date:20190809

И это крайность, печально что "отстаивать интересны" однозначно 
ассоциируется с "баррикадами".


10.08.2019 00:25, li...@mail.ru пишет:

09.08.2019 23:24, Eugene Berdnikov пишет:

On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote:

Евгений, вы действительно не понимаете, что против доморощенных 
"технических методов", государство выставит десять технических и пять 
законов, причём за ваш счёт? 
Вам действительно платят за троллинг в рассылке и попытки убедить 
технарей, что они бессильны против государства с его "слугами народа", 
принимающими один за другим неработающие законы-страшилки? Ну-ну, это 
забавно. :) 


Скорее на баррикады зазывает.

Только недавно подумал: что-то давно в рассылке никакого срача не было, 
и на тебе.

Re: Проиграна ли борьба за вычислительную свободу?

2019-08-09 Пенетрантность liuch


09.08.2019 23:24, Eugene Berdnikov пишет:

On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote:

Евгений, вы действительно не понимаете, что против доморощенных 
"технических методов", государство выставит десять технических и пять 
законов, причём за ваш счёт? 
Вам действительно платят за троллинг в рассылке и попытки убедить 
технарей, что они бессильны против государства с его "слугами народа", 
принимающими один за другим неработающие законы-страшилки? Ну-ну, это 
забавно. :) 


Скорее на баррикады зазывает.

Только недавно подумал: что-то давно в рассылке никакого срача не было, 
и на тебе.

Re: Проиграна ли борьба за вычислительную свободу?

09.08.2019 23:24, Eugene Berdnikov пишет:

On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote:

09.08.2019 11:14, Eugene Berdnikov пишет:

On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote:

On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote:

Как ГБ может заставить чужой браузер
ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у
интересного юзеру сайта, а не тот, который в подсунутом чекистами
сертификате?

Изначальная посылка была в том, что государство может заставить
браузер установить их корневой сертификат.
Не пользователя.

Наоборот. Государство может что-то заставлять делать своих граждан.
А те, кто пишет браузеры, на этот казахстан кладут, им законодательные
инициативы в какой-то крошечной дырке мира совершенно неинтересны.

Конечно. Но если это большая дырка, в которой живёт большинство
разработчиков браузера, и зарегистрирована компания, разговор другой.
Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить
проблему технически, потому что её причины лежат в другой плоскости.

Можно, и вообще многие нетехнические проблемы вполне себе можно решать
техническими методами. Для этого и существуют замки, заборы, шифрование...

Ваш замок вместе с забором вышибет ОМОН, а против шифрования применят
ректальный криптоанализ, если ваша неприкосновенность для этого не
обеспечена законом.

Да уж, оочень сильный ответ на вопрос в самой верхней цитате, о том как ГБ
заставит чужой браузер отдать в JS не тот фингерпринт, который ГБ нужен.
Оказывается... вышибанием дверей и ректальным криптоанализом! Надо полагать,
применительно к разработчикам браузеров и сотен тысяч сайтов по всему миру.
Вот так просто вылетит из крошечной задницы мира суровый казахский спецназ
и покажет всем несогласным на планете кузькину мать... Жуть. :))

Вы же сами привели такой пример.

Евгений, вы действительно не понимаете, что против доморощенных "технических
методов", государство выставит десять технических и пять законов, причём за
ваш счёт?

Вам действительно платят за троллинг в рассылке и попытки убедить технарей,
что они бессильны против государства с его "слугами народа", принимающими
один за другим неработающие законы-страшилки? Ну-ну, это забавно. :)

Вы либо дурак, либо успешно притворяетесь, хотя не отрицаю, что у вас
паранойя и вы читаете лишь то, что подтверждает вашу "точку зрения", а к
"технарям" я бы лично вас не отнёс, скорее к "техникам".

Дальше разговаривать не имеет смысла.

Re: Проиграна ли борьба за вычислительную свободу?

