The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от opennews (??) on 28-Июл-12, 13:56 
Представлен проект Cryptocat (https://crypto.cat/), в рамках которого создана реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым (http://ru.wikipedia.org/wiki/%D0%AD%D0%B...). Код клиентской и серверой части распространяется (https://github.com/kaepora/cryptocat) под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor (http://xdtfje3c46d2dnjd.onion).


В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов.


Клиентская часть выполнена (https://github.com/kaepora/cryptocat/tree/master/src/client) в виде браузерного web-приложения. Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox,  которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей. Также доступны отдельные приложения для платформ Android, iPhone и Blackberry. Приложение для Android примечательно тем, что оно  использует для передачи данных анонимную сеть Tor и в качестве сервера задействует скрытый сервис Tor.

URL: http://www.wired.com/threatlevel/2012/07/crypto-cat-encrypti.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=34438

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –1 +/
Сообщение от Аноним (??) on 28-Июл-12, 13:56 
> Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ.

Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +4 +/
Сообщение от Аноним (??) on 28-Июл-12, 14:10 
> Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

1. шифрование с открытым ключом для обмена сеансовыми ключами
2. шифрование с открытым ключом для аутентификации собеседника

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +3 +/
Сообщение от umbr (ok) on 28-Июл-12, 17:15 
Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –1 +/
Сообщение от GG (ok) on 28-Июл-12, 17:34 
> Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.

К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
Проще им ссылку на чат кинуть.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –4 +/
Сообщение от umbr (ok) on 28-Июл-12, 18:11 
А для таких придуман скайп.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +7 +/
Сообщение от Аноним (??) on 28-Июл-12, 18:38 
А для таких придуман СОРМ и обещание сотрудничества Быдлогейтсов со спецурой.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  –7 +/
Сообщение от arisu (ok) on 28-Июл-12, 18:42 
честному человеку, как известно, нечего скрывать.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +7 +/
Сообщение от Аноним (??) on 28-Июл-12, 19:08 
честному руководителю какого-нибудь холдинга от конкурентов скрывать и впрямь нечего, а как же.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  –6 +/
Сообщение от umbr (ok) on 28-Июл-12, 19:15 
честный руководитель какого-нибудь холдинга, проконсультировавшись со спецами по безопасности, не станет использовать для связи школьные поделки
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

36. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +4 +/
Сообщение от Аноним (??) on 28-Июл-12, 22:07 
очень хорошо, что ты осознал наконец, что скрывать естьчо. и неважно, честный ты или...
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

42. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  –1 +/
Сообщение от umbr (ok) on 29-Июл-12, 01:35 
это скорее дань традиции
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

34. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +4 +/
Сообщение от Аноним (??) on 28-Июл-12, 21:57 
> честному человеку, как известно, нечего скрывать.

Если это не сарказм - ждем твоих паспортных данных, а также логинов, паролей и кредитных карт где деньги лежат :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +6 +/
Сообщение от Харитон on 28-Июл-12, 22:16 
> честному человеку, как известно, нечего скрывать.

договаривать неохота?

честному человеку нечего скрывать от честных людей.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

73. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 15:31 
ты честный человек да?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

88. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Cuernud on 30-Июл-12, 11:07 
Ага, и дверь запирать не нужно.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от umbr (ok) on 28-Июл-12, 19:17 
про "СОРМ и обещание сотрудничества" знают не только на опеннете ;)
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

74. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +2 +/
Сообщение от Аноним (??) on 29-Июл-12, 15:54 
> К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
> Проще им ссылку на чат кинуть.

Такие люди и безопасность - несовместимы.
Поэтому хоть скайп.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

77. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от GG (ok) on 29-Июл-12, 16:43 
>> К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
>> Проще им ссылку на чат кинуть.
> Такие люди и безопасность - несовместимы.
> Поэтому хоть скайп.

Если это мой офис и я знаю, что там все сидят с тонких клиентов, которые прицеплены к моему серверу, то очень  даже норм.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

85. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от XoRe (ok) on 29-Июл-12, 22:10 
>> Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.
> К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже
> о жаббере.
> Проще им ссылку на чат кинуть.

А ключ написать в скайп)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

4. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +4 +/
Сообщение от жабабыдлокодер (ok) on 28-Июл-12, 14:10 
Проблем-то! Можно записать ключ на бумажку и послать ее обычной почтой. Или голубиной. Можно продиктовать по телефону. Можно взять раба, обрить ему голову, вытатуировать ключ на ней, подождать, пока он не обрастет, и отправить адресату. Вариантов - сколько угодно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

35. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +1 +/
Сообщение от Аноним (??) on 28-Июл-12, 21:59 
> вытатуировать ключ на ней, подождать, пока он не обрастет, и отправить
> адресату. Вариантов - сколько угодно.

Ну тогда и сообщение можно тем же каналом отправить. К чему лишние сложности? :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

39. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от жабабыдлокодер (ok) on 28-Июл-12, 22:37 
Чатиться очень долго получится...
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –1 +/
Сообщение от Аноним (??) on 29-Июл-12, 03:43 
> Чатиться очень долго получится...

