Дело в том, что при нынешнем состоянии печатного шифровального дела на Западе (с), все эти титанические усилия являются давно нам всем знакомой и родной пилкой государственного бабла. Единственная реальная опасность заключается в атаках "man-in-the-middle", но человек, действительно заинтересованный в сохранении приватности, имеет десяток возможностей их избежать.
Между прочим, почти все платные на сайте ФИПСа патенты можно абсолютно бесплатно, причем в PDF, скачать на сайте Европейской патентной организации. Надо только знать номер патента, который как раз можно узнать из полнотекстового поиска на ФИПСе.
Это все ерунда... А вот это (того же автора) действительно жесть. Позволю себе несколько цитат:
Закон (проект)О высказываниях на политическую тематику в интернет
Политические высказывания в интернет разрешаются только для зарегистрированных участников политики . Зарегистрированный участник политики - это гражданин , который либо имеет в интернет свой сайт , раскрывающий его политические взгляды и его данные , либо являющийся членом политической партии с подтвержденной ссылкой на его членство.
Закон (проект) О ограничении импорта комплектующих для компьютеров
Комплектующие для компьютеров , импортируемые в РФ , должны на аппаратном уровне поддерживать символы кириллицы
Закон (проект) О учреждении наград для граждан Российской Федерации
Учредить награды для граждан РФ ... "Герой Отец" для отцов за каждого своего ребенка, в том числе приемных и внебрачных
Закон (проект) О лицензировании деятельности по возврату долгов от должников России
Граждане участвующие в сфере возврата долгов называются Долговыми Старателями... Долговые Старатели сами определяют формы и методы воздействия на должников России для побуждения их к возврату долга.
Закон (проект) "О приглашении на работу в РФ"
Приглашение на работу в РФ для граждан иностранных государств (граждан СНГ) оформляется только гражданами РФ... Граждане РФ являются доверенными лицами иностранных граждан и имеют право ... получения за них заработной платы. Граждане РФ имеют право в одностороннем порядке расторгнуть контракты от имени иностранных граждан, отозвать свое приглашение и потребовать их депортации.
В любом случае при сотрудничестве Skype с органами задача перехвата сильно облегчается, несмотря на распределенную структуру хранения ключей. Так как публичные ключи пиров, подписанные сервером аутентификации Скайпа, размещены на супернодах администрации достаточно будет заменить ключи наблюдаемых (-ого) пиров (-а) на ключи ментовского шлюза.
RTFM уважаемый. Skype вовсю использует RSA для регистрации на сервере аутентификации, для обмена сессионными ключами с пиром. Сам обмен происходит аналогично протоколу SSL, при этом сервер аутентификации выступает в роли корневого центра сертификации публичных ключей пиров. Так что атака "man-in-the-middle" при доступе к аппаратуре провайдера вполне возможна.
Реальной трудностью является высокая сопротивляемость клиента Skype модификации. Но на любой хитрый винт есть хитрый патч...
PS: Я пользовался этим, этим и этим источниками. А вы?
Skype ломается гораздо проще...
Я детально не смотрел протокол Skype в части аутентификации пользователя, но в общих чертах представляю, что она происходит аналогично протоколу SSL.
Как и SSL протокол Skype (как в общем и любой другой криптопротокол) неустойчив в отношении атаки "man-in-the-middle". Иначе говоря, для получения сеансового ключа используется ассиметричное шифрование RSA, протокол которого перехватывается наблюдателем (например на стороне провайдера), который в дальнейшем эмулирует клиента - для сервера авторизации Skype, и сервер - для клиента. Задача этой эмуляции - подсунуть свой сеансовый ключ. Единственный способ избежать такой атаки - использование надежной аутентификации публичного ключа сервера Skype. В SSL это осуществляется за счет сертификатов публичного ключа, подписанных априори надежным сертификационным центром, публичный ключ которого, в свою очередь "зашит" в хранилище сертификатов ОС. Учитывая проприетарность Skype, публичный ключ сервера (если он используется), скорее всего, зашит в клиенте. Таким образом, достаточно один раз модифицировать клиент, подменив публичный ключ сервера аутентификации, и можно полностью эмулировать авторизационный и рабочий обмен между нодами.
Конечно эта схема весьма упрощена, но при физическом доступе к каналу связи и однократной модификации клиентского софта позволяет полностью контролировать Skype конкретного клиента.
Нет конечно. Слава богу умный человек (к которым я скромно отношу и себя любимого) всегда востребован и найдет, где разжиться скромным кусочком булки с маслецом и икоркой. И это делает положение нашего высшего образования еще более безнадежным...
А мне интересно вот что: я уже доктор наук, но еще доцент. Мой оклад в вузе (Санкт-Петербург) от государства около 1000 руб, с внебюджетными доплатами (то есть доплатами вуза из собственных средств) - около 9000 руб. Вопрос: кто и чему будет учить его внуков? Или ставка сразу делается на Оксфорд?
Это какое небо? Если это , то это старый фильм. Помню смотрел его лет 15 назад, и хотя фильм и небезинтересный, но от фильма было острое ощущение, что меня обгадили. Хотя может быть и по молодости лет... После таких фильмов начинаешь понимать отношение Картмана к хиппи.
