Судя по большому потоку подобных новостей про IT рынок в РФ, со стороны властей там царит непонимание что происходит и что делать. То у них специалистов достаточно, то вдруг не хватает, то многие уехали, то вдруг большинство вернулось, то давайте заманим пряником, то вдруг будем нещадно бить кнутом и т.д. Посему предлагаю мораторий на подобные новости до тех пор, пока не будет принято какое-то значимое решение, а не просто разговоры или обсуждения.
смысл жизни — долгосрочное размножение и увеличение численности популяции (или своих генов)
Это вы подменили понятия. А в чем смысл такого размножения и увеличения численности? Ну вот предположим расплодился условный вид микробов и занял 100% всей планеты - и что дальше? Или предположим что остались только гены этого микроба, строго согласно вашему смыслу, и что это дает ему? Сдается мне такой микроб быстро деградирует и вымрет...
Если хотите мое мнение - как такового смысла у отдельного организма нет, потому что жизнь в целом это процесс, а не цель. Жизнь - это попытка создать долгосрочную систему, способную адаптироваться в широких пределах физических воздействий. Т.е. смысл получается в бесконечном оттачивании этой интерполяционно-адаптационной системы, чтобы обеспечить существование самой этой системы как можно дольше. При этом генетика (как средство хранения этих адаптационных коэффициентов) и разнообразие отдельных организмов должно быть скорее максимальным.
Представитель компании не пояснил, как именно происходит установка мобильного ПО
Так это ж самое интересное. Может там jailbreak делают, а может у них прокси-приложение есть через которое можно ходить на сайт сбера с правильным сертификатом от тов. майора или вообще делают левое vpn-соединение которое тоже ходит в сбер нужным образом. Ну чтож ждем, когда кто-нибудь сходит и прольет свет на процедуру установки.
Добавлю про стартапы, что не всегда они покупаются с целью закрытия. Иногда большая компания просто не хочет рисковать и вкладываться в неизвестную нишу, а вдруг не выстрелит? Поэтому она внимательно следит за стартапами и в случае если какой-то выходит на финишную прямую - его покупают с целью использовать его нишу и потенциальную (или существующую) клиентскую базу для расширения и продвижения своих решений, включая наработки самого стартапа. Ну а если стартап прогорает до "выхода в плюс", то большая компания остается при своих, почти ничем не рискуя. Разумеется надо не прозевать момент возможной покупки, чтобы и не переплатить, и не купить рисковый актив, но этим уже занимаются не айтишники, а махровые финансисты, которых в любой большой компании тоже хватает.
Даже в сегодняшнем ИТ надо искать и стараться найти свою нишу. Хотите более размеренной разработки - идите в продуктовые компании, лучше в системное программирование, там сложнее, но и интереснее. Главное правило - вам должно нравится то, что вы делаете, как минимум на техническом уровне (а уж бюрократия есть везде).
Идентификаторы очереди никак не связаны с каким то пользователем
Идентификаторы не связаны напрямую, но вычисляются, об этом написано даже в официальной статье на сайте. Никакой особой дополнительно анонимности от замены прямых идентификаторов косвенными нет, кроме дополнительных сложностей. Хотя может где-то есть сводная таблица достоинств и недостатков?
Ссылка с адресом соединения и публичными ключами передается вне сети
Вопрос и был в том как это сделать прозрачно для пользователя? В сравнительной табличке было написано что система противостоит MITM, но передача ключей по стороннему каналу сделает любую систему защищенной от MITM. Тут я не увидел никаких объяснений на этот счет, почему это именно эта система лучше всех остальных.
у них ни в какой момент времени нет никакой пользовательской информации вообще кроме адресов очередей, анонимных ключей
Так этой "анонимной" информации достаточно чтобы собирать статистику с какого адреса запрашивают какие данные из какой очереди и тем самым потихоньку набрать информацию. В любой (полу)централизованной системе - сервер может играть против пользователя. Только полностью децентрализованная система может пытаться защитить пользователя от злонамеренного сервера.
так же, как вы узнаете о существовании нового email провайдера например
Это же жутко неудобно и непрозрачно для пользователя. Я что должен следить за серверами при общении? Или где-то есть централизованный список всех доступных серверов (здравствуй полная централизация этой сети)?