On Fri, Aug 09, 2019 at 08:13:14PM +0300, artiom wrote:
> 
> 
> 09.08.2019 11:14, Eugene Berdnikov пишет:
> > On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote:
> > > > On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote:
> > > > > > Как ГБ может заставить чужой браузер
> > > > > > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у
> > > > > > интересного юзеру сайта, а не тот, который в подсунутом 
> > > > > > чекистами
> > > > > > сертификате?
> > > > > 
> > > > > Изначальная посылка была в том, что государство может заставить
> > > > > браузер установить их корневой сертификат.
> > > > > Не пользователя.
> > > > 
> > > >Наоборот. Государство может что-то заставлять делать своих граждан.
> > > >А те, кто пишет браузеры, на этот казахстан кладут, им 
> > > > законодательные
> > > >инициативы в какой-то крошечной дырке мира совершенно неинтересны.
> > > > 
> > > 
> > > Конечно. Но если это большая дырка, в которой живёт большинство
> > > разработчиков браузера, и зарегистрирована компания, разговор другой.
> > > Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить
> > > проблему технически, потому что её причины лежат в другой плоскости.
> > 
> >   Можно, и вообще многие нетехнические проблемы вполне себе можно решать
> >   техническими методами. Для этого и существуют замки, заборы, шифрование...
> 
> Ваш замок вместе с забором вышибет ОМОН, а против шифрования применят
> ректальный криптоанализ, если ваша неприкосновенность для этого не
> обеспечена законом.

 Да уж, оочень сильный ответ на вопрос в самой верхней цитате, о том как ГБ
 заставит чужой браузер отдать в JS не тот фингерпринт, который ГБ нужен.
 Оказывается... вышибанием дверей и ректальным криптоанализом! Надо полагать,
 применительно к разработчикам браузеров и сотен тысяч сайтов по всему миру.
 Вот так просто вылетит из крошечной задницы мира суровый казахский спецназ
 и покажет всем несогласным на планете кузькину мать... Жуть. :))

> Евгений, вы действительно не понимаете, что против доморощенных "технических
> методов", государство выставит десять технических и пять законов, причём за
> ваш счёт?

 Вам действительно платят за троллинг в рассылке и попытки убедить технарей,
 что они бессильны против государства с его "слугами народа", принимающими
 один за другим неработающие законы-страшилки? Ну-ну, это забавно. :)
-- 
 Eugene Berdnikov

Re: Проиграна ли борьба за вычислительную свободу?


Защита канала данных не спасает от анализа метаинформации. Информация
о том, что абонент с номером таким-то передал сттолько-то байт абоненту
с номером таким-то и в ответ получил столько-то байт - все равно
останется в логах сервера и будет доступна государству.ю


  Да пожалуйста! Законопослушного человека мало волнует то, что государство
  знает, с кем он разговаривал. Это для преступников выявление связей смерти
  подобно.


Знаете, как легко изменяются законы, и такой вчера "законопослушный 
человек" становится бандитом?

А все его "связи" также ставятся под наблюдение.
Вы от 30 годах XX века почитайте, хотя бы про СССР.



И обычным людям хочется защиты их личной жизни вообще и переписки
  в частности, бандитам же наплевать что переписка читается, они шифруются
  и применяют эзопов язык. Поэтому прослушка выгодна оборотням в погонах,
  чтобы доить бизнес, но плохо помогает против криминала.



А зачем "нормальным законопослушным людям" нужна защита от государства, 
которое их защищает?




  Если бы власти действительно хотели бы бороться с криминалом, они бы
  занимались выявлением связей. А то, что происходит у нас, это по сути
  такой бизнес силовиков под прикрытием лозунгов о "борьбе с терроризмом".



Это нормально. Оно происходит везде.
И каждый по мере возможностей тыкает на тех, кто играет в другой 
песочнице: https://www.kp.ru/daily/26327.2/3209366/

Re: Проиграна ли борьба за вычислительную свободу?