Ну ключ то передавать устраивает, значит и чатиться сойдет. Да и вообще, вон RFC1149 работает же :)

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

84. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от XoRe (ok) on 29-Июл-12, 22:10 
>> Чатиться очень долго получится...
> Ну ключ то передавать устраивает, значит и чатиться сойдет. Да и вообще,
> вон RFC1149 работает же :)

http://ru.wikipedia.org/wiki/IP_%EF%EE%F1...

зачет)

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

40. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от saNdro on 29-Июл-12, 00:57 
Чем Вас алгоритм Диффи-Хелмана не устраивает?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

50. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 03:44 
> Чем Вас алгоритм Диффи-Хелмана не устраивает?

Например тем что активный MITM может впарить левый скрипт и весь диффи-хеллман пойдет лесом.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

87. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от UnitedShowAboard on 30-Июл-12, 06:22 
Опубликовать зашифрованную (подписанную) своим публичным ключем фразу до его передачи аппоненту.
Таким образом аппонент получит возможность проверить полученный ключ на подлинность.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

101. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 30-Июл-12, 13:14 
> аппоненту.

про сколько же интересных вещей можно узнать на опеннете! «толмуды», «аппоненты»…

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

112. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 30-Июл-12, 23:09 
>Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

Судя по бурному обсуждению и твоему заминусованному здравому посту - тут одно школоло. Тебя никто не понял. Зато все знают слова "криптография с открытым ключем".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +4 +/
Сообщение от Аноним (??) on 28-Июл-12, 14:00 
Внимание, вопрос: а что в этой схеме помешает атакующему притвориться легитимным сервером и вгрузить свой вариант JS-а, отсылающий ему ключи шифрования, например? Или просто нешифрованную копию текста? Полудохлый SSL, который сам крякабелен путем втюхивания левого сертификата любой из 100500 ауторитей? Так можно было и не париться с AES на JS тогда и просто SSL юзать...

Дело в том что криптография не защищает от случая когда сам криптографический код - потенциально недоверяемый. Просто потому что атакующий может впарить по пути нечто иное. В случае отдельного приложения установленного локально у атакующего нет методов оперативно заменить криптографический код и его обвязку. Но в вебне то юзер должен скачать этот самый код, обеспечивающий шифрование. И вот тут атакующий может вовремя подсуетиться.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 28-Июл-12, 14:12 
> а что в этой схеме помешает ...

ничего. Вас спасёт FreedomBox.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

25. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 28-Июл-12, 19:15 
> ничего. Вас спасёт FreedomBox.

А давайте вы уточните какая именно технология меня спасет? Аналог этого бокса я и сам наколхожу за жалкие $20 из того что есть, если оно мне станет надо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 28-Июл-12, 14:50 
а ещё мы все завтра можем умереть. и никакая криптография не спасёт.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

28. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 28-Июл-12, 19:19 
> а ещё мы все завтра можем умереть. и никакая криптография не спасёт.

Просто толку то от защиты которая по факту является дверью в чистом поле? От чего она защищает? От MITM? Активный MITM может впарить левый скрипт. От сервера? Сервер тоже может впарить левый скрипт. Ну и в чем смысл такого шифрования? Создать ложное ощущение защищенности, в надежде что хомячки и так схавают и будут думать что оно шифрованное, но при том можно будет при желании прослушать?

Понимаешь, Кэп, криптографию не катит строить на гнилом фундаменте. Или уж есть очевидные продолбы, или нет. В данном случае они есть и никак не фиксятся особо. Ну разве что некое оффлайновое веб-приложение которое не перекачивается каждый раз с сервера... но проще GPG какой-нибудь взять или там IM клиент с OTR. Вебня + JS просто не предусматривает сколь-нибудь эффективного противодействия подмене скриптов что по пути, что на сервере.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

44. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 03:11 
AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат намертво к сайту, его нельзя будет подменить что бы браузер не заметил и он не проверяется через доверенные центры которые могут быть дискредитированы потому что самоподписанный.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

51. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 03:56 
> AGPLv3 позволяет тебе развернуть свой сервер,

Окей, но
1) А какие основания у В. Пупкина доверять мне?
2) А как гарантировать что к пользователю придет именно тот скрипт который ему отправил сервер, а не нечто левое, от хакеров/спецслужб/прочих добрых или не очень добрых сущностей, hijack-ающих трафф. От которых по идее и защищаемся. А то прозрачные прокси еще не отменяли, например.

> а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат
> намертво к сайту, его нельзя будет подменить что бы браузер не заметил

А его и не надо подменять. Достаточно сломать очередной из 100500 DigiNotar-образных CA и от их лица подписать что "а вот этот хост - белый и пушистый. И вообще оно - сайт вот этого гражданина. DigiNotar'ом клянусь!". А то что это другой сертификат подписанный другим CA - так кто ж там разберется? Была бы какая-то стандартная механика в браузере для детектирования таких фокусов - я еще понимаю. Но ее ж нет! Поэтому мало кто заметит что теперь сертификат какой-то другой, подписан очередным DigiNotar'ом, который клянется что сайт правильный и принадлежит мне. А то что это CA хакнули или просто что-то зажали в тиски - так поди ж разберись. И лечится весь этот дебилизм разве что выносом всех корневых CA сертификатов... после чего ваша жизнь станет не слишком пресной :)

> и он не проверяется через доверенные центры которые могут быть дискредитированы
> потому что самоподписанный.

