14:06 

Про "безопасность"

Flanker-N
Ах, Локен, тебе много предстоит узнать о том, насколько на самом деле умна Стая. (с)Брор Тюрфингр
Читаль и рыдаль. Amnesty International запилила свой "рейтинг безопасности мессенджеров". Поскольку в AI набирают упоротых, то рейтинг получился упоротым до предела. Нет, понятно, что китайские мессенджеры там просто обязаны занять последнее место, но BlackBerry оказалась на предпоследнем. Т.е. вот мессенджер с защитой корпоративного класса, которую не удалось сломать, вчистую проигрывает, например "скайпу", где безопасностью озаботились только на уровне защиты от криворуких школьников. Потому что сквозное шифрование у ВМ - только за деньги. А Facebook, который прямо в пользовательском соглашении пишет "мы пиздим ваши данные и используем как хотим" опередил Apple, которая демонстративно крутила фигу перед лицом правительства США. Но первому плюс за то, что пишет о пиздинге большими буквами, а второй минус за то что цитат: "следует чаще сообщать пользователям о том что SMS менее безопасны, чем iMessages. Компания также должна использовать более открытый протокол шифрования, который позволяет проводить полноценную независимую проверку." Честно, я трижды перечитал эту фразу. Внимание: открытый протокол безопаснее закрытого! Потому что его можно проверить! После этого я стал вчитываться в детали. И не был разочарован. Китайцы получили свой ноль баллов не за то, что у них нет шифрования, а за то, что они ничего не пишут про свободу слова, угрозу кражи личных данных и не отвечают на письма из сумасшедшего дома. Nuff said

@музыка: Infornal FuckЪ - Потому что мы дебилы

@темы: Инфернет, мифы, онолитеки, рабочее, технологии, треш, угар и содомия

URL
Комментарии
2016-10-21 в 14:21 

А. Ведьмак
Папа? А сколько у него дивизий?
Это англосаксонский мир, привет. Он сейчас на стадии такой шизофрении, что там народ вообще факты и логику не воспринимает, только запрограмированные кричалки типа "свобода слова", "открытость" и "независимые проверки".

2016-10-21 в 14:34 

Flanker-N
Ах, Локен, тебе много предстоит узнать о том, насколько на самом деле умна Стая. (с)Брор Тюрфингр
А. Ведьмак, да нормально там с логикой. На профильных ресурсах все ок. Просто во всякие гринписы берут альтернативно мыслящих, а потом и получают такие вот "анализы".

URL
2016-10-21 в 14:38 

А. Ведьмак
Папа? А сколько у него дивизий?
Flanker-N, дело в том что мнение типичного "Джона" формируют именно различные зеленые письки, но никак не профильные ресурсы. Их еще пойди найди.

2016-10-21 в 14:53 

Flanker-N
Ах, Локен, тебе много предстоит узнать о том, насколько на самом деле умна Стая. (с)Брор Тюрфингр
А. Ведьмак, The Verge и Engadget вполне известны и более чем посещаемы

URL
2016-10-21 в 20:31 

Тэцу
Обезьяна мадрил из центральной Африки считается самой пестрой из приматов. Но я бы назвал самым ярко украшенным приматом начинающую гейшу из Дзиона. © Артур Голден.
омпания также должна использовать более открытый протокол шифрования, который позволяет проводить полноценную независимую проверку." Честно, я трижды перечитал эту фразу. Внимание: открытый протокол безопаснее закрытого! Потому что его можно проверить!

И тут они правы. При прочих равных - те же алгоритмы, те же размеры ключей - открытая реализация как правило будет верифицированна независимыми людьми и, следовательно, более "безопасна" для конечного пользователя.

2016-10-21 в 20:50 

Flanker-N
Ах, Локен, тебе много предстоит узнать о том, насколько на самом деле умна Стая. (с)Брор Тюрфингр
Тэцу, в теории да, на практике - нет. Для того, чтобы провести проверку этим независимым экспертам нужно обладать опытом и ресурсами сопоставимыми или большими, чем у тех, кто эту защиту создавал. И что-то мне подсказывает, что проверки на взломоустойчивость, которые пришлось пережить iMesseges и BM будут посерьезнее, чем то, что могут сделать эти "независимые люди".

