| 1.1, Аноним (-), 17:04, 05/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> что исправление произведено для решения проблем с обратной совместимостью.
Вот такая вот обратная совместимость...
| | |
| 1.2, Crazy Alex (??), 17:21, 05/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А потом некоторые удивляются, почему для продакшна лучше брать "древности", которым не один год. Вот поэтому.
| | |
| |
| 2.3, Аноним (-), 17:26, 05/07/2013 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Ну да, прикольно же юзать не фикшеную версию.
Да и вон дебианщики умудрились и вполне себе древний OpenSSL соптимизировать. Криптография просто чувствительна к "небольшим" продолбам. Вот и все.
| | |
| |
| 3.4, Необъективный_ (ok), 17:32, 05/07/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > Да и вон дебианщики умудрились и вполне себе древний OpenSSL соптимизировать. Криптография просто чувствительна к "небольшим" продолбам. Вот и все.
User294, еще не надоело про одну и ту же проблему многолетней давности рассказывать? Может быть найдешь несколько более свежих примеров?
Все идет, все меняется... Но некоторые посетители этого форума остаются законсервированными.
| | |
| |
| 4.9, Аноним (-), 19:12, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> User294, еще не надоело про одну и ту же проблему многолетней давности
> рассказывать? Может быть найдешь несколько более свежих примеров?
Я не злопамятный, но злой и память у меня хорошая. Знаешь, мне пришлось резко отрекеить энное количество машин. А это некоторая возня. Так что вот.
> Все идет, все меняется... Но некоторые посетители этого форума остаются законсервированными.
Общие принципы и подходы применяемые в криптографии не так уж и изменились, а грабли все те же :)
| | |
| |
| 5.15, Аноним (-), 19:58, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
А причём тут дебиан? Это проблема аудита, как и в этой кстати новости написано. То обновление Debian проверили и одобрили авторы OpenSSL.
| | |
| |
| 6.17, Ytch (ok), 20:16, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Это проблема аудита, как и в этой кстати новости написано.
Ну да, конечно. У разработчиков, конечно, никаких проблем - это ведь не их косяк?
> То обновление Debian проверили и одобрили авторы OpenSSL.
Ну если очень сильно вырывать из контекста, то да, одобрили (убрав, например, первую часть фразы):
> If it helps with debugging, I'm in favor of removing them. | | |
| |
| 7.22, Аноним (-), 20:34, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>> If it helps with debugging, I'm in favor of removing them.
Отсюда ниоткуда не следует что это приведет к проблемам. Так что оба хороши.
| | |
| |
| 8.33, Ytch (ok), 21:55, 05/07/2013 [^] [^^] [^^^] [ответить] | +/– | Не следует, но я не увидел ничего наподобие yes, it s safe to remove them , по... текст свёрнут, показать | | |
| 8.38, Аноним (-), 23:09, 05/07/2013 [^] [^^] [^^^] [ответить] | +/– | В целях дебага код можно корежить любым образом, отрезая любые куски функциональ... текст свёрнут, показать | | |
| |
| 9.39, Аноним (-), 23:13, 05/07/2013 [^] [^^] [^^^] [ответить] | –1 +/– | Дебажить криптографию не в том виде каком она будет у юзерей - довольно странный... текст свёрнут, показать | | |
| |
| 10.54, Ytch (ok), 00:50, 06/07/2013 [^] [^^] [^^^] [ответить] | +/– | Дебажить все что угодно не в конечном виде это вполне естественный подход Доб... текст свёрнут, показать | | |
| |
| |
| 12.94, Ytch (ok), 22:27, 07/07/2013 [^] [^^] [^^^] [ответить] | +/– | Ой, а может расскажете как можно найти какую-нибудь нетривиальную ошибку не внос... текст свёрнут, показать | | |
| |
| |
| 14.104, Ytch (ok), 21:36, 08/07/2013 [^] [^^] [^^^] [ответить] | +/– | Да все индивидуально Но даже пропадание бага при включении отладки - это уже ко... текст свёрнут, показать | | |
| |
| 15.107, Аноним (-), 15:09, 09/07/2013 [^] [^^] [^^^] [ответить] | +/– | Зачастую такая ситуация является полным ребусом, на распутывание которого можно ... большой текст свёрнут, показать | | |
| |
| 16.112, Ytch (ok), 21:22, 09/07/2013 [^] [^^] [^^^] [ответить] | +/– | Вот Ключевое слово - тестировать Тестировать - да, именно то, что будет у юз... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
|
| 3.16, Аноним (-), 20:00, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну да, прикольно же юзать не фикшеную версию.
