А почему именно 83 байта? Интересна история развития, как появилось, где впервые применилось, по любому много исследовательских статей в научном сообществе по анализу трафика. У меня ВПС внутри РФ. Через него нет никаких блокировок и замедлений. Но вот если пытаюсь зайти на чатгпт или сайт сименса, то меня блочат уже оттуда, так как ip российский.
Это все гипотетические рассуждения (я и про свои тоже). Как оно будет, конечно же, неизвестно. Но раз в Макс всех загоняют и позиционируют его не только как домовой чатик, то я предполагаю, что со временем все больше процессов будут на него завязаны. Если често, я думаю скоро нас будут «просить» сдавать биометрию в догонку. В общем, поживем, увидим.
Вопрос, не в защиту, но что если надо выяснить, используется ли приложение мошенником из-за рубежа через впн, чтобы совершать мошеннические действия? И для этого надо выяснить это и пометить пользователя как недобросовестного, и в случае чего ограничить? Или я оптимист?
Ваша "победа" над системой заключается лишь в том, что вы тратите больше своего времени. Система этого даже не заметит, а ваши издержки (время и нервы) — вполне реальны. Вопрос лишь в том, когда ваша личная "цена сопротивления" станет для вас неприемлема.
Это был вопрос конкретному юзеру, ответ которого я и так понимал (что никто), глядя в профиль. Суть же в том, что "завтра" он сам его себе поставит, когда без этого приложения возникнут затыки со скоростью и удобством в бытовых делах. Принципы — это круто, пока они не мешают нормально жить и решать проблемы.
Я работал в муниципальном предприятии во времена «продвижения» госуслуг и помню, что бюджетников точно так же туда загоняли, потому что к нам в отдел ходили по очереди и мы им ставили госуслуги.
Ну вот смотрите, решил я продать квартиру, пришел покупатель, я ему с госуслуг кидаю выписку, заказываю справку с мвд о зарегистрированных лицах. Я, как заинтересованный в продаже, хочу сделать сделку максимально прозрачной. Если я буду говорить, что вот на недели в свободное время в мфц схожу, через две недельки получу бумаги, то это может оттолкнуть покупателя, так как у него возникнут сомнения, да и за это время он найдет другой вариант. Или с другой стороны, решили вы брать квартиру в ипотеку, вот вам говорят, ну все нормально, ставьте на телефон Госключ, авторизируйтесь через госуслуги и подписывайте документы. А вы говорите, нет, давайте без этого. И продавец вам говорит: зачем я вас должен ждать, когда у меня есть второй покупатель, который уже завтра все подпишет? Рынок и конкуренция вас заставят быть удобным для других и себя.
Вас лично кто заставляет Макс ставить? Меня вот никто не заставляет ставить Макс. Я просто говорю про то, что когда без "Макс" нельзя будет быстро оформить ДТП или получить выписку из больницы — его установят все. Просто потому, что время дороже принципов.
Вы передергиваете. То, что бэкдор нашли случайно, а не в результате плановой проверки мейнтейнеров — это не «измышления», это установленный факт из отчетов об инциденте . Если бы не разработчик из Microsoft, у которого «тормозил SSH», вы бы сейчас ставили этот бэкдор через apt upgrade и хвалили мейнтейнеров за бдительность.
Отсутствие воспроизводимых сборок означает, что вы никогда не можете проверить, что бинарник, который вы ставите, действительно собран из тех исходников, которые вы видели.
Пока Telegram в Debian не проходит тест на воспроизводимость , вы верите мейнтейнеру на слово. Это и есть ваша вера, а не проверка. Я говорю, что ваш подход «я ставлю из репозитория и я в домике» — это инфантильное перекладывание ответственности.
Где хоть один намек, что я вам должен предложить альтернативу?
Ну вот именно, что нашли ДО, это и есть факт, вы выдаете случайность, за закономерность. Его нашли случайно (из-за падения производительности у конкретного разработчика). Если бы не этот случай, бэкдор ушел бы в stable.
Вот смотрите, на официальном сайте Telegram указано, что их приложения поддерживают воспроизводимые сборки, однако если посмотреть на трекер Debian, там есть интересная запись "Fails to build during reproducibility testing normal — A package building reproducibly enables third parties to verify that the source matches the distributed binaries. It has been identified that this source package produced different results, failed to build or had other issues in a test environment."
