URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128559
[ Назад ]
Исходное сообщение
"Критические уязвимости, компрометирующие сквозное шифрование во многих  Matrix-клиентах"
Отправлено opennews , 29-Сен-22 14:09 
Разработчики платформы децентрализованных коммуникаций Matrix предупредили о выявлении критических уязвимостей в библиотеках matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, позволяющих получить доступ к сообщениям, передаваемым в чатах со сквозным шифрованием (E2EE). Уязвимости вызваны ошибками в  отдельных реализациях протокола Matrix и не являются проблемами самого протокола. В настоящее время, проектом выпущены обновления проблемных SDK и части построенных на их основе клиентских приложений...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57844

Содержание
Сообщения в этом обсуждении
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:09 
Matrix. An open network for secure, decentralized communication.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено КО , 29-Сен-22 14:49 
"Копроприложение". То же самое, но вы об этом не знаете.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 23:16 
> "Копроприложение". То же самое, но вы об этом не знаете.

И про распределенность врут, по факту большая часть юзеров висит на серваке элементсов и у 1 компании нездоровый контроль над протоколом, да и сам протокол явно переусложнен и это отливается.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:08 
"S" in Matrix stands for "Security".
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Зануда , 29-Сен-22 16:36 
Так теоретически x можно разкрыть как ks.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 18:00 
>ks

kyber sesurity?


А по сабжу - пофиксили и не скрыли, хорошо
Найдите такие репорты для той же телеги.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено капитансексот Дуров , 30-Сен-22 00:13 
А зачем их там искать? Мы не шифруемся.

Тем более в групповых чятиках.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено trolleybus , 29-Сен-22 21:11 
Security through obscurity - не видно, что в букве "x" есть "s".
P.S. Если уж придираться, то в данном случае это скорее не ks, а cs. Буква "c" появляется во множественном числе - matrices.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:15 
IRC должно быть достаточно для каждого.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:23 
Пользоваться мессенджерами 40 летней давности это слишком смузихлёбно и контрпродуктивно.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:25 
Особенно если в них практически никого не осталось, как и самих серверов, а чтобы этот изначально дырявый труп хоть как-то шевелился и последних полтора юзверя не умерло в депрессии от гордого одиночества нужно обмазать его бажными дырявыми гейтами
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:31 
Не знаю, я с год назад активно использовал для скачивания вареза и дампов аниме с платных сервисов.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено ryoken , 29-Сен-22 14:46 
Точно IRC, а не NNTP?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:49 
> Точно IRC, а не NNTP?

Не, XDCC.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено a_kusb , 30-Сен-22 00:03 
Так-то irc - живое, а не историческое.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 23:06 
> Так-то irc - живое, а не историческое.

В Libera более 50 000 мощных опенсорсных кодеров. Кто причину пользоваться этим хотел? Хорошая причина.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:58 
20+ лет пользуюсь IRC, и все 20 лет слышу как в нём никого не осталось, только 3½ анонима на двух серверах молчат. В основном от тех, кто туда один раз зашёл, ничего не понял и бросил.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 23:09 
> 20+ лет пользуюсь IRC, и все 20 лет слышу как в нём
> никого не осталось, только 3½ анонима на двух серверах молчат. В
> основном от тех, кто туда один раз зашёл, ничего не понял
> и бросил.

- Эй анон, зачем ты юзаешь IRC? Есть же ICQ.
- Эй анон, зачем ты юзаешь IRC? Есть же yahoo, MSN и AOL.
- Эй анон, зачем ты юзаешь IRC? Есть же skype!
- Эй анон, зачем ты юзаешь IRC? Есть же ватсапп!
- Эй анон, зачем ты юзаешь IRC? Есть Телеграм!
- Эй анон, зачем ты юзаешь IRC? Есть Matrix!
- Эй анон, зачем ты юзаешь IRC? <- вы сейчас тут

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Kuromi , 01-Окт-22 00:22 
Jabber где-то пропустили. Там тоже вполне себе есть MUC, правда крупные чатики быстро становятся неподьемными тз-за оверхеда.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 01-Окт-22 22:30 
> Jabber где-то пропустили. Там тоже вполне себе есть MUC, правда крупные чатики
> быстро становятся неподьемными тз-за оверхеда.