А вы юзайте старые пофикшеные версии ;)
| | |
| |
| 4.23, Аноним (-), 20:36, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А вы юзайте старые пофикшеные версии ;)
Necromancy is a forbidden art. Хотя некоторым может и нравится получать сплойтами по древностям которые давно починили в апстриме.
| | |
| |
| |
| 6.28, Аноним (-), 21:05, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Нормальные люди фиксы бекпортят. А фичи с багами оставляют в новых версиях.
Ага, и фиксы к старым багам там же оставляют. Спасибо, я уже видел как в 3.2...3.9 ядре работает usb 3.0 стек. Сам такую стабильноту юзай, ибо 3.10RC - в пять раз стабильнее.
| | |
| |
| 7.42, Crazy Alex (ok), 23:39, 05/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 И часто вам нужен USB-3 стек на продакшне? Я ж вроде не о домашних машинках говорил.
Но вообще я больше не версии имел в виду, а продукты - грубо говоря, вот пожил Nginx лет... пять, что ли - вот тогда его и стали разумные люди всерьёз воспринимать. Когда все шишки уже были набиты в некритичных приложениях. Вон скале сколько лет? А воспринимать всерьез ее только начинают понемногу, и это правильно.
| | |
| |
| 8.52, Аноним (-), 00:36, 06/07/2013 [^] [^^] [^^^] [ответить] | +/– | А чем мой домашний комп хуже продакшна, собственно И почему там допустима какая... большой текст свёрнут, показать | | |
|
|
| 6.31, linux must __RIP__ (?), 21:20, 05/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Нормальные люди фиксы бекпортят. А фичи с багами оставляют в новых версиях.
позвольте - читали последную новость о локальный DoS для RedHat? так это был бэкпорт фикса..
Вот так редхат пофиксил другую уязвимость, получив еще один локальный DoS.
| | |
| |
| 7.43, Crazy Alex (ok), 23:40, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну а, бывает. Будете спорить, что с новыми фичами багов прилетает больше, чем в таких случаях?
| | |
| |
| 8.51, Аноним (-), 00:19, 06/07/2013 [^] [^^] [^^^] [ответить] | +/– | Вот это кстати еще большой вопрос где и каких багов больше При бэкпортах обычно... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.6, Михрютка (ok), 17:58, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > А потом некоторые удивляются, почему для продакшна лучше брать "древности", которым не
> один год. Вот поэтому.
поправочка для продакшна лучше не брать код написанный в бессознательном состоянии или under influence. а старый он или новый значения не имеет.
хотя да, древние патриархи все же кунфу владели лучше en mass.
| | |
| |
| 3.13, Michael Shigorin (ok), 19:42, 05/07/2013 [^] [^^] [^^^] [ответить]
| –5 +/– |
 > en mass
en masse тогда уж...
Н-да, честные люди не пытались бы отмазаться. Случайна ли ошибка? Стиль по-своему изящный, напоминает ту старую попытку протащить в ядро Linux дырку на "сравнивании" через сломанный kernel cvs с экспортом из bitkeeper.
| | |
| |
| 4.21, Аноним (-), 20:33, 05/07/2013 [^] [^^] [^^^] [ответить] | +2 +/– | На самом деле тому кто хоть немного разбирается в криптографии сразу понятно что... большой текст свёрнут, показать | | |
| 4.26, Михрютка (ok), 20:38, 05/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> en mass
> en masse тогда уж...
tushe!
> Н-да, честные люди не пытались бы отмазаться. Случайна ли ошибка?
> Стиль по-своему изящный, напоминает ту старую попытку протащить в ядро Linux
> дырку на "сравнивании" через сломанный kernel cvs с экспортом из bitkeeper.