Ну а теперь вопрос, собственно, к вам, что вы мне пытаетесь доказать? То, что linux становится безопасным это результат того, что сообщество переходит именно к процессам, описанным выше. Что опять, повторюсь, не зависит от лицензирования. В закрытой коммерческой организации происходит все тоже само.
Вы путаете предположение с фактом. Вы не знаете, что выбросил мейнтейнер, вы просто верите ему. В случае с XZ нашли не просто CVE, а именно бэкдор в подготовленном, прошедшем ревью коде, который уже несколько лет развивался на глазах у всего мира. Злоумышленник не просто прислал один вредоносный патч. Он действовал более двух лет. То что вы делаете sudo apt install telegram-desktop, не означает абсолютно ничего. По поводу того, что я пытаюсь вам доказать: вы написали, что "это не делает это инфантильными, тех кто понимает риски такого решения", что на мой взгляд, как раз показывает вашу инфантильность в этом вопросе. Потому что вы сами не понимаете главного: безопасность зависит не от модели лицензирования, а от процессов: как часто обновляются зависимости, проводится ли тестирование и есть ли аудит кода. И тут неважно, пишет ли код Microsoft, Mail.ru, Дуров или еще кто. Доверие — это всегда риск.
Ладно, а так? https://lists.debian.org/debian-security-announce/2008/msg00152.html. Вы как верующий, которого не переубедить, потому что он просто верит. Во-первых уязвимости пропускают, потому что так бывает. Во-вторых, то, что уязвимости не обнаружили, это не значит, что их нет, это значит, что их не обнаружили.
А почему именно 83 байта? Интересна история развития, как появилось, где впервые применилось, по любому много исследовательских статей в научном сообществе по анализу трафика. У меня ВПС внутри РФ. Через него нет никаких блокировок и замедлений. Но вот если пытаюсь зайти на чатгпт или сайт сименса, то меня блочат уже оттуда, так как ip российский.
Это все гипотетические рассуждения (я и про свои тоже). Как оно будет, конечно же, неизвестно. Но раз в Макс всех загоняют и позиционируют его не только как домовой чатик, то я предполагаю, что со временем все больше процессов будут на него завязаны. Если често, я думаю скоро нас будут «просить» сдавать биометрию в догонку. В общем, поживем, увидим.
Вопрос, не в защиту, но что если надо выяснить, используется ли приложение мошенником из-за рубежа через впн, чтобы совершать мошеннические действия? И для этого надо выяснить это и пометить пользователя как недобросовестного, и в случае чего ограничить? Или я оптимист?
Ваша "победа" над системой заключается лишь в том, что вы тратите больше своего времени. Система этого даже не заметит, а ваши издержки (время и нервы) — вполне реальны. Вопрос лишь в том, когда ваша личная "цена сопротивления" станет для вас неприемлема.
Можно сколько угодно считать, что проблема "не ваша", но стоять в очереди или на морозе в дтп будете именно вы.
Это был вопрос конкретному юзеру, ответ которого я и так понимал (что никто), глядя в профиль. Суть же в том, что "завтра" он сам его себе поставит, когда без этого приложения возникнут затыки со скоростью и удобством в бытовых делах. Принципы — это круто, пока они не мешают нормально жить и решать проблемы.
Я работал в муниципальном предприятии во времена «продвижения» госуслуг и помню, что бюджетников точно так же туда загоняли, потому что к нам в отдел ходили по очереди и мы им ставили госуслуги.
Вы можете заняться поиском информации по данной теме самостоятельно.
А серверную часть какой командой собираете?
Я не знаю что такое Максут
Ну вот смотрите, решил я продать квартиру, пришел покупатель, я ему с госуслуг кидаю выписку, заказываю справку с мвд о зарегистрированных лицах. Я, как заинтересованный в продаже, хочу сделать сделку максимально прозрачной. Если я буду говорить, что вот на недели в свободное время в мфц схожу, через две недельки получу бумаги, то это может оттолкнуть покупателя, так как у него возникнут сомнения, да и за это время он найдет другой вариант. Или с другой стороны, решили вы брать квартиру в ипотеку, вот вам говорят, ну все нормально, ставьте на телефон Госключ, авторизируйтесь через госуслуги и подписывайте документы. А вы говорите, нет, давайте без этого. И продавец вам говорит: зачем я вас должен ждать, когда у меня есть второй покупатель, который уже завтра все подпишет? Рынок и конкуренция вас заставят быть удобным для других и себя.
