• На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC]
    0
    Пример с LTE и Wi-Fi — просто пример. Можно будет объединять любые каналы, например, Wi-Fi и Ethernet, 2 разных Wi-Fi, что-то ещё.
  • Атака на Github Pages с перехватом сайта на вашем домене
    0
    Я не знаю, чем руководствовался Github (возможно, действительно планировалось делать проверку по cname), но мне кажется, что это просто пометка. Представьте, что у вас 100 доменов, привязанных к Github Pages, и из-за уникальных CNAME вы можете понять, к какому репозиторию конкретный домен имеет отношение, просто из DNS-записи. Это визуально удобней, чем если бы у всех доменов был CNAME на github.io.
  • Атака на Github Pages с перехватом сайта на вашем домене
    0
    CNAME-запись не является средством аутентификации, а служит для удобства идентификации принадлежности привязанного домена к репозиторию, что-то вроде заметки или комментария. Веб-сервер Github Pages, отдающий страницу, не занимается DNS-проверками, он просто отдает страницу того домена, Host которой он знает.
  • На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC]
    0
    В перспективе не будет, см. habr.com/company/vasexperts/blog/429380/#comment_19368186
  • На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC]
    0
    Там уже CUBIC и BBR. QUIC создается в том числе для того, чтобы можно было менять алгоритмы управления TCP-потоком независимо от ядра.
  • На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC]
    +1
    Он работает через NAT, это какие-то приколы авторов оригинальной статьи. Кроме того, Google обещает сделать Multipath (обещал в этом году сделать, но, похоже, будет в следующем), и можно будет использовать несколько каналов в рамках одного соединения, объединяя скорость Wi-Fi и LTE, например.
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    0
    А еще Bitlocker расшифровывает моментально, когда вы снимаете пометку «Bitlocker»
    Нет, расшифровывает он столько же по времени, сколько зашифровывает. Вы, видимо, говорите о «паузе» (приостановке) шифрования, для чего на диск добавляется дополнительный «способ разблокировки», хранящий ключ в открытом виде, и не требующий ввода каких-либо данных. Он добавляется до первой перезагрузки, после чего удаляется. Сделано для того, чтобы при обновлении загрузкичка ОС или прошивки материнской платы не нужно было вводить ключ восстановления, из-за изменения регистров TPM вследствие изменившегося состояния материнской платы или файлов ОС.
  • DNS Over TLS & Over HTTPS теперь и на iOS/Android и для всех сетей сразу [Спасибо Cloudflare]
    0
    В Android нельзя сделать банальные сетевые вещи, вроде настройки DNS-серверов для мобильного соединения, и просто так устанавливать свои правила iptables для совершения перенаправления на локальный прокси-сервер, вырезающий рекламу, или поднимать полноценный VPN, как вы бы это сделали в полноценной компьютерной ОС, поэтому используют мега-костыль: поднимают как бы локальный VPN через специальное API, чтобы весь трафик на уровне пакетов перенаправлялся в локальную программу, в программу встроен userspace TCP/IP-стек для восстановления пакетов до уровня соединений, далее (в случае программы для замены DNS) программа отслеживает попытки соединения на порт 53 через UDP или TCP и перенаправляет его на внутренний обработчик DNS, а все остальные соединения вручную выполняет заново (создает сокет, подключается, пересылает данные).
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    0
    TPM это смарт-карта с дополнительными возможностями, со стандартизированными функциями, работающая по стандартизированному протоколу. Вы сами можете генерировать ключи, импортировать существующие, настраивать всё так, как вам хочется. Он не делает ничего самостоятельно, он пассивный. Его можно использовать в качестве обычной смарт-карты: хранить SSH- и SSL-ключи, обычные RSA-ключи, какие-то небольшие шифрованные данные. Смарт-карты используют для того, чтобы не хранить ключи в виде файлов, которые могут быть скопированы.

    Если говорить о полнодисковом шифровании, то всё популярное ПО хранит ключ шифрования непосредственно на зашифрованном томе, в зашифрованном виде. Так делает Microsoft Bitlocker, LUKS в Linux, наверняка, на macOS также. Мастер-ключ расшифруется ключом, который получается из вводимого пользователем пароля, данных смарт-карты, внешнего файла, или чего-либо ещё.

    Я задал прямой вопрос: какой смысл хранить криптоключ в недоступном от пользователя месте
    Это делается для того, чтобы его нельзя было украсть. Кроме того, TPM для загрузки ОС предоставляет доверенную загрузку, предоставляющую измерения UEFI, загрузчика, ядра ОС, параметров загрузки, с возможностью привязки ключа к этим измерениям, чтобы нельзя было получить доступ к ключу в случае подмены компонентов компьютера или ОС.

