9 апреля (вторник) 2019
| Василий Степанович |
Он упрекнул Дурова в том, что тот прячет мессенджер "за живым щитом транснациональных компаний".
Читать полностью: Глава Роскомнадзора нашел управу на Telegram
Интересное подобие указал Сан Саныч. Способы защиты Телеграма от блокировок действительно очень похожи на выставление террористами "щита" из мирных граждан между собой и силами охраны порядка.
Читать полностью: Глава Роскомнадзора нашел управу на Telegram
Законопроект об устойчивой работе российского интернета поможет в борьбе с мессенджером Telegram как с одним из запрещенных в стране ресурсов. Об этом заявил глава Роскомнадзора Александр Жаров, передает ТАСС
Интересное подобие указал Сан Саныч. Способы защиты Телеграма от блокировок действительно очень похожи на выставление террористами "щита" из мирных граждан между собой и силами охраны порядка.
16 апреля (вторник) 2019
| Юра |
Жить без рунета то мы сможем, раньше ж жили. Тут вопрос в другом - как мы это делали? Я вот не могу понять, вспомнилось, учился в Ростове, я в одном месте, мой товарищ в другом, жили на разных квартирах, как мы встречались в обозначенные дни и время, если у нас не было телефонов? Убей, не могу понять. Но ходили вместе то в театр, то на концерт, то на какую то выставку, ну как то ж мы связывались? Я не помню, чтобы я к нему заходил в институт или он ко мне. Так же и на квартиры друг к другу мы не заходили. Но чётко в какие то дни и чётко в какое то время встречались. Ну ети его мать, загадка.
22 апреля (понедельник) 2019
1 мая (среда) 2019
| Василий Степанович |
| шахты |
11 мая (суббота) 2019
15 мая (среда) 2019
27 мая (понедельник) 2019
| Василий Степанович |
Мая 27-го дня года сего Вести ру пишут:
> Туристы должны быть готовы к тому, что при въезде в Китай
> и даже при транзитном путешествии через международные
> аэропорты миграционные власти могут проверять
> соответствие категорий оформленных виз реальным целям
> въезда в страну, а также к тому, что их могут попросить
> показать содержимое мобильных телефонов.
>
> Проверке могут подвергнуться не только переписка
> в популярных мессенджерах и приложениях, но
> и видео- и фотоматериалы, а также электронные документы.
>
> Если какая-то информация покажется китайским пограничникам
> компрометирующей, то туристу могут отказать во въезде
> в страну.
Наступает время, когда документы и переписку надо хранить не на устройствах, доступных каким-то там китайским пограничниками и прочим надзирателям, а только на своих серверах.
С документами-то всё просто - держишь их на своих серверах и всё.
А с перепиской сложнее. Мессенджеров, которые могут хранить переписку на серверах пользователей, нет. А это значит, что перед путешестввием по "китаям" (а в будущем и вообще везде) мессенджеры (ну и прочие программы обмена сообщениями - почтовыми и т.п.) на телефонах надо будет удалять. В некоторых мессенджерах историю переписки вроде бы можно вообще не хранить вообще нигде (ну понятно, что "не хранить вообще нигде" - понятие условное, ибо разработчи мессенджеров не гарантируют же несохранность переписки на своих серверах у себя). Ну и нехранение переписки - это немного не то. В переписке может быть что-то понадобится найти, а её и след простыл уж.
> Туристы должны быть готовы к тому, что при въезде в Китай
> и даже при транзитном путешествии через международные
> аэропорты миграционные власти могут проверять
> соответствие категорий оформленных виз реальным целям
> въезда в страну, а также к тому, что их могут попросить
> показать содержимое мобильных телефонов.
>
> Проверке могут подвергнуться не только переписка
> в популярных мессенджерах и приложениях, но
> и видео- и фотоматериалы, а также электронные документы.
>
> Если какая-то информация покажется китайским пограничникам
> компрометирующей, то туристу могут отказать во въезде
> в страну.
Наступает время, когда документы и переписку надо хранить не на устройствах, доступных каким-то там китайским пограничниками и прочим надзирателям, а только на своих серверах.
С документами-то всё просто - держишь их на своих серверах и всё.
