А это так важно? =)

если я тебе скажу что эта статья не имеет значения, это важно?

если не важно, то это важно

Вру. Static rsa.

https://www.google.com/amp/blog.cloudflare.com/tls-1-3-overview-and-q-and-a/amp/

>how would you keep the user from switching their account by messing with the cookie? длина id

для начала

привязка к ip, возможно

остальное полная херь

https://www.google.com/amp/blog.cloudflare.com/tls-1-3-overview-and-q-and-a/amp/

Чувак предлагал шифровать данные, которые может менять пользователь, ключом, которым должен владеть только сервер

Заявка на ассиметричную криптографию

https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2009/july/if-youre-typing-the-letters-a-e-s-into-your-code-youre-doing-it-wrong/

если лень читать всё (хотя оно и весьма интересно), вот тебе TL;DR: NATE LAWSON Professional crypto people don’t even get this stuff right. But if you have to encrypt something, you might as well use something that has already been tested. THOMAS PTACEK GPG for data at rest. TLS for data in motion. NATE LAWSON You can also use Guttman’s cryptlib, which has a sane API. Or Google Keyczar. They both have really simple interfaces, and they try to make it hard to do the wrong thing. What we need are fewer libraries with higher level interfaces. But we also need more testing for those libraries. THOMAS PTACEK Like I’ve been saying, if you have to type the letters “A-E-S” into your source code, you’re doing it wrong

если лень читать всё (хотя оно и весьма интересно), вот тебе TL;DR: NATE LAWSON Professional crypto people don’t even get this stuff right. But if you have to encrypt something, you might as well use something that has already been tested. THOMAS PTACEK GPG for data at rest. TLS for data in motion. NATE LAWSON You can also use Guttman’s cryptlib, which has a sane API. Or Google Keyczar. They both have really simple interfaces, and they try to make it hard to do the wrong thing. What we need are fewer libraries with higher level interfaces. But we also need more testing for those libraries. THOMAS PTACEK Like I’ve been saying, if you have to type the letters “A-E-S” into your source code, you’re doing it wrong

эээм... я должен чему-то этому поверить?

не верь - проверь

я буду проверять то,что мне интересно

тыж хотел своё написать - проверить чужое же ещё проще

тратить время на проверку вбросов мне не интересно

я буду проверять то,что мне интересно

ааа, "чукча не читатель, чукча — писатель"

ааа, "чукча не читатель, чукча — писатель"

мне хватило оценить грамотность по вступлению

эээм... я должен чему-то этому поверить?

Да не, там про уязвимости применения не тех средств не туда написано правильно

придумали несуществующую проблему и начали решать ее дебильными средствами

заебись

Другое дело, что примеры показывают лишь, что надо разбираться в тех инструментах, что ты хотел бы использовать и не упарываться

There’s still a bunch of things you can do wrong. Like I was just saying, Google Keyczar did almost everything right, but compared the MAC using a timeable comparison function. You could tell how many bytes of the MAC matched by watching how long the function took. People make that mistake all the time. An even more common mistake is to generate an error message when your padding is wrong. If you do that, you can decrypt messages. Пиздёжь

Теория, неосуществимо на практике

https://hi-tech.mail.ru/news/gatebox/ вместо кошек

сейчас большинство взломов осуществляются изнутри или с помощью службы поддержки

помимо устаревших систем

Ну большинство - не значит все

tls - не лекарство от всех бед, это комбинация тех же самых алгоритмов, часть из которых уязвима в той или иной степени

0day никто не отменял

tls - не лекарство от всех бед, это комбинация тех же самых алгоритмов, часть из которых уязвима в той или иной степени

Думаю, Алексей хотел сказать, что это набор наиболее проверяемых и устойчивых алгоритмов

tls даже более уязвим, так как позволяет устанавливать ненадежное соединение

если и клиент и сервер не поддерживают сильные алгоритмы

но браузер об этом обычно не говорит

Я тут помню, люди недавно шифрование писали, тоже считали что понимают что делают, MTproto назвали, кстати

Почитайте эти ужасы https://core.telegram.org/techfaq#q-are-you-doing-encrypt-then-mac-mac-then-encrypt-or-mac-and-enc

Mac then encrypt, sha1, IGE

А потом отматываются, что мол sha1 для нашего юзкейса не поломали, Mac then encrypt -- ОК если вот тут подкостылить, а IGE на самом деле заебись если не делать лишних движений

Почитайте эти ужасы https://core.telegram.org/techfaq#q-are-you-doing-encrypt-then-mac-mac-then-encrypt-or-mac-and-enc

Ребята непростые, есть что предъявить по делу?

Помню, им предъявили, что в их самодельном деффи-хэллмане лишнее действие, которое только мешает

Они исправили и бабос заплатили

Так что если есть какие возражения - способ заработать бабос реальный

Ребята непростые, есть что предъявить по делу?