URL
2016-10-21 в 21:08 

Тэцу
Обезьяна мадрил из центральной Африки считается самой пестрой из приматов. Но я бы назвал самым ярко украшенным приматом начинающую гейшу из Дзиона. © Артур Голден.
Для того, чтобы провести проверку этим независимым экспертам нужно обладать опытом и ресурсами сопоставимыми или большими, чем у тех, кто эту защиту создавал.


Но на планете нет обладающих такими ресурсами огранизаций, целенаправленно ищущих крпитографические уязвимости с целью публикации информации о них. Так что, если бы твоя теория была бы верна, мы бы не знали ни об одной ошибке в криптографических приложениях. Поскольу мы всё же знаем, вывод очевиден. ))

Большая часть известных криптографических уязвимостей опубликована случайными крокодилами.

Вот, к примеру, классика.

Мы, конечно, можем гадать о запасах найденных и неопубликованных секретных уязвимостях в арсеналах NSA, но это именно, что гадать.

в теории да, на практике - нет.

Боюсь, что в этом вопросе, я чуть чаще контактирую с практикой, чем ты, и поэтому знаю ситуацию чуть получше, так что эта фраза должна принадлежать мне. ))

2016-10-21 в 21:23 

Flanker-N
Ах, Локен, тебе много предстоит узнать о том, насколько на самом деле умна Стая. (с)Брор Тюрфингр
Тэцу, Боюсь, что в этом вопросе, я чуть чаще контактирую с практикой, чем ты, и поэтому знаю ситуацию чуть получше, так что эта фраза должна принадлежать мне. ))
понятное дело, что я не практик в отношении систем защиты информации, но по работе мне нужно знать о значимых событиях касающихся мира мобильных технологий, к которым безусловно относятся мессенджеры. И как-то там не слышно ни о каком торжестве открытого софта над закрытым. Усе как-то тяготеют к закрытому коду.

Но на планете нет обладающих такими ресурсами огранизаций, целенаправленно ищущих крпитографические уязвимости с целью публикации информации о них.
Именно с целью публикации вряд ли. А вот среди желающих найти бекдоры в той же iOS недавно был эпичный забег на приз йюс гавгавмент)) Что характерно случилась птица обломинго.

URL
2016-10-21 в 23:05 

Тэцу
Обезьяна мадрил из центральной Африки считается самой пестрой из приматов. Но я бы назвал самым ярко украшенным приматом начинающую гейшу из Дзиона. © Артур Голден.
И как-то там не слышно ни о каком торжестве открытого софта над закрытым.

Его вообще нигде не слышно, кроме раздачи страничек в интернете. ))

Но это совершенно не меняет положение дел с безопасностью криптографии.

Криптография для пользователя максимально "безопасна" при двух условиях:

1) известен алгоритм
2) можно проверить реализацию

Если есть только первый пункт - можно оценивать теоретическую, но нельзя рассчитывать на практическую безопасность алгоритма.

Если нет ни одного пункта - безопасность шифрации/подписи - вообще не известная и, скорее всего, случайная величина.

Госслужбы, и "наши", и "не наши" проверяют реализацию шифрования в т.ч. с анализом исохдного кода, прежде чем что-либо сертифицировать. И коммерческие компании предоставляют госструктурам исохдный код своих продуктов в целях сертификации.

При этом ни майкрософт, ни блэкберри не вохдят в топ контрибьюторов опенсорса. ))

Так что таки да, возможность проверки реализации шифрования - сильный плюс в смысле "безопасности" для конечного пользователя. Не всегда реализуемый должным образом, но реально существующий, в отличие от.