И что? Как это помешает впарить на поддельном сайте ДРУГОЙ сертификат сервера? Выписанный другим CA на этот же домен, например? Да, это будет другой сертификат. А радости то? Это ж вполне может выглядеть для юзера как валидный сертификат. На вот этот вот домен с вот этим сервером. А то что это другой сертификат, и это вообще не тот сервер как-то и не будет отловлено. Потому что кто угодно может выписывать сертификаты на что угодно.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

82. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Af. on 29-Июл-12, 17:14 
> 1) А какие основания у В. Пупкина доверять мне?
> 2) А как гарантировать что к пользователю придет именно тот скрипт который

1) Это не имеет отношения к информатике. При обмене оба в чём-то доверяют друг другу или третьему арбитру. Иначе процесс попросту НЕ существует. От каменного века и до сих пор.

2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо человеческого предательства или засланного казачка, а эта тема к информатике отношения не имеет.

P.S. Насколько помню, в новостях не компрометировали только предварительный обмен открытыми ключами собственного "изготовления". Кстати, за их использование в некоторых странах могут наказать.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

89. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 30-Июл-12, 12:02 
> 1) Это не имеет отношения к информатике.

Вообще-то имеет. При использовании нормальных средств криптографии ожидается что нет откровенных подстав такого плана что кто-то посторонний может впарить что попало + возможность проверить кто чем является. В этой схеме данная возможность или отсуствует или столь невнятна что я ее не разглядел. Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет. И предоставлены внятные доказательства авторства пакетов в виде подписей. Поэтому какой попало MITM вгрузить что попало не сможет. А вот вебня никогда не делалась с упором на аутентификацию того что именно и кто вгружает клиенту в браузер...

> При обмене оба в чём-то доверяют друг другу или третьему арбитру.

В указанной схеме нет явных методов проверить что код занимающийся шифрованием исходит от того от кого задекларировано, а не левого MITM.

> Иначе процесс попросту НЕ существует. От каменного века и до сих пор.

Спасибо, Капитан.

> 2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо
> человеческого предательства или засланного казачка,

Зато оно должно спасать от MITM. И активных и пассивных. Личный сервер это прекрасно, но опять же - кто гарантирует что юзеру придет именно тот код который мой сервак слал? Браузеры никогда не создавались для аутентифицированной доставки кода.

> а эта тема к информатике отношения не имеет.

Зато к информатике имеет отношение что браузер запускает все что ему пришлет сервер и все сервера в этом плане равноправны. Грубо говоря если вместо сервера Васи мне подсунут сервер Пети, который отгрузит похожий по внешним признакам скрипт - фиг отличишь. Потому что ничто не мешает ему вести себя похоже. Есть SSL, но его надежность - ниже всякой критики.

> Кстати, за их использование в некоторых странах могут наказать.

А в некоторых странах так и вовсе могут камнями закидать.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

90. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от GG (ok) on 30-Июл-12, 12:22 
> Когда я качаю GPG из репов моего дистра, я знаю кто писал код и кто собирал пакет.

Как будто тот, кто писал и собирал не мог проебать свою подпись
Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу

Ну или https и зафаерволить все левые хосты для полной секурности

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

96. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  –1 +/
Сообщение от Аноним (??) on 30-Июл-12, 12:53 
> Как будто тот, кто писал и собирал не мог проeбать свою подпись

В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс мирового класса. И полпланеты сразу же будет трубить о данном факте.

> Или не мог под влиянием терморектальника или нефти сам подписать какую-нибудь лажу

См. выше. А в упомянутой вами механике - вообще очевидных простых методов проверить кто и что, внушающих доверие - просто нет. Потому что вебня никогда не предназначалась для проверки кто автор кода. Она просто не о том.

> Ну или https

А https - не есть полностью секурный протокол. Потому что большая пачка CA доверяемых по дефолту. И каждый может за другого поставить подпись. Вон comodohacker удостоверил себе что он гугл, мозилла, скайп и что там еще - все и сразу. CA конечно сдох, но секурность 100500 CA которые бырыжат сертификатами за бабло и могут подписать все и всем доверия как-то не внушает. Вот тут уже хаксоры или парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину в N субъектах примерно в N раз выше чем в 1 субъекте.

> и зафаерволить все левые хосты для полной секурности

К сожалению я делаю вывод что вы - ламер. Вы попросту не представляете себе как работает прозрачный прокси. Позорище космофлота.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

102. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от коксюзер on 30-Июл-12, 15:01 
> В принципе мог, но такие случаи крайне редки. Это будет ломовой секурити-анонс
> мирового класса. И полпланеты сразу же будет трубить о данном факте.

Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, все, кто доверял ключу, продолжат доверять. Ну и случай с Red Hat показывает, что всем, в принципе... ну вы понели.

> там еще - все и сразу. CA конечно сдох, но секурность

К сожалению, Comodo жив.

> 100500 CA которые бырыжат сертификатами за бабло и могут подписать все
> и всем доверия как-то не внушает. Вот тут уже хаксоры или
> парни с корочками вполне могут подсуетиться. Вероятность найти по простому слабину
> в N субъектах примерно в N раз выше чем в 1
> субъекте.