Вас лично кто заставляет Макс ставить? Меня вот никто не заставляет ставить Макс. Я просто говорю про то, что когда без "Макс" нельзя будет быстро оформить ДТП или получить выписку из больницы — его установят все. Просто потому, что время дороже принципов.
Да, все так и есть.
Аргументов было достаточно. Вы просто не хотите их замечать.
Спор был не про альтернативу, а про ваше утверждение, что ваш подход не инфантильный.
Вы передергиваете. То, что бэкдор нашли случайно, а не в результате плановой проверки мейнтейнеров — это не «измышления», это установленный факт из отчетов об инциденте . Если бы не разработчик из Microsoft, у которого «тормозил SSH», вы бы сейчас ставили этот бэкдор через apt upgrade и хвалили мейнтейнеров за бдительность.
Отсутствие воспроизводимых сборок означает, что вы никогда не можете проверить, что бинарник, который вы ставите, действительно собран из тех исходников, которые вы видели.
Пока Telegram в Debian не проходит тест на воспроизводимость , вы верите мейнтейнеру на слово. Это и есть ваша вера, а не проверка. Я говорю, что ваш подход «я ставлю из репозитория и я в домике» — это инфантильное перекладывание ответственности.
Где хоть один намек, что я вам должен предложить альтернативу?
Ну вот именно, что нашли ДО, это и есть факт, вы выдаете случайность, за закономерность. Его нашли случайно (из-за падения производительности у конкретного разработчика). Если бы не этот случай, бэкдор ушел бы в stable.
Вот смотрите, на официальном сайте Telegram указано, что их приложения поддерживают воспроизводимые сборки, однако если посмотреть на трекер Debian, там есть интересная запись "Fails to build during reproducibility testing normal — A package building reproducibly enables third parties to verify that the source matches the distributed binaries. It has been identified that this source package produced different results, failed to build or had other issues in a test environment."
Другими словами:
Telegram утверждает: "Мы поддерживаем reproducible builds"
Debian проверяет: "Мы пытались собрать пакет воспроизводимо — у нас не получилось"
https://tracker.debian.org/pkg/telegram-desktop
Ну а теперь вопрос, собственно, к вам, что вы мне пытаетесь доказать? То, что linux становится безопасным это результат того, что сообщество переходит именно к процессам, описанным выше. Что опять, повторюсь, не зависит от лицензирования. В закрытой коммерческой организации происходит все тоже само.
Вы путаете предположение с фактом. Вы не знаете, что выбросил мейнтейнер, вы просто верите ему. В случае с XZ нашли не просто CVE, а именно бэкдор в подготовленном, прошедшем ревью коде, который уже несколько лет развивался на глазах у всего мира. Злоумышленник не просто прислал один вредоносный патч. Он действовал более двух лет. То что вы делаете sudo apt install telegram-desktop, не означает абсолютно ничего. По поводу того, что я пытаюсь вам доказать: вы написали, что "это не делает это инфантильными, тех кто понимает риски такого решения", что на мой взгляд, как раз показывает вашу инфантильность в этом вопросе. Потому что вы сами не понимаете главного: безопасность зависит не от модели лицензирования, а от процессов: как часто обновляются зависимости, проводится ли тестирование и есть ли аудит кода. И тут неважно, пишет ли код Microsoft, Mail.ru, Дуров или еще кто. Доверие — это всегда риск.
Ладно, а так? https://lists.debian.org/debian-security-announce/2008/msg00152.html. Вы как верующий, которого не переубедить, потому что он просто верит. Во-первых уязвимости пропускают, потому что так бывает. Во-вторых, то, что уязвимости не обнаружили, это не значит, что их нет, это значит, что их не обнаружили.
Ну естественно, так оно и есть. https://habr.com/ru/articles/804129/