А еще IRC сильно устойчивее к флуду и тому подобным недружественным воздействиям. Там сообщения лимитированы по размеру и на 1 юзера держат весьма умеренный буфер с дисконектом если он заполнен. Так что сильно и быстро нагадить в групчат 1 юзер не может.

А в жабере с флудконтролем так же как со всем остальным - по сути никак. И сорвать чат в хлам может 1 несчастный бот, настолько что модераторы даже отвиснуть не могут чтобы его забанить, о том что за секунду валится 50 экранов текста даже упоминать не стоит - чего вы ожидали от 1 сообщения весом в 100 кило?

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено pofigist , 03-Окт-22 08:32 
510 байт хватит всем, она...
На счёт устойчивости irc к недружественным действиям - посмеялся, вспоминая сплиты..
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено pofigist , 01-Окт-22 23:44 
Короче, а где сейчас живёт #fidorus? Давно не сpался по взрослому...
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:25 
Попытка перефорса не удалась. Смузи -- это новые недотехнологии.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:30 
Нет, смузи -- это про любителей смузи. Вот у IRC ЦА -- это сплошные смузилюбы, найти разумную причину этим пользоваться сегодня невозможно.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 07:26 
Аноним(3) ну что ты пристал к людям?

Вот я всё настроил, все команды выучил, все гейты IRC-Зоопарк_Протоколов настроил, всякие боты-автоответчики написал, в систему встроил. У меня всё работает, всё настроено так, как мне нужно, и при этом всего 70 мегабайт занимает, тогда как один только Дискорд мегабайт 300 весит.

Ходи-общайся через то, что тебе удобно, но людям не мешай.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 23:04 
> Нет, смузи -- это про любителей смузи. Вот у IRC ЦА --
> это сплошные смузилюбы, найти разумную причину этим пользоваться сегодня невозможно.

IRC интересен тем что простой и понятный, минимум допущений. Скажем придя в libera есть уверенность что только узкая группа irc operators будет видеть реально чувствиительные вещи. А что от них можно ждать проверено десятилетиями их работы. У них нет коммерческих интересов как таковых - они не корпорация. Просто сообщество добровольцев которое иногда пополняет себя из числа похожих на себя. То-есть у него есть свои проблемы, но они давно известны и никто не будет врать в лицо насчет свойств.

С другой стороны matrix контролируется по сути 1 фирмой, протокол многократно сложнее, децентрализованность в нем фикция - больая часть юзеров сети на сервере elements'ов висит, а реальная модель угроз... отличается от теоретической тем чем описано в этой новости. Так что если вы уповали на вон то крипто - тем хуже для вас.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аоним , 29-Сен-22 14:36 
В этих ваших IRC нет возможности просмотра истории, только не нужно мне сейчас затирать про баунсеры, я значю что это такое. Ну его нафиг сервер держать для общения.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено AlexYeCu_not_logged , 29-Сен-22 23:21 
>В этих ваших IRC нет возможности просмотра истории,

Вот как раз с историей всё в полном порядке: хранится единственным верным образом, на хардах участников.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 23:13 
> В этих ваших IRC нет возможности просмотра истории, только не нужно мне
> сейчас затирать про баунсеры, я значю что это такое. Ну его
> нафиг сервер держать для общения.

Зато видя там 20 персон можно ожидать что это либо 20 реальных живых людей, которые ответят вот прямо "сейчас", либо половина это фрики которые установили баунсеры и проч - но в этом случае ожидаение их ответа того стоило. Хотя-бы потому что они пруфнули определенные скиллы делом, как минимум это тела способные поставить сервер/нарулить сервис и это даже не веб и они даже не будут уповать на корпорации (а irccloud надежно хайлайтит ламаков).

