Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 89
Это кто и почему кому-то не похрен что он там установил?
Юлия Якубеня уронила отварную сосиску
Это в хабре в птн зарплату начисляли. Кому-то недолетело.
Кто он, написано под фото. Достаточно известный человек, не понимаю, что тут может зацепить.
Согласен. Личность автора тут ключевое.
"Виталик Бутерин поделился "
дальше я не читал потому, что уже достаточно смешно звучит чтобы я получил заряд позитива на весь день.
Мне от заголовка сразу вспомнился "ведущий фунфурье" Дэн Дыркин...
Автору стоило написать немного другой заголовок: "Создатель криптовалюты Ethereum поделился своим списком безопасных приложений, которыми он заменил популярные сервис".
Всего лишь создатель и главный разработчик ETH. Второй, после BTC по популярности криптовалюта, на базе которой работают тысячи других криптовалют и приложений.
Виталик Бутерин - выдающийся русский математик, программист и предприниматель, разработчик криптовалюты Эфир
Почему он Виталик, а не Виталий ?
Не вырос еще - не заслужил
Он так себя идентифицирует в самом деле просит себя называть именно так.
По той же причине, по которой Билли Гейтс не Уильям Гейтс.
ну, дык...
В ЗАГСе:
— Здравствуйте, я могу у вас поменять имя?
— Ну, мы это не приветствуем, но вообще можно. Как Вас зовут?
— Пётр Говно.
— А, гхм, ну да. Понимаю. И кем хотите называться?
— Хочу быть Виталиком.
Есть такое, непрезентабельно выглядит Виталик, похож на затюканного деревенского школьника СССР конца 80х. Хотя легендарная фигура, выдумал много важного в криптовалюте. Но когда стал таким известным, нельзя выглядеть, как подросток! Надо тренера нанять, кушать больше! Миллиардов у Виталика немало, на команду тренеров и диетологов хватит. А там можно и в Виталия переименоваться
Но когда стал таким известным, нельзя выглядеть, как подросток! Надо тренера нанять, кушать больше! Миллиардов у Виталика немало, на команду тренеров и диетологов хватит.
Вот как раз когда у тебя столько известности и денег можно выглядеть вообще как угодно забив на мнение окружающих. Ему уже не надо ничего и никому доказывать играя на публику и "торгуя лицом".
Никто никому ничего не должен.
Это стиль такой. Для жителей США он похож на программиста-гика. Если бы он одевался как продажник то его Эфир - вряд ли взлетел бы.
Возможно, он специально поддерживает свой внешний вид в стиле "сумасшедший гений", а возможно, он и действительно такой и есть. Но факт в том, что он является создателем второй по капитализации криптовалюты (при том что не известно, кто является создателем первой) и уже обрёл статус легенды (а также стал миллиардером)
Паша Дуров, залогинься под своим акком :)
А там можно и в Виталия переименоваться
Вы правы. Человек, настолько известный и богатый, как вы, должен переименоваться в Александра.
Ну да, Виталику же заняться нечем, кроме как соответствовать ожиданиям каких-то непонятных рандомов в интернете. /s
доверять Signal весьма наивно
доверять Signal весьма наивно
Но рассказывать о доверии, вполне вероятно, весьма прибыльно (в том или ином виде).
Одна из цепочек финансирования Сигнала это <– фонд Open Technology <– гранты USAGM <– конгресс США.
Председатель совета директоров Сигнала – Katherine Maher. Она состоит в Council on Foreign Relations и Atlantic Council. Обе организации – аналитические центры deep state.
Также она состоит в Совете по иностранным делам Госдепартамента. Возможно, что в статусе SGE из-за абзаца выше, но радикально это картины не меняет. Может быть, даже наоборот, если какие-то её задачи не хотят напрямую связывать с участием госслужащих.
Signal, который уже палился? Гений
Почему сигнал, а не матрикс 0_о?
+1.
К тому же ещё какой-то fileverse, на который выдаётся "Вход через кошелек: Доступ к сервису осуществляется с помощью криптокошелька, что обеспечивает анонимность"... что не очень то соответствует действительности в реальном мире и только всё усложняет, особенно для нормальных людей. Тот же SeaFile, или NextCloud, на своём хостинге куда проще и надёжнее. Ну и ещё чювак почту поменял. С одной никак им не контролируемой на другую такую же (которая тут ещё и забанена перманентно). И немножко хайпанул про ИИчки, а то про эфирки все забыли.
Лучше бы он поделился где такую забористую майку купил
Ничего не знаю про FileVerse, но что касается входа через кошелёк - кошелёк же не обязательно использовать тот, через который идёт работа с финансами, кошелёк - это просто сгенерированный приватный ключ, так что если использовать отдельный кошелёк исключительно для FileVerse, то вроде бы с анонимностью будет всё норм.