    таким образом, что его принципиально невозможно восстановить при поломке
    Это, как правило, и не требуется: для шифрования ОС можно добавить несколько ключей, паролей, смарт-карт или фраз восстановления, вы не останетесь с зашифрованным диском со сломанным TPM, если озаботились этим при шифровании тома. Bitlocker, например, всегда создает код восстановления, и требует сохранить его на флешке в виде файла. Если говорить о корпоративном сегменте с доменом, то ключ восстановления загружается в домен, и администратор может его видеть.
    Но вообще, принципиальная возможность восстановления есть, зависит от реализации работы с TPM. Можно импортировать внешние ключи и сертификаты с возможностью их экспорта.
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    0
    Купил ноутбук с тачем (DELL XPS 13 2016 года), и продал. Не-глянцевый экран и тачскрин несовместимы между собой, как я понимаю.
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    0
    LineageOS на основе Android 4.4.4 всё ещё поддерживается, последнее обновление безопасности было в августе 2018.
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    0
    Вы знаете, что у диска может быть несколько ключей разблокировки, которые дешифруют основной ключ шифрования? Это может быть TPM, парольная фраза, длинная парольная последовательность восстановления.
    А чем можно обосновать необходимость использования шифрования, ключи которого недоступны пользователю и физически отделены от носителя данных?
    Конечно — это сделано для того, чтобы ОС нельзя было загрузить с автоматическим «вводом» ключа шифрования на другом компьютере или модифицированном вашем компьютере. Также, если образ вашего диска сняли злоумышленники, они не смогут перебирать пароль на запуск, и не смогут заново записать на диск образ, если вы удалили пароль со своего диска.
  • PlayStation Classic использует для работы эмулятор PCSX ReARMed, проприетарных решений нет
    +3
    Справедливо, нужно спать.
  • PlayStation Classic использует для работы эмулятор PCSX ReARMed, проприетарных решений нет
    0
    Причем тут авторы эмулятора? Этот эмулятор сделали не Sony.
  • Блочное системное шифрование Windows Linux установленных систем. Двойная зашифрованная загрузка. Защита и атака на GRUB2
    0
    Не в виде TXT, а в виде PTT (fTPM).
  • Samsung представила смартфон с гнущимся экраном
    +1
    Я периодически ношу HTC Herald в кармане, его толщина — 1.8 см, при 11 см длины. Авторитетно заявляю — носить его удобней, чем современные смартфоны.
  • Samsung представила смартфон с гнущимся экраном
    +1
    А чем удобно соотношение сторон 2152х1536 это 5:7?
    Разрешение 2152×1536 может быть практически с любым соотношением сторон. Пиксели далеко не всегда квадратные.
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    +1
    Переподписать образ чего? Файла ядра операционной системы? Установите пароль на настройку UEFI, злоумышленник не сможет импортировать собственный ключ штатными методами. Предполагается, что диск с ОС у вас зашифрован, и он не может запустить ОС.
  • Почему новый дизайн Gmail такой медленный?
    +5
    Если вы находитесь в одном /24-сегменте IPv4, и кто-то из сети начинает немного абузить Google или его сервисы, запоминание («кеширование») капчи отключается (галочка перестает ставится автоматически, если вы недавно вводили капчу), и её нужно вводить каждый раз, как правило, в удвоенном количестве (от 2 экранов капч).
    Если начинают абузить сильнее, то капча становится очень медленной (подгрузка новых картинок выполняется не менее 6 секунд), и нужно разгадывать минимум 3 экрана (обычно 4, иногда 5). Как правило, к моменту, когда вы завершите капчу, на сайте за это время успевает истечь время сессии для неё, и вам нужно заново пытаться ее пройти, быстрее, чтобы уложиться в отведенное время.
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    +7
    Это не бекдор, это разумный способ обеспечения безопасности без ограничения прав пользователя. В современном Linux модули ядра подписываются ключом UEFI, и если вы хотите установить свой собственно скомпилированный модуль, вы можете сгенерировать ключ, импортировать в UEFI в качестве ключа Secure Boot, и подписать им модуль ядра.
  • На новых MacBook невозможно загрузить Linux из-за чипа T2
    +7
    Стоит заметить, что и в Windows вы свой неподписанный драйвер просто так не загрузите, нужно переводить ОС в Test Mode, а в Windows Server 2016 нужно еще и Secure Boot в настройках материнской платы выключать.

