Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, landerhigh, Вы писали:
L>>Сходил, почитал, зевнул. Не интересно. L>>Вот когда появится такой вирус, который сам пролезет на мой mythtv сервер, из средств ввода к которому подключен только пульт ДУ и DVB карта и который в интернет только за списком обновлений ходит, тогда станет интересно
KV>Канал по которому оно ходит за обновлениями — защищен?
А какая разница, если сам он только список обновлений качает? Нет, конечно, "злоумышленник" может сделать фейковый сервер чисто для меня, но зачем? А о взломе ubuntu репозиториев в газетах, наверное напишут.
Здравствуйте, мыщъх, Вы писали:
> кстати, в маках очень непрозрачно с правами доступа. хрен поймешь кто ты. я вот юзаю мак для просмотра видео и совершенно не в курсе рут я или не рут.
Все точно так же, как и в линуксе. Те же юзеры, группы, etc/passwd, sudoers и так далее. Набери в консоли whoami и узнаешь кто ты.
Здравствуйте, fin_81, Вы писали:
_>Встречный вопрос какую систему проще защитить сохранив необходимую функциональность самой системы? _>Лучше всего защищен написанный за 5 минут хттп-сервер, системник которого отключен от всего, включая от сети питания, и закрытый в герметичный пожароустойчивый сейф.
_>
Как-то очень давно попалась брошурка "Защита данных".
Первая же глава начиналась с вопроса: сколько времени нужно на работу
"пробитие в бетонной стене толщиной в 1 фут отверстия 1.5 х 2 фута"(что бы пролез не очень толстый человек
один из ответов:
двое рабочих с отбойными молотками — 23 минуты.
Здравствуйте, icWasya, Вы писали:
W>Первая же глава начиналась с вопроса: сколько времени нужно на работу W>"пробитие в бетонной стене толщиной в 1 фут отверстия 1.5 х 2 фута"(что бы пролез не очень толстый человек
W>один из ответов: W>двое рабочих с отбойными молотками — 23 минуты.
Согласен, сейф из хрупкого бетона — плохая защита. Но я не скажу какой у меня сейф, и в каком месте Сахары он закопан. Блин все равно выдал лишнюю информацию из-за недокументированной избыточной функциональности "болтливый язык". Учли, уже работаем над устранением, патч будет в следующей версии
Здравствуйте, fin_81, Вы писали:
_>Согласен, сейф из хрупкого бетона — плохая защита. Но я не скажу какой у меня сейф, и в каком месте Сахары он закопан. Блин все равно выдал лишнюю информацию из-за недокументированной избыточной функциональности "болтливый язык". Учли, уже работаем над устранением, патч будет в следующей версии
Признавайтесь, что на самом деле погрузили сейф в батискаф, который потом затопили в Марианской впадине.
Здравствуйте, Eugeny__, Вы писали:
E__>Хм. Даже не думал про такое. Я апплетов уже лет 5 ни одного не видел.
+1
E__>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае.
А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит.
Делается это всё на дотнете крайне несложно.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Lazytech, Вы писали:
L>Признавайтесь, что на самом деле погрузили сейф в батискаф, который потом затопили в Марианской впадине.
Марсианская впадина по площади поиска меньше (легче по вычислимости ключа), основную трудность составляет сложность доступа (сложность применения ключа), тем самым заставляет использовать стороннюю силу. А это потенциальная дыра в безопасности. Лучше усложнить поиск ключа, чем усложнить применение ключа.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, Erop, Вы писали: E>>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
E__>С одной стороны, там в каждом девайсе будет своя сборка из черти-каких исходников, потому универсально врядли выйдет.
А зачем универсально? Скорее всего сборка будет не в каждом девайсе, а у каждого производителя, например, или в каждом девайсе какой-то платформы...
А холодильников, например, довольно много на свете
E__>"Холодильники серии 'гнусмас xx-yy' положили сервера ЖэЖэ" станут реальностью .
Ну типа того.
Можно будет по болотным шляться с лозунгом "даже мой холодильник работает против этого вороватого правительства"
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, fin_81, Вы писали:
_>Марсианская впадина по площади поиска меньше (легче по вычислимости ключа), основную трудность составляет сложность доступа (сложность применения ключа), тем самым заставляет использовать стороннюю силу. А это потенциальная дыра в безопасности. Лучше усложнить поиск ключа, чем усложнить применение ключа. _>
Это еще как посмотреть. Кирку да лопату можно найти где угодно, а батискафы-то не у всех есть.
Здравствуйте, Lazytech, Вы писали:
L>Это еще как посмотреть. Кирку да лопату можно найти где угодно, а батискафы-то не у всех есть.