"Высочайшие достижения нейтронной мегалоплазмы! Ротор поля наподобие дивергенции градуирует себя вдоль спина и там, внутре, обращает материю вопроса в спиритуальные электрические вихри, из
коих и возникает синекдоха отвечания"
Вам надо было публиковать этот топик в коллективном блоге, так как тема может быть интересна широкому кругу людей. Так он бы уже вышел на главную страницу, что привлекает читателей. В случае персонального блога порог вывода - 20 пунктов.
Краткое резюме:
1. Качественно подготовленную капчу автоматически распознать нельзя, только привлечением к распознаванию людей (порносайты).
2. Хтмл-капча хотя и требует значительного увеличения кода, но создает хакеру известные, но принципиально преодолеваемые, трудности для ее локализации.
3. Кардинальным способом ломки такой капчи является фишинг.
4. Этому, отчасти, можно противодействовать использованием средств надежной аутентификации.
Таким образом, проблема капчи сводится к известной проблеме "снаряда и брони", которая принципиально не решаема.
В капче могут быть инструкции для совершения надежной аутентификации. Вопрос в том, сможет ли хакер дискредитировать их другим контентом. Пример: в капче написано - "Воспользуйтесь сервисом мобильной аутентификации MobAuth 2.0. Введите только в мобильник код - 123". Хакер, естественно не трогая капчу, пишет рядом - "в связи с тем, что сервис MobAuth 2.0 временно не работает, введите код здесь ______".
А вот и не всегда. Тут идет пересечение проблемы теста Тьюринга (капчи) с другой проблемой - проблемой взаимной аутентификации. При надежном решении проблемы аутентификации, например с использованием третьего терминала (мобильника?), одноразовой кодировочной таблицы (как это сейчас делают в системах банк-клиент), копирование страницы ничего не даст.
А зачем четкие признаки? Достаточно примерных... В сочетании с нечеткими множествами они помогут локализовать место капчи.
Но вообще говоря все ломается еще проще. Страница целиком почти без модификаций, с измененным логотипом и другим осмысленным контентом подается на порносайт и все...
печатногошифровального дела на Западе (с), все эти титанические усилия являются давно нам всем знакомой и родной пилкой государственного бабла. Единственная реальная опасность заключается в атаках "man-in-the-middle", но человек, действительно заинтересованный в сохранении приватности, имеет десяток возможностей их избежать.Закон (проект)О высказываниях на политическую тематику в интернет
Закон (проект) О ограничении импорта комплектующих для компьютеров
Закон (проект) О учреждении наград для граждан Российской Федерации
Закон (проект) О лицензировании деятельности по возврату долгов от должников России
Закон (проект) "О приглашении на работу в РФ"
EP1439462. Converting XML code to binary format
EP1376387. Word-processing document stored in a single XML file
Это для примера два еврорейских патента, а есть еще японские, штатовские, новозеландские...
Реальной трудностью является высокая сопротивляемость клиента Skype модификации. Но на любой хитрый винт есть хитрый патч...
PS: Я пользовался этим, этим и этим источниками. А вы?
Я детально не смотрел протокол Skype в части аутентификации пользователя, но в общих чертах представляю, что она происходит аналогично протоколу SSL.
Как и SSL протокол Skype (как в общем и любой другой криптопротокол) неустойчив в отношении атаки "man-in-the-middle". Иначе говоря, для получения сеансового ключа используется ассиметричное шифрование RSA, протокол которого перехватывается наблюдателем (например на стороне провайдера), который в дальнейшем эмулирует клиента - для сервера авторизации Skype, и сервер - для клиента. Задача этой эмуляции - подсунуть свой сеансовый ключ. Единственный способ избежать такой атаки - использование надежной аутентификации публичного ключа сервера Skype. В SSL это осуществляется за счет сертификатов публичного ключа, подписанных априори надежным сертификационным центром, публичный ключ которого, в свою очередь "зашит" в хранилище сертификатов ОС. Учитывая проприетарность Skype, публичный ключ сервера (если он используется), скорее всего, зашит в клиенте. Таким образом, достаточно один раз модифицировать клиент, подменив публичный ключ сервера аутентификации, и можно полностью эмулировать авторизационный и рабочий обмен между нодами.
Конечно эта схема весьма упрощена, но при физическом доступе к каналу связи и однократной модификации клиентского софта позволяет полностью контролировать Skype конкретного клиента.
коих и возникает синекдоха отвечания"
А внутре у нее неонка...
Краткое резюме:
1. Качественно подготовленную капчу автоматически распознать нельзя, только привлечением к распознаванию людей (порносайты).
2. Хтмл-капча хотя и требует значительного увеличения кода, но создает хакеру известные, но принципиально преодолеваемые, трудности для ее локализации.
3. Кардинальным способом ломки такой капчи является фишинг.
4. Этому, отчасти, можно противодействовать использованием средств надежной аутентификации.
Таким образом, проблема капчи сводится к известной проблеме "снаряда и брони", которая принципиально не решаема.
Но вообще говоря все ломается еще проще. Страница целиком почти без модификаций, с измененным логотипом и другим осмысленным контентом подается на порносайт и все...