On Fri, Aug 09, 2019 at 10:29:13PM +0300, Victor Wagner wrote:
> > > Задача создания защищенного от господслушивания мессенджера
> > > действительно имеет техническое решение, но этим решением не может
> > > быть коммерческая фирма с централизованными серверами и привязкой к
> > > сотовому номеру.  
> > 
> >  Ну почему же? От госпрослушивания -- очень даже может, если эта фирма
> >  не зависит от государства. Централизация серверов и привязка к номеру
> 
> Не может фирма не зависеть от государства.

 Может, просто она должна зависеть от другого государства. Ex: Телеграмм.

> >  никак не мешают защите канала передачи данных. Не путать с защитой
> >  данных на конечных узлах, это другая задача.
> 
> Защита канала данных не спасает от анализа метаинформации. Информация
> о том, что абонент с номером таким-то передал сттолько-то байт абоненту
> с номером таким-то и в ответ получил столько-то байт - все равно
> останется в логах сервера и будет доступна государству.ю

 Да пожалуйста! Законопослушного человека мало волнует то, что государство
 знает, с кем он разговаривал. Это для преступников выявление связей смерти
 подобно. И обычным людям хочется защиты их личной жизни вообще и переписки
 в частности, бандитам же наплевать что переписка читается, они шифруются
 и применяют эзопов язык. Поэтому прослушка выгодна оборотням в погонах,
 чтобы доить бизнес, но плохо помогает против криминала.

 Если бы власти действительно хотели бы бороться с криминалом, они бы
 занимались выявлением связей. А то, что происходит у нас, это по сути
 такой бизнес силовиков под прикрытием лозунгов о "борьбе с терроризмом".
-- 
 Eugene Berdnikov

Re: Проиграна ли борьба за вычислительную свободу?


Нет, приходит сообщение, что письмо с отпиской надо отправить на адрес ... .
Это давняя тема.
Может уже поправили, тогда неплохо.

09.08.2019 13:01, Dmitry Alexandrov пишет:

artiom  wrote:

тут кривые настройки рассылки, и письмо, менее какого-то размера заворачивается 
сервером рассылки.


Серьезно?  Ни разу пока не сталкивался.  Или оно _молча_ заворачивается?

Re: Проиграна ли борьба за вычислительную свободу?





09.08.2019 22:33, Victor Wagner пишет:

В Fri, 9 Aug 2019 20:13:14 +0300
artiom  пишет:



Шифрование тут не поможет, его возможно запретить и обнаружить
шифрованный траффик в канале по высокой энтропии, купив такую систему
за счёт налогоплательщиков, которых и ограничивают.


Шифрование надо комбинировать со стеганографией. Вот как раз спрятать
где-то внутри аудио-или видеопотока узкий (текстовый) канал с высокой
энтропией легче, чем там же спрятать канал с низкой энтропией.

Лист надо прятать в лесу, и маскировать 80 байт траффика который не
хочется показывать государству 8 мегабайтами траффика, который ничего
предосудительного не содержит.

Вот такие технические меры могут сработать.



Очевидно. Только, если на то пошло, сразу возникнут некоторые вопросы: 
почему вдруг у вас объём трафика увеличился в 10 раз, когда включение 
сжатия и вообще RTSP с его передачей дифов, вполне обеспечивает 
трансляцию видео и на меньших по скорости каналах?
Короче, это всё "игра в разведку", тут права свои отстаивать надо, и уж 
только затем их техническими методами обеспечивать.

А так, что толку?
Придут к вам домой и заберут всю технику без санкции, потому что 
используя ваш поломанный 0-day роутер, какой-нибудь Айрат Баширов 
написал о покраске заборов, и стеганография, да шифрование тут не помогут.

Re: Проиграна ли борьба за вычислительную свободу?

В Fri, 9 Aug 2019 20:13:14 +0300
artiom  пишет:

> 
> Шифрование тут не поможет, его возможно запретить и обнаружить 
> шифрованный траффик в канале по высокой энтропии, купив такую систему
> за счёт налогоплательщиков, которых и ограничивают.

Шифрование надо комбинировать со стеганографией. Вот как раз спрятать
где-то внутри аудио-или видеопотока узкий (текстовый) канал с высокой
энтропией легче, чем там же спрятать канал с низкой энтропией.