на новом сервере будет просто создана новая очередь, и сообщения тому же контакту будут через нее передаваться
Можете описать что будет если во время сеанса между А и Б рухнет их общий сервер? "А" полезет выбирать свой другой, "Б" свой другой, как они согласовывать это будут если прямой связи между А и Б больше нет по определению?
Что-то очень много непонятных решений для "безопасного" общения.
Заменили идентификаторы на избыточные очереди, а в чем смысл? Это также идентифицирует пользователя такой сети, просто усложняя метод идентификации (впрочем в своей статье авторы сами в этом признаются). Только вот искать контактов в таком случае станет сложнее обычным пользователям. Про проблемы мультикаста (сообщение многим адресатам) тоже умолчу.
Про защиту от MITM - ничего не понял. "Запросы на соединение передаются вне сети" - так если так поступать в других системах это тоже защитит их от этой атаки. Но как это сделано тут? Борьба с MITM это довольно хитрая штука и здесь я не увидел описания защиты.
"разрешены только TLS 1.2/1.3, ограниченные криптографические алгоритмы" - сомнительное техническое решение, не способствует доверию участников общения. Как обновлять схему при нахождении проблем в текущей (а они обязательно будут)?
"Серверы не хранят никакой пользовательской информации" - а что мешает им хранить? Получается я должен доверять серверу, но я его не выбираю (его выбирает абонент с которым я общаюсь). Вот это "Для защиты от атак повторного воспроизведения ..." хорошо помогает собирать метаданные по клиентам на стороне сервера.
"Пользователи могут менять серверы с минимальными перебоями – даже после исчезновения используемого сервера" - э... а как я узнаю о появлении нового сервера? Или как новый сервер узнает о появлении меня с моими очередями? А если сообщать явно - это утечки метаданных и возможности для хитрых атак.
Если кто-то из вас пользовался программами для сканирования, просмотра или редактирования изображений в 80-х годах или если у кого-то есть примеры таких изображений
Были конечно программы для работы с изображениями в 80-ых. Например, вот нашел у себя скриншот аналога тогдашнего "фотошопа":
Hidden text
И сами изображения были (сканы), например вот из 1988 года, сконвертирован для загрузки:
Вымирают оффлайн игры. В сети больше возможностей и способов заработка.
Вымирают игры без графических наворотов. Появление и развитие графических ускорителей бросило силы на крутую графику и движки даже в ущерб играбельности.
Вымирают сложные игры, рынок сильно вырос и расширился и надо учитывать "новых" игроков, раньше играли условные гики, теперь все подряд.
Смена платформы или порча имущества - не вариант, я про программное исправление. Например, ловить ресивером изменение идентификаторов сим-карт и отправлять тело в перезагрузку.
Мда, оказывается (кто бы мог подумать), что даже блокировке экрана доверять нельзя. Концепция стека вызовов уязвима к ошибкам или атакам состояния гонки! Злоумышленники потирают руки, ведь многие телефоны не получат исправление этой ошибки, а пользоваться ей очень легко. Интересно, есть ли шанс исправить что-либо самостоятельно, если обновление 100% не придет?
Достаточно лишь накатить небольшой патч, который внесёт изменения в данный алгоритм
И тут выясняется, что телефоны на квалкомах блокированные и многие даже не рутуются, я уж про патчи в фирмварь, которая отвечает за все это, вообще молчу, там подпись проверяется аж на загрузке.
Уже ж были подобные статьи, прямо с перечнем действий, причем гораздо более подробным. А тут даже банальный пин-код на симкарту не был упомянут, а без него враги вашу симку вставят в «правильный» телефон и сольют все до чего дотянутся.
Я так понимаю речь только про группу некоторых драйверов на платформах tier 1, где есть надежный компилятор (или кросс) раста? Или это затронет и само ядро? И что тогда делать платформам из списка tier 2/3?
Сбер — это только первая ласточка. Для тех, кто не хочет сейчас мараться левым сертификатом от не прошедших даже банальный аудит контор — скоро сами госуслуги переведут на такой же сертификат, так что охват новым сертификатом должен быть обеспечен максимальный (ради прослушки «безопасности»).
Надо прорабатывать техническое решение как теперь жить с левым сертификатом. А про это в статье ни слова, увы.
Если вы хакер и собираетесь делать эпический мега слив, то соблюдайте opsec и избегайте ошибок
Типичная ошибка выжившего. Было еще много сливов, известных в узких и не таких узких кругах, но информации о поимках и тем более о том, на чем прокололся(лись) хакеры — никто не выдает, если только не будет тоже своего рода «слива».
