Re: Проиграна ли борьба за вычислительную свободу?
Ok, согласен, я уже прекратил. 10.08.2019 11:13, Alexander Danilov пишет: 09.08.2019 11:14, Eugene Berdnikov пишет: On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote: On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Наоборот. Государство может что-то заставлять делать своих граждан. А те, кто пишет браузеры, на этот казахстан кладут, им законодательные инициативы в какой-то крошечной дырке мира совершенно неинтересны. Конечно. Но если это большая дырка, в которой живёт большинство разработчиков браузера, и зарегистрирована компания, разговор другой. Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить проблему технически, потому что её причины лежат в другой плоскости. Можно, и вообще многие нетехнические проблемы вполне себе можно решать техническими методами. Для этого и существуют замки, заборы, шифрование... А последний яркий пример в IT это то как мессенджер Телеграмм вполне себе техническими методами избавил нас от гэбешников, которые хотят легимитизировать своё желание залезать в чью-то личную переписку. Паша Дуров вообще молодец, что борется против гэбешников и не соблюдает законы РФ. Не совсем, правда, понятно, почему он не борется против црушников и соблюдает законы США. Может потому, что бабки его в иностранных банках находятся и могут быть в любой момент заморожены. Может прекратим разводить "политпросвет для идиотов" в рассылке? Она всё таки техническая. Тут конечно политидиоты есть как и везде, но рассылка о другом и процент идиотов всё же поменьше. И государство ничего сделать не может, только поливает Пашу Дурова и Телеграмм грязью, мол, наркодилеры им пользуются, поэтому он плохой. Точно так же на казахов можно найти действенные технические методы. Вы же на аргументы технического плана всё время повторяете, как мантру, что вопрос решить технически невозможно... Не умеете -- не решайте. :) Только если хотите убедить в чём-то нас, то отвечайте техническими аргументами, иначе это смотрится как попытки промывать нам мозги.
Re: Проиграна ли борьба за вычислительную свободу?
Так не отрицаю, а просто констатирую факт: печально. 11.08.2019 16:32, Artem Chuprina пишет: artiom -> debian-russian@lists.debian.org @ Sat, 10 Aug 2019 07:40:08 +0300: > И это крайность, печально что "отстаивать интересны" однозначно ассоциируется > с "баррикадами". О неработоспособности трех предыдущих коробок вы сообщили сами. Евгений, вы действительно не понимаете, что против доморощенных "технических методов", государство выставит десять технических и пять законов, причём за ваш счёт? >>> Вам действительно платят за троллинг в рассылке и попытки убедить технарей, >>> что они бессильны против государства с его "слугами народа", принимающими >>> один за другим неработающие законы-страшилки? Ну-ну, это забавно. :) >> >> Скорее на баррикады зазывает. >> >> Только недавно подумал: что-то давно в рассылке никакого срача не было, и на >> тебе. >>
Re: Проиграна ли борьба за вычислительную свободу?
Eugene Berdnikov -> debian-russian@lists.debian.org @ Sat, 10 Aug 2019 10:43:28 +0300: >> Вот посмотрите на жителей Крыма которым взяли и обрезали доступ ко всем >> ресурсам в юрисдикции США, от платежных систем до гитхаба. Просто >> для того, чтобы наказать то государство, которое теперь с этого Крыма >> собирает налоги. > Государство этим не накажешь, для него это как слону дробина. :) Санкции > они для раскачки ситуации в Крыму, чтобы устроить там майданы и революции. > Но жители Крыма нынче своими глазами видят, сколько вкладывается средств > в инфраструктуру, как строятся днём и ночью автодороги (да-да, даже ночью, > кто не верит может сам слетать и посмотреть), и понимают, что 30 лет их > налоги просто куда-то выкачивались, и лишь сейчас ситуация хоть как-то > нормализуется. Я с крымчанами тоже беседовал. В 15-16 годах. Там присутствовало мнение, что это всё, увы, тоже больше для PR, а самих их потихоньку выдавливают из Крыма (жизнь дорожает, а зарплаты не растут). Собственность же скупают граждане из Москвы. Не рядовые, разумеется. Я бы, пожалуй, заподозрил, что в таком раскладе именно для них, а не для крымчан, строятся эти дороги. Хотя, конечно, Штатам для PR выгодно как раз раскачать ситуацию в Крыму, не вопрос.
Re: Проиграна ли борьба за вычислительную свободу?
artiom -> debian-russian@lists.debian.org @ Sat, 10 Aug 2019 07:40:08 +0300: > И это крайность, печально что "отстаивать интересны" однозначно ассоциируется > с "баррикадами". О неработоспособности трех предыдущих коробок вы сообщили сами. Евгений, вы действительно не понимаете, что против доморощенных "технических методов", государство выставит десять технических и пять законов, причём за ваш счёт? >>> Вам действительно платят за троллинг в рассылке и попытки убедить технарей, >>> что они бессильны против государства с его "слугами народа", принимающими >>> один за другим неработающие законы-страшилки? Ну-ну, это забавно. :) >> >> Скорее на баррикады зазывает. >> >> Только недавно подумал: что-то давно в рассылке никакого срача не было, и на >> тебе. >>
Re: Проиграна ли борьба за вычислительную свободу?
09.08.2019 11:14, Eugene Berdnikov пишет: On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote: On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Наоборот. Государство может что-то заставлять делать своих граждан. А те, кто пишет браузеры, на этот казахстан кладут, им законодательные инициативы в какой-то крошечной дырке мира совершенно неинтересны. Конечно. Но если это большая дырка, в которой живёт большинство разработчиков браузера, и зарегистрирована компания, разговор другой. Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить проблему технически, потому что её причины лежат в другой плоскости. Можно, и вообще многие нетехнические проблемы вполне себе можно решать техническими методами. Для этого и существуют замки, заборы, шифрование... А последний яркий пример в IT это то как мессенджер Телеграмм вполне себе техническими методами избавил нас от гэбешников, которые хотят легимитизировать своё желание залезать в чью-то личную переписку. Паша Дуров вообще молодец, что борется против гэбешников и не соблюдает законы РФ. Не совсем, правда, понятно, почему он не борется против црушников и соблюдает законы США. Может потому, что бабки его в иностранных банках находятся и могут быть в любой момент заморожены. Может прекратим разводить "политпросвет для идиотов" в рассылке? Она всё таки техническая. Тут конечно политидиоты есть как и везде, но рассылка о другом и процент идиотов всё же поменьше. И государство ничего сделать не может, только поливает Пашу Дурова и Телеграмм грязью, мол, наркодилеры им пользуются, поэтому он плохой. Точно так же на казахов можно найти действенные технические методы. Вы же на аргументы технического плана всё время повторяете, как мантру, что вопрос решить технически невозможно... Не умеете -- не решайте. :) Только если хотите убедить в чём-то нас, то отвечайте техническими аргументами, иначе это смотрится как попытки промывать нам мозги.
Re: Проиграна ли борьба за вычислительную свободу?