Да. Вообще, забавны все эти рассуждения, по сути, о том, как неопытные пользователи будут удалять из браузера сертификаты CA и проверять по независимым каналам подлинность самоподписанного сертификата (а то и аж целостность получаемых скриптов!), дабы заткнуть паклей дыры в дизайне Cryptocat. Который, что характерно, нацелен на тех, кто не знает, как это делается, либо на тех, кому... ну вы понели. Не говоря о том, что поставить и настроить чат-клиент с OTR - гораздо проще и удобнее, чем все эти пляски.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

104. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от GG (ok) on 30-Июл-12, 15:30 
> К сожалению я делаю вывод что вы - ламер.

Если я ламер, кто кто ты тогда?
Выводятел?

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

59. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от GG (ok) on 29-Июл-12, 11:20 
> AGPLv3 позволяет тебе

Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код хостящегося на твоём личном серваке публичного сервиса.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

11. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от filosofem (ok) on 28-Июл-12, 15:54 
 
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от filosofem (ok) on 28-Июл-12, 15:55 
Внимание тоже вопрос: что что вам помешало читать дальше слова "web-приложения"?
Оно вызывает у вас какие-то сильные переживания?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +1 +/
Сообщение от Аноним (??) on 28-Июл-12, 19:27 
> Внимание тоже вопрос: что что вам помешало читать дальше слова "web-приложения"?

Так я прочитал. И мне не понятно:
1) Что защитит от подмены скрипта на пробэкдореный по пути от сервака до юзера? Ну воткнет некто прозрачный проксь и впарит исправленный скрипт, который ключ налево сливает, например. Или просто юзерский ввод отсылает не только на сервак, но и допустим на посторонний сервак логгирования. А что помешает то? Не вижу в статье этого момента.
2) Что защитит от произвола сервера? Ну или что помешает отгрузить какой-то левак под видом "типа надежного шифрования"? Ну в случае GPG - там майнтайнеры в репах и авторы GPG своей репутацией отвечают, в приличных дистрах подписи на релиз лепят + история всех патчей. Можно проверить что оно именно авторское а не какое попало. А тепеь я захожу на некий серват этой системы. Как мне собственно по простому проверить что оно секурное? Может сервак с трояненым скриптом какой-то школьник с жидким мозгом поставил, которому и терять то нечего? А как мне отличить хороший сервер и код от нехорошего?


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +1 +/
Сообщение от filosofem (ok) on 28-Июл-12, 22:22 
Если вам тяжело там читать, цитирую, не благодарите:
>Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей.

 

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

43. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 02:54 
> Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox

Что по сути является тем же яваскриптом. В случае Chrome и установки из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox сказать сейчас не могу.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

45. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +4 +/
Сообщение от Аноним (??) on 29-Июл-12, 03:15 
>> Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox
> Что по сути является тем же яваскриптом. В случае Chrome и установки
> из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox
> сказать сейчас не могу.

Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения глазами перед установкой.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

95. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 30-Июл-12, 12:43 
> Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения
> глазами перед установкой.

Вот это уже более здравый аргумент в отличие от клоунов рядом.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

52. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 03:58 
> позволяют полностью вынести логику работы чата на сторону клиента,
> используя сервер только для хранения зашифрованных данных и списка
> подключенных пользователей.

А тут тоже интересный вопрос - это надо смотреть насколько нельзя дополнения подменить. Там есть проверка подписей, например? Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

58. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +5 +/
Сообщение от Аноним (??) on 29-Июл-12, 10:44 
>Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод?

Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров станет ТАК ковыряться, может стоит взглянуть сразу в сторону github.com/prof7bit/TorChat ?

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

91. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 30-Июл-12, 12:26 
> Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров
> станет ТАК ковыряться,

"Безопасность имеет 2 уровня: high и нехай" (с) кто-то из параноиков. Ну то-есть, если там нет подписей, ковыряния там на аж 10 минут средне-паршивого скрипткидиса - аж научиться прозрачный прокси ставить. И редиректить на нем некоторые URL. Стандартный сисадминский скилл любого вменяемого админа в энтерпрайзной локалке.

Атака стоит $0, не требует каких-то спец-скиллов и вычислительных мощностей. Wtf - "ТАК"?

> github.com/prof7bit/TorChat

Какая-то неведомая фигня на паскале. А что-то наподобие но менее велосипедное, например как плагин к кутиму/пиджину не бывает случайно? Я пока в курсе насчет OTR, неплохая в принципе штука. Явно с умом делалось, протокол достаточно продуман и по этому поводу пролезает поверх почти любого мыслимого IM протокола. End-to-end шифрование. Есть аутентификация собеседника, можно проверить фингерпринт ключа, но нет доказуемых цифровых подписей на сообщениях, так что в перехваченном траффике - фиг кому и что докажешь. Есть perfect forward secrecy, когда ключ расшифровки временный и есть только в RAM и изничтожается из RAM после завершения сессии, что не позволяет расшифровать перехваченный траффик "когда-нибудь потом". Вот это нормально задизайненая штука. И оно имеет важный плюс: код всего этого лежит у меня на диске, а пакет с оным подписан. По желанию левой пятки постороннего MITM я libotr на что-то левое не заменю. Просто потому что для этого надо подделать цифровую подпись пакета (удачи!) и убедить меня вгрузить апдейт (удачи, я проверяю по поводу чего такие апдейты выкатываются).

