05.11.2018, 10:47
Так шо, очередную обнову с замедлением выкатят?
> XOrg уязвимость
Такоэ... setuid это одна сплошная уязвимость, т.к. оно изначально костылём было.
> телега хранит сообщения в не зашифрованом виде.
Если кулхацкер добрался до винта, то там шифруй не шифруй уже похуй -- прочитает и так.
Такоэ... setuid это одна сплошная уязвимость, т.к. оно изначально костылём было.
> телега хранит сообщения в не зашифрованом виде.
Если кулхацкер добрался до винта, то там шифруй не шифруй уже похуй -- прочитает и так.
Так падажжи, а у кого силовики постянно требовали ключи и что пытался запретить роскомнад?
Не читай помойки.
Абсолютно любой клиент при доступе к физическому устройству "уязвим", т.к. ему надо расшифровывать сообщения чтобы показать их пользователю, и в этот момент они на изичку уводятся злоумышленником. Вопрос устойчивости мессенджеров - это вопрос насколько они безопасны при передаче, чтобы соглядатаи без доступа к устройству не могли подлгядеть - тут телеграм пока чист.
Абсолютно любой клиент при доступе к физическому устройству "уязвим", т.к. ему надо расшифровывать сообщения чтобы показать их пользователю, и в этот момент они на изичку уводятся злоумышленником. Вопрос устойчивости мессенджеров - это вопрос насколько они безопасны при передаче, чтобы соглядатаи без доступа к устройству не могли подлгядеть - тут телеграм пока чист.
я даже не знаю как тебе ответить...Безопасность системы определяется наименее защищенным из ее компонентов. Это основа основ при проектировании защиты. Нет шифрования при хранении - нет безопасности вообще. У меня такое ощущение, что с компьютерной безопасностью ты знаком только с интернет статей, я прав? Для меня поразительно тут не то, что кто-то таким образом может похитить мои данные, а то, что такой очевидный и необходимый паттерн не был реализован.
> я даже не знаю как тебе ответить...Безопасность системы определяется наименее защищенным из ее компонентов. Это основа основ при проектировании защиты. Нет шифрования при хранении - нет безопасности вообще.
Локальное шифрование в любом случае бесполезно, при наличии клиента на устройстве, который всё равно всё расшифровывает. Шифрование эффективно только тогда, когда ключи можно попрятать, из клиента ключ ты не спрячешь.
> У меня такое ощущение, что с компьютерной безопасностью ты знаком только с интернет статей, я прав?
Категорически неправ. У меня есть опыт разработки и ревью безопасности серверных инфраструктур для IT-компаний.
> Для меня поразительно тут не то, что кто-то таким образом может похитить мои данные, а то, что такой очевидный и необходимый паттерн не был реализован.
Как уже говорилось, его необходимость сомнительна. Шифрование сообщений на конечном устройстве - это как запирание двери на метлу. Оно служит для спокойствия, но не очень много делает для безопасности. Если кто-то получил доступ к конечному устройству, то он получит доступ к сообщениям ЛЮБОГО мессенджера, зашифрованы они или нет, по причине того, что для любого мессенджера их нужно расшифровать чтобы показать клиенту, что, в случае наличия базовых понятий о шифровании, даёт нам ответ, что никаких методов защитить ключи, если они находятся локально на устройстве - нет.
Локальное шифрование в любом случае бесполезно, при наличии клиента на устройстве, который всё равно всё расшифровывает. Шифрование эффективно только тогда, когда ключи можно попрятать, из клиента ключ ты не спрячешь.
> У меня такое ощущение, что с компьютерной безопасностью ты знаком только с интернет статей, я прав?
Категорически неправ. У меня есть опыт разработки и ревью безопасности серверных инфраструктур для IT-компаний.
> Для меня поразительно тут не то, что кто-то таким образом может похитить мои данные, а то, что такой очевидный и необходимый паттерн не был реализован.
Как уже говорилось, его необходимость сомнительна. Шифрование сообщений на конечном устройстве - это как запирание двери на метлу. Оно служит для спокойствия, но не очень много делает для безопасности. Если кто-то получил доступ к конечному устройству, то он получит доступ к сообщениям ЛЮБОГО мессенджера, зашифрованы они или нет, по причине того, что для любого мессенджера их нужно расшифровать чтобы показать клиенту, что, в случае наличия базовых понятий о шифровании, даёт нам ответ, что никаких методов защитить ключи, если они находятся локально на устройстве - нет.
Тут дело в том, сколько времени требуется злоумышленнику на получение ключа. Если нет аппаратных хранилищ ключей, то действительно все можно достать, но одно дело достать из незашифрованой БД и совсем другое отладчиком или дизассемблером выковыривать этот ключ. Во втором случае требуется более квалифицированный специалист. Затраты на получение информации будут превышать профит (*в случае рядового пользователя). что можно трактовать как защищенность.
Чтобы написать коммент, необходимо залогиниться