"Любопытную версию выдвинул Сысой Свиридович Сидоров для объяснения тайны загадочной улыбки Моны Лизы. Не исключено, считает исследователь, что она просто была дурой."
| | |
| |
| 5.46, Аноним (-), 00:06, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
К черту бритвы. Элементарная логика в виде "вебня + опенсорс" = "граждане решили попиариться" и хрен оспоришь. Поскольку ... кто угодно может подменить сайт или скрипт и даже HTTPS зарекомендовал себя весьма декоративным из-за кучи ауторитей.
| | |
|
|
| 3.27, Crazy Alex (ok), 20:40, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Речь о том, что старый код больше гоняли и больше смотрели. А в каких его там состояниях писали (в том числе какие-то конкретные куски) - этого уже не узнать.
| | |
| |
| 4.50, Аноним (-), 00:18, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
С другой стороны, редкий програмер портит свою программу с течением времени. Зато очень многие свои программы с течением времени улучшают. Если это не так - вы, вероятно, допустили ошибку в выборе программы.
| | |
|
|
| 2.12, Аноним (-), 19:37, 05/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
"все сообщения отправленные с 17 октября 2011 года по 15 июня 2013 года подвержены указанной уязвимости"
Вроде тоже не один год, но уязвимость есть.
Уж лучше новые версии в который добавляют исправления. И да бекпортирование на старую версию не лучше подход так как надо тестировать правильно ли все было бекпортировано и не всплыли ли при этом регрессиии так что принципиальной разници от новой версии нет.
| | |
| 2.20, all_glory_to_the_hypnotoad (ok), 20:28, 05/07/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 это же голимая вебня, наверняка там таких граблей дохерища. В нормальной среде не понадобилось бы заставлять пользователя "повышать" энтропию хотя бы.
| | |
| |
| 3.24, Аноним (-), 20:37, 05/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> это же голимая вебня, наверняка там таких граблей дохерища.
Да, и первая из них - вы никак не сможете проверить что вам в браузер вгрузился именно правильный скрипт, только он и никак не пропатченный. Забавная такая фигня. То-есть если некто посторонний вам отгрузит нечто с тем же внешним видом - вы это никак не заметите особо. Вероятность того что вы при каждом использовании чатика будете весь его код анализировать - около нуля.
| | |
|
| 2.37, Аноним (-), 23:04, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А потом некоторые удивляются, почему для продакшна лучше брать "древности", которым не один год. Вот поэтому.
Чтобы там _гарантированно_ встретился такой нежданчик?
| | |
| |
| 3.44, Crazy Alex (ok), 23:44, 05/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы туда были гарантированно сбекпортированы фиксы к нежданчикам за последние N лет, чтобы был накоплен опыт применения - "вот эта опция полезная, вот эта - нужна в таких-то обстоятельствах, а вот это врубать не надо никогда", чтобы был наработан опыт рекавери из разных неприятных ситуаций, выросли спецы, которые хорошо знают данную технологию в достаточном количестве...
| | |
| |
| 4.47, Аноним (-), 00:09, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Чтобы туда были гарантированно сбекпортированы фиксы к нежданчикам за последние N лет,
Сама фраза "бэкпортирование" означает что сначала это было починено где-то еще, а потом уже через сколько-то там времени - запортировано куда-то еще. И вот в этот период врмени хаксоры уже могли знать о дырке (сорц апстрима они читать могут, да?) а вот у вас фикса еще не было (програмеры рыли землю и бэкпортили в это время). Интересная логика в общем.
| | |
| |
| 5.70, Crazy Alex (ok), 18:40, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну так юзайте дистрибутивы, где секьюрити тим не такой тормозной. Дебиан вполне шустр обычно, к примеру.
| | |
| |
| 6.79, Аноним (-), 02:23, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так юзайте дистрибутивы, где секьюрити тим не такой тормозной. Дебиан вполне
> шустр обычно, к примеру.