В том то и дело глубоководного батискафа с платформой для спуска у меня нет и чтобы его использовать мне придется раскрыть ключ (большую часть) стороннему участнику. А кирка у всех есть и у меня есть, но они не знают ключа. Разница в том кому доверять: великой (псевдо)случайности или пособнику-посреднику-другу.
E__>>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае. S>А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит. S>Делается это всё на дотнете крайне несложно.
А хттпс — это разве не шифрование? Я говорил "шифровать", но не оговаривал способ.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, fin_81, Вы писали:
L>>Признавайтесь, что на самом деле погрузили сейф в батискаф, который потом затопили в Марианской впадине.
_>Марсианская впадина по площади поиска меньше (легче по вычислимости ключа), основную трудность составляет сложность доступа (сложность применения ключа), тем самым заставляет использовать стороннюю силу. А это потенциальная дыра в безопасности. Лучше усложнить поиск ключа, чем усложнить применение ключа. _>
Взять из дурки особо буйного помешанного на морском плавании психа(ну, чтоб рандом был трудноповторяемым), посадить его на корабль в окияне, который через некоторое время затонет вместе с сейфом.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Взять из дурки особо буйного помешанного на морском плавании психа(ну, чтоб рандом был трудноповторяемым), посадить его на корабль в окияне, который через некоторое время затонет вместе с сейфом.
Как уже говорил Кочетков, теряется доступность. Мне нужен мой нерабочий за 5 минут написанный хттп-сервер. Я и ключа не знаю, и не имею достаточных средств для подбора ключа в виде батискафа и платформы.
Здравствуйте, Eugeny__, Вы писали:
E__>А хттпс — это разве не шифрование? Я говорил "шифровать", но не оговаривал способ.
Я говорю о том, что мыщьх ничего не написал про использованный протокол. Из описания подходят оба, так что не факт, что прога кривая.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Sinclair, Вы писали:
E__>>А хттпс — это разве не шифрование? Я говорил "шифровать", но не оговаривал способ. S>Я говорю о том, что мыщьх ничего не написал про использованный протокол. Из описания подходят оба, так что не факт, что прога кривая.
Ну, я не думаю, что он бы так нервничал, будь там хттпс. Ибо ловить траф хттпс — занятие весьма бесполезное, особенно для "не особо, но критичных" данных.
Ну и таки да, тип протокола прописывается в проге обычно.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, мыщъх, Вы писали:
М>у ЧервЯ там была эксплутация двух дыр. одна из них точно переполнения стека.
в gets при чтении из сокета
М>за другую уже не помню.
бэкдор в sendmail
М>и там еще был брут паролей на логин по словарю. и никто пока не привел данных какой вектор оказался наиболее успешным.
наиболее успешным был словарь (300 слов).
Здравствуйте, Sinclair, Вы писали:
E__>>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае. S>А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит. S>Делается это всё на дотнете крайне несложно.
Да, но не надо забывать про легальный MITM — дешифрацию HTTPS на прокси...
Вообще, если уж работать с SSL под дотнетом, то надо использовать стандартные виндовые средства, чтобы пространство доверия было управляемым.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Sinclair, Вы писали:
E__>>>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае. S>>А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит. S>>Делается это всё на дотнете крайне несложно. DOO>Да, но не надо забывать про легальный MITM — дешифрацию HTTPS на прокси...
Для него нужно иметь соответствующий сертификат на прокси. DOO>Вообще, если уж работать с SSL под дотнетом, то надо использовать стандартные виндовые средства, чтобы пространство доверия было управляемым.
Ты имеешь в виду — трастить в соответствии с локальными политиками, а не с личными предпочтениями?
В принципе, это, наверное, всё едино. Если кто-то злостно подменил настройки прокси, то уж добавить сертификат в Trusted Roots тоже сможет. С другой стороны, ничто не помешает ему и влезть в программу, и подменить thumbprint прямо там.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Sinclair, Вы писали:
DOO>>Да, но не надо забывать про легальный MITM — дешифрацию HTTPS на прокси... S>Для него нужно иметь соответствующий сертификат на прокси.
Конечно нужно.
DOO>>Вообще, если уж работать с SSL под дотнетом, то надо использовать стандартные виндовые средства, чтобы пространство доверия было управляемым. S>Ты имеешь в виду — трастить в соответствии с локальными политиками, а не с личными предпочтениями?
Скорее не с локальными, а корпоративными
S>В принципе, это, наверное, всё едино. Если кто-то злостно подменил настройки прокси, то уж добавить сертификат в Trusted Roots тоже сможет. С другой стороны, ничто не помешает ему и влезть в программу, и подменить thumbprint прямо там.
Поэтому пусть лучше будет одно хранилище, которое надо контролировать на предмет несанкционированных изменений, чем 100500 таких хранилищ, про которые не все даже знают.