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 18:23 
Должно быть, но как мы видим в реальности недостаточно последние лет эдак 20.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено анон , 30-Сен-22 13:29 
Ирки до сих пор живы, и приносят намного больше пользы, ток они не для ламеров.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:23 
Реализация затянутая в Thunderbird тоже уязвима?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:01 
Да. https://mastodon.online/@thunderbird/109081275076409201
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:42 
ты б ещё на вконтакте ссылку скинул
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:30 
XMPP forever
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:18 
https://f-droid.org/packages/eu.siacs.conversations/
https://gajim.org/
https://packages.debian.org/sid/ejabberd
Все, что нужно знать про приватные месенжеры.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 16:03 
> https://f-droid.org/packages/eu.siacs.conversations/

Это тот, в котором автор идейно борется против IPv6, захардкодив в клиенте приоритет IPv4? Спасибо, не надо.

> https://packages.debian.org/sid/ejabberd

Аноним выше жаловался, что баунсер для обмена сообщениями держать недосуг.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено An2 , 29-Сен-22 16:15 
> Это тот, в котором автор идейно борется против IPv6, захардкодив в клиенте приоритет IPv4? Спасибо, не надо.

Есть issue на github?

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 17:51 
И не одно!

https://github.com/iNPUTmice/Conversations/pull/3354
https://github.com/iNPUTmice/Conversations/issues/3060

Типичный шизик, борец с ветряными мельницами и эксперт по тому, как другим удобнее. Непробиваем настолько, что кому-то припекло форкнуть этот балаган в Conv6ations.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено An2 , 29-Сен-22 19:31 
Спасибо.

> что кому-то припекло форкнуть

А, так у C. есть и другие форки несогласных по другим пунктам. И я так понял с пользовательской базой.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:42 
Пользуюсь форком под названием BlabberIM, но он почему-то стал звонить только если абоненты в одной локальной сети. Интересно, нет ли таких уязвимостей в OMEMO.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:47 
А, понял, почему. Сменил сервер на jid.pl, а он XEP-0215: External Service Discovery не поддерживает.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено mikhailnov , 29-Сен-22 22:44 
По-моему, автор все правильно сделал. Какой смысл отдавать приоритет IPv6, который много где работает абы как (например, потому что не настроен), когда как IPv4 решает все задачи?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 00:30 
Какой смысл ломать поведение операционной системы по умолчанию?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено mikhailnov , 30-Сен-22 02:39 
> Какой смысл ломать поведение операционной системы по умолчанию?

Тут, насколько вижу при беглом просмотре https://github.com/iNPUTmice/Conversations/pull/3354/files
, дело не только в установке исходящего соединения, но и как минимум разрешении DNS.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 04:50 
Как я и написал выше: автор — идейный шизик, борящийся с ветряными мельницами.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено mikhailnov , 30-Сен-22 05:06 
> Как я и написал выше: автор — идейный шизик, борящийся с ветряными
> мельницами.

Те, кто решил побороться с автором, выглядят более идейными шизиками

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено n00by , 30-Сен-22 10:14 
>> Как я и написал выше: автор — идейный шизик, борящийся с ветряными
>> мельницами.
> Те, кто решил побороться с автором, выглядят более идейными шизиками

Но когда лично ты борешься с автором другого мессенджера, публично поливая его работу эпитетами «дичь» и «загаживает» -- ты молодец и ведущий разработчик операционных систем. ;)

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено mikhailnov , 30-Сен-22 13:41 
>>> Как я и написал выше: автор — идейный шизик, борящийся с ветряными
>>> мельницами.
>> Те, кто решил побороться с автором, выглядят более идейными шизиками
> Но когда лично ты борешься с автором другого мессенджера, публично поливая его
> работу эпитетами «дичь» и «загаживает» -- ты молодец и ведущий разработчик
> операционных систем. ;)

У меня нет никаких претензий ни к Престону, ни к Илье, их работу уважаю, слова «дичь» и «загаживает» эмоционально показывают то, насколько неправильным такое поведение мне кажется. Не понимаю, зачем ты берешь на себя роль судьи там, где тебя не звали.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено n00by , 30-Сен-22 15:58 
>>>> Как я и написал выше: автор — идейный шизик, борящийся с ветряными
>>>> мельницами.
>>> Те, кто решил побороться с автором, выглядят более идейными шизиками
>> Но когда лично ты борешься с автором другого мессенджера, публично поливая его
>> работу эпитетами «дичь» и «загаживает» -- ты молодец и ведущий разработчик
>> операционных систем. ;)
> У меня нет никаких претензий ни к Престону, ни к Илье, их
> работу уважаю, слова «дичь» и «загаживает» эмоционально показывают
> то, насколько неправильным такое поведение мне кажется.