Лист надо прятать в лесу, и маскировать 80 байт траффика который не
хочется показывать государству 8 мегабайтами траффика, который ничего
предосудительного не содержит.

Вот такие технические меры могут сработать.

в-- 
   Victor Wagner

Re: Проиграна ли борьба за вычислительную свободу?

В Fri, 9 Aug 2019 17:23:22 +0300
Eugene Berdnikov  пишет:


> 
> > Задача создания защищенного от господслушивания мессенджера
> > действительно имеет техническое решение, но этим решением не может
> > быть коммерческая фирма с централизованными серверами и привязкой к
> > сотовому номеру.  
> 
>  Ну почему же? От госпрослушивания -- очень даже может, если эта фирма
>  не зависит от государства. Централизация серверов и привязка к номеру

Не может фирма не зависеть от государства. У нее есть счет в банке,
который государство (то, на чьей территории находится этот банк) может
арестовать.  Централизованные сервера где-то размещены физически, и
государственные правоохранительные органы (того государства, где
размещен этот датацентр) могут их конфисковать.

>  никак не мешают защите канала передачи данных. Не путать с защитой
>  данных на конечных узлах, это другая задача.

Защита канала данных не спасает от анализа метаинформации. Информация
о том, что абонент с номером таким-то передал сттолько-то байт абоненту
с номером таким-то и в ответ получил столько-то байт - все равно
останется в логах сервера и будет доступна государству.ю


> 

>  А вот понимание того, что госпрослушка в 99.99% случаев будет кормить
>  разных оборотней в погонах, и лишь в 0.01% помогать ловить шпионов и
>  террористов, это понимание у обывателя вполне себе присутствует.

Я пою о том, что оборотни в американских погонах ничуть не лучше
оборотней в российских или китайских погонах.


-- 
   Victor Wagner

Re: Проиграна ли борьба за вычислительную свободу?

09.08.2019 11:14, Eugene Berdnikov пишет:

On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote:

On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote:

А последний яркий пример в IT это то как мессенджер Телеграмм вполне себе
техническими методами избавил нас от гэбешников, которые хотят
легимитизировать своё желание залезать в чью-то личную переписку.
И государство ничего сделать не может, только поливает Пашу Дурова
и Телеграмм грязью, мол, наркодилеры им пользуются, поэтому он плохой.

Да не смешите. Или вы серьёзно верите? Ну, в принципе, ясно: "Верую, ибо
абсурдно".

Точно так же на казахов можно найти действенные технические методы.

Евгений, вы действительно не понимаете, что против доморощенных
"технических методов", государство выставит десять технических и пять
законов, причём за ваш счёт?

У "защищающихся" же просто не будет ресурсов этому противостоять.
Если же это противоборство двух государств, вступает правило "щита и
меча", и начинается борьба.

Обычно проигрывает тот, у кого меньше ресурсов.

Шифрование тут не поможет, его возможно запретить и обнаружить
шифрованный траффик в канале по высокой энтропии, купив такую систему за
счёт налогоплательщиков, которых и ограничивают.
Вы будете платить тем, кто с вами борется, а вам потом за это ещё и руки
открутят: шифрование работает тогда, когда вам законодательно
обеспечивается право не свидетельствовать против себя, и это работает.

Стеганография, что предложил В. Вагнер, теоретически может помочь. Но
оно так не работает и в таком виде этого пока нет. Мало того, есть
системы для определения монтажа видео и, соответственно, встраивания
"левых" данных (хотите, ищите - французы для "своих" делали).

"Отрицательные" же техники не работают массово и требуют серьёзной
подготовки, следовательно, не решают проблему.

Это не значит, что технические методы использовать не стоит: в конечном
итоге всё сводится к ним.

Но проблему надо решать в корне, а не маскировать симптомы.
"Борьба с терроризмом" и подобное - это типичная совковая забава, причём
играют в неё по всему миру, т.к. "бороться" кому-то очень выгодно, а вы
предлагаете их проспонсировать.