При том это вроде как "для работы с документами" - вот уж где нужно в первую голову локальное решение.
А если это все-таки дропбокс, а не ворд, то... Да ничего "то" стендалон решение все равно надежнее. С его деньгами - распределенное стендалон в одно лицо. Мне денег жалко, поэтому у меня распределенное на родственников.
Это кто и почему кому-то не похрен что он там установил?...
а это кто? )...
На хабре нашествие пушистиков, которых забанили в Гугле???
Гугл тут, скорее всего, не поможет. Конечно, люди могут действительно не знать, кто это, но оно вряд ли так. Скорее всего это все же риторический вопрос, ставящий под сомнение значимость приведенной информации о данном человеке, несмотря на его достижения.
Switched decisively to Signal as primary messenger (away from Telegram)
Быстро,решительно переключился на Signal в качестве основного мессенджера на замену Telegram
Отличная реклама Телеги :)
– Значит, хороший мессенджер, надо брать. ©
перешёл с Google Maps на сервис OpenStreetMap и приложение OrganicMaps.
Вот только там нет панорам улиц. Абсолютно.
сменил Gmail на Protonmail
Мог поставить расширение FlowCrypt, но не стал, потому что ценит безопасность. /сарказм
сменил Gmail на Protonmail
И предоставил этому Protonmail данные своей КК, а заодно где деньги лежат данные о том, каким банком он пользуется. Т.е., можно было и не зачеркивать - сообщил Protonmail, где его деньги лежат.
Ну, так себе эксперт...
Это вот прям все серьезно написано?
Аудитория Хабра что - настолько оглупела, что не знает некоторых почти что прописных истин? Печально это...
А. При регистрации на Protonmail пользователь обязан предоставить номер своей КК. Это требование было введено где-то в 2018 году и нехило так взорвало Reddit, искать тогдашние треды там лень. Возможно, с тех пор что и поменялось, но весьма вряд ли...
Б. В номере КК закодирован банк-эмитент этой карты, где-то в первых 4-5 цифрах; инфу тоже искать лень - кому надо - найдет.
Ещё вопросы есть?..
И надо же - кто-то ещё минусует подобные прописные истины...
Да нет же. Бесплатный аккаунт создается без кредитной карты. А дальше можно upgrade за Bitcoin.
Там можно даже налом сервис оплатить, если что 🤷♂️
Ну и с картой кредитной чет какое-то сгущение красок. Даже если было бы такое требование, можно ввести туда любую виртуалку анонимную или препейд карту, если уж такой уровень паранойи.
А так, по комбо в удобстве, надежности и конфиденциальности я не вижу особых альтернатив ProtonMail. Варианты с почтой на своем сервере, это тоже много заморочек — вопрос с сервером и его оплатой, поддержкой и обслуживанием, доменом. Мне вот лично лень этим всем заниматься.
Протон и сигнал это прям топчик. Лучше бы сразу на меилру и макс.
В чем проблема протона? Не шучу - реально интересно
Сходу - это веб-приложение. Т.е. в любой момент сервер может конкретному пользователю прислать альтернативный JS, который сольёт ключи/пароли/содержимое писем прямо из браузера. Получается очень тихая, скрытая атака, которую крайне сложно выявить. Причём если кто-то хакнет сервера протона, то он сможет делать такую атаку независимо от желания компании-владельца. А сервера защищённые на 100% от взлома и при этом подключенные к интернету ещё пока не придумали, так что исключить этот кейс невозможно, какие бы усилия в эту сторону протон не предпринимал.
Поэтому если нужна защита почты - используйте локальный почтовый клиент с PGP.
Все еще не понятно: ну то есть, можно хоть свой клиент написать и api напрямую дергать, не говоря уже про pop/imap, хоть с pgp, хоть с ssh, в чем претензия именно к протону?
А зачем что-то писать, если всё уже написано? Любой локальный клиент с поддержкой PGP уже можно использовать, вместе с POP3/IMAP любого провайдера, включая gmail.
Что до претензий к протону, то лично у меня она всего одна: они продают заведомо более уязвимое (в сравнении с вышеупомянутым) решение под маркой безопасного, хотя его безопасность по определению хуже. Если бы протон рекламировался как менее безопасная альтернатива для тех, кто ниасилил настройку PGP - лично у меня к нему бы никаких претензий не было бы.
заведомо более уязвимое (в сравнении с вышеупомянутым) решение под маркой безопасного, хотя его безопасность по определению хуже
Вышеупомянут был gmail; по какому определению его безопасность лучше протоновской?