Ты хочешь меня убедить, что отсутствие у тебя образования ни при чём, и ты согласен, что твои с подельниками делишки совершенно корректно называть попрошайничеством и мракобесием, а ваше изделие - г-ном? Объясни это фанатам.

> Не понимаю, зачем ты
> берешь на себя роль судьи там, где тебя не звали.

Если ты забыл, я оплатил услуги вашего заведения, но вместо свеженькой Розы мне предоставили тебя и какого-то эльфа. ;) Кстати, именно он меня и звал, я исполняю ему обещанное.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 18:01 
Я, кажется, начинаю понимать, по какому принципу функционирует твоё сознание. Чем хуже — тем лучше, так? Починить поломанное так-то уважаемое в сообществе дело. И Conversations неплохой клиент в остальном.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 07:35 
DNS по v6 вообще незачем разрешать. DNS всегда работает в "восходящую" сторону, а промежуточные ресолверы почти всегда на гейтвеях. То есть, Дэниэл принял решение, которое почти никогда не вызывает проблем.

При этом Андроид, кусок Г, ещё и не поддерживает _никаких_ способов указать DNS по ipv6, кроме rdnss, в котором может быть написана любая чушь, и при этом в большинстве андроидов нет ip6tables nat, то есть, его ещё и не зарезать никак. Фаталити. Миллиарды девайсов _иногда_ работают, и _иногда_ не работают.

Я даже как-то собирался пересобирать ядро на Андроиде (не для слабых духом занятие), чтобы впиндюрить туда ipv6-nat, но в итоге забил, просто пустил уязвимые приложения целиком через VPN.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено mikhailnov , 30-Сен-22 13:44 
А в чем именно уязвимость, в том, что устройство смотрит открытыми портами в глобальную сеть?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 17:58 
> ip6tables nat

А вот и свидетели секты святого Ната подъехали, куда ж без вас! Что ты в публичной IPv6 сети натить собрался-то? И, главное, зачем? Тебе пул адресов дали. Всё, радуйся, ты в настоящем интернете. Или ты из тех, кто считает NAT элементом сетевой безопасности?

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 01-Окт-22 00:29 
Да задолбали уже кадры которые почему-то считают что stateful firewall это обязательно именно NAT. Еще больше радует когда в контреке место заканчивается, что при допустим скачке торентов бывает весьма часто. Наты при этом такие интересные вещи делают..
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:31 
>conversations
>gajim

Это те, которые настойчиво продвигают своё шифрование (написанное питонистами на си) с автоотправкой на другие ресурсы, да так, что специально отключают OTR и GPG?

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:32 
>с автоотправкой на другие ресурсы

И с гнилым тофу вместо надлежащей проверки ключей.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 17:55 
Мессенджер в виде нагромождения несовместимых xep и серверов, срущих друг в друга xml ками с нестандартными полями может быть только говном. Просто по определению.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:32 
В matrix-rust-sdk, mautrix-python, mautrix-go уязвимости нет
Ну что, кто тут смузехлебы, а?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:44 
кстати, накидайте нормальных рецептов смузи. у меня в блендере какая-то хрень получается
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:44 
острота про блендер
избавил анонимов от лишней работы
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 01-Окт-22 03:37 
Из того что тут обычно накидывают и набрасывают смузи не получится.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 10:46 
>В matrix-rust-sdk, mautrix-python, mautrix-go уязвимости нет

Потому что в них вышеуказанный функционал вообще не реализован?

