LINUX.ORG.RU

Уязвимость Cross-Site-Authentication (XSA) в Enigmail

 , ,


1

4

В Enigmail ― расширении безопасности для Mozilla Thunderbird, позволяющем использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты — обнаружена проблема с безопасностью, которая потенциально может быть вектором для фишинговых атак.

Проблема заключается в некорректной работе с Web Key Directory (WKD), через запросы к которому можно получить ключи OpenPGP по веб-адресу вида:

https://example.org/.well-known/./openpgpkey/hu/[zbase32_sha1_hash_of_local_part]

Enigmail автоматически запрашивает ключи из WKD уже в момент написания письма, поэтому если написать нужный URL вместо адреса электронной почты адресата, то будет вызван HTTPS-запрос. После ответа сервера с кодом HTTP 401 — Enigmail/Thunderbird откроет окно входа (см. видео) c предложением ввести логин и пароль текущего пользователя.

Уязвимость была привнесена начиная с версии 2.0.7. Исправление будет включено в следующую стабильную версию 2.1 (на данный момент последняя стабильная версия — 2.0.8 от августа текущего года).

>>> Видео

>>> Подробности

anonymous

Проверено: jollheef ()

Павел Дуров со своим Telegram мог бы не лезть против системы, сделав шифрование как адд-он.

kostyarin_ ()
Ответ на: комментарий от kostyarin_

А оно там не как аддон? По дефолту же клиртекст.

anonymous ()
Ответ на: комментарий от anonymous

Ну онно в составе приложения или даже протокола (хз). В общем аддоном это не назвать. Аддон можно выкинуть и всё остальное останется. Или заменить на аддон с прогрессивным ROT13 шифрованием, проверенным временем, так сказать.

kostyarin_ ()
Ответ на: комментарий от kostyarin_

icloud login

The administration was reported on 6 June 2011 amid the WWDC and was propelled on 12 October 2011. With iCloud, material, (for example, contacts, logbooks and reports) is put away on a server («the cloud»). At that point icloud login these records are synchronized with gadgets, for example, iPhones , iPads , iPod touchs , Macsand PCs

icloudlogin ()

Юзаю Protonmail. Уязвимости? Не, не слышал.

А ежели ты вконец паранойк - подымай iRedMail!

anonymous ()
Ответ на: комментарий от kostyarin_

Павел Дуров со своим Telegram мог бы не лезть против системы, сделав шифрование как адд-он.

Когда не знаешь, что сказать - пиши что-нибудь про Дурова, Маска или Поттеринга.

Alve ★★★★★ ()
Ответ на: комментарий от woops

Ты бы сам прочитал свой наркоманский бред. А вообще, иногда полезней следить за обновлениями безопасности и почитывать официальный блог, чем цитировать PDF'ки 2014 года...

anonymous ()
Ответ на: комментарий от anonymous

Ты бы сам прочитал свой наркоманский бред.

Возражений по существу не нашлось?

следить за обновлениями безопасности и почитывать официальный блог

Ога, что может рассказать лучше о безопасности системы, чем её официальный блог? Только официальный инстаграм, наверное.

PDF'ки 2014 года

Дальше даты ты, похоже, и не читал? Да и ту не смог прочесть верно, ведь там указан текущий год.

woops ()
Ответ на: комментарий от woops

Уже ломанул протонмейл, тов. диванный майор? :D

anonymous ()
Ответ на: комментарий от anonymous

Зачем тов. майору что-то ломать, когда твой приватный ключ и так на сервере пронтонмейла лежит?

woops ()
Ответ на: комментарий от woops

А где еще он должен лежать в ВЕБ-почте?)))

Поизучай основы вопроса, хотя-бы.

https://protonmail.com/support/knowledge-base/how-is-the-private-key-stored/

А вообще, слепое штудирование методичек еще никому на пользу не пошло. Лучше почитай исходники Protonmail и посмотри как он реально работает с закрытым ключом, прежде чем набрасывать.

anonymous ()
Ответ на: комментарий от anonymous

Лучше почитай исходники Protonmail и посмотри как он реально работает с закрытым ключом

Так в этом и суть, что в «ВЕБ-почте» ты никак не можешь проверить, что на сервере те же самые исходники крутятся и в виде js твоему браузеру отдаются. В итоге у тебя всё и сводится к доверию, что сервер не сохранит твой пароль у себя. Почитай PDF по ссылке дальше заголовка, там же всё разжевано.

Вот и получается безопасность уровня /телеграм/.

woops ()
Ответ на: комментарий от woops

Знаешь, складывается ощущение что ты собираешься взорвать правительство Швейцарии или еще каких делов натворить. :D

Не вижу ни одной причины не доверять GPG-почте, чьи сервера расположены в Швейцарии. Ни со сраными майорами Ивановыми, ни с АНБ/ЦРУ эти ребята сотрудничать не будут. Прецеденты были, ничего полезного кроме минимальных мета-данных о твоем подключении, без которых сервис физически не может работать, получить нельзя (читай ежегодные публичные репорты, прецеденты были, расшифровки почты - нет). Еслиб что-то было за 5 лет - уже бы воняло на весь интернет «азаза, протонмейл сливает, вот доказательства». Но нет их. Нет.