Про изменения в безопасности сказано мало: требования блокировки загрузчика, требование хранения ключа в аппаратуре или в trustzone, требование наличие EL2 в процессорах (с 13 версии), FBE вместо FDE, динамические разделы при разметке встроенной памяти ну и т.д.
К сожалению, согласен с выводами, что андроид становится более закрытым, более завязанным на решения только одного гугла (а значит подрывается доверие — основа безопасности) и в целом кол-во стороннего независимого от гугла системного софта уменьшается.
Вопрос о том, почему мало авторов (или они мало пишут) поднимался уже не раз. Текущая схема мотивации авторов, ну скажем так, способствует большому числу корпоративных статей и новостных заметок. Для серьезной технической статьи нужно потратить много времени, а отклик на нее может не оправдать затраты. В результате те, кто могли и хотели бы что-то написать останавливаются в раздумьях. Перекосы в «начислении» кармы только добавляют сложностей, хотя по идее должны были бы их убирать совсем. Так что имеем, что имеем…
Судя по большому потоку подобных новостей про IT рынок в РФ, со стороны властей там царит непонимание что происходит и что делать. То у них специалистов достаточно, то вдруг не хватает, то многие уехали, то вдруг большинство вернулось, то давайте заманим пряником, то вдруг будем нещадно бить кнутом и т.д. Посему предлагаю мораторий на подобные новости до тех пор, пока не будет принято какое-то значимое решение, а не просто разговоры или обсуждения.
Это вы подменили понятия. А в чем смысл такого размножения и увеличения численности? Ну вот предположим расплодился условный вид микробов и занял 100% всей планеты - и что дальше? Или предположим что остались только гены этого микроба, строго согласно вашему смыслу, и что это дает ему? Сдается мне такой микроб быстро деградирует и вымрет...
Если хотите мое мнение - как такового смысла у отдельного организма нет, потому что жизнь в целом это процесс, а не цель. Жизнь - это попытка создать долгосрочную систему, способную адаптироваться в широких пределах физических воздействий. Т.е. смысл получается в бесконечном оттачивании этой интерполяционно-адаптационной системы, чтобы обеспечить существование самой этой системы как можно дольше. При этом генетика (как средство хранения этих адаптационных коэффициентов) и разнообразие отдельных организмов должно быть скорее максимальным.
Интересно, эта бактерия только вирусами питается или и ими заодно, когда больше есть нечего?
Так это ж самое интересное. Может там jailbreak делают, а может у них прокси-приложение есть через которое можно ходить на сайт сбера с правильным сертификатом от тов. майора или вообще делают левое vpn-соединение которое тоже ходит в сбер нужным образом. Ну чтож ждем, когда кто-нибудь сходит и прольет свет на процедуру установки.
Добавлю про стартапы, что не всегда они покупаются с целью закрытия. Иногда большая компания просто не хочет рисковать и вкладываться в неизвестную нишу, а вдруг не выстрелит? Поэтому она внимательно следит за стартапами и в случае если какой-то выходит на финишную прямую - его покупают с целью использовать его нишу и потенциальную (или существующую) клиентскую базу для расширения и продвижения своих решений, включая наработки самого стартапа. Ну а если стартап прогорает до "выхода в плюс", то большая компания остается при своих, почти ничем не рискуя. Разумеется надо не прозевать момент возможной покупки, чтобы и не переплатить, и не купить рисковый актив, но этим уже занимаются не айтишники, а махровые финансисты, которых в любой большой компании тоже хватает.
Даже в сегодняшнем ИТ надо искать и стараться найти свою нишу. Хотите более размеренной разработки - идите в продуктовые компании, лучше в системное программирование, там сложнее, но и интереснее. Главное правило - вам должно нравится то, что вы делаете, как минимум на техническом уровне (а уж бюрократия есть везде).
Идентификаторы не связаны напрямую, но вычисляются, об этом написано даже в официальной статье на сайте. Никакой особой дополнительно анонимности от замены прямых идентификаторов косвенными нет, кроме дополнительных сложностей. Хотя может где-то есть сводная таблица достоинств и недостатков?
Вопрос и был в том как это сделать прозрачно для пользователя? В сравнительной табличке было написано что система противостоит MITM, но передача ключей по стороннему каналу сделает любую систему защищенной от MITM. Тут я не увидел никаких объяснений на этот счет, почему это именно эта система лучше всех остальных.