Я не топлю за протон, сам пользуюсь и им, и gmail, и icloud, но пока вижу не аргументы, а мнение
И это странно. Вы в курсе, как работает PGP? Если да, то аргументы должны быть вполне очевидны: главный в том, что локальное приложение защищает от общей уязвимости всех веб-приложений упомянутой мной выше в этом треде, дополнительный в том, что вместе с PGP можно использовать любой провайдер поддерживающий POP3 или IMAP (включая gmail), т.е. нет привязки к провайдеру почты.
Когда-то для gmail даже была сторонняя реализация PGP в виде браузерного плагина, потом её сломали, потом гугл вроде даже объявлял что планирует сам добавить поддержку PGP в gmail… Чем дело кончилось я не помню, но вряд ли её реально добавили. И, в любом случае, браузерный плагин PGP это не самый надёжный вариант (потому что расшифрованный текст вставляется в страницу gmail, и JS самого gmail вполне может получить к нему доступ и куда-то отправить), так что я бы безопасность такого решения оценил даже ниже, чем протон.
Так у протона есть поддержка pgp
так что я бы безопасность такого решения оценил даже ниже, чем протон
А сообщением выше было наоборот
Сообщением выше ничего быть не могло, потому что выше не обсуждалась поддержка PGP внутри веб-интерфейса gmail - этот вариант я упомянул только в предыдущем сообщении. А выше предыдущего шла речь о том, что можно принимать и отправлять через gmail письма защищённые PGP используя локальный клиент и POP3/IMAP. Веб-интерфейс gmail при этом подходе не используется вообще.
Поддержка PGP протоном не меняет абсолютно ничего, пока используется веб-приложение.
Ввод любых паролей на любых веб-сайтах - это уязвимость по определению (в контексте защиты контента, отображаемого этим сайтом, от владельцев этого сайта). Поэтому пароль должен вводиться в локальном приложении (в идеале - опенсорсном и либо собранным собственноручно либо использующим верифицируемые сборки, позволяющие любому желающему убедиться, что выложенные для скачивания официальные релизы действительно собраны из опубликованных исходников). Без этого не получится ни проконтролировать надёжность используемого приложения ни доказать его ненадёжность если утечка произойдёт через него.
Я не знаю все фичи протона, но даже если он поддерживает POP3/IMAP и даёт возможность использовать локальные клиенты с PGP, то в этом случае вопросов к безопасности нет, но и смысла использовать именно протон тоже нет - этот подход одинаково работает с любым провайдером и протон при таком использовании ничем не лучше и не хуже других.
1. Это не только веб, но и нативно приложение. Веб - используется шифрование на клиенте. Исходники открыты - https://github.com/ProtonMail/WebClients
2. Если вам сервер может подменить/добавить JS то спектр угроз становится гораздо шире. Я правда не понимаю про "все украсть".
3. Собственный почтовый сервер на VPS? К которому провайдер имеет доступ просто by design? А администрировать, а вовремя исправлять уязвимости?
и 0.
В вашем сценарии есть исключительно обмен зашифрованными сообщениями. Любое сообщение от того/к тому кто PGP не пользуется остается в ящике открытым. Кто-то получает доступ к ящику и видит.
Даже если все сообщения зашифрованы - есть метаинформация - кому, когда. Этого может быть вполне достаточно.
И в отличии от Протона где безопасность обеспечивается для всех опять же by design and business, все только на компетентности VPS (а вообще SMTP у всех разрешено, что по попаданию в спам с самохостинга?) тут доверия больше.
Конечно есть минусы:
- надо понимать, что если будет мотивированное решение суда о предоставлении информации - то Протон предоставит какие-то данные. Скорее всего метаданные.
- законы меняются, юрисдикции меняются. То что сегодня условно безопасно - завтра может значительно ослабнуть.
Пример - Threema которая была условно безопасным сервисом, а теперь продана дельцу зарабатывающему на персональных данных. Создатели вышли из проекта.
Итого - фокусироваться только на частности игнорируя общее imho не здорово.
Это не только веб, но и нативно приложение.
К нативным приложениям вопросов нет. Особенно если они опенсорс и поддерживают верифицируемую сборку, чтобы всегда можно было убедиться что данный бинарник действительно собран из вот этого коммита в репо. Но даже если нет - нативное приложение, по крайней мере, можно проанализировать в отладчике, найти там "лишний" код и доказать этот факт. А в ситуации если сайт присылает модифицированный JS конкретному пользователю что-то выявить сразу или хотя бы доказать позднее крайне проблематично.
Если вам сервер может подменить/добавить JS то спектр угроз становится гораздо шире.