А с перепиской сложнее. Мессенджеров, которые могут хранить переписку на серверах пользователей, нет. А это значит, что перед путешестввием по "китаям" (а в будущем и вообще везде) мессенджеры (ну и прочие программы обмена сообщениями - почтовыми и т.п.) на телефонах надо будет удалять. В некоторых мессенджерах историю переписки вроде бы можно вообще не хранить вообще нигде (ну понятно, что "не хранить вообще нигде" - понятие условное, ибо разработчи мессенджеров не гарантируют же несохранность переписки на своих серверах у себя). Ну и нехранение переписки - это немного не то. В переписке может быть что-то понадобится найти, а её и след простыл уж.
4 июня (вторник) 2019
| Василий Степанович |
| Консультант по информационной безопасности Cisco Systems Алексей Лукацкий, называющий архитектурной проблемой единый ключ для |
ФСБ потребовала ключи шифрования переписки пользователей у <<Яндекса>> :: Технологии и медиа :: РБК 
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий, называющий архитектурной проблемой единый ключ для доступа к разным сервисам Яндекса, прав:
> сессионный ключ в любом случае шифрует логин и пароль,
> которые пользователь передает на сервер в процессе авторизации,
> так что передача такого ключа ФСБ может дать доступ
> к аутентификационным данным пользователя».
> Он указал, что «Яндекс» использует систему Single Sign-On,
> при которой, авторизовавшись в «Яндекс.Почта»,
> можно без повторной аутентификации перейти в «Яндекс.Музыка»,
> «Яндекс.Диск» и любой другой сервис. «Ключ шифрования
> при переходе в разные сервисы должен быть свой,
> но если это не так, то это архитектурная проблема,
> которая может открыть доступ к данным в разных сервисах «Яндекса».
> Тогда передавать сессионный ключ, конечно, небезопасно
Конечно, это проблема. Тут речь шла о передаче ключей, а вот пример странной архитектуры, которая странно выглядит даже для пользователей Яндекса:
Для входа с главной страницы Яндекса в какой-нибудь их сервис, надо нажать на ссылку "Войти в почту", хотя почта для требуемого сервиса может не быть нужной. После этого пользователь попадает в почту, из которой потом переходит уже в нужный ему сервис.
Один ключ к разным сервисам - это, конечно, проблема. Это всё-равно, что даст Ясон Юре ключ от квартиры своей, а ключом этим Юра сможет отомкнуть замок в двери квартиры Атоса! 😲
Проектируют свои системы странно, а потом ФСБ им виновата.
Да и от переписки ключи можно создать такие, которые "отмыкают" замки только руками их владельцев, после чего хоть обпередавай эти ключи кому угодно, т.к. чужими руками они всё-равно ничего не отомкнут.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий, называющий архитектурной проблемой единый ключ для доступа к разным сервисам Яндекса, прав:
> сессионный ключ в любом случае шифрует логин и пароль,
> которые пользователь передает на сервер в процессе авторизации,
> так что передача такого ключа ФСБ может дать доступ
> к аутентификационным данным пользователя».
> Он указал, что «Яндекс» использует систему Single Sign-On,
> при которой, авторизовавшись в «Яндекс.Почта»,
> можно без повторной аутентификации перейти в «Яндекс.Музыка»,
> «Яндекс.Диск» и любой другой сервис. «Ключ шифрования
> при переходе в разные сервисы должен быть свой,
> но если это не так, то это архитектурная проблема,
> которая может открыть доступ к данным в разных сервисах «Яндекса».
> Тогда передавать сессионный ключ, конечно, небезопасно
Конечно, это проблема. Тут речь шла о передаче ключей, а вот пример странной архитектуры, которая странно выглядит даже для пользователей Яндекса:
Для входа с главной страницы Яндекса в какой-нибудь их сервис, надо нажать на ссылку "Войти в почту", хотя почта для требуемого сервиса может не быть нужной. После этого пользователь попадает в почту, из которой потом переходит уже в нужный ему сервис.
Один ключ к разным сервисам - это, конечно, проблема. Это всё-равно, что даст Ясон Юре ключ от квартиры своей, а ключом этим Юра сможет отомкнуть замок в двери квартиры Атоса! 😲
Проектируют свои системы странно, а потом ФСБ им виновата.