Вы же на аргументы технического плана всё время повторяете, как мантру,
что вопрос решить технически невозможно... Не умеете -- не решайте. :)

Умею, иногда вопросы защиты решаю по роду деятельности.

Только если хотите убедить в чём-то нас, то отвечайте техническими
аргументами, иначе это смотрится как попытки промывать нам мозги.

Так какими техническими аргументами вам отвечать?
Я вам уже предложил вариант с токенами.
Но вам сказано, что проблема нетехнического плана, но почему-то вы
упорно пытаетесь не учитывать в безопасности юридические и социальные
аспекты, и ограничены лишь пресловутыми "техническими методами".
Не понимаете этого - решайте проблему, а я посмотрю, т.к. "промывать
мозги" вам, точно мне не требуется, поскольку слишком затратно и для
меня толку ноль.

[DONE] wml://security/2019/dsa-4494.wml

2019-08-09 Пенетрантность Lev Lamberov

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- ../../english/security/2019/dsa-4494.wml  2019-08-09 21:39:46.362124991 
+0500
+++ 2019/dsa-4494.wml   2019-08-09 21:43:58.992225918 +0500
@@ -1,26 +1,26 @@
- -security update
+#use wml::debian::translation-check 
translation="e2a0febe5662aba5663827024c6257324ba5d9bd" mindelta="1" 
maintainer="Lev Lamberov"
+обновление безопасности
 
- -Dominik Penner discovered that KConfig, the KDE configuration settings
- -framework, supported a feature to define shell command execution in
- -.desktop files. If a user is provided with a malformed .desktop file
- -(e.g. if it's embedded into a downloaded archive and it gets opened in
- -a file browser) arbitrary commands could get executed. This update
- -removes this feature.
+Доминик Пеннер обнаружил, что KConfig, платформа для настройки для
+KDE, поддерживает возможность определения команд для исполнения в
+файлах .desktop. Если пользователь получил специально сформированный файл
+.desktop (напр., если он встроен в скачиваемый архив, а затем открывается в
+просмотрщике файлов), то из-за этой возможности могут быть выполнены 
произвольные
+команды. Данное обновление убирает эту возможность.
 
- -For the oldstable distribution (stretch), this problem has been fixed
- -in version 5.28.0-2+deb9u1.
+В предыдущем стабильном выпуске (stretch) эта проблема была исправлена
+в версии 5.28.0-2+deb9u1.
 
- -For the stable distribution (buster), this problem has been fixed in
- -version 5.54.0-1+deb10u1.
+В стабильном выпуске (buster) эта проблема была исправлена в
+версии 5.54.0-1+deb10u1.
 
- -We recommend that you upgrade your kconfig packages.
+Рекомендуется обновить пакеты kconfig.
 
- -For the detailed security status of kconfig please refer to
- -its security tracker page at:
+С подробным статусом поддержки безопасности kconfig можно ознакомиться на
+соответствующей странице отслеживания безопасности по адресу
 https://security-tracker.debian.org/tracker/kconfig;>\
 https://security-tracker.debian.org/tracker/kconfig
 
 
 # do not modify the following line
 #include "$(ENGLISHDIR)/security/2019/dsa-4494.data"
- -# $Id: $
-BEGIN PGP SIGNATURE-
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=WjJG
-END PGP SIGNATURE-

Re: Проиграна ли борьба за вычислительную свободу?

2019-08-09 Пенетрантность Debian Webmaster

А, ясно.
Думал вообще полный блэклист с запретом установки своего.
Понял.

09.08.2019 09:34, Victor Wagner пишет:

On Fri, 9 Aug 2019 00:39:17 +0300
artiom  wrote:

08.08.2019 10:31, Victor Wagner пишет:

On Thu, 8 Aug 2019 09:47:48 +0300
artiom  wrote:

   >   Как ГБ может заставить чужой браузер
   >   ПолярнаяЛиса отдать в JS тот фингерпринт, который должен
   > быть у интересного юзеру сайта, а не тот, который в подсунутом
   > чекистами сертификате?

