Вопрос ведь в чем. Сделать закладку в публичном шифре так, чтобы её не нашли -- это очень и очень непросто. Куда проще делать эти закладки в реализациях :))

вот тут я согласен полностью

поэтому вопросы реализации предпочтительно брать на себя, чтобы знать наверняка что "под капотом"

Ну учитывая, что государство требует для всяких важных вещей использование железок, которые производит само, то тут даже про закладки говорить не приходится.

Но есть ведь и другая проблема. Чем ты больше пытаешься реализовать сам, тем больше шансов, что ты ошибёшься :))

А ошибиться в реализации криптографии не просто, а очень просто. Потому что это вообще-то пиздец какая сложная хрень

почему тогда бы не сделать краудшифрацию? на базе тех же блокчейнов ))

если что, я не сильно глубоко углублялся в детали реализации тех или иных методов, но готов ?

Надо просто иметь хорошие открытые реализации. Грамотно написанные и прошедшие peer review. Желательно -- небольшое количество в виде библиотек

А тот же блядский Гугл, например, форкнул OpenSSL

и теперь там будут закладки?

не в openssl, а в форке, разумеется )

Дело не в этом. А в том, что они прям пропагандируют эту новую блядскую манеру все тащить с собой

Он его форкнул, потому что в OpenSSL не хотели патчи принимать нормально

Мол, если вам надо, делайте форк и тащите в себе

есть кстати отличный, но слегка закрытый групп по обсуждению криптографии и infosec в целом.

желающих могу позвать

Теперь представь какой-нибудь хартблид-2

есть кстати отличный, но слегка закрытый групп по обсуждению криптографии и infosec в целом.

Обсуждению с кем? :)

не думаю что там сильно прокаченные специалисты по ИБ или криптографы, разумеется

скорее просто собрание небезучастных любителей обсудить ИБ

Он его форкнул, потому что в OpenSSL не хотели патчи принимать нормально

С одной стороны да. С другой стороны, модное по нынешним временам увлечение забивать болта на зависимости и дистрибутивные версии, а упаковка всего с собой сразу -- вот помяни мое слово, приведёт к тому, что лечение дырок превратится в чудовищный кошмар.

Я с тобой согласен, если что.

Мне самому не понравилась тема, что OpenSSL дважды форкнули, вместо того, чтобы изменить подход к разработке самого продукта.

И если это какая-нибудь жабоскриптная говнобиблиотека -- да хрен с ней. А если это ключевой компонент, реализующий все криптопротоколы и все шифры?

А второй форк кто?

В итоге все так же продолжают пользоваться OpenSSL, но часть ресурсов ушла в какой-то левак, который хрен знает когда будет использоваться

А второй форк кто?

openbsd’шники же форкнули

Ааа

Вот они тоже как гугл, только бедные

досихпор не заблочили для телеги микр

С одной стороны да. С другой стороны, модное по нынешним временам увлечение забивать болта на зависимости и дистрибутивные версии, а упаковка всего с собой сразу -- вот помяни мое слово, приведёт к тому, что лечение дырок превратится в чудовищный кошмар.

Spotify против этого вводит тест на безопасность докер образов, на pre hook

Мне самому не понравилась тема, что OpenSSL дважды форкнули, вместо того, чтобы изменить подход к разработке самого продукта.

так форкнули чтобы изменить подход

Spotify против этого вводит тест на безопасность докер образов, на pre hook

Типа например как тестировать? :) А если это к примеру бинарь на всеми нежно любимой гошечке, который все дерьмо с собой статиком слинкованное притащил?

так на го модно динамическую линковку С модулей

тем более что так проще и быстрее компилируется

Ну вот crypto/tls. Это не сишный модуль, это нативная реализация на гошечке какой-то версии TLS. Представим себе, что она с дыркой (наверняка).

И чего нам делать?

А наш бинарь был выложен на самом модном в этом сезоне среди хипстеров-вебдевелоперов сайтике с докерными конейтнерами, и его скачало три миллиона хипстеров. И даже забыли, откуда они его скачали.

если ты собираешь свою систему из кем-то сделанных контейнеров с непонятно откуда взятыми бинарниками, то едва ли потенциальная уязвимость в реализации tls в одном из них будет для тебя главной проблемой

Разве не это общепринятый нынче способ собирать систему? :)

ну значит общепринято сейчас у всех есть и другие проблемы.

открыли америку, давно уже понятно что сборки один из самых распространнёных методов чистого получения доступа к системе

ZverCD!!!

?

Разве не это общепринятый нынче способ собирать систему? :)

нет

нет

ORLY?