On Sat, Aug 10, 2019 at 09:26:54AM +0300, Victor Wagner wrote: > > > Не может фирма не зависеть от государства. > > > > Может, просто она должна зависеть от другого государства. Ex: > > Телеграмм. > > Вы правда считаете что другое государство более заинтересовано в вашем > благополучии, чем это? Другое государство в данном случае более заинтересовано в сборе налогов с фирмы в его юрисдикции, нежели в подкармливании российских оборотней в погонах, принимающих в России удобные для своего "бизнеса" законы. > Вот посмотрите на жителей Крыма которым взяли и обрезали доступ ко всем > ресурсам в юрисдикции США, от платежных систем до гитхаба. Просто > для того, чтобы наказать то государство, которое теперь с этого Крыма > собирает налоги. Государство этим не накажешь, для него это как слону дробина. :) Санкции они для раскачки ситуации в Крыму, чтобы устроить там майданы и революции. Но жители Крыма нынче своими глазами видят, сколько вкладывается средств в инфраструктуру, как строятся днём и ночью автодороги (да-да, даже ночью, кто не верит может сам слетать и посмотреть), и понимают, что 30 лет их налоги просто куда-то выкачивались, и лишь сейчас ситуация хоть как-то нормализуется. -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
В Fri, 9 Aug 2019 23:04:35 +0300 Eugene Berdnikov пишет: > > Не может фирма не зависеть от государства. > > Может, просто она должна зависеть от другого государства. Ex: > Телеграмм. Вы правда считаете что другое государство более заинтересовано в вашем благополучии, чем это? Это государство хотя бы налоги с вас собирает, поэтому подкармливает овец, которых стрижет, и защищает их от волков. Другое - прекрасно разменяет ваши интересы и вашу жизнь на сиюминутные pr-эффект во внутренней политике. Вот посмотрите на жителей Крыма которым взяли и обрезали доступ ко всем ресурсам в юрисдикции США, от платежных систем до гитхаба. Просто для того, чтобы наказать то государство, которое теперь с этого Крыма собирает налоги. -- Victor Wagner
Re: Проиграна ли борьба за вычислительную свободу?
Здравствуйте! > Tox может, jami может, даже XMPP-based сеть в какой-то степени > может. Но не telegram и не signal. А Delta Chat как? Может? На старом же протоколе работает, самом древнем пожалуй... -- Евгений Кабанов
Re: Проиграна ли борьба за вычислительную свободу?
И это крайность, печально что "отстаивать интересны" однозначно ассоциируется с "баррикадами". 10.08.2019 00:25, li...@mail.ru пишет: 09.08.2019 23:24, Eugene Berdnikov пишет: On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote: Евгений, вы действительно не понимаете, что против доморощенных "технических методов", государство выставит десять технических и пять законов, причём за ваш счёт? Вам действительно платят за троллинг в рассылке и попытки убедить технарей, что они бессильны против государства с его "слугами народа", принимающими один за другим неработающие законы-страшилки? Ну-ну, это забавно. :) Скорее на баррикады зазывает. Только недавно подумал: что-то давно в рассылке никакого срача не было, и на тебе.
Re: Проиграна ли борьба за вычислительную свободу?
09.08.2019 23:24, Eugene Berdnikov пишет: On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote: Евгений, вы действительно не понимаете, что против доморощенных "технических методов", государство выставит десять технических и пять законов, причём за ваш счёт? Вам действительно платят за троллинг в рассылке и попытки убедить технарей, что они бессильны против государства с его "слугами народа", принимающими один за другим неработающие законы-страшилки? Ну-ну, это забавно. :) Скорее на баррикады зазывает. Только недавно подумал: что-то давно в рассылке никакого срача не было, и на тебе.
Re: Проиграна ли борьба за вычислительную свободу?
09.08.2019 23:24, Eugene Berdnikov пишет: On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote: 09.08.2019 11:14, Eugene Berdnikov пишет: On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote: On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Наоборот. Государство может что-то заставлять делать своих граждан. А те, кто пишет браузеры, на этот казахстан кладут, им законодательные инициативы в какой-то крошечной дырке мира совершенно неинтересны. Конечно. Но если это большая дырка, в которой живёт большинство разработчиков браузера, и зарегистрирована компания, разговор другой. Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить проблему технически, потому что её причины лежат в другой плоскости. Можно, и вообще многие нетехнические проблемы вполне себе можно решать техническими методами. Для этого и существуют замки, заборы, шифрование... Ваш замок вместе с забором вышибет ОМОН, а против шифрования применят ректальный криптоанализ, если ваша неприкосновенность для этого не обеспечена законом. Да уж, оочень сильный ответ на вопрос в самой верхней цитате, о том как ГБ заставит чужой браузер отдать в JS не тот фингерпринт, который ГБ нужен. Оказывается... вышибанием дверей и ректальным криптоанализом! Надо полагать, применительно к разработчикам браузеров и сотен тысяч сайтов по всему миру. Вот так просто вылетит из крошечной задницы мира суровый казахский спецназ и покажет всем несогласным на планете кузькину мать... Жуть. :)) Вы же сами привели такой пример. Евгений, вы действительно не понимаете, что против доморощенных "технических методов", государство выставит десять технических и пять законов, причём за ваш счёт? Вам действительно платят за троллинг в рассылке и попытки убедить технарей, что они бессильны против государства с его "слугами народа", принимающими один за другим неработающие законы-страшилки? Ну-ну, это забавно. :) Вы либо дурак, либо успешно притворяетесь, хотя не отрицаю, что у вас паранойя и вы читаете лишь то, что подтверждает вашу "точку зрения", а к "технарям" я бы лично вас не отнёс, скорее к "техникам". Дальше разговаривать не имеет смысла.
Re: Проиграна ли борьба за вычислительную свободу?