2016-10-21 в 23:48 

Flanker-N
Ах, Локен, тебе много предстоит узнать о том, насколько на самом деле умна Стая. (с)Брор Тюрфингр
Тэцу, И коммерческие компании предоставляют госструктурам исохдный код своих продуктов в целях сертификации.
Собственно я об этом и говорил. И не только государственным структурам, но при использовании в качестве корпоративного решения. Т.е. то что, AI считает закрытым кодом справедливо только в отношении Apple и Telegram, и то последняя лишь отчасти. Он закрыт для обывателя, но не для тех, кто проводит проверки систем безопасности. А простому обывателю разницы между открытым и закрытым кодом разницы с гулькин нос.

URL
2016-10-22 в 15:40 

Тэцу,
При этом ни майкрософт, ни блэкберри не вохдят в топ контрибьюторов опенсорса. ))
Вы будете смеяться - но первый временами таки да ).
Пару релизов linux kernel в топ-3 был - когда под azure ядро допиливали, паравиртуальные драйверы, вотэтовсе ).
Дотнетчину вот открыли целиком и полностью, с чем-то еще периодически в новостях всплывают...

Flanker-N,
"Security by obscurity" в криптографии не то, чтобы "совсем" не работает - скажем так, работает не очень хорошо. "Все тайное становится явным" и в этот момент и вылезает адов трешак с реализацией.
Ну и да, ключевой для И-и-не-только-Б вопрос - "модель нарушителя" и "модель угроз". В случае, когда гипотетическим "нарушителем" является сама компания, оказывающая услуги, а "угрозой" - передача информации этой компанией третьим лицам закрытость алгоритма и реализации а-а-афигенный минус, и все причитания "мамой клянус! надежно сделано! зуб даю! ни байта наружу не уйдет" - таки в пользу бедных.
Он закрыт для обывателя, но не для тех, кто проводит проверки систем безопасности.
Тут такое дело... Сил проверить _все_ ветки исполнения программы в сколько-нибудь большом программном продукте нет у всего населения земли. Комбинаторика - таки злая сука, и дерево обхода уж больно огромное выходит. Вот и получается что "серьёзные люди с погонами" это, кнечно, хорошо и правильно - но роляет в том числе и "широта охвата", причем в "развесистых" случаях роляет очень и очень сильно.
Нуида, количество ошибок в коде в пересчете на число строк в коммерческих продуктах и, гм, "устоявшемся opensource'е" (Хеллоуворлды от Васи не берем) различается на уровне статистики - _технологии программирования_ у тех и других одинаковые. И да, процентов 40% коммитов opensource'а делают люди на зарплате у крупных корпораций, еще процентов 20-30 - люди из тех же корпораций но "в свободное от основной работы время", дальше идут разного рода "таарищи ученые" и в хвосте плетется студентота с обывателями - т.е. с квалификацией у opensource-сообщества все, в общем-то, за-ши-бись что не отменяет многочисленных fuckup'ов - но дает возможность предположить наличие аналогичных, гм, пролюбов в коммерческих продуктах

2016-10-24 в 22:25 

Тэцу
Обезьяна мадрил из центральной Африки считается самой пестрой из приматов. Но я бы назвал самым ярко украшенным приматом начинающую гейшу из Дзиона. © Артур Голден.
-=Shaman=-,

Пару релизов linux kernel в топ-3 был - когда под azure ядро допиливали, паравиртуальные драйверы, вотэтовсе ).

Чё-то ты не то говоиршь.

www.wired.com/2012/04/microsoft-and-linux/

1% коммитов, 17-ое место.

Тот же самый Hyper-V дал им пятое место по количеству коммитов (та еще метрика, надо сказать) на одном из релизов.


Но на счёт первый временами таки да согласен. ))

2016-10-25 в 08:12 

Тэцу,
1% коммитов, 17-ое место.
Тот же самый Hyper-V дал им пятое место по количеству коммитов (та еще метрика, надо сказать) на одном из релизов.

Ага. Если выкинуть "Unknown" и "independent" - третье из компаний и выходило, вроде как в 3.0 ядре, а по коммитам на человека так и вовсе как-то раз первыми были ).
По числу измененных строк правда... гм. Но повод членомериться был! )))
Сейчас вот в 4.8 или 4.9 поддержку surface добавляют - опять засветиться должны...

Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

Про всякое

главная