Изначальная посылка была в том, что государство может заставить
браузер установить их корневой сертификат.
Не пользователя.

Это не совсем верная посылка. Поскольку обсуждение в списке рассылки
Mozilla было на тему "а надо ли разрешать пользователю ставить такой
сертификат, или его следует жестоко заблеклистить"

Любопытно. А если пользователь развёртывает систему на изолированном
заводе, при этом все его сертификаты, пользуемые WebUI,
самоподписанные, но он не хочет, чтобы операторам браузер как-то
сообщал о "левом сертификате" (и не сообщал о реально "левом")?

Ну очевидно сертификат изолировнного от интернета CA не попадет в
блеклист, встроенный в браузер, именно потому, что разработчикам
браузера про этот сертификат никто не сообщит.

С Казахстаном-то проблема не в том, что это изолированная среда, а как
раз в том, что они хотели работать в публичном международном интернете.

А так-то подобные MitM сертификаты для корпоративных систем -
стандартнейшая практика. Тут вам и антивирус, и intrusion detection.

Tidy validation failed

*** /srv/www.debian.org/www/doc/obsolete.ru.html
line 412 column 3 - Error:  is not recognized!
line 412 column 3 - Warning: discarding unexpected 

--
 You received this mail for the language code ru.
 Please edit webwml/english/devel/website/validation.data if this is not 
accurate.
 Please also update webwml/english/devel/website/ with the new coordinator(s) 
data.

Re: Проиграна ли борьба за вычислительную свободу?

2019-08-09 Пенетрантность Dmitry Alexandrov

On Fri, Aug 09, 2019 at 11:45:55AM +0300, Victor Wagner wrote:
> Вся эта героическая борьба роскомнадзора с телеграмом выглядит как
> "борьба нанайских мальчиков".

 Выглядит как госкомпозор. Думаю, все понимают, что это выливается в
 дискредитацию власти, но то ли кому-то это выгодно, то ли действительно
 наверху среди прикормленных и послушных оставили одних лишь дебилов.

> Задача создания защищенного от господслушивания мессенджера
> действительно имеет техническое решение, но этим решением не может
> быть коммерческая фирма с централизованными серверами и привязкой к
> сотовому номеру.

 Ну почему же? От госпрослушивания -- очень даже может, если эта фирма
 не зависит от государства. Централизация серверов и привязка к номеру
 никак не мешают защите канала передачи данных. Не путать с защитой
 данных на конечных узлах, это другая задача.

> Tox может, jami может, даже XMPP-based сеть в какой-то степени может.
> Но не telegram и не signal.

 Вы о чём-то своём поёте, Виктор. Может быть, о наличии единой точки
 управления у Телеграмма, или наличия персональных данных в одном центре,
 или контроля над программным кодом и протоколами передачи данных.
 Можно дискутировать о том, хорошо это или плохо. Да, наличие единого
 центра контроля имеет и плюсы, и минусы. В случае Телеграмма плюс в том,
 что он аккумулирует ресурсы на разработку и продвижение сервиса,
 на создание которого у рядового обывателя нет времени и сил.

 А вот понимание того, что госпрослушка в 99.99% случаев будет кормить
 разных оборотней в погонах, и лишь в 0.01% помогать ловить шпионов и
 террористов, это понимание у обывателя вполне себе присутствует.
-- 
 Eugene Berdnikov

Re: [DONE] wml://security/2019/dsa-4493.wml

2019-08-09 Пенетрантность Lev Lamberov

Пт 09 авг 2019 @ 06:27 Ineiev :

> On Fri, Aug 09, 2019 at 10:28:11AM +0500, Lev Lamberov wrote:
>> +В системе баз данных PostgreSQL было обнаружено две проблемы, которые
>> +может приводить к повышению привилегий, отказу в обслуживании или
>
> s,может,могут,

Исправил. Спасибо!