Так этой "анонимной" информации достаточно чтобы собирать статистику с какого адреса запрашивают какие данные из какой очереди и тем самым потихоньку набрать информацию. В любой (полу)централизованной системе - сервер может играть против пользователя. Только полностью децентрализованная система может пытаться защитить пользователя от злонамеренного сервера.
Это же жутко неудобно и непрозрачно для пользователя. Я что должен следить за серверами при общении? Или где-то есть централизованный список всех доступных серверов (здравствуй полная централизация этой сети)?
Можете описать что будет если во время сеанса между А и Б рухнет их общий сервер? "А" полезет выбирать свой другой, "Б" свой другой, как они согласовывать это будут если прямой связи между А и Б больше нет по определению?
Что-то очень много непонятных решений для "безопасного" общения.
Заменили идентификаторы на избыточные очереди, а в чем смысл? Это также идентифицирует пользователя такой сети, просто усложняя метод идентификации (впрочем в своей статье авторы сами в этом признаются). Только вот искать контактов в таком случае станет сложнее обычным пользователям. Про проблемы мультикаста (сообщение многим адресатам) тоже умолчу.
Про защиту от MITM - ничего не понял. "Запросы на соединение передаются вне сети" - так если так поступать в других системах это тоже защитит их от этой атаки. Но как это сделано тут? Борьба с MITM это довольно хитрая штука и здесь я не увидел описания защиты.
"разрешены только TLS 1.2/1.3, ограниченные криптографические алгоритмы" - сомнительное техническое решение, не способствует доверию участников общения. Как обновлять схему при нахождении проблем в текущей (а они обязательно будут)?
"Серверы не хранят никакой пользовательской информации" - а что мешает им хранить? Получается я должен доверять серверу, но я его не выбираю (его выбирает абонент с которым я общаюсь). Вот это "Для защиты от атак повторного воспроизведения ..." хорошо помогает собирать метаданные по клиентам на стороне сервера.
"Пользователи могут менять серверы с минимальными перебоями – даже после исчезновения используемого сервера" - э... а как я узнаю о появлении нового сервера? Или как новый сервер узнает о появлении меня с моими очередями? А если сообщать явно - это утечки метаданных и возможности для хитрых атак.
Были конечно программы для работы с изображениями в 80-ых. Например, вот нашел у себя скриншот аналога тогдашнего "фотошопа":
Hidden text
И сами изображения были (сканы), например вот из 1988 года, сконвертирован для загрузки:
Hidden text
Вымирают оффлайн игры. В сети больше возможностей и способов заработка.
Вымирают игры без графических наворотов. Появление и развитие графических ускорителей бросило силы на крутую графику и движки даже в ущерб играбельности.
Вымирают сложные игры, рынок сильно вырос и расширился и надо учитывать "новых" игроков, раньше играли условные гики, теперь все подряд.
Смена платформы или порча имущества - не вариант, я про программное исправление. Например, ловить ресивером изменение идентификаторов сим-карт и отправлять тело в перезагрузку.
Мда, оказывается (кто бы мог подумать), что даже блокировке экрана доверять нельзя. Концепция стека вызовов уязвима к ошибкам или атакам состояния гонки! Злоумышленники потирают руки, ведь многие телефоны не получат исправление этой ошибки, а пользоваться ей очень легко. Интересно, есть ли шанс исправить что-либо самостоятельно, если обновление 100% не придет?
Система заточенная на безопасность с закрытыми исходниками? Хм...
И тут выясняется, что телефоны на квалкомах блокированные и многие даже не рутуются, я уж про патчи в фирмварь, которая отвечает за все это, вообще молчу, там подпись проверяется аж на загрузке.
прослушки«безопасности»).Надо прорабатывать техническое решение как теперь жить с левым сертификатом. А про это в статье ни слова, увы.
Типичная ошибка выжившего. Было еще много сливов, известных в узких и не таких узких кругах, но информации о поимках и тем более о том, на чем прокололся(лись) хакеры — никто не выдает, если только не будет тоже своего рода «слива».
К сожалению, согласен с выводами, что андроид становится более закрытым, более завязанным на решения только одного гугла (а значит подрывается доверие — основа безопасности) и в целом кол-во стороннего независимого от гугла системного софта уменьшается.