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:46 
>Уязвимости не проявляются в библиотеках matrix-rust-sdk

Ну вы поняли.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:47 
так им никто не пользуется, как она может проявиться?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 16:10 
А против кого вы тогда воюете?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено aname , 03-Окт-22 03:06 
А за что вы?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено истина в последней инстанции , 29-Сен-22 17:50 
поняли, оно не работает. прикинь я пробовал.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 18:52 
> оно не работает

Так нужно было запустить программу... Я понимаю, что вам религия не позволяет запускать ПО на расте, но вы попробуйте хотя бы разок. ОН(Ритчи) крышей не увидит.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:28 
>ну побудьте нам бетатестерами, ну напишите за нас, ну позязя

Ты бы ему хотя бы чупа-чупс за это предложил.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 22:30 
>напишите за нас

Вы, наверное, шутите? Код от икспердов опеннет и даром не нужен. Даже на самом безопасном языке в мире. Ну и сомневаюсь в полезности таких бетатестеров, которые даже программу запустить не могут.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 18:03 
Из опеннетчика бетатестер как из известно чего пуля. Баг-репорты в комментах никому даром не сдались.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено ryoken , 29-Сен-22 14:47 
Все на ToX! :)
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:51 
давно сижу и общаюсь, как локально, так и глобально.
ничего не надо поднимать
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено penetrator , 29-Сен-22 15:42 
есть свои плюсы и минусы

но на Матрикс я пока не взлез, жду пока вот такое всякое говно повылазит

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:50 
только не ставьте сервак на sqlite. официальный матрикс сервер дико засирает бд нотификациями типа появления онлайн. есть официальная тулза для этого сервакуа, которая подметает postgres. для sqlite такой нет.

есть тулза, которая конвертирует их sqlite бд в postgres бд, и потом типа можно бд почистить, но эта тулза не работает.

короче, ради простейшего чатик-сервака приходится держать целую большую субд с засирающим её софтом

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Девсамизнаетечто , 29-Сен-22 20:25 
>есть официальная тулза для этого сервакуа, которая подметает postgres

Я дико извиняюсь, а что такое подметание БД? Пусть памяти докупят!
Как вызывать в отдельном треде запрос? Как подметать в этом же треде? Сложно... Надо написать микросервис!

Эй, Васян-стажёр, напиши тулзу, пускай постгрес подметает! Что? Sqlite ещё надо поддерживать? На моём ноутбуке нет sqlite в systemd, давай постгрес!

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 04:41 
иди проспись
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 08:15 
sqlite на сервере? Да ты поехавший.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 18:04 
В чём проблема с sqlite на сервере? Ну-ка, расскажи.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено tmplsr , 30-Сен-22 11:46 
>для sqlite такой нет.
>короче, ради простейшего чатик-сервака приходится держать целую большую субд с засирающим её софтом

И не стрёмно тебе так позориться на весь opennet? Признаваться, что не можешь переписать тупую утилиту?

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 19:54 
> Все на ToX! :)

Это тот, на который разработчик забил жирный болт, а дальше подхватили студенты с нулевыми знаниями в криптографии? Да, товарищи, далеко пойдете...

https://www.linux.org.ru/forum/talks/14785448

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 08:03 
на одной версии нельзя сидеть? постоянно нужны обновы?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 01-Окт-22 00:49 
> на одной версии нельзя сидеть? постоянно нужны обновы?

Вообще можно. Если зачем-то нужно.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 01-Окт-22 00:10 
> Это тот, на который разработчик забил жирный болт, а дальше подхватили студенты
> с нулевыми знаниями в криптографии? Да, товарищи, далеко пойдете...

В токсе, в отличие от, крипто столь глупыми способами не ломали. За довольно много лет. А разработчик вайргада покритиковав забыл предложить хоть что-нибудь лучше по свойствам. И накодить тоже. А вайргард - он хороший, но вообще совсем не IM. Патчей он тоже не прислал, да и своместимость убьет, во имя достаточно условного выигрыша в безопсности не идущего ни в какое сравнение с воооооон тем.