Да и от переписки ключи можно создать такие, которые "отмыкают" замки только руками их владельцев, после чего хоть обпередавай эти ключи кому угодно, т.к. чужими руками они всё-равно ничего не отомкнут.
| Василий Степанович |
В этой же статье Мария Коломыченко показывает причины, по которым есть возможность требовать ключи от переписки пользователей. Устранив эти причины, пользователи смогут улучшить недоступность своих личных сообщений для посторонних.
4 июня в 7:00 Мария Коломыченко пишет:
> Почему ФСБ потребовала от «Яндекса» ключи
>
> «Яндекс.Почта» и «Яндекс.Диск» находятся
> в реестре организаторов распространения информации (ОРИ),
> то есть интернет-площадок, на которых пользователи
> могут обмениваться сообщениями. Согласно так называемому
> закону Яровой, с 20 июля 2016 года Центр
> оперативно-технических мероприятий ФСБ может
> потребовать от любого сервиса из реестра ОРИ
> передать ему «информацию, необходимую для
> декодирования принимаемых, передаваемых,
> доставляемых и (или) обрабатываемых электронных
> сообщений пользователей сети интернет».
Вот тут ясно показан уязвимый узел в маршруте (цепи, сети) передачи сообщения - это "сервис из реестра ОРИ", которому по закону можно предъявить требование предоставления ключей. Соответственно для повышения недоступности своих личных сообщений необходимо убрать из маршрута передачи сообщения все уязвимые узлы.
В житейском примере это выглядит так:
1. Отправляет Ясон Юре Почтой России бумажное письмо с инструкцией о том, как снести винду и установить вместо неё Убунту, чтобы Edge Юры не превращал двхметровые файлы в 50-метровые.
2. Почта России получает от Ясона письмо для Юры.
3. Почта России получает от стражей Культуры переписки требование - предоставить ножницы для разрезания конверта Ясона для чтения его письма и клей, заклеивающий потом конверт так, чтоб Юра не заподозрил о том, что теперь ещё и стражи Культуры переписки будут знать - как установить Убунту Ясона для неувеличения файлов в 25 раз.
4. Почта России вместо прямой передачи письма Ясона Юре выполняет ещё и требования стражей, давая им это письмо предварительно почитать. Стражи сносят у себя винду, ставят Убунту и отдают письмо обратно Почте России.
5. Почта России наконец-то передаёт письмо Ясона Юре.
6. Дальше уже не сильно важно, но Юра, прочитав письмо Ясона отвечает ему про то, что браузеры тут ни причём.
7. По обратной цепочке стражи в унынии сносят Убунту и ставят вместо неё обратно винду.
Что требуется для того, чтобы стражи Культуры переписки не узнали - как установить Убунту Ясона? Для этого надо, чтобы они не смогли его письмо получить от Почты России. А для этого Ясон должен письмо вручить Юре лично - можно прямо перед Главпочтамтом на Арбате.
Ну а, возвращаясь с земли грешной в интернеты, видим, что если, например, электронные письма (а аналогично и всё остальное такое же) отправлять не через промежуточные почтовые серверы, а только через свои, то сообщения будут приходить сразу к получателю и не у кого будет требовать ключи доступа к ним.
Конкретно это делается так:
1. Убунту у Ясона уже есть. Это значит, что свой(!) почтовый сервер у него или установлен уже, или для установки сервера ему осталось взмахнуть руками пару раз над клавиатурой (а то даже и только над мышью).
2. Юра в своей почтовой программе сервером отправки почты указывает не потусторонний сервер "Яндекса", а прямо сервер Ясона!
3. Пишет Юра Ясону письмо "Убунту - маздай! Винда - наше всё!", шифрует его и передаёт его прямо на сервер Ясона. Шифрует письмо потому, что передавать его на сервер Ясона он будет через неконтролируемые ни им, ни Ясоном участки сети.
4. Стражи Культуры переписки видят, что Юра передаёт письмо Ясону. Даже держат это письмо в руках, но расшифровать его не могут, т.к. ключи расшифровки находятся только у Юры да Ясона, а закона, разрешающего требовать эти ключи прямо от Юры да Ясона, пока ещё нет, а когда появится, тогда Юра с Ясоном ещё и начнут оказывать сопротивление таким требованиям.