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

115. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +3 +/
Сообщение от Аноним (??) on 31-Июл-12, 21:08 
>Какая-то неведомая фигня на паскале.

на Python же

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

116. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –3 +/
Сообщение от vasek on 07-Авг-12, 13:02 
> на Python же

бууэээ...

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

117. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +3 +/
Сообщение от троллМорде on 07-Авг-12, 14:32 
сам ты бууэээ...
Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

118. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +4 +/
Сообщение от Fyjybv on 13-Авг-12, 14:29 
В wheezy во всяком случае есть - значит уже не бууээ
http://packages.debian.org/wheezy/torchat
Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

61. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +2 +/
Сообщение от GG (ok) on 29-Июл-12, 11:25 
> Там есть проверка подписей, например?

Запили своё, йопта
С проверкой подписей и обновлением со своего собственного сервера, а не через cws
Что хрум, что лиса - никаких препятствий не чинят

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

92. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –1 +/
Сообщение от Аноним (??) on 30-Июл-12, 12:32 
> Запили своё, йопта

А, вот оно что - "йопта-wannabe-криптографы". Ну так бы сразу и сказали.

> С проверкой подписей и обновлением со своего собственного сервера,

Дык у меня уже пакетный менеджер есть. Он как раз именно так и сделан. Какие ключи у меня в кейринге стоят - таким и будем доверять. Скажу что доверять только мне - значит только мне. Правда мне придется переподписывать пачку пакетов :)

> а не через cws

Что есть cws?

> Что хрум, что лиса - никаких препятствий не чинят

В пакетном манагере есть готовая понятная механика которой я могу проверить что libotr - от именно авторов оной либы, а не откуда-то сбоку. И апдейты я буду вгружать не по желанию левого mitm а когда сам захочу. И в отличие от - я не могу найти в OTR очевидных проблем реализации так сходу. Ы? Вот это - простая и достаточно понятная механика. Без явных подлян. А в этой хреновине туева хуча неучтенных факторов. Злоумышленнику достаточно чтобы сработал хотя-бы один из них.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

98. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 30-Июл-12, 12:55 
> В пакетном манагере есть готовая понятная механика которой я могу проверить что
> libotr — от именно авторов оной либы, а не откуда-то сбоку.

точно можешь? а расскажи про этот крутой механизм, а? он ведь должен гарантировать, например, что авторы не потеряли случайно свои ключи. что авторов под пытками не заставили подписать левое. и ещё 100500 факторов. это же эпохальная разработка, о такой весь мир должен шуметь — ан, тишина.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

103. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от GG (ok) on 30-Июл-12, 15:27 
> Дык у меня уже пакетный менеджер есть.

Поставил убунту = стал крутым сисадмином, криптографом и пацаном

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

54. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от коксюзер on 29-Июл-12, 07:05 
> Дело в том что криптография не защищает от случая когда сам криптографический
> код - потенциально недоверяемый. Просто потому что атакующий может впарить по
> пути нечто иное. В случае отдельного приложения установленного локально у атакующего
> нет методов оперативно заменить криптографический код и его обвязку. Но в
> вебне то юзер должен скачать этот самый код, обеспечивающий шифрование. И
> вот тут атакующий может вовремя подсуетиться.

OMG, не в сказку ли я попал? Да это же разумный коммент на опеннете на тему безопасности, и не от solardiz'а сотоварищи!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

57. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  –1 +/
Сообщение от arisu (ok) on 29-Июл-12, 10:02 
> OMG, не в сказку ли я попал? Да это же разумный коммент
> на опеннете на тему безопасности, и не от solardiz'а сотоварищи!

понимаешь, в чём дело: этот камент совсем не по теме. потому что авторы cryptocat нигде не обещали 100% защиты по всем точкам.

хочешь, я тебе выдам примерно такой же вообще про любую систему? итак: «предположим, что в фирмварь зашит кейлоггер…» думаю, ты понял принцип.

ребята написали реализацию шифрования и прочее на js. сейчас это модно. доставкой своего кода и самовалидацией проект не занимается. поэтому все вопли про MITM являются не «хорошими, годными каментами о security», а обычными демагогическими воплями — вне зависимости от того, насколько они верны фактически.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

75. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от коксюзер on 29-Июл-12, 16:08 
> понимаешь, в чём дело: этот камент совсем не по теме. потому что
> авторы cryptocat нигде не обещали 100% защиты по всем точкам.

Во-первых, мы с вами на брудершафт не пили. Во-вторых, коммент полностью по теме, поскольку модель угроз, в рамках которой Cryptocat может что-то предложить, не включает активный MitM и тем самым учитывает что угодно, но не реалии 21 века и даже не конца 20-го, включая реалии "этой страны".

> хочешь, я тебе выдам примерно такой же вообще про любую систему? итак:
> «предположим, что в фирмварь зашит кейлоггер…» думаю, ты понял принцип.