On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote: > > > 09.08.2019 11:14, Eugene Berdnikov пишет: > > On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote: > > > > On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: > > > > > > Как ГБ может заставить чужой браузер > > > > > > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > > > > > > интересного юзеру сайта, а не тот, который в подсунутом > > > > > > чекистами > > > > > > сертификате? > > > > > > > > > > Изначальная посылка была в том, что государство может заставить > > > > > браузер установить их корневой сертификат. > > > > > Не пользователя. > > > > > > > >Наоборот. Государство может что-то заставлять делать своих граждан. > > > >А те, кто пишет браузеры, на этот казахстан кладут, им > > > > законодательные > > > >инициативы в какой-то крошечной дырке мира совершенно неинтересны. > > > > > > > > > > Конечно. Но если это большая дырка, в которой живёт большинство > > > разработчиков браузера, и зарегистрирована компания, разговор другой. > > > Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить > > > проблему технически, потому что её причины лежат в другой плоскости. > > > > Можно, и вообще многие нетехнические проблемы вполне себе можно решать > > техническими методами. Для этого и существуют замки, заборы, шифрование... > > Ваш замок вместе с забором вышибет ОМОН, а против шифрования применят > ректальный криптоанализ, если ваша неприкосновенность для этого не > обеспечена законом. Да уж, оочень сильный ответ на вопрос в самой верхней цитате, о том как ГБ заставит чужой браузер отдать в JS не тот фингерпринт, который ГБ нужен. Оказывается... вышибанием дверей и ректальным криптоанализом! Надо полагать, применительно к разработчикам браузеров и сотен тысяч сайтов по всему миру. Вот так просто вылетит из крошечной задницы мира суровый казахский спецназ и покажет всем несогласным на планете кузькину мать... Жуть. :)) > Евгений, вы действительно не понимаете, что против доморощенных "технических > методов", государство выставит десять технических и пять законов, причём за > ваш счёт? Вам действительно платят за троллинг в рассылке и попытки убедить технарей, что они бессильны против государства с его "слугами народа", принимающими один за другим неработающие законы-страшилки? Ну-ну, это забавно. :) -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
Защита канала данных не спасает от анализа метаинформации. Информация о том, что абонент с номером таким-то передал сттолько-то байт абоненту с номером таким-то и в ответ получил столько-то байт - все равно останется в логах сервера и будет доступна государству.ю Да пожалуйста! Законопослушного человека мало волнует то, что государство знает, с кем он разговаривал. Это для преступников выявление связей смерти подобно. Знаете, как легко изменяются законы, и такой вчера "законопослушный человек" становится бандитом? А все его "связи" также ставятся под наблюдение. Вы от 30 годах XX века почитайте, хотя бы про СССР. И обычным людям хочется защиты их личной жизни вообще и переписки в частности, бандитам же наплевать что переписка читается, они шифруются и применяют эзопов язык. Поэтому прослушка выгодна оборотням в погонах, чтобы доить бизнес, но плохо помогает против криминала. А зачем "нормальным законопослушным людям" нужна защита от государства, которое их защищает? Если бы власти действительно хотели бы бороться с криминалом, они бы занимались выявлением связей. А то, что происходит у нас, это по сути такой бизнес силовиков под прикрытием лозунгов о "борьбе с терроризмом". Это нормально. Оно происходит везде. И каждый по мере возможностей тыкает на тех, кто играет в другой песочнице: https://www.kp.ru/daily/26327.2/3209366/
Re: Проиграна ли борьба за вычислительную свободу?
On Fri, Aug 09, 2019 at 10:29:13PM +0300, Victor Wagner wrote: > > > Задача создания защищенного от господслушивания мессенджера > > > действительно имеет техническое решение, но этим решением не может > > > быть коммерческая фирма с централизованными серверами и привязкой к > > > сотовому номеру. > > > > Ну почему же? От госпрослушивания -- очень даже может, если эта фирма > > не зависит от государства. Централизация серверов и привязка к номеру > > Не может фирма не зависеть от государства. Может, просто она должна зависеть от другого государства. Ex: Телеграмм. > > никак не мешают защите канала передачи данных. Не путать с защитой > > данных на конечных узлах, это другая задача. > > Защита канала данных не спасает от анализа метаинформации. Информация > о том, что абонент с номером таким-то передал сттолько-то байт абоненту > с номером таким-то и в ответ получил столько-то байт - все равно > останется в логах сервера и будет доступна государству.ю Да пожалуйста! Законопослушного человека мало волнует то, что государство знает, с кем он разговаривал. Это для преступников выявление связей смерти подобно. И обычным людям хочется защиты их личной жизни вообще и переписки в частности, бандитам же наплевать что переписка читается, они шифруются и применяют эзопов язык. Поэтому прослушка выгодна оборотням в погонах, чтобы доить бизнес, но плохо помогает против криминала. Если бы власти действительно хотели бы бороться с криминалом, они бы занимались выявлением связей. А то, что происходит у нас, это по сути такой бизнес силовиков под прикрытием лозунгов о "борьбе с терроризмом". -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
Нет, приходит сообщение, что письмо с отпиской надо отправить на адрес ... . Это давняя тема. Может уже поправили, тогда неплохо. 09.08.2019 13:01, Dmitry Alexandrov пишет: artiom wrote: тут кривые настройки рассылки, и письмо, менее какого-то размера заворачивается сервером рассылки. Серьезно? Ни разу пока не сталкивался. Или оно _молча_ заворачивается?
Re: Проиграна ли борьба за вычислительную свободу?
09.08.2019 22:33, Victor Wagner пишет: В Fri, 9 Aug 2019 20:13:14 +0300 artiom пишет: Шифрование тут не поможет, его возможно запретить и обнаружить шифрованный траффик в канале по высокой энтропии, купив такую систему за счёт налогоплательщиков, которых и ограничивают. Шифрование надо комбинировать со стеганографией. Вот как раз спрятать где-то внутри аудио-или видеопотока узкий (текстовый) канал с высокой энтропией легче, чем там же спрятать канал с низкой энтропией. Лист надо прятать в лесу, и маскировать 80 байт траффика который не хочется показывать государству 8 мегабайтами траффика, который ничего предосудительного не содержит. Вот такие технические меры могут сработать. Очевидно. Только, если на то пошло, сразу возникнут некоторые вопросы: почему вдруг у вас объём трафика увеличился в 10 раз, когда включение сжатия и вообще RTSP с его передачей дифов, вполне обеспечивает трансляцию видео и на меньших по скорости каналах? Короче, это всё "игра в разведку", тут права свои отстаивать надо, и уж только затем их техническими методами обеспечивать. А так, что толку? Придут к вам домой и заберут всю технику без санкции, потому что используя ваш поломанный 0-day роутер, какой-нибудь Айрат Баширов написал о покраске заборов, и стеганография, да шифрование тут не помогут.
Re: Проиграна ли борьба за вычислительную свободу?
В Fri, 9 Aug 2019 20:13:14 +0300 artiom пишет: > > Шифрование тут не поможет, его возможно запретить и обнаружить > шифрованный траффик в канале по высокой энтропии, купив такую систему > за счёт налогоплательщиков, которых и ограничивают. Шифрование надо комбинировать со стеганографией. Вот как раз спрятать где-то внутри аудио-или видеопотока узкий (текстовый) канал с высокой энтропией легче, чем там же спрятать канал с низкой энтропией. Лист надо прятать в лесу, и маскировать 80 байт траффика который не хочется показывать государству 8 мегабайтами траффика, который ничего предосудительного не содержит. Вот такие технические меры могут сработать. в-- Victor Wagner
Re: Проиграна ли борьба за вычислительную свободу?
В Fri, 9 Aug 2019 17:23:22 +0300 Eugene Berdnikov пишет: > > > Задача создания защищенного от господслушивания мессенджера > > действительно имеет техническое решение, но этим решением не может > > быть коммерческая фирма с централизованными серверами и привязкой к > > сотовому номеру. > > Ну почему же? От госпрослушивания -- очень даже может, если эта фирма > не зависит от государства. Централизация серверов и привязка к номеру Не может фирма не зависеть от государства. У нее есть счет в банке, который государство (то, на чьей территории находится этот банк) может арестовать. Централизованные сервера где-то размещены физически, и государственные правоохранительные органы (того государства, где размещен этот датацентр) могут их конфисковать. > никак не мешают защите канала передачи данных. Не путать с защитой > данных на конечных узлах, это другая задача. Защита канала данных не спасает от анализа метаинформации. Информация о том, что абонент с номером таким-то передал сттолько-то байт абоненту с номером таким-то и в ответ получил столько-то байт - все равно останется в логах сервера и будет доступна государству.ю > > А вот понимание того, что госпрослушка в 99.99% случаев будет кормить > разных оборотней в погонах, и лишь в 0.01% помогать ловить шпионов и > террористов, это понимание у обывателя вполне себе присутствует. Я пою о том, что оборотни в американских погонах ничуть не лучше оборотней в российских или китайских погонах. -- Victor Wagner
Re: Проиграна ли борьба за вычислительную свободу?