    Относительно новый вид приложений в Windows, Universal Windows Platform (.appx), тоже нельзя установить неподписанными (но, правда, можно сгенерировать самоподписной сертификат и добавить его в ключницу).
  • Microsoft выпустила Linux-версию утилиты ProcDump
    +4
    Microsoft выпустила Linux-версию сервиса LSASS.
  • «Dumb phones» – альтернатива цифровому детоксу
    0
    Nokia 8110 4G
  • Прошлогодние модели iPhone тоже замедляются по мере износа аккумулятора
    +2
    На современных Blackberry, например, не просто классная физическая клавиатура, которая позволяет вам писать быстро и не глядя (можно даже в кармане СМС набрать, или на ходу, не смотря в экран), но она еще и СЕНСОРНАЯ, можно прокручивать страницы браузера, листать PDF-документ или выделять текст не касаясь и не закрывая часть экрана!
  • Как я вижу идеальный браузер
    +2
    ZeroNet может и через Tor работать, это штатная функциональность. В Windows-сборки Tor включен, запускается с запуском ZeroNet. Кроме анонимности помогает обойти NAT пользователям с «серым» IP-адресом.

    В Tor есть серверы, в ZeroNet серверов нет. Невозможно закрыть сайт, не имея его криптографического ключа, также невозможно заDDoS'ить сайт, ведь его раздает множество пользователей, а не один или ограниченное количество серверов.
    Считайте, что это такой Bittorrent для динамических сайтов.
  • Как я вижу идеальный браузер
    0
    Некоторые авторы ютуб-каналов вставляют рекламу только из-за дополнительного заработка, и сразу же после рекламы отмечают, что нормальные люди жать на это не будут, и они это полностью осознают.
  • Как я вижу идеальный браузер
    +1
    Почему вы считаете, что все всё делают только ради коммерции? Если я делаю что-то, что выкладываю в публичный доступ для всех заинтересованных людей, и со мной связывается человек, предлагающий это что-то доработать или модифицировать сразу платно, то я считаю это оскорблением, и не рассматриваю такие предложения всерьез.
  • Как я вижу идеальный браузер
    0
    Полагаю, проекту не хватает информационной поддержки. На текущий момент, ZeroNet полноценно работает только на десктопах, требует установки дополнительной программы, и гейтов из интернета в ZeroNet практически нет. У смежного проекта IPFS есть информационная поддержка, что вылилось в множество гейтов, в том числе от Cloudflare, хотя он работает объективно хуже, менее удобен, и предназначен только для статических сайтов и файлов.
  • Как я вижу идеальный браузер
    +1
    ZeroNet точно нельзя назвать популярным, но определенное количество разработчиков сервисов и пользователей там есть. Преимущество ZeroNet в том, что он очень удобен с точки зрения пользования (а документации для разработчиков не хватает, что парадоксально для подобных проектов), красивый, быстро и стабильно работает, и от этого в нем хочется создавать новые проекты.

    Например, сделать блог в ZeroNet — дело буквально двух кликов: найти в списке сайтов ZeroBlogs, нажать на кнопку меню и выбрать «Clone». Код блога (без данных) склонируется, и можно будет добавлять туда свой контент. Кроме того, если разработчик ZeroBlogs обновит код движка, вы сможете его обновить на своем блоге также одной кнопкой, не теряя контент.

    Почти все сайты ZeroNet работают на моем компьютере быстрее, чем типичные интернет-сайты.
  • Как я вижу идеальный браузер
    +4
    Очень неплохо работает, сайты все появляются и появляются. В ZeroNet есть блоги, чаты, файлобменники, сервис для GIT-репозиториев а-ла Github, распределенный аналог email, сервисы для прослушивания музыки и видео. Регистрация и аутентификация пользователей стандартизирована (с точки зрения пользователя выглядит примерно как oauth, но работает иначе), есть возможность подключения контента с одного сайта другим сайтом, позволяя создавать аналоги коллективных блогов вроде habrahabr/medium или оверборды, но при этом у каждого пользователя свой «сайт».
    Сайты могут экспортировать что-то вроде RSS-ленты, которая отображается на стартовой страницы ZeroNet.
    Скрытый текст
    image

    image

    image

    image

    image
  • Как я вижу идеальный браузер
    +4
    Можно было бы обмениваться чистым XML или JSON с кучей именованых и полустандартизированных полей. Можно обмениваться даже самими базами данных в формате SQLite или генерировать небольшие выборки в нем. Главное, чтобы тут были чистые данные, без какого-либо кода
    В ZeroNet именно так все и хранится: отдельно код сайта, отдельно его контент. Контент может быть как в SQLITE-файле, так и внутри отдельных JSON-файлов. Как правило, внутри SQLITE хранятся данные, которые добавил сам владелец сайта, а внутри JSON — данные, которые добавили пользователи.
    Разных движков не так уж и много, поэтому поля и типы данных условно стандартизированы (блоги практически все на одном движке, форумы тоже), и получать контент программно очень просто, не нужно ничего парсить.