Вы это всерьёз или так, "потроллить"? Всегда есть риск, что куда-то зашит кейлоггер, или кто-то дистанционно читает ПЭМИН с клавиатуры, монитора, сетевой карты, или снимает скрытой камерой и т.п. Но риски эти как правило значительно ниже по сравнению с рисками в случаях, когда перехват зашифрованных сообщений и их расшифровку можно осуществлять автоматически, на порядки дешевле, проще и практически незаметно. С учётом возможности расшифровки, веб-ресурсы с Cryptocat (факт их использования) - это маркер потенциальных жертв для репрессивных режимов. И если те режимы где-то до сих пор не воспользовались возможностью, они ей рано или поздно воспользуются. И хуже будет, если это произойдёт после формирования ложного представления о безопасности Cryptocat, когда туда потекут массы диссидентов. Идея эта крайне старая (~ 8 лет или старше), обсуждалась в сообществе многократно, но не была реализована исходя из соображений, схожих с вышеизложенными. А парень, пусть и неосознанно, просто подставляет тех, кто ему поверит.

> ребята написали реализацию шифрования и прочее на js. сейчас это модно. доставкой
> своего кода и самовалидацией проект не занимается. поэтому все вопли про

Вы констатируете, допустим, факты. Комментатор выше и я дали им оценку, противопоставить которой вам по сути нечего, кроме неловких намёков на всем известные риски и попыток опровергнуть относительную практическую ценность всех современных CMS тем, что она не является абсолютной.

> MITM являются не «хорошими, годными каментами о security», а обычными демагогическими
> воплями — вне зависимости от того, насколько они верны фактически.

К сожалению, это ваши вопли являются сугубо демагогическими, ложными и даже вредными, если бы автор Cryptocat уже не начал гораздо более масштабную работу по введению масс в заблуждение, сам того не ведая (я надеюсь).

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

93. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 30-Июл-12, 12:39 
294-й же. Не то чтобы я супер-про в шифровании, но я вполне себе владею "азами" + зачастую могу прикинуть с какой стороны можно попробовать зайти чтобы нечто попытаться взломать. Ну вот и озвучил наиболее подозрительные векторы атак, поинтересовавшись а как с этим борятся.

Похоже, борятся с атаками чисто троллингом :). Чего ради Кэп растроллился - я вообще не понял. Нет бы хоть по существу троллил, а то только какашками кидается как какой-нибудь iZEN прямо. Хотя вроде ж не тупой субъект -> не понятно чего паясничает.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

99. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 30-Июл-12, 12:57 
подустал от псевдоумных комментариев. да, танки не летают. нет, в техспецификациях и не было сказано, что будут летать. да, в болоте утонут. нет, никто и не собирался делать плавающий танк. и так далее.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

113. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 31-Июл-12, 00:16 
> никто и не собирался делать плавающий танк. и так далее.

Ну вот немцы тоже так считали. А потом истошно крыли "ужасную русскую распутицу", и с поводом и без. А вот советские конструкторы не забывали о давлении гусениц на грунт. По поводу чего мне не известно о массовых воплях насчет распутицы с советской стороны :).

Может быть я не так уж и неправ советуя не забывать о проходимости танка не только по шоссе но и по хрен знает какому г-ну, которое почему-то в природе встречается чаще шоссе? :)

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

114. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 31-Июл-12, 02:53 
(вздыхает) ты притворяешься, или таки действительно не врубаешься?
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

94. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от Аноним (??) on 30-Июл-12, 12:41 
> понимаешь, в чём дело: этот камент совсем не по теме. потому что
> авторы cryptocat нигде не обещали 100% защиты по всем точкам.

Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того чтобы доказать миру что на JS можно еще и AES реализовать.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

100. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 30-Июл-12, 13:06 
> Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того
> чтобы доказать миру что на JS можно еще и AES реализовать.

и что тут такого декоративного? по твоей логике *вся* секурность декоративная. докажи, что в твоей системе, в биосе и так далее нет руткитов. докажи, что их нет у собеседника. докажи, что… и так далее.

любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять. не доверяешь чужому серверу — подними свой. считаешь, что по дороге могли подменить js? используй SSL с самодельным сертификатом. считаешь, что юзер — дятел, и не будет читать информацию о сертификате, прежде чем согласиться (и до сих пор не вынес нафиг «trusted authorities»)? идиотизм неизлечим, такому никакое шифрование не поможет.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

105. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от GG (ok) on 30-Июл-12, 15:32 
> любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять

Вынужден категорически не согласиться
Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от кого не зависеть

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

106. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 30-Июл-12, 15:45 
> Вынужден категорически не согласиться
> Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от
> кого не зависеть

ещё раз: ты 100% уверен, что в твоей системе, в железе и ты пы нет руткитов? на чём основана такая уверенность?

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

107. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от GG (ok) on 30-Июл-12, 16:54 
> ещё раз: ты 100% уверен, что в твоей системе, в железе и
> ты пы нет руткитов? на чём основана такая уверенность?

Ещё раз: на моём заводе всё оборудование я произвёл сам, своими руками. И я знаю, как оно работает. Никому доверять не нужно.

