Search
Write a publication
Pull to refresh
-1
0
???????????????????? @Num

?????????????????????????

Send message

YubiKey хорошо, но гопники могут и его отжать точно также как и все остальное.

Для этого придумали YubiKey Bio)

Но ведь в макбуке нет FaceID)

А присмотритесь повнимательнее - камера в верхней рамке )

Это простая демонстрация того, что челка была исключительно дизайнерским решением.

Либо могли просто сделать тонкую рамку без чёлки, как в XPS 15, например:

XPS 15

В фаерфоксе есть, причем есть ещё одна киллер-фича - он в поиске показывает вкладки со всех устройств. Если читать что-то с одного устройства, можно на другом ввести заголовок вкладки и перейти на него, без необходимости вручную скидывать.

Generally, we used the Mi band 2; however, some of the recordings were done using the Mi band 3, which, as advised by Xiaomi developers on their website, has no hardware update from the Mi band 2 that might influence the results

Даже если взять самый продвинутый девайс сейчас на рынке - Apple Watch, то даже они не добавляют измерение фаз сна, потому что слишком большая погрешность.

Снимая показания с запястья нельзя измерить мозговую активность, какой бы датчик мы не использовали.

Jawbone, которые четко показывали фазы сна.

Фитнес-браслеты не умеют измерять фазы сна от слова совсем, у них погрешность больше 50%, то есть они показывают случайные данные.
Для измерения фаз сна нужен как минимум ЭЭГ. Однако, браслеты умеют достаточно точно определять время засыпания\пробуждения, и эти данные уже можно анализировать.
А как вы сможете доказать, что у компьютера нет своих квалиа на шахматные фигуры и поведение соперника?

Никак. На этом и строятся всевозможные панпсихические гипотезы, в которых сознание есть у самых элементарных частей, включая электроны, фотоны и кванты поля — взаимодействуют? — взаимодействуют! — а значит и квалиа есть.
Тут никаких противоречий по сути нет, всё зависит от определений.

Но что компьютер — попробуйте доказать, что сознание есть у кого-нибудь, помимо вас :)
Предположим, что то, о чём вы говорите, верно.
Как это помогает нам понять что-то о «внутренних ощущениях», например, квантифицировать? Как нам отличить красный одного человека от красного другого?
Иными словами, в чём профит?
Насколько я понимаю, эта проблема «решается», если объект, который мы NFT'эшим, достаточно мал — как, скажем, геном в случае Crypto Kitties или картинка целиком, если она небольшого разрешения (пиксельарт) — ссылка становится не нужна, объект целиком записывается в блокчейн.
Ну Дурову ж вы верите про сервера? С одной стороны правильно говорите, а с другой всё ж как-то непоследовательно.

Верим исключительно благодаря наличию кода клиента (и reproducible builds). Не более непоследовательно, чем верить проприетарному коду.
Эээ… ну тут как бы WA не при чём — потому что тот кто его получил однозначно имеет его в расшифрованном виде, и репортит уже плейнтекстом — что более чем логично.

WA присваивает сообщению некий флаг и пересылает себе на сервер, его ничего не останавливает делать так вообще со всеми сообщениями. Этим примером я хотел продемонстрировать, что техническая возможность уже есть в коде клиента.
Под этим соусом можно вообще 90% всего что есть выбросить — от софта (все реализации VPN в железках) до железа (HSM жалобно плачут), единственная безопасная вещь в плане коммуникаций — это телепатия, и то с оговорками.

Данный соус работает, когда есть полнофункциональные (пусть и не идеальные) опенсорсные альтернативы, что, естественно, справедливо далеко не для всех областей — но для мессенджеров уж точно справедливо.
Если кто-то, кроме получателя и меня может читать сообщения за пределами наших устройств — это само по себе такая дыра что все остальные плюсы никогда не приведут баланс хотя бы к нулю.