Твоя параноя понятна, поднимай свой сервер. Вот только хостить и админить тоже тебе. Сомневаюсь что твой уровень познаний в ИБ настолько крут, что осилишь что-то хотя-бы близко к протону.

anonymous ()
Ответ на: комментарий от anonymous

ты собираешься взорвать правительство Швейцарии или еще каких делов натворить

«There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files» — Bruce Schneier

Не вижу ни одной причины не доверять

Ну вот мы и пришли к тому, о чем изначально шла речь: ни какое это не End-to-End, раз твой приватный ключ лежит на сервере и у него есть доступ к паролю. Всё основывается на вере, что протонмейл никогда не будет сотрудничать с властями и что его сервера никогда и никем не будут скомпрометированы.

Блажен, тот кто верует. Только к криптографии это отношения не имеет.

woops ()
Ответ на: комментарий от woops

Ну вот мы и пришли к тому, о чем изначально шла речь: ни какое это не End-to-End, раз твой приватный ключ лежит на сервере

В зашифрованном виде, ага.

Всё основывается на вере, что протонмейл никогда не будет сотрудничать с властями и что его сервера никогда и никем не будут скомпрометированы.

Так толсто, что даже тонко. Давай эксперимент? Покупай ВПСку, поднимай свой супер-приватный-анонимный эмэйл, и начинай рассылать сообщения с угрозами терактов в государственные органы. Потом начинай отсчет. Не забудь рассказать про то какой ты единственный обладатель доступа к ВПС серверу, отсутствие логов, скринов экрана, все дела. ;)

Блажен, тот кто верует. Только к криптографии это отношения не имеет.

Аминь! А теперь быстро в постель. Тебе уроки на понедельник еще делать.

anonymous ()
Ответ на: комментарий от kostyarin_

с прогрессивным XXX, проверенным временем,

взаимоисключающие параграфы?

AVL2 ★★★★★ ()
Последнее исправление: AVL2 (всего исправлений: 1)
Ответ на: комментарий от anonymous

Не вижу ни одной причины не доверять GPG-почте, чьи сервера расположены в Швейцарии. Ни со сраными майорами Ивановыми, ни с АНБ/ЦРУ эти ребята сотрудничать не будут.

https://protonmail.com/blog/transparency-report/

Там много интересного. Например:

In April 2017, we received a request from the Swiss Federal Police about an information request coming from a former Soviet republic (not Russia) regarding a case with an immediate threat of bodily harm to innocent civilians. Proton Technologies AG decided to comply immediately with the data request, to the extent that it is possible, given our cryptography, with the understanding that a valid Swiss court order will be immediately delivered to our office as soon as possible.

То есть они слили все ключи и переписку даже не имея на руках судебного ордера, просто по запросу полиции. Ордер им обещали предоставить as soon as possible. Самая надежная почта, ну. Наверное даже mail.ru больше заботиться о своих пользователях.

mbivanyuk ★★★★★ ()
Последнее исправление: mbivanyuk (всего исправлений: 1)
Ответ на: комментарий от mbivanyuk

Хорошая попытка, малыш. Но если цитировать блоги, то до конца. :)

Under Swiss law, ProtonMail can only turn over user data if we receive a request from a Swiss court that is approved by the judge. ProtonMail can only hand over encrypted messages as we do not have the ability to decrypt user messages. Further details are available here. As a result, we frequently answer requests by stating that we have no useful information.

Иными словами, ничего интересного, кроме метаданных, необходимых для функционирования сервиса, они не могут выдать физически. Любой. Повторяю для особо одаренных - ЛЮБОЙ подобный сервис, обеспечивающий анонимную передачу данных - VPS/VPN/Защищенные почтовики/Защищенные мессенджеры - В ЛЮБОМ СЛУЧАЕ обязаны взаимодействовать с правительством страны, в котором работает их сервис. Иначе к ним в офис приедут дяди на черных джипах и лавочку закроют. По-другому не бывает, сними розовые очки. Другое дело, что если сервис действительно хранит только мета-данные, то говорить о том что тебя где-то кто-то обманывает - очень сильное утверждение. Проверять я его конечно не буду. ;)

Алсо, иногда и по метаданным можно сделать определенные выводы... Но в нормальных странах без переписки никто никого не сажает. В России и логов приблизительного входа хватит на пожизненное. Дело Богатова живет и процветает, очередная жертва анонимных сетей найдена, хотя доказать ничего не могут. Но кого и когда это останавливало? :)

Скажу лишь то что сказал предыдущему оратору. И вообще всем, кто мнит себя шибко мамкиным кулхацкером.

Давай эксперимент? Покупай ВПСку, поднимай свой супер-приватный-анонимный эмэйл, и начинай рассылать сообщения с угрозами терактов в государственные органы. Потом начинай отсчет. Не забудь рассказать про то какой ты единственный обладатель доступа к ВПС серверу, отсутствие логов, скринов экрана, все дела. ;)

anonymous ()
Ответ на: комментарий от anonymous

Дело Богатова живет и процветает,

Но ведь с Богатова сняли обвинения. См. https://meduza.io/feature/2018/05/22/v-dele-dmitriya-bogatova-vse-pomenyalos-... .

