно так же как если вы потеряете, к примеру, свою банковскую карту вместе с CVV кодом на обратной стороне, и не обратитесь в банк для её блокировки, вы не сможете никого винить в потере денег с неё. Или потеряете сотовый и не обратитесь к оператору для блокировки сим-карты в тот же день — аналогично потеряете как минимум средства на балансе, если девайс найдут и решат использовать. Вы же не будете потом винить в этом случае банк или оператора?
И я не понимаю, чем поможет задержка в неделю таким людям, если им не хватило полгода: 2-3 месяца нужно, чтобы аккаунт ушёл в -700 рублей и оператор заблокировал сим-карту (МТС блокирует на такой отметке, не знаю как остальные; плюс выше сказали, что потом ещё номер несколько месяцев находится в резерве у оператора; наконец, до перехода в резерв между заморозкой и полной блокировкой симкарты обычно тоже есть ещё месяца 2-3 по моему опыту.
Я к тому, что если человек в какой-то момент дёрнулся и узнал, что симкарта находится на такой стадии, что её уже не разморозить и даже не перевыпустить (то есть сам номер уже в резерве у оператора) — то надо немедленно вручную отвязывать все сервисы от этого номера.
Кстати, Телеграм вообще позволяет сменить номер сотового, или тот, с которого регистрировался, остаётся навечно?
Мне кажется, вы судите разработчиков слишком строго. Я, например, в 2012-2013 годах реализовывал свой доморощенный мессенджер с E2E шифрованием. Там подразумевалось, что все участники комнаты знают секретный пароль (который конечно же не 111, и желательно от 7-8 знаков и длиннее), дальше алгоритм его два раза усиливал с помощью MD5, заодно увеличивая его общую длину примерно до 64 символов, после чего выбиралось случайное начальное смещение, и далее выполнялся XOR исходного текста с паролем и фрагментом ключа, равным по длине паролю (и так в цикле до конца ключа и потом по кругу, то есть каждый новый фрагмент текста шифровался на последующих символах), а также случайной солью небольшой длины, которая потом дописывалась в конец шифротекста вместе со смещением. Это был модифицированный мной вариант существующего достаточно известного алгоритма — я увеличил в два раза длину второго ключа и ввёл случайное начальное смещение (и вроде ещё вдобавок случайный шаг).
Я это всё к чему: при оценке времени на честный брутфорс 2^128 комбинаций для 16-символьного пароля (на самом деле, там меньше значений, т.к. в пароле у нас только читаемые текстовые символы, то есть там будет около 2^112) я даже не закладывал время на подсчёт MD5 (хотя оно довольно ощутимо, хоть функция и очень нетребовательная по меркам аналогов), а просто считал время проверки одной комбинации как несколько тактов (в любом случае, необходимы копирования значений и проверки символов в строках, даже если у нас все данные в регистрах процессора и нам не надо терять такты, ожидая более медленную RAM). Но я подсчитывал исходя из условия, что у нас одно- или максимум двухъядерный процессор с частотой не более 3 GHz.
В итоге у меня получилось несколько сотен, кажется, триллионов лет, что меня более чем удовлетворило.
Вопрос — справедливо ли то, что вы требуете от авторов схемы шифрования невозможность расшифровки на GPU? Да, нельзя гарантировать, что злоумышленник не умеет использовать GPU для взлома, также неизвестны его денежные ресурсы (сколько GPU он может купить). И всё-таки? GPU вообще создавался для несколько других операций, он не очень заточен под базовые стандартные вычисления. Кроме того, в какой-то из статей я видел упоминание, что лучший выигрыш, на который можно рассчитывать от применения GPU — это два порядка, то есть в сотню раз. Что всё ещё мало для полного перебора всех комбинаций.
Вы же утверждаете, что в указанной ситуации данные можно получить примерно за 8 дней (ок, допустим за 10-15 дней, если брать с запасом). На основе чего это утверждается? Приведите, пожалуйста, хотя бы примерное число комбинаций с учётом «неслучайностей», о которых вы писали, а также скорость перебора на GPU в паролях в секунду, желательно ещё и с указанием конкретных моделей устройств и их стоимости. Можно не производя конкретный тест, а исходя из общедоступных данных, наверняка люди уже проводили тесты на эту тему.