Re: Проиграна ли борьба за вычислительную свободу?

artiom  wrote:
> тут кривые настройки рассылки, и письмо, менее какого-то размера 
> заворачивается сервером рассылки.

Серьезно?  Ни разу пока не сталкивался.  Или оно _молча_ заворачивается?

signature.asc
Description: PGP signature

Re: Проиграна ли борьба за вычислительную свободу?

On Fri, 9 Aug 2019 11:14:31 +0300
Eugene Berdnikov  wrote:

>  Можно, и вообще многие нетехнические проблемы вполне себе можно
> решать техническими методами. Для этого и существуют замки, заборы,
> шифрование... А последний яркий пример в IT это то как мессенджер
> Телеграмм вполне себе техническими методами избавил нас от
> гэбешников, которые хотят легимитизировать своё желание залезать в
> чью-то личную переписку. И государство ничего сделать не может,
> только поливает Пашу Дурова и Телеграмм грязью, мол, наркодилеры им
> пользуются, поэтому он плохой.

Что-то мне сомнительно, что случай с Дуровым не попадает под известную
картинку с овечьим стадом и "Ты что и правда веришь, что человек и
собака действуют заодно".

Вся эта героическая борьба роскомнадзора с телеграмом выглядит как
"борьба нанайских мальчиков".

Задача создания защищенного от господслушивания мессенджера
действительно имеет техническое решение, но этим решением не может
быть коммерческая фирма с централизованными серверами и привязкой к
сотовому номеру.

Tox может, jami может, даже XMPP-based сеть в какой-то степени может.
Но не telegram и не signal.

Вообще, конечно интересным решением для независимой коммуникации было
бы стеганографическое сокрытие текстового чата внутри аудио или видео
конференции, которую ГБ имеет возможность слушать но не слышыт там
ничего, кроме обсуждения пьянки с шашлыками или няшных котиков.

Но тут наибольшую сложность вызывает необходимость правдоподобный
аудио-видео поток с безобидным трепом. Поскольку не человеческие же
силы на это тратить.

--

Re: Проиграна ли борьба за вычислительную свободу?

On Fri, Aug 09, 2019 at 12:43:21AM +0300, artiom wrote:
> > On Thu, Aug 08, 2019 at 09:47:48AM +0300, artiom wrote:
> > > >Как ГБ может заставить чужой браузер
> > > >ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у
> > > >интересного юзеру сайта, а не тот, который в подсунутом чекистами
> > > >сертификате?
> > > 
> > > Изначальная посылка была в том, что государство может заставить
> > > браузер установить их корневой сертификат.
> > > Не пользователя.
> > 
> >   Наоборот. Государство может что-то заставлять делать своих граждан.
> >   А те, кто пишет браузеры, на этот казахстан кладут, им законодательные
> >   инициативы в какой-то крошечной дырке мира совершенно неинтересны.
> > 
> 
> Конечно. Но если это большая дырка, в которой живёт большинство
> разработчиков браузера, и зарегистрирована компания, разговор другой.
> Но мой главный посыл не в этом: ни в том, ни в другом случае нельзя решить
> проблему технически, потому что её причины лежат в другой плоскости.

 Можно, и вообще многие нетехнические проблемы вполне себе можно решать
 техническими методами. Для этого и существуют замки, заборы, шифрование...
 А последний яркий пример в IT это то как мессенджер Телеграмм вполне себе
 техническими методами избавил нас от гэбешников, которые хотят
 легимитизировать своё желание залезать в чью-то личную переписку.
 И государство ничего сделать не может, только поливает Пашу Дурова
 и Телеграмм грязью, мол, наркодилеры им пользуются, поэтому он плохой.

 Точно так же на казахов можно найти действенные технические методы.

 Вы же на аргументы технического плана всё время повторяете, как мантру,
 что вопрос решить технически невозможно... Не умеете -- не решайте. :)
 Только если хотите убедить в чём-то нас, то отвечайте техническими
 аргументами, иначе это смотрится как попытки промывать нам мозги.
-- 
 Eugene Berdnikov

Re: Проиграна ли борьба за вычислительную свободу?