то что я упомянул выше + то что оно CCA insecure — MTproto это бомба которая рано или поздно взорвётся. Это можно понять просто прочитав, что они там нагородили из доступных "примитивов шифрования". Не делайте так - юзайте проверенные штуки или нанимайте "Берштейна", чтобы он за вас всё придумал, а потом вкладывайте миллионы в аудит после каждого обновления кода.

О, а не набросить ли мне в пятницу вечером? Легонничко так, ибо я ещё трезвый. Вот знаете ли вы, господа админ^Wдевопсы, что произойдёт 31ого Декабря в 23:59:60? Готовы ли вы и ваши подопечные сервера к этому событию, или же как в 2012 году всё будет?

О, а не набросить ли мне в пятницу вечером? Легонничко так, ибо я ещё трезвый. Вот знаете ли вы, господа админ^Wдевопсы, что произойдёт 31ого Декабря в 23:59:60? Готовы ли вы и ваши подопечные сервера к этому событию, или же как в 2012 году всё будет?

Время утекает, старое днище зависает

О, а не набросить ли мне в пятницу вечером? Легонничко так, ибо я ещё трезвый. Вот знаете ли вы, господа админ^Wдевопсы, что произойдёт 31ого Декабря в 23:59:60? Готовы ли вы и ваши подопечные сервера к этому событию, или же как в 2012 году всё будет?

Знаем

В 2012 отлично было

Я как раз на Юлкэмпе был

(я в LinkedIn'е был и у нас была JVM на Linux ВЕЗДЕ)

И вот, стало быть, берег Волги

Ад, пизда, тьма, огорчение

У всех

А канал там понятно какой

Ну и соц опрос: кто что делает чтобы в этом году не провести Новый Год по локти в дерь^Wконсоли?

Ну и соц опрос: кто что делает чтобы в этом году не провести Новый Год по локти в дерь^Wконсоли?

Не занимаюсь в этом году опс инжирингом

Ну и соц опрос: кто что делает чтобы в этом году не провести Новый Год по локти в дерь^Wконсоли?

Я помню тот год, но мне казалось что больше всего страдает джава

А веселые косяки в ядре поправили еще в 2012 году

А веселые косяки в ядре поправили еще в 2012 году

ну как тебе сказать, leap second они через каждые 6мес-4года, за это время багов может новых наплодится ой ой ой сколько

то что linux/ява пережила прошлый leap second не значит что она переживёт этот =)

Вообще можно конечно мини учения провести и на паре серверов сбить время

Ну и соц опрос: кто что делает чтобы в этом году не провести Новый Год по локти в дерь^Wконсоли?

В этом году девопс и админство только на локалхосте

Просто оставлю это здесь: http://cr.yp.to/libtai.html

Хей хоу, ребят!

Бот говно

ERROR: S client not available

!

окей :(

почему?

С распознает хреново

ну, уж так работает wit.ai и Google Speech :(

ладно, испарюсь в позоре ?

https://m.habrahabr.ru/post/316978/

Ну это в тему "Бот говно"

пора девопсам красить воротнички в синий цвет)

https://hightech.fm/2016/12/16/ibm-employees

https://hightech.fm/2016/12/16/ibm-employees

главное чтобы лет через 15 уже машины не писали код для машин

главное чтобы лет через 15 уже машины не писали код для машин

уже ж, фреймоворки всякие, вот это все

уже ж, фреймоворки всякие, вот это все

пока сайт сам сайт не сохдаёт, а его пишут люди, а через через 10-15, создание того же сайта будет просто командой голосовой

вон взять теже роботы для замены кассиров, кладовщиков, и мерчеров

пока сайт сам сайт не сохдаёт, а его пишут люди, а через через 10-15, создание того же сайта будет просто командой голосовой

а забабахай-ка мне сайт как вконтактик

по фатку покупка 1 робота уже сейчас меньше 2 лет работника стоит

а лет через 10 просто их не станет

"до чего дошел прогресс.."

Сколько лет песни?)

ну волмарт и ещё многие крупные сети сша наработками амазона уже заинтересовались

ну волмарт и ещё многие крупные сети сша наработками амазона уже заинтересовались

До этого еще далеко

В США и раньше были магазины на честности

Без роботов просто

В США и раньше были магазины на честности

тут уже не совсем честность,там именно робот ещёт покупки и пробивает

Ну и безусловный доход как раз спасет тех кто останется не у дел

тут уже не совсем честность,там именно робот ещёт покупки и пробивает

Дык кто мешает посмотреть, оторвать метку и метку положить обратно?

Ну и безусловный доход как раз спасет тех кто останется не у дел

? ну 900 баксов в месяц это явно не та сумма

А покупку унести

А покупку унести

робота охранника думаю сделать не сложно

робота охранника думаю сделать не сложно

Который что?