Потому что пока в такую «дырявость» мне верится с трудом… Всё-таки там не полные дураки сидят.
Я недавно читал какую-то статью о том, как работает вотсап, и там утверждалось, что сообщения в их системе вообще не хранятся, то есть удаляются сразу после обработки и пересылки (и не удивительно, с такими-то объёмами трафика в день). Так что я вообще не понимаю, о чём тут идёт речь, если это правда. Даже обычный чат можно потерять, грохнув его на устройстве (потому что только на устройстве история и хранится).
Нет, не будет расшифровано. Потому что облако не знает реальную длину вашего пароля. Разве что, если алгоритм брутфорса в самом деле начинает перебирать все строки, начиная с односимвольных, но во-первых, вероятность такого пароля на практике крайне мала, во-вторых, вам сама система скорее всего не даст поставить настолько короткий пароль.
Кстати, прошу прощения за некропостинг, но я вспомнил один любопытный момент. Я читал одну из записей в их блоге на хабре, когда этот редизайн был ещё в процессе разработки, и они там как раз объясняли решение сделать дефолтный поиск так, чтобы он искал ещё и по прошлым операциям, именно удобством для пользователя. То есть это что-то вроде умного омнибокса в хроме, который при поиске учитывает ещё и закладки с историей, как-то так. Вроде, идея неплохая
Статически задать пояс нельзя пока «Europe/Moscow» означает два или более разных сдвига в зависимости от хотелок политиков.
При чём тут хотелки политиков? В конкретный момент времени сдвиг для Москвы всегда однозначен, и для временных зон всё это хранится (вся история изменений). То есть для каждой временной метки в UTC можно однозначно посчитать её локальное представление. В чём здесь проблема-то?
То, что я вижу в коде выше, выглядит громоздко и страшно, как по мне…
Эх, такая ностальгия проснулась при чтении вашего комментария. Только у меня это был ноутбук и диски с играми к нему, и пряталось это всё в обычный чёрный кожаный кейс с кодовым замков на 6 цифр (точнее, с двумя на 3 цифры), код от которого родителям в голову поменять не приходило, и который я очень быстро подобрал «брутфорсом»
А я всё не мог понять, как перехват смс осуществляется, теперь вроде ясно.
Но с другой стороны, если вскроется факт — мне кажется продавец такого ларька как минимум работу потеряет. Хотя конечно писать заявление в органы история не быстрая, ещё непонятно, будут ли расследовать…
Как меня смогут взломать, если я не буду пользоваться мобильным неделю?
P.S. Как по мне это совсем не сложный способ, если найти доверенный источник хэша (ведь хочется знать формат файла, его размер и тип озвучки, прежде чем скачивать, а значит, нужен уже по смути аналог торрент-трекера, который непременно будет забанен по домену, если его создать).
Ну какая травля? Сейчас любой ребёнок знает про наличие бан-листа (он есть в любой соцсети и в любом мессенджере). Да, в теории, если представить себе некую антиутопию, травящий может сколотить некую группу сообщников, но это надо их очень сильно замотивировать против жертвы, что в реальной жизни практически невозможно, если они с ней не знакомы, плюс их должно быть много, и в идеале у каждого из них должно быть по нескольку аккаунтов.
Я к тому, что даже если жертва — реально известная личность, организовать массовую травлю без какого-то веского повода очень сложно. А если это — обычный человек, которого никто не знает, то почти невозможно. Все аккаунты, пишущие гадости в ЛС или на стену, быстро будут перебанены. Так что я не очень понимаю, о каком доведении до самоубийства тут идёт речь. Разве что, если кто-то постил порочащие сведения о человеке на многих ресурсах подряд, которые жертва не контролирует, потом каким-то образом форсил и пиарил это, чтобы узнал широкий круг, и потом это доходило до жертвы и его родственников/знакомых… А такие случаи у нас в стране вообще были? Я читал только одну такую историю в ЖЖ от мужчины, которого травили таким образом люди противоположных взглядов года 2-3, приписывая ему то, чего он никогда не говорил и не делал (вроде, обвиняя в педофилии или в чём-то подобном). Было не очень-то массово и эффективно, но он ужасно переживал и был в депрессии из-за этого. Интересно, насколько это массовое явление.