09.08.2019 11:14, Eugene Berdnikov пишет: On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote: On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Наоборот. Государство может что-то заставлять делать своих граждан. А те, кто пишет браузеры, на этот казахстан кладут, им законодательные инициативы в какой-то крошечной дырке мира совершенно неинтересны. Конечно. Но если это большая дырка, в которой живёт большинство разработчиков браузера, и зарегистрирована компания, разговор другой. Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить проблему технически, потому что её причины лежат в другой плоскости. Можно, и вообще многие нетехнические проблемы вполне себе можно решать техническими методами. Для этого и существуют замки, заборы, шифрование... Ваш замок вместе с забором вышибет ОМОН, а против шифрования применят ректальный криптоанализ, если ваша неприкосновенность для этого не обеспечена законом. А последний яркий пример в IT это то как мессенджер Телеграмм вполне себе техническими методами избавил нас от гэбешников, которые хотят легимитизировать своё желание залезать в чью-то личную переписку. И государство ничего сделать не может, только поливает Пашу Дурова и Телеграмм грязью, мол, наркодилеры им пользуются, поэтому он плохой. Да не смешите. Или вы серьёзно верите? Ну, в принципе, ясно: "Верую, ибо абсурдно". Точно так же на казахов можно найти действенные технические методы. Евгений, вы действительно не понимаете, что против доморощенных "технических методов", государство выставит десять технических и пять законов, причём за ваш счёт? У "защищающихся" же просто не будет ресурсов этому противостоять. Если же это противоборство двух государств, вступает правило "щита и меча", и начинается борьба. Обычно проигрывает тот, у кого меньше ресурсов. Шифрование тут не поможет, его возможно запретить и обнаружить шифрованный траффик в канале по высокой энтропии, купив такую систему за счёт налогоплательщиков, которых и ограничивают. Вы будете платить тем, кто с вами борется, а вам потом за это ещё и руки открутят: шифрование работает тогда, когда вам законодательно обеспечивается право не свидетельствовать против себя, и это работает. Стеганография, что предложил В. Вагнер, теоретически может помочь. Но оно так не работает и в таком виде этого пока нет. Мало того, есть системы для определения монтажа видео и, соответственно, встраивания "левых" данных (хотите, ищите - французы для "своих" делали). "Отрицательные" же техники не работают массово и требуют серьёзной подготовки, следовательно, не решают проблему. Это не значит, что технические методы использовать не стоит: в конечном итоге всё сводится к ним. Но проблему надо решать в корне, а не маскировать симптомы. "Борьба с терроризмом" и подобное - это типичная совковая забава, причём играют в неё по всему миру, т.к. "бороться" кому-то очень выгодно, а вы предлагаете их проспонсировать. Вы же на аргументы технического плана всё время повторяете, как мантру, что вопрос решить технически невозможно... Не умеете -- не решайте. :) Умею, иногда вопросы защиты решаю по роду деятельности. Только если хотите убедить в чём-то нас, то отвечайте техническими аргументами, иначе это смотрится как попытки промывать нам мозги. Так какими техническими аргументами вам отвечать? Я вам уже предложил вариант с токенами. Но вам сказано, что проблема нетехнического плана, но почему-то вы упорно пытаетесь не учитывать в безопасности юридические и социальные аспекты, и ограничены лишь пресловутыми "техническими методами". Не понимаете этого - решайте проблему, а я посмотрю, т.к. "промывать мозги" вам, точно мне не требуется, поскольку слишком затратно и для меня толку ноль.
Re: Проиграна ли борьба за вычислительную свободу?
А, ясно. Думал вообще полный блэклист с запретом установки своего. Понял. 09.08.2019 09:34, Victor Wagner пишет: On Fri, 9 Aug 2019 00:39:17 +0300 artiom wrote: 08.08.2019 10:31, Victor Wagner пишет: On Thu, 8 Aug 2019 09:47:48 +0300 artiom wrote: > Как ГБ может заставить чужой браузер > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен > быть у интересного юзеру сайта, а не тот, который в подсунутом > чекистами сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Это не совсем верная посылка. Поскольку обсуждение в списке рассылки Mozilla было на тему "а надо ли разрешать пользователю ставить такой сертификат, или его следует жестоко заблеклистить" Любопытно. А если пользователь развёртывает систему на изолированном заводе, при этом все его сертификаты, пользуемые WebUI, самоподписанные, но он не хочет, чтобы операторам браузер как-то сообщал о "левом сертификате" (и не сообщал о реально "левом")? Ну очевидно сертификат изолировнного от интернета CA не попадет в блеклист, встроенный в браузер, именно потому, что разработчикам браузера про этот сертификат никто не сообщит. С Казахстаном-то проблема не в том, что это изолированная среда, а как раз в том, что они хотели работать в публичном международном интернете. А так-то подобные MitM сертификаты для корпоративных систем - стандартнейшая практика. Тут вам и антивирус, и intrusion detection.
Re: Проиграна ли борьба за вычислительную свободу?
On Fri, Aug 09, 2019 at 11:45:55AM +0300, Victor Wagner wrote: > Вся эта героическая борьба роскомнадзора с телеграмом выглядит как > "борьба нанайских мальчиков". Выглядит как госкомпозор. Думаю, все понимают, что это выливается в дискредитацию власти, но то ли кому-то это выгодно, то ли действительно наверху среди прикормленных и послушных оставили одних лишь дебилов. > Задача создания защищенного от господслушивания мессенджера > действительно имеет техническое решение, но этим решением не может > быть коммерческая фирма с централизованными серверами и привязкой к > сотовому номеру. Ну почему же? От госпрослушивания -- очень даже может, если эта фирма не зависит от государства. Централизация серверов и привязка к номеру никак не мешают защите канала передачи данных. Не путать с защитой данных на конечных узлах, это другая задача. > Tox может, jami может, даже XMPP-based сеть в какой-то степени может. > Но не telegram и не signal. Вы о чём-то своём поёте, Виктор. Может быть, о наличии единой точки управления у Телеграмма, или наличия персональных данных в одном центре, или контроля над программным кодом и протоколами передачи данных. Можно дискутировать о том, хорошо это или плохо. Да, наличие единого центра контроля имеет и плюсы, и минусы. В случае Телеграмма плюс в том, что он аккумулирует ресурсы на разработку и продвижение сервиса, на создание которого у рядового обывателя нет времени и сил. А вот понимание того, что госпрослушка в 99.99% случаев будет кормить разных оборотней в погонах, и лишь в 0.01% помогать ловить шпионов и террористов, это понимание у обывателя вполне себе присутствует. -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
artiom wrote: > тут кривые настройки рассылки, и письмо, менее какого-то размера > заворачивается сервером рассылки. Серьезно? Ни разу пока не сталкивался. Или оно _молча_ заворачивается? signature.asc Description: PGP signature
Re: Проиграна ли борьба за вычислительную свободу?