И на уровне чего-то типа сабжа с дикими переусложненными монстрами - tox весьма ничего. И от сервреров с корпорациями не зависит, и протокол/либа проще в 10 раз, поэтому и странных проблем меньше. В силу p2p немного слизаного с скайпа любит запускаться везде где есть какой-то намек на конективити, чем опять же мало кто кроме старого скайпа может похвастать.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 14:50 
Просто это всё потому, что такие вещи нужно писать в одном экземпляе на C, а потом уже использовать библиотеку где надо.
А когда для каждого "языка" переписывается всё заново этим и должно всё заканчиваться
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:09 
Да, чтобы если была дырень, то сразу у всех пользователей.
Отличный план!
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 16:55 
А какой план лучше? Чтобы дырени были у всех но разные?
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:03 
JS-макаки, сэр...
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Sw00p aka Jerom , 29-Сен-22 15:08 
>в чатах со сквозным шифрованием (E2EE)

само название говорит, сквозняк короче:)

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 15:28 
Jabber с PGP хватит на всех.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 19:59 
Только для гиков. Простая домохозяйка не настроит.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 08:16 
Настроить-то настроит, но есть нюанс. Ты либо настраиваешь, что пароль перезапрашивается раз в какой-то очень большой срок, что плохо для всего остального, кроме мессенджеров, либо вводишь каждые несколько минут, что вызывает тонны ненависти уже в мессенджерах. Удобство.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 16:29 
> платформы децентрализованных коммуникаций Matrix
> сервер для хранения истории и учётных записей клиентов

А это точно одноранговая сеть?..

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:17 
Ну надо же matrix llc что-то кушать.
Но она не одноранговая, это федерация, так что тут всё нормально. Что не_нормально - так это то, что помимо обычного сервера там есть второй, который нужен для ресолвинга мобильных телефонов. И тут возникают вопросы.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 22:29 
Ради объективности добавлю, что привяззка к мобильному телефону не обязательная опция. А так да Matrix тормозное и жрущие ресурсы js-месиво (да я знаю, что сервер у них на python и они хотели то-ли на go/rust то-ли на c/c++ переписать, но по факту самый популярный сервер все еще тот что на python), вот ей богу лучше-бы довели XMPP до ума собрав в одном стандарте номера всех XEP которые нужны чтобы не отсавать по функционалу от чокаки и пашкограмма и намекали разработчикам клиентов/серверов (и держателям серверов) что неплохо бы было этот документ соблюдать.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 08:18 
Давно сделали и каждый год обновляют. Просто нытики на опеннете такие вещи не читают.

https://xmpp.org/about/compliance-suites/

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено pofigist , 01-Окт-22 13:51 
Проблема в том что его не читают разработчики клиентов и серверов...
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 18:48 
В современных мессенджерах, на фоне их возможностей, всё больше дыр и всё меньше сами программисты понимают, как это работает.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 19:40 
один ты в белом пальто стоишь красивый
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено An2 , 29-Сен-22 19:29 
Когда нет ещё исправлений, пишут "Критические уязвимости ...". Но в данном случае новость о вышедших исправлениях, а заголовок скандальный.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 29-Сен-22 20:15 
Потом внезапно окажется, что ключики из-под матрикса должны храниться в невыгружаемом пуле памяти, который зааллочили явно не с помощью malloc и над которым поколдовали с помощью mlock.

Только тссс, а то любители языков-обёрток над malloc и free обидятся, наставят минусов и закажут услуги уборки комментариев от противного, гложущего чувства несправедливости :)

Когда таких внезапных нюансов окажется под сотни в критическом ПО и их начнут во всю шуровать, в языки-обёртки над malloc и free начнут пропихивать модификаторы, пока не окажется, что на очередной версии языка-обёртки запихнули все флаги к madvise. А потом язык начнут рефакторить, переставляя кровати^W модификаторы, разумеется, бампая системные требования при добавлении модификаторов к madvise. Зато у кого-то будут деньги (и не только деньги, если вы понимаете, о чём я) на пенсии. И никаких противных жонглирований указателями!

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено n00by , 30-Сен-22 10:39 
> Потом внезапно окажется, что ключики из-под матрикса должны храниться в невыгружаемом пуле
> памяти, который зааллочили явно не с помощью malloc и над которым
> поколдовали с помощью mlock.