Хотя это, конечно же, ближе к утопии, чем к современным потреблядям

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

108. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 30-Июл-12, 17:21 
>> ещё раз: ты 100% уверен, что в твоей системе, в железе и
>> ты пы нет руткитов? на чём основана такая уверенность?
> Ещё раз: на моём заводе всё оборудование я произвёл сам, своими руками.
> И я знаю, как оно работает. Никому доверять не нужно.

и всё своё железо? и всю схематику проверял досконально? и прошивки? и код всего софта? unreal.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

109. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от GG (ok) on 30-Июл-12, 17:47 
> и всё своё железо? и всю схематику проверял досконально? и прошивки? и
> код всего софта? unreal.

Посмотри в словаре, что такое утопия

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

110. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от arisu (ok) on 30-Июл-12, 17:53 
не тупи, пожалуйста.
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

111. "В рамках проекта Cryptocat создан web-чат с шифрованием..."  +/
Сообщение от GG (ok) on 30-Июл-12, 18:18 
> не тупи, пожалуйста.

сам не тупи, пожалуйста.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

97. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 30-Июл-12, 12:55 
> OMG, не в сказку ли я попал?

О, это же paxuser собственной персоной. Не в сказку ли я попал? :)

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

6. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –1 +/
Сообщение от Аноним (??) on 28-Июл-12, 14:29 
Ну теперь-то жабберу точно капец.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 28-Июл-12, 14:57 
А был же такой firetalks уже давно, от наших соотечественников.

В чём принципиальная разница?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +1 +/
Сообщение от Аноним (??) on 28-Июл-12, 19:22 
> А был же такой firetalks уже давно, от наших соотечественников.
> В чём принципиальная разница?

А также был SILC, IRC с SSL, OTR и еще много всяких пепелацев. Некоторые даже внушающие поболее доверия нежели это. И?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –2 +/
Сообщение от GG (ok) on 28-Июл-12, 17:06 
Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безграмотными каментами по поводу перехвата ключа и потому поясняю сразу:
- генерится два ключа:
-- маленький
-- большой
- маленький передаётся в сеть
-- он пригоден только для шифрования
- большой никуда не передаётся
-- только с ним можно расшифровать зашифрованное маленьким

Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни кто кроме владельца подписи не сможет.

Единственная проблема может быть в самом алгоритме шифрования, но на то оно и aGPL, чтобы патчи выходили сразу же.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –2 +/
Сообщение от Аноним (??) on 28-Июл-12, 17:57 
>[оверквотинг удален]
> - маленький передаётся в сеть
> -- он пригоден только для шифрования
> - большой никуда не передаётся
> -- только с ним можно расшифровать зашифрованное маленьким
> Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать
> месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо
> из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни
> кто кроме владельца подписи не сможет.
> Единственная проблема может быть в самом алгоритме шифрования, но на то оно
> и aGPL, чтобы патчи выходили сразу же.

(смех Баттхеда) копетан нам рассказал азы асимметричного шифрования. Хвала ему! О великий копетан

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

33. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +2 +/
Сообщение от Аноним (??) on 28-Июл-12, 20:41 
> Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безграмотными каментами по поводу перехвата ключа и потому поясняю сразу:
> Я подозреваю адово немеряное количество всяких безграмотных одминов
> срущих безграмотными каментами
> безграмотных одминов
> безграмотными каментами
> безграмотных

Отправлено GG, 28-Июл-12 17:06

"Значит, когда эти баритоны кричат «бей разруху!» — Я смеюсь. Клянусь вам, мне смешно! Это означает, что каждый из них должен лупить себя по затылку!"

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от saNdro on 29-Июл-12, 01:03 
>[оверквотинг удален]
> - маленький передаётся в сеть
> -- он пригоден только для шифрования
> - большой никуда не передаётся
> -- только с ним можно расшифровать зашифрованное маленьким
> Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать
> месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо
> из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни
> кто кроме владельца подписи не сможет.
> Единственная проблема может быть в самом алгоритме шифрования, но на то оно
> и aGPL, чтобы патчи выходили сразу же.

Если вы про асимметричное шифрование, то учите теорию. разница в функциях закрытого и открытого ключей, только в том, что из первого можно сгенерировать второй, из второго первый нет.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

55. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от коксюзер on 29-Июл-12, 07:24 
> из первого можно сгенерировать второй

Тогда это уже не ключи, а файлы, где в файл приватного ключа вложен публичный или исходные простые числа.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

18. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –2 +/
Сообщение от Аноним (??) on 28-Июл-12, 17:36 
Эллиптические кривые?)
ГОСТом чтоле шифрут?))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 03:18 
> Эллиптические кривые?)
> ГОСТом чтоле шифрут?))

Ты думаешь что только ГОСТ основан на эллиптических кривых?)))

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

48. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 03:30 
> Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения.

да неужели не могут?! ну этоже просто смешно :-D :-D

...хотите сказать что у администратора сервера НЕТ(?) полномочий в любой (удобный для него) момент времени -- поменять Javascript-код отправляемый определённым клиентам?