On Fri, 9 Aug 2019 11:14:31 +0300 Eugene Berdnikov wrote: > Можно, и вообще многие нетехнические проблемы вполне себе можно > решать техническими методами. Для этого и существуют замки, заборы, > шифрование... А последний яркий пример в IT это то как мессенджер > Телеграмм вполне себе техническими методами избавил нас от > гэбешников, которые хотят легимитизировать своё желание залезать в > чью-то личную переписку. И государство ничего сделать не может, > только поливает Пашу Дурова и Телеграмм грязью, мол, наркодилеры им > пользуются, поэтому он плохой. Что-то мне сомнительно, что случай с Дуровым не попадает под известную картинку с овечьим стадом и "Ты что и правда веришь, что человек и собака действуют заодно". Вся эта героическая борьба роскомнадзора с телеграмом выглядит как "борьба нанайских мальчиков". Задача создания защищенного от господслушивания мессенджера действительно имеет техническое решение, но этим решением не может быть коммерческая фирма с централизованными серверами и привязкой к сотовому номеру. Tox может, jami может, даже XMPP-based сеть в какой-то степени может. Но не telegram и не signal. Вообще, конечно интересным решением для независимой коммуникации было бы стеганографическое сокрытие текстового чата внутри аудио или видео конференции, которую ГБ имеет возможность слушать но не слышыт там ничего, кроме обсуждения пьянки с шашлыками или няшных котиков. Но тут наибольшую сложность вызывает необходимость правдоподобный аудио-видео поток с безобидным трепом. Поскольку не человеческие же силы на это тратить. --
Re: Проиграна ли борьба за вычислительную свободу?
On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote: > > On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: > > > >Как ГБ может заставить чужой браузер > > > >ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > > > >интересного юзеру сайта, а не тот, который в подсунутом чекистами > > > >сертификате? > > > > > > Изначальная посылка была в том, что государство может заставить > > > браузер установить их корневой сертификат. > > > Не пользователя. > > > > Наоборот. Государство может что-то заставлять делать своих граждан. > > А те, кто пишет браузеры, на этот казахстан кладут, им законодательные > > инициативы в какой-то крошечной дырке мира совершенно неинтересны. > > > > Конечно. Но если это большая дырка, в которой живёт большинство > разработчиков браузера, и зарегистрирована компания, разговор другой. > Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить > проблему технически, потому что её причины лежат в другой плоскости. Можно, и вообще многие нетехнические проблемы вполне себе можно решать техническими методами. Для этого и существуют замки, заборы, шифрование... А последний яркий пример в IT это то как мессенджер Телеграмм вполне себе техническими методами избавил нас от гэбешников, которые хотят легимитизировать своё желание залезать в чью-то личную переписку. И государство ничего сделать не может, только поливает Пашу Дурова и Телеграмм грязью, мол, наркодилеры им пользуются, поэтому он плохой. Точно так же на казахов можно найти действенные технические методы. Вы же на аргументы технического плана всё время повторяете, как мантру, что вопрос решить технически невозможно... Не умеете -- не решайте. :) Только если хотите убедить в чём-то нас, то отвечайте техническими аргументами, иначе это смотрится как попытки промывать нам мозги. -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
On Fri, 9 Aug 2019 00:39:17 +0300 artiom wrote: > 08.08.2019 10:31, Victor Wagner пишет: > > On Thu, 8 Aug 2019 09:47:48 +0300 > > artiom wrote: > > > >> > Как ГБ может заставить чужой браузер > >> > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен > >> > быть у интересного юзеру сайта, а не тот, который в подсунутом > >> > чекистами сертификате? > >> > >> Изначальная посылка была в том, что государство может заставить > >> браузер установить их корневой сертификат. > >> Не пользователя. > > > > Это не совсем верная посылка. Поскольку обсуждение в списке рассылки > > Mozilla было на тему "а надо ли разрешать пользователю ставить такой > > сертификат, или его следует жестоко заблеклистить" > > > > Любопытно. А если пользователь развёртывает систему на изолированном > заводе, при этом все его сертификаты, пользуемые WebUI, > самоподписанные, но он не хочет, чтобы операторам браузер как-то > сообщал о "левом сертификате" (и не сообщал о реально "левом")? Ну очевидно сертификат изолировнного от интернета CA не попадет в блеклист, встроенный в браузер, именно потому, что разработчикам браузера про этот сертификат никто не сообщит. С Казахстаном-то проблема не в том, что это изолированная среда, а как раз в том, что они хотели работать в публичном международном интернете. А так-то подобные MitM сертификаты для корпоративных систем - стандартнейшая практика. Тут вам и антивирус, и intrusion detection. --
Re: Проиграна ли борьба за вычислительную свободу?
On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Наоборот. Государство может что-то заставлять делать своих граждан. А те, кто пишет браузеры, на этот казахстан кладут, им законодательные инициативы в какой-то крошечной дырке мира совершенно неинтересны. Конечно. Но если это большая дырка, в которой живёт большинство разработчиков браузера, и зарегистрирована компания, разговор другой. Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить проблему технически, потому что её причины лежат в другой плоскости. P.S. Не надо в письмо включать полную копию предыдущего, здесь это считается моветоном. Ok. Только есть проблема: тут кривые настройки рассылки, и письмо, менее какого-то размера заворачивается сервером рассылки.
Re: Проиграна ли борьба за вычислительную свободу?
08.08.2019 10:31, Victor Wagner пишет: On Thu, 8 Aug 2019 09:47:48 +0300 artiom wrote: > Как ГБ может заставить чужой браузер > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > интересного юзеру сайта, а не тот, который в подсунутом чекистами > сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Это не совсем верная посылка. Поскольку обсуждение в списке рассылки Mozilla было на тему "а надо ли разрешать пользователю ставить такой сертификат, или его следует жестоко заблеклистить" Любопытно. А если пользователь развёртывает систему на изолированном заводе, при этом все его сертификаты, пользуемые WebUI, самоподписанные, но он не хочет, чтобы операторам браузер как-то сообщал о "левом сертификате" (и не сообщал о реально "левом")? Далеко не всякое государство может себе позволить заставить чего-то производителей браузера. Американское может, китайское - ну, вероятно, российское - под большим вопросом, а уж казахское... Да это всё ясно. Тут одно государсство только возможно предполагать. Самое демократичное. Была пара случаев когда национальные CA - какого-то из эмиратов Персидского Залива и китайский пропихивали свои сертификаты в браузер, а ПОТОМ были пойманы на использовании этих сертификатов для MiTM и с позором выкинуты из ca-bundle. Хм... Недавно, вроде было. Обернулось скандалом, потому что, опять же, демократично выкинули, а доказать, что выдаваемые (и корневой, соответственно) сертификаты использовались как-то неправильно, увы, не смогли.