И тем не менее, сначала фикс делается апстримом и только потом секурити тим его портирует. Спору нет - в целом ответственные граждане. Но понимать где причина а где следствие - стоит.
| | |
|
|
| 4.68, Аноним (-), 15:26, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Чтобы туда были гарантированно сбекпортированы фиксы к нежданчикам за последние N лет
Чтобы фиксы были сбекпортированы, их сначала нужно закоммитить в актуальную версию.
| | |
| |
| 5.69, Crazy Alex (ok), 18:39, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ясное дело. Причем бекпорт секьюрити фикса может быть довольно быстрым, а вот с новой версией получается чудесный выбор - либо ждать её релиза (хрен знает сколько, мало ли сколько фич туда разработчик напихать еще не успел) либо использовать сборки из транка, что точно чревато массой багов.
| | |
| |
| 6.89, Аноним (-), 13:50, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Как показывает практика, бекпорты умеют вызывать баги не хуже транка.
| | |
| |
| 7.102, Аноним (-), 10:36, 08/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Как показывает практика, бекпорты умеют вызывать баги не хуже транка.
А чего б им? Что так малопротестированное изменениие в коде, что этак.
| | |
|
|
|
|
|
| 2.92, kurokaze (ok), 16:22, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > А потом некоторые удивляются, почему для продакшна лучше брать "древности", которым не один год. Вот поэтому.
Точно. Вот нафига BIND юзают самый свежий? Известно всем гуру что версия на пару мажорных версий старее - самая безопасная.
И лучше фряхи 3.х ничего нет
| | |
|
| 1.5, Михрютка (ok), 17:52, 05/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
// Generates a random string of length 'size' characters.
// If 'alpha = 1', random string will contain alpha characters, and so on.
// If 'hex = 1', all other settings are overridden.
Cryptocat.randomString = function(size, alpha, uppercase, numeric, hex) {
var keyspace = ''
var result = ''
if (hex) { keyspace = '0123456789abcdef' }
else {
if (alpha) { keyspace += 'abcdefghijklmnopqrstuvwxyz' }
if (uppercase) { keyspace += 'ABCDEFGHIJKLMNOPQRSTUVWXYZ' }
if (numeric) { keyspace += '0123456789' }
}
for (var i = 0; i !== size; i++) {
result += keyspace[Math.floor(Cryptocat.random()*keyspace.length)]
}
return result
}
-// Generate private key (32 byte random number)
-// Represented in decimal
+// Generate private key (64 random bytes)
multiParty.genPrivateKey = function() {
var rand = Cryptocat.randomString(64, 0, 0, 1, 0)
http://catmacros.files.wordpress.com/2009/06/its_beautiful.jpg
начиная от параметров randomString, и заканчивая каментами в коде.
хосподи, а я тут на некоторых своих коллег наезжаю по мелочам. пойду извинюсь.
| | |
| |
| 2.63, pavlinux (ok), 05:57, 06/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > хосподи, а я тут на некоторых своих коллег наезжаю по мелочам. пойду извинюсь.
А чё не так, давай подробнее?!
| | |
| 2.73, Ordu (ok), 19:35, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Поясни плз, что не так? Я вижу лишь несоответствие комментария к функции тому, что делает эта функция на практике (вместо заявленных 64 случайных байт, она выдаёт 64 случайных цифры). Но я не программист-профи, и вероятно чего-то не понимаю. А любопытство распирает: что здесь не так?
Да, и это не пустое любопытство. У меня есть нечто похожее для генерации паролей. Может мой код тоже косячен?
А! Может дело в Math.floor(Cryptocat.random()*keyspace.length)? Максимальное значение Cryptocat.random(), надо полагать равно единице, и ежели единица выпадет, то после всех округлений получится индекс выходящий за границы массива. Так? Но может быть единица не может выпасть?
| | |
| |
| 3.74, arisu (ok), 19:41, 06/07/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
 > Поясни плз, что не так?
DNA авторов. это — говнокод. с первой и до последней строчки говнокод. начиная уже с сигнатуры функции говнокод.
| | |
| |
| 4.85, Ordu (ok), 03:37, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Поясни плз, что не так?
> DNA авторов. это — говнокод. с первой и до последней строчки говнокод.
> начиная уже с сигнатуры функции говнокод.
А, понятно. И как только я сам не догадался.
| | |
| |
| 5.88, arisu (ok), 03:58, 07/07/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> А, понятно. И как только я сам не догадался.