# p.s.: такая же псевдобезопасность, как и JavaApplets (с цифровыми подписями) для банк-клиентов.

# p.s.s.: разумеется придётся наружить AGPL-лицензию, чтобы прослушивать сообщения определённых клиентов.. но думаю это не особо большая проблема

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +1 +/
Сообщение от Аноним (??) on 29-Июл-12, 06:08 
ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать выше производятся худшей и меньшей частью форумчан, а думающая часть просто помалкивает, иначе о горе нам всем
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

63. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 12:58 
> ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать
> выше производятся худшей и меньшей частью форумчан, а думающая часть просто
> помалкивает, иначе о горе нам всем

вместо того чтобы тупо обзываться оскорблениями

может лучше напишешь ЧТО(?) именно мешает системному администратору -- модифицировать серверную сторону крипто-чата таким образом, чтобы функция различным пользователям чата выдавался различный Javascript-код???

для кого-то (99% пользователей) Javascript-код, который всё шифрует по чесноку, а для кого-то (1% от всех пользователей) Javascript-код который нифиги ничего не шифрует. что тут такого уж невозможного?

(нет, нет, я говорю НЕ про интернет-провайдера и НЕ про мифический ФБР, а именно ПРО хозяина сервера с чатом)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору
Часть нити удалена модератором

69. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от GG (ok) on 29-Июл-12, 13:23 
> а как поступим с остальными пользователями этого чата?

Согласно с законом о защите секретной информации в РФ защиту своей информации должен обеспечивать владелец этой информации.
Мягко грубо говоря: кому нужна безопасность, тот о ней и должен заботиться.
Кто насрал на свою безопасность, тот сам дурак.
Если юзер тупой - он всё-равно посадит себе кейлоггера и это будет проще, чем подменить ему скрипт в бровзере.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

70. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Xasd (ok) on 29-Июл-12, 13:28 
>> а как поступим с остальными пользователями этого чата?
> Согласно с законом о защите секретной информации в РФ защиту своей информации
> должен обеспечивать владелец этой информации.
> Мягко грубо говоря: кому нужна безопасность, тот о ней и должен заботиться.
> Кто насрал на свою безопасность, тот сам дурак.
> Если юзер тупой - он всё-равно посадит себе кейлоггера и это будет
> проще, чем подменить ему скрипт в бровзере.

ну, вот .. теперь мне всё ясно :-)

такбы сразу и сказал

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

60. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  –1 +/
Сообщение от GG (ok) on 29-Июл-12, 11:23 
> придётся наружить AGPL-лицензию

А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

62. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Аноним (??) on 29-Июл-12, 12:51 
>> придётся нарушить AGPL-лицензию
> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался

для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата" ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.

(тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить всё как есть)

но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL. а если её опубликовать, то заговор системного администратора раскроется :-D

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от GG (ok) on 29-Июл-12, 13:10 
>>> придётся нарушить AGPL-лицензию
>> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался
> для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата"
> ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.
> (тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям
> [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить
> всё как есть)
> но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL.
> а если её опубликовать, то заговор системного администратора раскроется :-D

ты вообще смотрел, как он работает, прежде чем это понаписать?

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

68. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Xasd (ok) on 29-Июл-12, 13:22 
>>>> придётся нарушить AGPL-лицензию
>>> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался
>> для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата"
>> ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.
>> (тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям
>> [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить
>> всё как есть)
>> но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL.
>> а если её опубликовать, то заговор системного администратора раскроется :-D
> ты вообще смотрел, как он работает, прежде чем это понаписать?

читал новость и заходил по ссылке

что написанного мной -- не так -- по твоему мнению?

что вообще за личностные придирки? напиши по сути, а не личные оскорбления и/или намёки

update: https://www.opennet.ru/openforum/vsluhforumID3/85788.html#70

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

71. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от GG (ok) on 29-Июл-12, 13:32 
> читал новость и заходил по ссылке

И что по твоему мешает админу выложить исходники?
Думаешь из юзеров у кого-то хватит ума их прочитать?

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

80. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Af. on 29-Июл-12, 17:08 
>> читал новость и заходил по ссылке
> И что по твоему мешает админу выложить исходники?
> Думаешь из юзеров у кого-то хватит ума их прочитать?

У кого-либо из гиков хватит ума указать пальцем на нужную строку, после чего бригадиры хомячков поймут нужное и объяснят своим подопечным.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

81. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от GG (ok) on 29-Июл-12, 17:13 
>>> читал новость и заходил по ссылке
>> И что по твоему мешает админу выложить исходники?
>> Думаешь из юзеров у кого-то хватит ума их прочитать?
> У кого-либо из гиков хватит ума указать пальцем на нужную строку, после
> чего бригадиры хомячков поймут нужное и объяснят своим подопечным.

Будет уже поздно
А потом появится какой-нибудь хомяк и напишет:
— Да нет там вируса, я проверил, просто аваста отключи и всё работает!

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

119. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Anonim email(??) on 29-Сен-12, 14:34 
пользоваться русским криптопродуктом в россии? хорошее предложение. силовики промышляют коммерческим шпионажем не хуже конкурентов и криминала!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

120. "В рамках проекта Cryptocat создан web-чат с шифрованием на с..."  +/
Сообщение от Anonim email(??) on 29-Сен-12, 14:39 
а вообще зачем этот огород? есть пейджеры, есть gpg, есть tor - есть продукты готовые, которые все это содержат. причем в большом потоке стороннего чат-сервиса затеряться легче.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру