Как стать автором
Обновить
3
0

VPN developer

Отправить сообщение

Я до штатов год прожил в Канаде (Онатрио), где такие же каркасные дома приличного возраста. Люди живут и не переживают что у них не каменный дом. Возможно где тепло и влажно, типа Флориды, но там и сорта термитов (Formozan) совершенно другие, эти дом сожрать за год могут. Покупатель тут должен сам оценивать риски, даже если ему пытаются впарить то что "не бито не крашено". Лучше пару сотен долларов потратить на своего инспектора в таком случае.

Прямо ждал таких комментариев про моментальный жёлтый и красный. Как бесит то что он везде горит разное время и переключается без предупреждения… Пару раз так с визгом тормозов и ABS приходилось на резко загоревшийся красный тормозить. На одном перекрестке жёлтый горит три секунды, на другом 10.

Откуда такие легенды? Мы тут в Калифорнии смотрели дома под 60 лет и выше, в которых вообще похоже не было ремонта, там просто тупо жили всю жизнь. На каждый дом имеется отчёт инспекции, где проверено, что термиты ничего не съели и стены на месте. Всё-таки термиты тут явление давно известное и от них полно профилактических мер, уже давно есть пропитка для дерева и обработки вокруг фундамента с гарантией 10-30 лет. С таким климатом в сейсмоопасной зоне что ещё строить? Кирпичные дома тут местные называют earthquake detectors. Вполне тепло и удобно, внешние стены все заполнены каменной ватой, открыть гипсокартон и посмотреть в случае чего — как два пальца. Влажность контролируется продуваемым подполом.


А как легко тут розетки ставить и ethernet в комнату провести — не поверите :)

Беглый гуглёж нашёл вот это, подтверждает то, что ветрянка (chickenpox) остаётся в человеке навечно если он переболел и что лишай вызывается впоследствии тем же вирусом. Сам не медик, но врачу верю :)


What is shingles, and how is it different from chicken pox?
Shingles, also known as zoster or herpes zoster, is a painful skin rash caused by the same virus responsible for chicken pox: the varicella zoster virus. Even if you had chicken pox in the past, you can still contract shingles. That’s because the chicken-pox virus remains in the body, lying dormant in the roots of nerves, and can reactivate many years later.

Кроме явной проблемы с передачей шифроблокнота (какой-нибудь покупатель в даркнете придёт получить, будет весело), есть еще большая проблема Message Authentication. То есть третья сторона может неограниченно вбрасывать мусор и двигать индекс ключа. Так что без защищённой сессии не обойтись.

Можете не соглашаться, ваше право. Но шифрование само по себе смысла не имеет. Смысл в том, чтобы с помощью шифрования достичь какой-то цели. Например сохранение тайны переписки, в том числе сохранения и самой целостности переписки, включая все встроенные медиа файлы. Слышали про фундаментальные цели в IT security — confidentiality, integrity and availability? Тот механизм, который вы описали далеко не новость и как раз используется текущими мессенджерами типа WhatsApp, описан в их техническом документе, ничего нового, больше чем уверен что у Viber и TG так же.


Если же вы лезете за "зашифрованным" медиа файлом на внешний "blob storage" фейсбука, то 1) факт доступа уже известен третьей стороне, а это уже информация о вашей активности 2) файл может быть удалён c "blob storage" — нарушается целостность переписки 3) чем больше участников могут просмотреть такой расшаренный файл, тем больше шансы на утечку ключа шифрования этого файла, неужели это так неочевидно? 4) вы в курсе про проблемы шифрования файлов и про банальную атаку по размеру, по которой можно даже иногда идентифицировать зашифрованный файл?


Я не считаю это полноценным е2е, вот и всё, тем более для мессенджеров с закрытым кодом. Для меня полноценное end-to-end security, это когда ни расшифровать, ни повлиять на диалог третья сторона не может никоим образом. Отсюда и проблемы дедупликации и отсутствие такого подхода в мейнстриме. Большинство устраивает то что имеем, поэтому так и будет продолжать. В спорах же о терминологии я участвовать не буду.

Модель понятна, но отношения к е2е не имеет. Если этот файл будет, например, трактоваться как запрещённая информация, факт доступа к нему доказать очень просто. Не говоря уже о том, что ключ для расшифровки в такой схеме можно считать уже полностью скомпрометированным, а значит и не нужным.

Я уже ответил выше про массовость таких систем. Есть пример продуктов аналогичных Viber, Whatsapp, TG с e2e для всех? На какие доходы они оплачивают ресурсы, коих надо в разы больше чем у сервисов без шифрования?

Спасибо, я сам давно пользуюсь и уже не раз об этом говорил. И прекрасно вижу как отличается функциональность от распространенных мессенджеров типа WhatsApp, TG итд. Во-первых, там очень мало реальных пользователей (около 500к реально, до миллиона раскачали клоны и прибежавшие за бесплатной раздачей криптомонет). Во-вторых, место для хранения ограничено по понятным причинам и позже я думаю каждому присоединившимуся будет меньше. Всё движется к платной модели и именно в таком мессенджере я буду согласен платить за сервис.


Пока что этот стартап просто ест деньги инвесторов. Когда речь зайдёт о прибыли, тогда и обсудим бесплатность. Массового бесплатного продукта, который, внезапно, зарабатывает деньги на рекламе — не будет. Так как те кто не использует е2е тратят на порядки меньше ресурсов.

Если в GPlay сборке действительно есть компоненты, которые имеют доступ к расшифрованным чатам (или ключам), то это обнуляет весь смысл открытого кода клиента. Тут нужен вдумчивый разбор, может кто-то с опытом реверса андроидных APK и накидает статью по этому поводу по горячим следам. Т.к. сторонний компонент в приложении Андроида исполняется под тем же UID в той же песочнице что и мессенджер… Если там есть рекламные тулкиты, то всё возможно на самом деле, и трекинг в том числе.

Вероятность равна нулю для любой централизованной бесплатной системы. Накрывается медным тазом дедупликация и вместо ссылок на файлы по хешу придётся копировать весь файл целиком каждому собеседнику в общем чате (иначе это не будет е2е шифрование). За примерами как это работает можно почитать историю про Dropbox. Представьте какое-нибудь вирусное видео мегабайт на дофига, которое разлетается по сотням тысяч диалогов за один день. Так что этого не будет в таких чатиках по техническим причинам — для каждого шифровать и хранить уникальную копию бесплатно никаких ресурсов не хватит.


Это как раз use case для Edge Computing и полностью децентрализованных мессенджеров. Хотите разослать большой файл по вашим, скажем, 1000 e2e контактам, будьте добры шифруйте своими ресурсами тысячу раз и делайте тысячу выгрузок. Ну или платите за ресурсы, как на ProtonMail

Спасибо за ссылку, это оказывается гораздо информативней самой статьи с обвинениями WhatsApp, странно, почему такие ключевые моменты выясняются в комментариях а не указаны в самой статье. Значит Телеграму осталось пройти серьезный внешний аудит протокола и открытого кода и будет действительно соответствовать своему описанию.

Был код открыт только у десктопного клиента, который не поддерживал секретные чаты. Теперь нашёл клиенты для Android/iOS, если там есть возможность проверить reproducible build и это действительно то же самое, что в GPlay/AppStore, то Telegram идёт правильной дорогой.

резервные копии не шифруются

Часто упоминал это в подобных статьях про сквозное шифрование. Что самое интересное — Телеграм тут абсолютно в таком же положении. Софт, который может расшифровать чаты на клиенте, может с ним сделать всё что угодно — "забекапить" в виде plaintext, протерять через уязвимость, переслать кому надо (по требованию местных законов) и тд. Отчасти тут поможет только полностью открытый код приложений (Protonmail тут идёт в верном направлении)

Пишет, что такой страницы нет...

Как объяснял нам один из врачей, "пожизненный" иммунитет к ветрянке обусловлен тем, что болезнь остаётся законсервированной в нервных тканях. До поры до времени. И при ослаблении иммунитета прекрасно возвращается назад (тут это называется Shingles). Если от ветрянки ставят прививку, то её уже надо повторять. Скорее всего любой иммунитет — временный, только время присутствия инфекции разное. Организм адаптивная штука.

Поддерживаю просьбу сделать разбор. И ps: давненько не сохранял программы на диск из текста в HEXe, вспрмнил про UUE.

Если человек без верилога, анализатора и осциллографа сделал рабочий проц чисто для души — моё IMHO надо брать точно.

Про открытый код не знал, спасибо. Ассемблер там разобрать будет нелегко.

Информация

В рейтинге
Не участвует
Откуда
Redwood City, California, США
Зарегистрирован
Активность