Ну, мы собственно и обсуждаем, что с к WA это применимо ни в меньшей степени.
Для домохозяек с кошечками, конечно, малоактуально, но речь-то не о них, а на территории стран СНГ телеграм используется многими от полиции до судей, включая пересылку документов — вот как-то не верю я в то что эта золотая жила никем не прорабатывается. Причём, что примечательно, Дуров вложил немалые усилия в рекламу телеграма именно как «безопасного и приватного», хотя по умолчанию, без уже упомянутых выше телодвижений и ограничений это верно на -1% (кроме уже упомянутых домохозяинов).

Верить или нет — личное дело каждого, мы обсуждаем технические аспекты (дисклеймер: моё личное доверие к ТГ пропало уже около полугода).
уже упомянутая мной невозможность синхронизации на разных устройствах (и даже не планируемая) — которая уже есть в WA;

Это серьезный аргумент, конкретно в моей юзеркейсе неактуальный, но всё же добавлю, что есть полноценная синхронизация с виндовым приложением.
Откуда дровишки?

Проприетарный код ;) Это вацапу нужно доказывать, что у них всё чин-чинарём.
Их протоколы известны, отреверсены и даже есть альтернативные клиенты — нет там плейнтекста, да и проверяется это легко — при желании и опыте.

Это было намеренное утрирование. Понятно, что никакого плейнтекста там нет, но и как именно обрабатываются сообщения вам неизвестно.

Кстати, протокол они делали совместно с сообществом Signal (который проверен и прошёл аудит),

К протоколу нет вопросов, вопросы к коду клиента.
Поясню на примере — мы достоверно знаем, что воцап пересылает зарепорченные сообщения дежурным индусам — не нужен сложный переход для обобщения данного механизма на вобще все сообщения.

но это телодвижения которые неискушённый человек не произведёт

А в чём спор? Кому надо, те произведут. И волки сыты, и овцы целы — домохозяйкам удобно, не_домохозяйкам доступна кастомизация.

По последним нескольким абзацам — фраза про на голову выше означала лишь только, что секьюрность, которую предоставляет проприетарное приложение, мнимая — и даже телеграм со всеми его недостатками и возможностью чтения обычных сообщений сервером на голову выше.

WA, кстати, уже скоро выкатит версию где работать можно с несколькими устройсвами одновременно (сейчас доступна в бете) — без хранения сообщения на серверах, и с E2EE — технически это несложно и безопасно.

Т. е. то, что уже есть, например, в Matrix. Только проприетарное)

Да, WA это не супер-пупер, но если отбросить «красоту» — то с точки зрения практического использования для человека которому важна приватность, причём на более чем одном устройстве одновременно и с синхронизацией, без разворачивания своей инфраструктуры (куда можно поставить Matrix) — увы, это единственный вариант.

Чем вам Signal-то не угодил? Он же дублирует воцап по функционалу.
Вот еще про то как сам Телеграм может быть MITMом в секретном чате (на сегодня последня — задолбался гуглить)

www.ixbt.com/live/offtopic/analiz-formalnoy-vozmozhnosti-polucheniya-dostupa-k-soderzhimomu-sekretnyh-chatov-telegram.html


Скажу откровенно, я начинаю терять терпение.
Собеседникам (в официальных клиентах Telegram для iOS и Android) при каждом новом секретном чате нужно по дополнительному каналу связи вручную сравнивать визуальную часть общего ключа, чтобы удостовериться в их идентичности.

Это справедливо для любого E2E by design. В чём язвимость-то?

Важный нюанс состоит в том, что хоть и исходный коды официальных клиентов опубликованы, нет никаких гарантий, что те версии, опубликованные в App Store и Google Play, не манипулируют отображением визуальной части общего секретного ключа клиента

Для этого есть reproducible builds.
Там вся соль в том что эта уязвимость дает злоумышленнику возможность скрыто торчать в секретном чате между двумя другими устройствами.

Вас следовало написать это в комментарии. Но я всё равно не понимаю, о чем вы — секретный чат привязан к девайсу, т.е. при смене девайса секретный чат теряется в любом случае. Компрометации девайса будет иметь аналогичные последствия во всех мессенджерах.
А Вы примерьте на свою маму например — что ей безопаснее пользовать?

Неверно прочитал цитату, сорри.
То есть 12 лет нешифрованных бэкапов безопаснее рядовому пользователю, так получается?

В ширпотребе надо решать за домохозяек.