То есть если это не подкуп оператора злоумышленником, а банально человек просрочил свою карту неоплатой — он виноват сам. Точно так же как если вы потеряете, к примеру, свою банковскую карту вместе с CVV кодом на обратной стороне, и не обратитесь в банк для её блокировки, вы не сможете никого винить в потере денег с неё. Или потеряете сотовый и не обратитесь к оператору для блокировки сим-карты в тот же день — аналогично потеряете как минимум средства на балансе, если девайс найдут и решат использовать. Вы же не будете потом винить в этом случае банк или оператора?
И я не понимаю, чем поможет задержка в неделю таким людям, если им не хватило полгода: 2-3 месяца нужно, чтобы аккаунт ушёл в -700 рублей и оператор заблокировал сим-карту (МТС блокирует на такой отметке, не знаю как остальные; плюс выше сказали, что потом ещё номер несколько месяцев находится в резерве у оператора; наконец, до перехода в резерв между заморозкой и полной блокировкой симкарты обычно тоже есть ещё месяца 2-3 по моему опыту.
Я к тому, что если человек в какой-то момент дёрнулся и узнал, что симкарта находится на такой стадии, что её уже не разморозить и даже не перевыпустить (то есть сам номер уже в резерве у оператора) — то надо немедленно вручную отвязывать все сервисы от этого номера.
Кстати, Телеграм вообще позволяет сменить номер сотового, или тот, с которого регистрировался, остаётся навечно?
Я это всё к чему: при оценке времени на честный брутфорс 2^128 комбинаций для 16-символьного пароля (на самом деле, там меньше значений, т.к. в пароле у нас только читаемые текстовые символы, то есть там будет около 2^112) я даже не закладывал время на подсчёт MD5 (хотя оно довольно ощутимо, хоть функция и очень нетребовательная по меркам аналогов), а просто считал время проверки одной комбинации как несколько тактов (в любом случае, необходимы копирования значений и проверки символов в строках, даже если у нас все данные в регистрах процессора и нам не надо терять такты, ожидая более медленную RAM). Но я подсчитывал исходя из условия, что у нас одно- или максимум двухъядерный процессор с частотой не более 3 GHz.
В итоге у меня получилось несколько сотен, кажется, триллионов лет, что меня более чем удовлетворило.
Вопрос — справедливо ли то, что вы требуете от авторов схемы шифрования невозможность расшифровки на GPU? Да, нельзя гарантировать, что злоумышленник не умеет использовать GPU для взлома, также неизвестны его денежные ресурсы (сколько GPU он может купить). И всё-таки? GPU вообще создавался для несколько других операций, он не очень заточен под базовые стандартные вычисления. Кроме того, в какой-то из статей я видел упоминание, что лучший выигрыш, на который можно рассчитывать от применения GPU — это два порядка, то есть в сотню раз. Что всё ещё мало для полного перебора всех комбинаций.
Вы же утверждаете, что в указанной ситуации данные можно получить примерно за 8 дней (ок, допустим за 10-15 дней, если брать с запасом). На основе чего это утверждается? Приведите, пожалуйста, хотя бы примерное число комбинаций с учётом «неслучайностей», о которых вы писали, а также скорость перебора на GPU в паролях в секунду, желательно ещё и с указанием конкретных моделей устройств и их стоимости. Можно не производя конкретный тест, а исходя из общедоступных данных, наверняка люди уже проводили тесты на эту тему.
Потому что пока в такую «дырявость» мне верится с трудом… Всё-таки там не полные дураки сидят.
То, что я вижу в коде выше, выглядит громоздко и страшно, как по мне…