потому что ты тоже говнокодер. возможно, от недостатка опыта. а возможно — от недостатка мозга. об этом я в данном обсуждении судить не берусь (если, конечно, ты не продемонстрируешь доказательства второго варианта добровольно).
| | |
| 5.95, arisu (ok), 23:22, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
p.s. благодарю. в удалённом посте было отличное доказательство утверждения номер два из #88.
| | |
|
| 4.91, Аноним (-), 13:55, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> DNA авторов. это — гoвнокод. с первой и до последней строчки гoвнокод.
> начиная уже с сигнатуры функции гoвнокод.
Если это гoвнокод - то покажи, как правильно.
Если сам не гoвнокодер, конечно (в этом случае пойдут отмазы "я тут работать не нанимался, гони бабки, тогда выдам свой мега-убер-код").
| | |
| |
| 5.96, arisu (ok), 23:27, 07/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
командовать одноклассниками будешь, если позволят. свободен.
| | |
|
|
|
|
| |
| 2.10, Аноним (-), 19:17, 05/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Поэтому юзайте жаббер внутри ЕСП/ГРЕ и будет вам щястье
А потом обнаружьте что сервант расшифровывает сообщения и по этому поводу может спокойно их логгировать и прочая если захочет.
Если уж интересует приватность переписки в IM, нечто типа OTR в руки имхо.
| | |
| |
| 3.14, Аноним (-), 19:43, 05/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не боись, анониный брат! Факты передачи OTR и GPG сообщений через публичные сервисы тоже записываются и отправляются куда надо. А для серьезных разговоров есть серьезные системы связи (дупло в дереве в глухом лесу, например).
| | |
| |
| 4.18, Аноним (-), 20:22, 05/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Не боись, анониный брат! Факты передачи OTR и GPG сообщений через публичные
> сервисы тоже записываются и отправляются куда надо.
Записывать потенциально может кто угодно и что угодно. Поэтому с точки зрения криптографии стоит рассматривать пессимистичный вариант. И в этом плане OTR достаточно интересная штука. Особенно в свете реализации perfect forward secrecy. После завершения сессии ключ которым можно расшифровать просто перестает существовать.
> А для серьезных разговоров есть серьезные системы связи
> (дупло в дереве в глухом лесу, например).
А вражеский агент на хвосте, конечно же, не рассматривается? :).
| | |
| 4.57, arisu (ok), 02:11, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Не боись, анониный брат! Факты передачи OTR и GPG сообщений через публичные
> сервисы тоже записываются и отправляются куда надо.
на здоровье. штука не в том, чтобы «не услышали», а в том, чтобы не поняли, даже если и услышат.
| | |
|
| 3.34, iWLCkhBrBeDTGA (?), 22:09, 05/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
OTR - очень сомнительно. Уж лучше GPG, но будьте готовы, что лет через 10-15 все ваши сообщения могут быть прочитаны.
| | |
| |
| |
| 5.58, arisu (ok), 02:12, 06/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И чем оно сомнительно?
видимо, тем, что «яничегонепонимаютам».
| | |
| |
| |
| 7.72, arisu (ok), 19:24, 06/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Раз тебе непонятно, то продолжай использовать этот чёрный ящик с, вроде бы,
> приятными штуками.
как и следовало ожидать, внятного ответа от тебя нет. а я уж думал, ты действительно нашёл там Страшные Дыры, хотел бежать цифропанков пугать: они столько лет старались зря…
| | |
| 7.80, Аноним (-), 02:25, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Раз тебе непонятно, то продолжай использовать этот чёрный ящик с, вроде бы,
> приятными штуками.
Вообще-то есть описание протокола и исходники. Wtf is "черный ящик"?
| | |
| |
| 8.86, arisu (ok), 03:53, 07/07/2013 [^] [^^] [^^^] [ответить] | +/– | и статьи от авторов с описаниями алгоритмов и причин выбора оных но оно альтерн... текст свёрнут, показать | | |
|
|
|
| 5.66, iWLCkhBrBeDTGA (?), 11:52, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Тем, что никакого полноценного криптоанализа не было проведено/представлено. Невозможно даже примерно оценить, чего можно ожидать от OTR, насколько оно надёжно и надёжно ли вообще.