Руководствуясь такой логикой вотсапп и жил с сообщениями в плейнтексте столько лет. Я не могу увидеть, почему для домохозяек обычное шифрование недостаточно безопасно.

А вот про телеграм

habr.com/ru/post/419551


Первый комментарий достаточно хорошо описывает суть уязвимости:
Чувак, о чём всё это? Если у тебя есть полный контроль над андроидным телефоном (рутованный же) — то опаньки, все данные приложения доступны, и оно ничего не может с этим поделать (разве что заставить пользователя на каждый чих вводить достаточно сложный пароль и шифровать всё им — и то никаких гарантий, что его не перехватит кейлоггер).


И еще: habr.com/ru/post/460655


Словами самого автора:
Пользователей я не взломал (твоя переписка в безопасности), развить атаку дальше не мог, сервер с дампами рандомных пользователей (именно краш-дампы без информации об айдишнике в телеграме, телефоне, сообщениях и чатах) — сомнительная ценность.


Вот про их MTProto:
eprint.iacr.org/2015/1177.pdf
www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest
nopper.me/2014/02/23/multi-party-otr

С этого момента успел выйти MTProto 2.0 с фиксами.

Замечу отдельно, что набрасывать множество непроверенных фактов — очень неуважительный к собеседнику способ ведения дискуссии. Чуть менее терпеливый собеседник уже бы вам не ответил, и был бы прав — это совет на будущее.
Однако MITMы заходили в обычные групповые чаты телеги, демонстративно и даже не раз.

Что вообще означает MITM в контексте группового чата? Хотелось бы какие-то примеры.

У WhatsUP E2E — во всех чатах.

Очень спорно. Де факто, они могут слать сообщения плейнтектом — вы не сможете проверить.

Там за домохозяек уже решили все. (поэтому и нельзя восстановить)

Вы так пишите, сложно это плюс, в то время как возможность выбора объективно лучше.

А Signal и иже с ним — тем паче исплюетесь в быту пользовать.

Неактуально уже года 3 как. Использую буквально каждый день — удобнее, чем Whatsupp. Ещё и человеческое десктопное приложение есть.

Пароль — это просто один из уровней защиты, не самый сильный.

Не вижу, как данный аргумент относится к сути обсуждения. Вы говорите, словно обычный мошенник может «поставить вашу телегу на второй телефон и читать переписку в реальном времени», в то время как у него должен быть доступ к сим-карте. И от этого спасает любой, даже простенький пароль.

Только вот зная пароль аккаунта WhatsUp — нельзя читать переписку, а телеги — можно.

Чтобы читать переписку от телеги, нужно иметь и симку, и пароль, который выступает, всё-таки, вторым фактором.
А Вы примерьте на свою маму например — что ей безопаснее пользовать?

Конкретно моей матери удобнее использовать телеграм, однако это тоже нерелевантно.
Это можно сказать про любое проприетарное ПО

И это будет верно.
Если сравнивать с Телеграм в части ДВ — то см. сообщение выше.

Телеграм как минимум имеет шифрование обычных чатов, E2E секретных, открытый код клиента и верифицируемые билды — на голову выше, чем Whatsupp.
От siloviki Вас не убережет никакой

Тот же Signal или Matrix хватит с головой.
Я когда говорю о безопасности — имею в виду банальных мошенников и кулхацкеров.

Сорри, я имел в виду безопасность в конвенциональном понимании.
Поставить Вашу телегу на второй телефон или комп и молча читать переписку в реальном времени — легко.

От этого спасает пароль на аккаунт.
Whatsapp намного более защищенный мессенджер, чем телеграм, так как использует шифрование везде.

Whatsapp впринципе не имеет ничего общего с безопасностью — он проприетарный. Иными словами, он как минимум читает все сообщения и хранит их копии на серверах. В худшем случае, он предоставляет бэкдоры. Считать, что проприетарный софт связан с безопасностью несколько наивно.
В некотором смысле, уже :)
Хорошо кстати звучит — cosmic ray any%.
Не просто так биржи придумали p2p-пополнение.

Information

Rating
Does not participate
Location
Нигер
Date of birth
Registered
Activity