    Пример JSON-данных:
    {
    	"posts": [
    		{
    			"id": "6acdcf5f-52a5-4ce2-900a-70b8de0b316b",
    			"directory": "users/1H5YxVHvcfKM4STjJwyjYaBe8qbPyR6EZr",
    			"uri": "b",
    			"thread": "854983e5-25b1-4a47-b75c-c138661bb77c",
    			"body": ">>8b144a64-d442-4937-a92a-9394a7254194\nHow exactly can a public torrent tracker be a \"honeypot\"? Public torrents are inherently transparent, anybody wanting to send you nastygrams just has to join the seed cloud and record all the IP addresses they connect to. It's even baked into protocol so even if you do it from behind a VPN or Tor you'll still reveal your real IP. \nWhat's changed about the Pirate Bay that makes it more of a \"honeypot\" than it always has been?",
    			"time": 1524500453004,
    			"files": "[]"
    		}
    	],
    	"boards": [],
    	"modlogs": []
    }

    Все синхронизируется через аналог Bittorrent, и весь сайт можно выкачать целиком, он будет полностью работоспособен без интернета.
  • Зацените: сделал стол
    +4
    Наклонно-поворотный кронштейн с регулировкой по высоте.
  • Прямая линия с ТМ. v3.0
    +4
    И потреблять в несколько раз больше RAM и CPU для декодирования.
  • Хватит делать сайты с бесконечной прокруткойǃ
    +1
    Потому что есть люди, использующие 3.1" экраны с высокой плотностью пикселей, с разрешением 720×720. Если на таком экране «прибито» меню или подвал, то на основной контент остается всего несколько строк.
  • Проблема Windows не в частоте обновлений, а в процессе разработки
    +2
    Пробовал использовать Windows 10 на трех компьютерах — работает значительно медленней Windows 7 и 8.1, в 2-3 раза. Преимущественно сильно нагружается диск, причем я устанавливал все обновления и ждал от десятков часов до дней, чтобы ОС все проиндексировала и успокоилась. Всё равно тормозит, даже на относительно быстрых компьютерах с большим количеством RAM. Любой современный Linux и Windows 8.1 на этих же конфигурациях работают комфортно.

    Пробовал отключать защиту ОС от Meltdown и Spectre — дело не в ней.
  • Google Public DNS тихо включили поддержку DNS over TLS
    +2
    Можно пользоваться DNSCrypt, протокол у него отличный, просто, по какой-то причине, они не заморочились с его публикацией в качестве RFC. dnscrypt-proxy поддерживает и DNSCrypt, и DNS over HTTPS.
  • Google Public DNS тихо включили поддержку DNS over TLS
    0
    Я встречал использование NetworkManager+dnsmasq по умолчанию только в Ubuntu-based.
  • Google Public DNS тихо включили поддержку DNS over TLS
    +4
    Я вижу два возможных сценария блокировки соединения при распространении ESNI:

    1. DNS-серверы провайдера будут блокировать запросы на поддомен _esni.domain.com, на котором размещается публичный ключ для шифрования SNI, заставляя клиента отключать использование ESNI. Можно обойти с помощью стороннего DNS или DNS over TLS/HTTPS. Последний уже встраивается в браузеры.

    2. Системы DPI провайдера будут блокировать соединения с использованием ESNI. Для шифрованного SNI используется отдельное поле в пакете TLS ClientHello, и для DPI это выглядит так, будто TLS-сессия устанавливается без использования SNI. Некоторые DPI разрывают такие соединения, если они устанавливаются к IP-адресу, на котором расположен заблокированный домен с этим IP-адресом, из-за того, что нельзя понять, к какому домену происходит обращение.

    Чтобы системы с подставными перенаправляющими DNS-ответами работали корректно, нужно отключать DNSSEC и DNS over HTTPS в браузерах.
  • Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом
    +1
    Протокол и его реализация проходили аудит кода.
  • Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом
    +6
    Что значит, я тут мимокрокодил и заметил, что оно не шифруется, но я не разработчик и не знаю зрада это чи перемога.
    Я не утверждал обратного.
    Сигналу следовало бы лучше информировать своих пользователей о дизайне локального способа хранения потенциально конфиденциальных данных.
    Покуда десктопные ОС позволяют программе, запущенной от учетной записи, получить доступ ко всем файлам этой учетной записи, способы локального хранения не играют значительной роли, и типичные реализации шифрования с использованием пароля на запуск программы могут только замедлить расшифровку данных, но не предотвратить её.

    Сохраняет ли Signal историю и ключи шифрования тайно? Вероятно, нет. Заголовок не соответствует действительности.