Ну, что тут скажешь. Любой сервер такое может. Причём и по инициативе владельца (напр. получившего ордер), так и по инициативе хакера, взломавшего этот сервер. Гарантировать что такое не случиться - невозможно в принципе.
Собственный почтовый сервер на VPS?
В плане защиты переписки свой сервер не поможет. С этим поможет PGP, и без разницы, какой сервер использовать.
В вашем сценарии есть исключительно обмен зашифрованными сообщениями. Любое сообщение от того/к тому кто PGP не пользуется остается в ящике открытым.
Всё верно. И, на мой взгляд, это важный и принципиальный момент: любые сообщения без PGP не защищены, и пытаться замаскировать этот факт - очень плохая идея!
Ну, серьёзно, большинство респондентов на своей стороне будут использовать тот же gmail, т.е. письма будут в открытом виде видны как минимум на их стороне. Да, если оба респондента заморочились и перешли на протон, то будет чуть лучше, но невозможно же вообще весь мир перевести на протон, т.е. переписки с теми, кто не на протоне будет всё-равно много - и она будет открыта, а протон в этот момент будет создавать иллюзию защиты. И от такой иллюзии вреда может быть на порядок больше, чем если бы её не было.
Поэтому мой поинт в том, что те, кому нужна защита email, должны осилить настройку PGP, и осознавать, что если их респондент не использует PGP, то и защиты у таких писем нет.
Даже если все сообщения зашифрованы - есть метаинформация - кому, когда.
Да, есть. Но, как Вы сами дальше пишете, протон эти данные скорее всего тоже выдаст. Поэтому безопаснее изначально понимать, что факт наличия переписки скрыть не получится, нежели пребывать в иллюзиях на этот счёт.
Ну все-таки одно дело защита содержимого письма, а другое - фактов, кто кому шлет зашифрованные письма. От второго локальный клиент не поможет совсем. А вот что хорошо поможет - хз.
Да много чего поможет. Но у всех этих методов есть общий момент: все участники переписки должны использовать один и тот же метод.
Например, все могут поднять собственные почтовые сервера не ведущие логи и использующие TLS для всех соединений. Или все могут общаться внутри черновика письма на gmail под одним аккаунтом, внутри общего документа в notion, да хоть зайти по ssh на общий сервер и переписываться там между аккаунтами в консоли или локальной почте этого сервера. Когда-то даже объявления в газету давали и по радио передавали шифром.
В общем и целом всё это достаточно сложно и не очень практично, если только ты не работаешь в разведке/серьёзном криминале/etc. Обычно мысли в эту сторону возникают из-за некорректной постановки задачи: сначала нужно определить риски (кто, как и зачем будет отслеживать эту переписку), а уже потом подбирать меры противодействия. Простой универсальной кнопки "сделать безопасно" не существует.
Он охотно делится инфой со всеми, кто спрашивает, например.
А что он в X пишет? Есть же Mastodon/Bluesky
Я надеялся на что-то более оригинальное и умное..Самому приходится из российских почт и т.п - не потому что злые спецслужбы и пр, а наоборот, достали вводить везде телефон и делать один аккаунт для всего, ID Sber, Id контакт просто обнаглели вконец своей показухой и агрессивным маркетингом. На 90 % сервисов мне не нужна безопасность, зато на остальные я не позволю всё объединять в одно, только ради отчётности менегеров
"Я не хочу постоянно держать Ollama запущенной, потому что это заставляет мой ноутбук потреблять 35 Вт." Это шутка какая-то?)) Целых 35 ватт!!!
странно говорить о безопасности Signal конечно
Почему?
Наверное из-за нехороших сигналов про него (такой вот каламбурчик).
Только беглый поиск на хабре выдал это;
Израильский производитель шпионского ПО заявил, что смог взломать мессенджер Signal
Исследователи выявили уязвимость в методе обхода цензуры Signal
Настольная версия приложения Signal для Mac (и не только) хранит ключи шифрования на ПК в виде обычного текста
Не то чтобы это было что-то особо страшное и ужасное, выделяющее Сигнал из подобных сервисов. По показаниям очевидцев оно таки позащищеннее будет, чем подавляющее большинство мессенджеров. Но что есть, то есть.
Это всё не выглядит реальными проблемами безопасности. Первая и третья ссылки про то, что имея root доступ к устройству можно получить данные всех приложений - это факт, но с этим ничего сделать невозможно и это касается любых приложений. Вторая про возможность детектить проксик, что не является уязвимостью Signal (и не то, чтобы вообще являлось уязвимостью в принципе).
Чем то должны гики отличаться от воротил IT-бизнеса в худшую сторону
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Виталик Бутерин поделился своим списком безопасных приложений, которыми он заменил популярные сервисы