Re: Проиграна ли борьба за вычислительную свободу?
On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote: > > Как ГБ может заставить чужой браузер > > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > > интересного юзеру сайта, а не тот, который в подсунутом чекистами > > сертификате? > > Изначальная посылка была в том, что государство может заставить > браузер установить их корневой сертификат. > Не пользователя. Наоборот. Государство может что-то заставлять делать своих граждан. А те, кто пишет браузеры, на этот казахстан кладут, им законодательные инициативы в какой-то крошечной дырке мира совершенно неинтересны. P.S. Не надо в письмо включать полную копию предыдущего, здесь это считается моветоном. -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
On Thu, 8 Aug 2019 09:47:48 +0300 artiom wrote: > > Как ГБ может заставить чужой браузер > > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > > интересного юзеру сайта, а не тот, который в подсунутом чекистами > > сертификате? > > Изначальная посылка была в том, что государство может заставить > браузер установить их корневой сертификат. > Не пользователя. Это не совсем верная посылка. Поскольку обсуждение в списке рассылки Mozilla было на тему "а надо ли разрешать пользователю ставить такой сертификат, или его следует жестоко заблеклистить" Далеко не всякое государство может себе позволить заставить чего-то производителей браузера. Американское может, китайское - ну, вероятно, российское - под большим вопросом, а уж казахское... Была пара случаев когда национальные CA - какого-то из эмиратов Персидского Залива и китайский пропихивали свои сертификаты в браузер, а ПОТОМ были пойманы на использовании этих сертификатов для MiTM и с позором выкинуты из ca-bundle. --
Re: Проиграна ли борьба за вычислительную свободу?
> Как ГБ может заставить чужой браузер > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > интересного юзеру сайта, а не тот, который в подсунутом чекистами > сертификате? Изначальная посылка была в том, что государство может заставить браузер установить их корневой сертификат. Не пользователя. Если контроль производится через пользователя неким казахстанским правительством (а не демократичным, которое может обязать браузеры), то в частном случае, такой механизм временно эту проблему решит, пока государство не обяжет что-то ещё, снова потеряв доступ к данным. > Свой ключ ещё надёжнее, потому как не передаётся удостоверяющему центру. > А токен, переданный третьей стороной, может быть этой же стороной слит > в ГБ по требованию госорганов. Им это намного легче сделать, чем добыть > ключ, который никогда не покидал хозяина. > Канал возможно считать надёжным. А как заметил Виктор Вагнер, ключ возможно сгенерировать и на токене. Или вы на ЦРУ работаете? Просто это крайне неудобный вариант обмена ключами, плюс, законодательно могут обязать передавать ключи, например: "Заключил договор, получил токен - передай ключ, не передал - до трёх лет, за передачу без договора - до пяти". Эта проблема не решается технически. 06.08.2019 15:26, Eugene Berdnikov пишет: On Tue, Aug 06, 2019 at 10:17:37AM +0300, artiom wrote: Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата, то владелец сайта мог бы запрограммировать дополнительные проверки на то, что браузер получил именно тот сертификат, который принадлежит его сайту. Теоретически любую такую проверку можно обойти, но практически государству легче будет поломать ключи всех корневых сертификатов брутфорсом, нежели бороться с тысячами "вражеских" сайтов, постоянно меняющих код. :) Да всё я понял. Не будет государство ничего ломать. Когда есть рычаг давления, позволяющий внедрить чужой сертификат, можно обязать браузер возвращать JS коду владельца поля его сертификата, даже если он подписан "вражеским" и есть госмитм. Вариантов, как сделать подобное, - множество. Эта проблема не решается технически. О, как интересно. Расскажите подробнее. Вот браузер ПолярнаяЛиса, который юзер себе поставил с плеймаркета, вот сертификат от ГБ, который ему пришлось поставить, чтобы выйти в интернет (без него чекисты не выпускают), вот код на JS, который читает поля сертификата и проверяет, скажем, фингерпринт. Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? Я пока не вижу иного выхода для владельца сайта, кроме как выдавать пользователям клиентские сертификаты и требовать их для доступа к ценным данным. Так уже есть токены. Токен это хранилище ключа, а клиента в модели x509 удостоверяет сертификат. Независимо от того, как клиент хранит свой ключ, в файле или в тукене. Когда вам отдают токен, вы можете быть уверены, что там ключ именно того, кто его передаёт (считаем, что механизмы передачи надёжны). Свой ключ ещё надёжнее, потому как не передаётся удостоверяющему центру. А токен, переданный третьей стороной, может быть этой же стороной слит в ГБ по требованию госорганов. Им это намного легче сделать, чем добыть ключ, который никогда не покидал хозяина.
Re: Проиграна ли борьба за вычислительную свободу?
Eugene Berdnikov wrote: > On Tue, Aug 06, 2019 at 10:17:37AM +0300, artiom wrote: >>> Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата, >>> то владелец сайта мог бы запрограммировать дополнительные проверки на то, >>> что браузер получил именно тот сертификат, который принадлежит его сайту. >> >> Да всё я понял. Не будет государство ничего ломать. Когда есть рычаг >> давления, позволяющий внедрить чужой сертификат, можно обязать браузер >> возвращать JS коду владельца поля его сертификата… > > О, как интересно. Расскажите подробнее. Вот браузер ПолярнаяЛиса, который > юзер себе поставил с плеймаркета, вот сертификат от ГБ, который ему пришлось > поставить, чтобы выйти в интернет (без него чекисты не выпускают), вот код на > JS, который читает поля сертификата и проверяет, скажем, фингерпринт. Не могу не заметить, что с такими исходными посылками решение получается куда проще и надежнее — забанить все казахские адреса. signature.asc Description: PGP signature
Re: Проиграна ли борьба за вычислительную свободу?
On Tue, 6 Aug 2019 15:26:48 +0300 Eugene Berdnikov wrote: > > > > Когда вам отдают токен, вы можете быть уверены, что там ключ именно > > того, кто его передаёт (считаем, что механизмы передачи надёжны). > > Свой ключ ещё надёжнее, потому как не передаётся удостоверяющему > центру. А токен, переданный третьей стороной, может быть этой же > стороной слит в ГБ по требованию госорганов. Им это намного легче > сделать, чем добыть ключ, который никогда не покидал хозяина. Токен, вообще говоря, поддерживает интерфейсы PKCS#11 и PKCS#15, которые позволяют сгенерировать ключ прямо на нем. Это будет еще лучше - ключ, который никогда не покидал токена, и был на этом токене создан только после того, как токен попал в руки к хозяину. --
Re: Проиграна ли борьба за вычислительную свободу?