это способ бутстрапить

поздравляю, Виталий, вы не в числе большинства

некоторые это путают с промышленной разработкой

обычно это называется стартап

или «нам плевать, а заказчик тупой и жадный»

А наш бинарь был выложен на самом модном в этом сезоне среди хипстеров-вебдевелоперов сайтике с докерными конейтнерами, и его скачало три миллиона хипстеров. И даже забыли, откуда они его скачали.

что кстати за контейнер? и не собирает ли он бинарник прямо из Dockerfile, выдавая исходники всем желающим прямо не докер хабе?

.. и мы возвращаемся к вопросу о числе копий исходников. Как я уже говорил, тот же Google вообще не гарантирует совместимость своих релизов BoringSSL и прямо-таки настойчиво призывает копировать исходики к себе. Даже если контейнер собирается прям на ходу, то из каких исходников и когда они были скопированы? Насколько они актуальны? кто заботится об их оперативных фиксах на предмет найденных уязвимостей?

на моём опыте в веб разработке регулярно нет ресурсов полноценно заботиться об оперативных фиксах итп, потому проще скинуть на авторов популярных контейнеров. только чем это отличается от серверной убунты?

и тут выясняется, что дистрибутивы это не просто тема для холивара, а оказывается мейнтейнеры действительно какую-то работу проделывают (другой вопрос -- насколько компетентно)

ну вот отличается видимо тем, что работу по интеграции в случае популярных контейнеров не делает никто

(это не реклама серверной убунты -- я вообще программист, но вообще её у клиентов вижу очень редко по сравнению с rh)

на моём опыте в веб разработке регулярно нет ресурсов полноценно заботиться об оперативных фиксах итп, потому проще скинуть на авторов популярных контейнеров. только чем это отличается от серверной убунты?

Например тем, что в Убунте сидит здоровенная куча народу, которые представляют собой security team и осуществляют комплексную поддержку дистрибутива с точки зрения безопасности. Я так понимаю, что авторы контейнеров это как правило один-два человека, и они просто физически не в состоянии делать то же самое.

Ребят вы трезвые сейчас?

Ребят вы трезвые сейчас?

Обоснуй!! :))))

как суки

Например тем, что в Убунте сидит здоровенная куча народу, которые представляют собой security team и осуществляют комплексную поддержку дистрибутива с точки зрения безопасности. Я так понимаю, что авторы контейнеров это как правило один-два человека, и они просто физически не в состоянии делать то же самое.

зато они могут всегда использовать свежую стабильную убунту, и пересобирать образ при критичных обновлениях. И чем это отличается от того, что делают админы — конечные пользователи?

Хм, а были атаки на гостовские шифры?

Да. Практических нет, теоретических описано некоторое количестов

ERROR: S client not available

количество

наверное, коли некто из Forbs призывая к взлому российских серверов подстегнет исследователей на практические действия

Не описано атак, которые бы снизили сложность типа до уровня, который вообще достижим за разумное время. Описаны истории типа вместо 2^255ой до 2^194ой, что все равно превышает любые возможности. А желающих овердохрена такую атаку найти :)) Так что я сомневаюсь. Большинство практических взломов это не атака на шифр, это атака на реализацию.

согласен

А у нас ремонтеров айфонов нет ли в чяти? =\ У меня телефон совсем сошел с ума =(

а что с ним?

Тач сам что-то делает, по своему желанию, кнопка домой здохла.

залился?

там наверное или влага или шлейф

вообще айфоны вроде несложно разбираются

LOL

https://habrahabr.ru/post/308140/

мило. чуть было не начал ругаться с микрософтом на гитхабе. нельзя мне такое смотреть на ночь

вообще айфоны вроде несложно разбираются

Там чето совсем здохло, не заливался. Прошлый дисплей тоже таким страдал, но этот переплюнул. Удалил несколько приложений и фотки подстер)))

Там чето совсем здохло, не заливался. Прошлый дисплей тоже таким страдал, но этот переплюнул. Удалил несколько приложений и фотки подстер)))

аа, китаец значит

Кто?

Где?

Кто?

ну дисплей менялся?

да. раз 7.

последние два раза спецэффекты =(

нада было сразу после починки продавать(

https://habrahabr.ru/post/308140/

Я до сих пор не понимаю, нахер он нужен вообще

powershell этот ихний

ну ты COMMAND.COM видел? :-)

они туда больше утилит засунули

хочешь из консоли поставить метро приложение? добро пожаловать в повершел

Ну хорошо. На винде нужен.

А на линуксе??

хотя метро приложения я тож не понимаю зачем нужно

ну вообще-то резон есть

А на линуксе??

ну есть же упоротые которые на венде баш юзают, может и на линуксе будут юзать повершел

а зачем на линуксе .net?