5. Ясон получает на своём сервере письмо, расшифровывает его, читает и унывает от того, что не убедил Юру в преимуществах Убунту.
4 июня в 7:00 Мария Коломыченко пишет:
> Почему ФСБ потребовала от «Яндекса» ключи
>
> «Яндекс.Почта» и «Яндекс.Диск» находятся
> в реестре организаторов распространения информации (ОРИ),
> то есть интернет-площадок, на которых пользователи
> могут обмениваться сообщениями. Согласно так называемому
> закону Яровой, с 20 июля 2016 года Центр
> оперативно-технических мероприятий ФСБ может
> потребовать от любого сервиса из реестра ОРИ
> передать ему «информацию, необходимую для
> декодирования принимаемых, передаваемых,
> доставляемых и (или) обрабатываемых электронных
> сообщений пользователей сети интернет».
Вот тут ясно показан уязвимый узел в маршруте (цепи, сети) передачи сообщения - это "сервис из реестра ОРИ", которому по закону можно предъявить требование предоставления ключей. Соответственно для повышения недоступности своих личных сообщений необходимо убрать из маршрута передачи сообщения все уязвимые узлы.
В житейском примере это выглядит так:
1. Отправляет Ясон Юре Почтой России бумажное письмо с инструкцией о том, как снести винду и установить вместо неё Убунту, чтобы Edge Юры не превращал двхметровые файлы в 50-метровые.
2. Почта России получает от Ясона письмо для Юры.
3. Почта России получает от стражей Культуры переписки требование - предоставить ножницы для разрезания конверта Ясона для чтения его письма и клей, заклеивающий потом конверт так, чтоб Юра не заподозрил о том, что теперь ещё и стражи Культуры переписки будут знать - как установить Убунту Ясона для неувеличения файлов в 25 раз.
4. Почта России вместо прямой передачи письма Ясона Юре выполняет ещё и требования стражей, давая им это письмо предварительно почитать. Стражи сносят у себя винду, ставят Убунту и отдают письмо обратно Почте России.
5. Почта России наконец-то передаёт письмо Ясона Юре.
6. Дальше уже не сильно важно, но Юра, прочитав письмо Ясона отвечает ему про то, что браузеры тут ни причём.
7. По обратной цепочке стражи в унынии сносят Убунту и ставят вместо неё обратно винду.
Что требуется для того, чтобы стражи Культуры переписки не узнали - как установить Убунту Ясона? Для этого надо, чтобы они не смогли его письмо получить от Почты России. А для этого Ясон должен письмо вручить Юре лично - можно прямо перед Главпочтамтом на Арбате.
Ну а, возвращаясь с земли грешной в интернеты, видим, что если, например, электронные письма (а аналогично и всё остальное такое же) отправлять не через промежуточные почтовые серверы, а только через свои, то сообщения будут приходить сразу к получателю и не у кого будет требовать ключи доступа к ним.
Конкретно это делается так:
1. Убунту у Ясона уже есть. Это значит, что свой(!) почтовый сервер у него или установлен уже, или для установки сервера ему осталось взмахнуть руками пару раз над клавиатурой (а то даже и только над мышью).
2. Юра в своей почтовой программе сервером отправки почты указывает не потусторонний сервер "Яндекса", а прямо сервер Ясона!
3. Пишет Юра Ясону письмо "Убунту - маздай! Винда - наше всё!", шифрует его и передаёт его прямо на сервер Ясона. Шифрует письмо потому, что передавать его на сервер Ясона он будет через неконтролируемые ни им, ни Ясоном участки сети.
4. Стражи Культуры переписки видят, что Юра передаёт письмо Ясону. Даже держат это письмо в руках, но расшифровать его не могут, т.к. ключи расшифровки находятся только у Юры да Ясона, а закона, разрешающего требовать эти ключи прямо от Юры да Ясона, пока ещё нет, а когда появится, тогда Юра с Ясоном ещё и начнут оказывать сопротивление таким требованиям.
5. Ясон получает на своём сервере письмо, расшифровывает его, читает и унывает от того, что не убедил Юру в преимуществах Убунту.