| | |
| |
| 6.81, Аноним (-), 02:31, 07/07/2013 [^] [^^] [^^^] [ответить] | +/– | Там используются вполне обычные алгоритмы, криптоанализ которых как ни странно б... большой текст свёрнут, показать | | |
| |
| |
| 8.97, konst (??), 02:46, 08/07/2013 [^] [^^] [^^^] [ответить] | +1 +/– |  Не надо выпендриваться Это форум, на котором люди получают знания И слава Богу... текст свёрнут, показать | | |
| |
| 9.103, arisu (ok), 13:51, 08/07/2013 [^] [^^] [^^^] [ответить] | –2 +/– | обучение основам криптографии 8212 за деньги ибо задача сложная, требует от ... текст свёрнут, показать | | |
|
|
| 7.98, iWLCkhBrBeDTGA (?), 09:48, 08/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Понятное дело, что известные алгоритмы. Но само сочетание толком не изучено. Где гарантии, что всё действительно всё хорошо, и что в ближайшем будущем не будут выявлены незаявленные разработчиками "возможности"? Полагаться на допущение - странная стратегия.
Поэтому да, до тех пор, пока не проведено комплексного анализа, OTR выглядит для очень сомнительно.
Касательно GPG - всё верно, только ты перечислил "проблемы" которые существуют by design. Но, в отличие от ORT, OpenPGP изучено и предсказуемо. И это главный плюс.
Ещё раз, для PGP известна оценка стойкости "сверху"; а для OTR что? Я не хочу сказать, что "OTR - плохо", нет. Мне нравится OTR, мне нравятся его возможности, но я не вижу причин его применять только из-за этого.
| | |
| |
| 8.113, Аноним (-), 23:47, 09/07/2013 [^] [^^] [^^^] [ответить] | +/– | С таким же успехом продолб может всплыть и в любом ином протоколе Из описания п... большой текст свёрнут, показать | | |
|
| 7.114, konst (??), 02:28, 10/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
> А у GPG своих known issues есть:
> 1) Компрометация ключа даже "опосля" позволяет расшифровать всю зашифрованную переписку.
> В OTR такая проблема не стоит: он на IM ориентирован и
> оперирует понятием сессии и сессионным ключом. Который безнадежно грохается из оперативы
> по окончании сессии.
Вопрос от непрофи:
А если эти сессионные ключи сохраняются в БД на сервере-передатчике (сейчас ведь нет проблем с экономией дискового пространства?)
| | |
| |
| 8.115, arisu (ok), 15:57, 10/07/2013 [^] [^^] [^^^] [ответить] | +/– | а откуда он их возьмёт-то ты же не думаешь, что ключи просто так, открытым текс... текст свёрнут, показать | | |
|
|
|
|
| 4.48, Аноним (-), 00:11, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> OTR - очень сомнительно.
У него есть ряд интересных свойств, которые GPG недоступны. В частности - продолб ключа не ведет к расшифровке предыдущих сообщений из шифрованного траффы. Так что при угрозе терморектального криптоанализа или судебного преследования вы можете с чистой совестью сдать все ключи. А то что ими траффик нельзя расшифровать - ну да, протоколец так работает. Извините, дескать :)
| | |
| |
| |
| 6.82, Аноним (-), 02:33, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> там ещё и deniability есть. тоже приятная штука.
Угу. Особенно во всяких муд...цких юрисдициях где за отказ дать ключ могут посадить. А так сдал все ключи - и долбитесь с расшифровкой как хотите, товарищ майоры. Честный гражданин все выполнил, а остальное - не его проблемы уже :). Так что если гражданин не писал лог чатика на диск - товарища-майорам будет очень интересно выкусить на шифрованной копии траффика тот факт что она на этот момент времени вообще никак не расшифровывается и даже нет пруфа что то наверняка послал именно тот кто сдал ключи.
| | |
|
|
|
| |
| 4.49, Аноним (-), 00:12, 06/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> _своим_ жабером.
А переписываться потом самому с собой? Иначе для как минимум 1 участника сервак будет уже не "свой" :)
| | |
| |
| |
| 6.83, Аноним (-), 02:34, 07/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> нет, с соратниками по конспирации.
Для кого-то из них сервер будет уже не его, стало быть.
| | |
|
|
|
|
|
| |
| 2.90, Аноним (-), 13:52, 07/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> это не уязвимость а фича, фбр тут не причём
Вы путаете с OpenBSD.
| | |
|
|