Что бы «руткиту» с LD_PRELOAD было сразу понятно, где искать, не заморачиваясь с энтропией? ;)

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 15:07 
Гостошифрованию руткиты с LD_PRELOAD не грозят и даже искать нигде не надо.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено n00by , 30-Сен-22 15:49 
Вот сразу видно эксперта, а не какого-то там пропагандиста из канадьчины. ;)
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено mos87 , 30-Сен-22 07:28 
штож, надобно БОЛЬШЕ хоббиистских фреймворкофф - обязательно на модных язычках
так победим (в одном по теор. вер. не будет одной дыры, в другом - другой быгыгьi)
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 08:58 
"Уязвимости вызваны ошибками в отдельных реализациях протокола Matrix и не являются проблемами самого протокола" (c) Ага, партия никогда не ошибается, это отдельные граждане иногда. Но только вот раз https://www.opennet.me/opennews/art.shtml?num=50501
два https://www.opennet.me/opennews/art.shtml?num=50502
и вообще дыр полно https://www.opennet.me/opennews/art.shtml?num=55799
А в остальном, прекрасная маркиза, все хорошо, все хорошо.
Спасибо, конечно, но такое дырявое хренпоймичто не нужно.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено InuYasha , 30-Сен-22 10:42 
Как там дела, в Матрице? Хоть по одному годному клиенту на Десктоп и мобилки завезли? Чтоб на сишных языках и 640КБ. Ну, и сервер, само собой. А то, как ни зайду, у них всё какое-то скриптовое.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено pofigist , 30-Сен-22 21:17 
А ты знаешь я с удивлением обнаружил что оказывается на элетронщине сделано очень много реально годного софта.
Да, жрет ресурсы... Но кремний дешевле кожаных мешков. В результате сишные клиенты - обычно неудобны, малофункциональны и развиваются со скоростью гимпа... 😁
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 10:50 
Я тут, как ни странно, буду в каком-то смысле на стороне хипстоты.

Проблема тут не в Matrix, а в том, что вообще идея "многосторонних секретных чатов" -- эзотерична. Как минимум потому, что то, что знают трое, знает весь мир. Ваша крипта может быть сколько угодно крепкой, но каждый +1 человек в группе увеличивает шанс утечки экспоненциально.

Собственно, Сигнал это понимает, и в нём многостороннего E2E вообще нет и не будет.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено pofigist , 30-Сен-22 21:13 
Шифрованные чатики это типа защита от админа сервера. И более ни от чего. Понятно что сценариев утечки немного больше чем "админ сервера прочитал и слил".

Могу предложить несколько сценариев где их применение оправдано.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 01-Окт-22 09:08 
99% уязвимостей это "админ прочитал и слил".
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено pofigist , 01-Окт-22 10:29 
Неа... 99% уязвимостей это админ поленился (мы же не ЦРУ/ФБР/ФСБ - кому мы нахрен нужны) или не знал (линакс нельзя сломать - зачем морочиться, selinux disable, firewall disable...) как правильно настроить систему. Ну и вишенка на торте - меня несправедливо уволили разумеется...
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено InuYasha , 30-Сен-22 23:18 
e2e muc - это защита от паяльника админу.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 01-Окт-22 11:48 
https://signal.org/blog/private-groups/

В Сигнале есть шифрование групповых чатов.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 02-Окт-22 00:39 
> https://signal.org/blog/private-groups/
> В Сигнале есть шифрование групповых чатов.

А еще он почти на 100% завязан на одну наглую корпорацию и ничем не лучше всех остальных. И черт с ним с шифрованием при таком раскладе.

"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено pofigist , 02-Окт-22 12:12 
Поставь свой сервер. Правда я не уверен в его федеративнось... Но в определенных условиях это и хорошо.
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 30-Сен-22 13:41 
месенжеры которые мы заслужили. лучше ими вообще не пользоваться
"Критические уязвимости, компрометирующие сквозное шифрование..."
Отправлено Аноним , 23-Апр-23 13:00 
вы заслужили телеграм и регу по номеру а потом звонки от службы безапасности сбер банка.  ну миложе кому твой номер нужен. нах. анонимность и приватность ты честный человек. дома дверь не закрывай оставляй, пароль на банковской карте напиши на карте.  раздавай всем скан своего паспорта. ты чесный человек тебе нечего боятся. боятся должны только преступники и поехавшие аноны