On Tue, Aug 06, 2019 at 10:17:37AM +0300, artiom wrote: > > Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата, > > то владелец сайта мог бы запрограммировать дополнительные проверки на то, > > что браузер получил именно тот сертификат, который принадлежит его сайту. > >> Теоретически любую такую проверку можно обойти, но практически > государству > > легче будет поломать ключи всех корневых сертификатов брутфорсом, нежели > > бороться с тысячами "вражеских" сайтов, постоянно меняющих код. :) > > > > Да всё я понял. > Не будет государство ничего ломать. > Когда есть рычаг давления, позволяющий внедрить чужой сертификат, > можно обязать браузер возвращать JS коду владельца поля его > сертификата, даже если он подписан "вражеским" и есть госмитм. > Вариантов, как сделать подобное, - множество. > Эта проблема не решается технически. О, как интересно. Расскажите подробнее. Вот браузер ПолярнаяЛиса, который юзер себе поставил с плеймаркета, вот сертификат от ГБ, который ему пришлось поставить, чтобы выйти в интернет (без него чекисты не выпускают), вот код на JS, который читает поля сертификата и проверяет, скажем, фингерпринт. Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? > >>>Я пока не вижу иного выхода для > >>> владельца сайта, кроме как выдавать пользователям клиентские > >>> сертификаты и требовать их для доступа к ценным данным. > >> > >>Так уже есть токены. > > > > Токен это хранилище ключа, а клиента в модели x509 удостоверяет сертификат. > > Независимо от того, как клиент хранит свой ключ, в файле или в тукене. > > > > Когда вам отдают токен, вы можете быть уверены, что там ключ именно > того, кто его передаёт (считаем, что механизмы передачи надёжны). Свой ключ ещё надёжнее, потому как не передаётся удостоверяющему центру. А токен, переданный третьей стороной, может быть этой же стороной слит в ГБ по требованию госорганов. Им это намного легче сделать, чем добыть ключ, который никогда не покидал хозяина. -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
On Sun, Aug 04, 2019 at 09:41:20PM +0300, artiom wrote: Интересно это прежде всего как неожиданный поворот для модели безопасности, основанной на 509х сертификатах. Поскольку API всех популярных браузеров на сегодняшний день не позволяют получить в javascript'e информацию о сертификате, то владельцу сайта непросто защитить всех своих посетителей от опасности местечкового MitM. Это естественная проблема всякого централизованного доверительного центра. И никакая "информация в JS" эту проблему не решит. Если браузеры выполнят требования о добавлении сертификата, значит имеется рычаг давления, позволяющий сделать что-угодно, в том числе не возвращать информацию о "левом" корневом сертификате в JS вызове. Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата, то владелец сайта мог бы запрограммировать дополнительные проверки на то, что браузер получил именно тот сертификат, который принадлежит его сайту. > Теоретически любую такую проверку можно обойти, но практически государству легче будет поломать ключи всех корневых сертификатов брутфорсом, нежели бороться с тысячами "вражеских" сайтов, постоянно меняющих код. :) Да всё я понял. Не будет государство ничего ломать. Когда есть рычаг давления, позволяющий внедрить чужой сертификат, можно обязать браузер возвращать JS коду владельца поля его сертификата, даже если он подписан "вражеским" и есть госмитм. Вариантов, как сделать подобное, - множество. Эта проблема не решается технически. Я пока не вижу иного выхода для владельца сайта, кроме как выдавать пользователям клиентские сертификаты и требовать их для доступа к ценным данным. Так уже есть токены. Токен это хранилище ключа, а клиента в модели x509 удостоверяет сертификат. Независимо от того, как клиент хранит свой ключ, в файле или в тукене. Когда вам отдают токен, вы можете быть уверены, что там ключ именно того, кто его передаёт (считаем, что механизмы передачи надёжны). Кто-нибудь знает более простое решение? Ну так известный же вам и всем остальным факт: всякая система основывается на доверии, и не имея доверенного канала (хотя бы защищённого от MitM) невозможно гарантированно надёжно обменяться ключами. Нет, всё гораздо сложнее. Есть, например, известный факт, что любое сколь угодно длинное число может быть разложено на простые множители. Вот только времена всех известных алгоритмов для решения этой задачи так быстро растут с длиной числа, что на этом основан метод шифрования RSA. Так что один лишь факт разложимости числа на практике оказывается недостаточен, есть ещё другие факторы, и они ЗНАЧИМЫ. Точно так же наличие MitM недостаточно, чтобы читать любую переписку, оно даёт такую возможность лишь для цензоров на сферических конях в вакууме, то есть в том случае, если другие значимые факторы считать не существующими. :) MitM с подменой ключей? Достаточно конечно. Как для чтения, так и для искажения.
Re: Проиграна ли борьба за вычислительную свободу?
> Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата, > то владелец сайта мог бы запрограммировать дополнительные проверки на то, > что браузер получил именно тот сертификат, который принадлежит его сайту. не у всех бывает включен жопоскрипт (у меня, например, по умолчанию выключен). а если и включен - то далеко не весь жс-быдлокод работает во всех браузерах как задумано (а точнее - работает не всегда и не всех). не говоря уже про то, что жс вообще никаким боком не должен относиться к шифрованию http-трафика))
Re: Проиграна ли борьба за вычислительную свободу?
On Sun, Aug 04, 2019 at 09:41:20PM +0300, artiom wrote: > > Интересно это прежде всего как неожиданный поворот для модели > > безопасности, основанной на 509х сертификатах. > > Поскольку API всех популярных браузеров на сегодняшний день > > не позволяют получить в javascript'e информацию о сертификате, > > то владельцу сайта непросто защитить всех своих посетителей от > > опасности местечкового MitM. > > Это естественная проблема всякого централизованного доверительного центра. > И никакая "информация в JS" эту проблему не решит. > Если браузеры выполнят требования о добавлении сертификата, значит имеется > рычаг давления, позволяющий сделать что-угодно, в том числе не возвращать > информацию о "левом" корневом сертификате в JS вызове. Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата, то владелец сайта мог бы запрограммировать дополнительные проверки на то, что браузер получил именно тот сертификат, который принадлежит его сайту. Теоретически любую такую проверку можно обойти, но практически государству легче будет поломать ключи всех корневых сертификатов брутфорсом, нежели бороться с тысячами "вражеских" сайтов, постоянно меняющих код. :) > > Я пока не вижу иного выхода для > > владельца сайта, кроме как выдавать пользователям клиентские > > сертификаты и требовать их для доступа к ценным данным. > > Так уже есть токены. Токен это хранилище ключа, а клиента в модели x509 удостоверяет сертификат. Независимо от того, как клиент хранит свой ключ, в файле или в тукене. > > Кто-нибудь знает более простое решение? > > Ну так известный же вам и всем остальным факт: всякая система основывается > на доверии, и не имея доверенного канала (хотя бы защищённого от MitM) > невозможно гарантированно надёжно обменяться ключами. Нет, всё гораздо сложнее. Есть, например, известный факт, что любое сколь угодно длинное число может быть разложено на простые множители. Вот только времена всех известных алгоритмов для решения этой задачи так быстро растут с длиной числа, что на этом основан метод шифрования RSA. Так что один лишь факт разложимости числа на практике оказывается недостаточен, есть ещё другие факторы, и они ЗНАЧИМЫ. Точно так же наличие MitM недостаточно, чтобы читать любую переписку, оно даёт такую возможность лишь для цензоров на сферических конях в вакууме, то есть в том случае, если другие значимые факторы считать не существующими. :) -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
On Sat, Aug 03, 2019 at 05:27:07PM +0300, artiom wrote: На этом фоне Казахстан со своим государственным MitM смотрится примерно так же как его бомбардировочная авиация на фоне американской. А что там снова властные дегенераты требуют? Я упустил опять. Требуют поставить в каждый браузер свой корневой сертификат. Чтобы иметь возмость генерить на лету и подписывать его ключом сертификаты для любых сайтов. Включая банковские, да. Всё это исключительно для безопасности юзеров, разумеется. :) А, вона как. Так это давно уже. А прошивки тут причём? Интересно это прежде всего как неожиданный поворот для модели безопасности, основанной на 509х сертификатах. Поскольку API всех популярных браузеров на сегодняшний день не позволяют получить в javascript'e информацию о сертификате, то владельцу сайта непросто защитить всех своих посетителей от опасности местечкового MitM. Это естественная проблема всякого централизованного доверительного центра. И никакая "информация в JS" эту проблему не решит. Если браузеры выполнят требования о добавлении сертификата, значит имеется рычаг давления, позволяющий сделать что-угодно, в том числе не возвращать информацию о "левом" корневом сертификате в JS вызове. > Я пока не вижу иного выхода для > владельца сайта, кроме как выдавать пользователям клиентские > сертификаты и требовать их для доступа к ценным данным. Так уже есть токены. > Кто-нибудь знает более простое решение? > Ну так известный же вам и всем остальным факт: всякая система основывается на доверии, и не имея доверенного канала (хотя бы защищённого от MitM) невозможно гарантированно надёжно обменяться ключами. Увы, вопрос политики, а заниматься люди ей не хотят, потому что их хата с краю, либо они достаточно узколобы и потому умны лишь в своей сфере (ну либо не имеют достаточно знаний в других). А давно известно, что если не заниматься ей, она займётся вами. Решить же социально-политические болезни и проблемы техническими методами не получится. В лучшем случае, любое ваше решение будет напоминать лечение гриппа парацетамолом и аспирином: голова болеть не будет и не будет температуры, но болезнь и осложнения не уйдут. Так что, увы, дальше будет только хуже, если иммунитет не заработает.
Re: Проиграна ли борьба за вычислительную свободу?
On Sat, Aug 03, 2019 at 05:27:07PM +0300, artiom wrote: > > На этом фоне Казахстан со своим государственным MitM смотрится примерно > > так же как его бомбардировочная авиация на фоне американской. > > > > А что там снова властные дегенераты требуют? > Я упустил опять. Требуют поставить в каждый браузер свой корневой сертификат. Чтобы иметь возмость генерить на лету и подписывать его ключом сертификаты для любых сайтов. Включая банковские, да. Всё это исключительно для безопасности юзеров, разумеется. :) Интересно это прежде всего как неожиданный поворот для модели безопасности, основанной на 509х сертификатах. Поскольку API всех популярных браузеров на сегодняшний день не позволяют получить в javascript'e информацию о сертификате, то владельцу сайта непросто защитить всех своих посетителей от опасности местечкового MitM. Я пока не вижу иного выхода для владельца сайта, кроме как выдавать пользователям клиентские сертификаты и требовать их для доступа к ценным данным. Кто-нибудь знает более простое решение? -- Eugene Berdnikov
Re: Проиграна ли борьба за вычислительную свободу?
Кстати, в огромном количестве случаев "чтобы она работала как нам надо" будет "поправить дурацкий глюк в драйвере WiFi" или что-то подобное, так что без драйверов никак. Ну это, кстати, нам всем Соединенные Штаты крепко подгадили. Еще пару лет назад купить «коробочку с вайфайем» по крайней мере бытового класса, где бы не только драйвер, но и прошивка радиомодуля была бы свободной, проблем не составляло. А теперь их просто _запрещено_ продавать. В США запрещено, но того более чем достаточно. Ну оплот свободы и либерализма любит в этом плане подгадить. То криптографию экспортировать запретят, то DRM на законодательном уровне потребуют, то вот это. Впрочем ЕС в этом плане им достойный соперник. На этом фоне Казахстан со своим государственным MitM смотрится примерно так же как его бомбардировочная авиация на фоне американской. А что там снова властные дегенераты требуют? Я упустил опять. Почему нельзя открытые прошивки с открытыми драйверами продавать?
Re: Проиграна ли борьба за вычислительную свободу?
31.07.2019 09:52, Victor Wagner пишет: skype, которым я в норме не пользуюсь, но под рукой на всякий случай держу. Хотя в вообще-то его вполне заменяет файрфокс и сайт skype.com). Больше не заменяет: > Браузер не поддерживается > Вы можете использовать браузер Microsoft Edge или Google Chrome для > работы со Скайп фор Веб. -- Alexander Galanin
Re: Проиграна ли борьба за вычислительную свободу? (was: systemd-networkd)
On Wed, 31 Jul 2019 07:40:09 +0300 Dmitry Alexandrov <321...@gmail.com> wrote: > > Кажется, вы вплотную подошли к тому, чтобы сформулировать парадокс > Брэдли Куна: свободных программ все больше и больше, а _выжить_ без > несвободных все тяжелее и тяжелее. Ну это на мой взгляд, некоторое преувеличение. Если исключить Firefox лицензию которого вы в соседнем сообщении исключительно аргументировано разбиваете в пух и прах, то у меня на домашнем компьютере последние несколько лет нет НИ ОДНОЙ несвободной программы, а зачастую и ни одного несвободного драйвера. (хотя нет вру, там еще лежит в уголку skype, которым я в норме не пользуюсь, но под рукой на всякий случай держу. Хотя в вообще-то его вполне заменяет файрфокс и сайт skype.com). Еще несколько лет назад я не мог обойтись без Acrobat Reader-а, еще раньше - без VMWare. Сейчас evince и qemu все необходимое в этом плане делают. > >> Кстати, в огромном количестве случаев "чтобы она работала как нам > >> надо" будет "поправить дурацкий глюк в драйвере WiFi" или что-то > >> подобное, так что без драйверов никак. > > Ну это, кстати, нам всем Соединенные Штаты крепко подгадили. Еще > пару лет назад купить «коробочку с вайфайем» по крайней мере бытового > класса, где бы не только драйвер, но и прошивка радиомодуля была бы > свободной, проблем не составляло. А теперь их просто _запрещено_ > продавать. В США запрещено, но того более чем достаточно. Ну оплот свободы и либерализма любит в этом плане подгадить. То криптографию экспортировать запретят, то DRM на законодательном уровне потребуют, то вот это. Впрочем ЕС в этом плане им достойный соперник. На этом фоне Казахстан со своим государственным MitM смотрится примерно так же как его бомбардировочная авиация на фоне американской. > О том и речь. Нужна еще возможность то, что из этих исходников > собирается, на железку установить. И вот в этом месте мы утыкаемся в разницу между GPLv2 и GPLv3. GPLv3 этого требует. Во времена GPLv2 необходимость этого требования еще не приходила Столлману в голову. -- pgpv7R6pvBZQT.pgp Description: OpenPGP digital signature