очередная жертва анонимных сетей найдена, хотя доказать ничего не могут.

Ну он вроде как сам признался, а это хоть и не является доказательством, но как минимум уликой:

Кулешов уже признал свою вину. «Я не буду обжаловать решение, потому что он против. В суде он сказал, что согласен с тем, чтобы его арестовали», — заявляла назначенный адвокат Кулешова Марина Ефименко.

Кстати, сейчас за использование тора и прочих этих ваших vpn'ов могут оштрафовать. Инфа из той же статьи:

Норма о запрете использования средств обхода блокировок, которой может противоречить использование Tor, действует с ноября 2017 года. С момента вступления закона в силу о штрафах за его нарушение СМИ не сообщали.

Кастую iluha16 и Iron_Bug, чтоб знали об этом и не светились зря. Хотя, по-хорошему, весь ЛОР кастовать нужно. Хоть бы новость кто запилил. Сам я не осилю, боюсь, т. к. язык не подвешен. Да и не уверен, что одобрят, а писать в пустоту как-то лениво.

aureliano15 ()
Ответ на: комментарий от aureliano15

интересно а если запилить приложеньице для обхода их позорной недоблокировки для андроид которое вводит всего навсего одну команду к iptables в андроиде (повозился тут с adb shell и выявил что iptables там есть) и продавать долларов по $10 через гугломагазин гугл удалит или нет, информацией с рашкой поделится о разработчике или нет, а если зарегистрироваться там от имени иностранного гражданина и срубить деньжат.

iluha16 ()
Ответ на: комментарий от aureliano15

Но ведь с Богатова сняли обвинения.

После того как про#бал год жизни в СИЗО и несколько месяцев под домашним арестом. Компенсации конечно же не было. Это Россия, детка.

Кстати, сейчас за использование тора и прочих этих ваших vpn'ов могут оштрафовать. Инфа из той же статьи:

Физических лиц не могут. Предлагаешь штрафовать 20 млн. россиян, работающих удаленно? И как это будет выглядеть? Майор постучит в дверь? Ну как-то сомнительно. Задолбается бегать.

Штрафы за ВПН это весело, а защищать коммерческую тайну как предлагается? :)

anonymous ()
Ответ на: комментарий от aureliano15

ты не читай СМИ. слушай юристов. «запрет» на ВПН не касается частных лиц, а является жупелом для местных предпринимателей. кстати, я тором не пользуюсь. он слишком тормозной и реализация мне не нравится. я ещё и в код смотрю, кроме всего прочего. поэтому много чего не использую из соображений эстетики.

Iron_Bug ★★★★ ()
Ответ на: комментарий от anonymous

компенсация будет, если он обжалует преследование в ЕСПЧ. и она будет гораздо больше, чем он мог бы заработать за год или даже за пять лет, работая преподавателем.

Iron_Bug ★★★★ ()
Ответ на: комментарий от iluha16

информацией с рашкой поделится о разработчике или нет

Ну, как мне здесь подсказали, тревога была ложной, и журналюхи как всегда всё переврали: штрафуют только юр. лиц, а физикам пока можно обходить.

если запилить приложеньице для обхода их позорной недоблокировки для андроид которое вводит всего навсего одну команду к iptables в андроиде (повозился тут с adb shell и выявил что iptables там есть) и продавать долларов по $10 через гугломагазин гугл удалит

Для такого приложения, я думаю, нужны права рута, а гугл и др. производители андроида не любят их давть, насколько я знаю. Поэтому вряд ли пропустят в магазин. Если пишешь для андроид, лучше выложи в свободный доступ: пользы будет больше, хоть бабла и не получишь.

aureliano15 ()
Ответ на: комментарий от anonymous

сейчас за использование тора и прочих этих ваших vpn'ов могут оштрафовать.

Физических лиц не могут.

Спасибо, успокоил. А то и так штрафы каждый месяц приходят, после того как камеры везде понавешали, а тут ещё и за обходы штрафы...

Предлагаешь штрафовать 20 млн. россиян, работающих удаленно?

Я тоже так думаю. Но хрен их знает... в общем, поверил статье. Ещё раз спасибо за опровержение.

aureliano15 ()
Ответ на: комментарий от aureliano15

А то и так штрафы каждый месяц приходят, после того как камеры везде понавешали

А ездить по правилам мсье не пробовал?

hobbit ★★★★★ ()
Ответ на: комментарий от Iron_Bug

ты не читай СМИ. слушай юристов

Спасибо за инфу.

я тором не пользуюсь. он слишком тормозной и реализация мне не нравится. я ещё и в код смотрю, кроме всего прочего. поэтому много чего не использую из соображений эстетики.

Там можно только тор-прокси использовать, а браузер может быть любым. Хотя в тор-браузере по дефолту доп. защита.

С другой стороны, реальной альтернативы тору нет. Эти ваши обходы блокировок с помощью правил фаервола не анонимизируют. Vpn вообще регистрируется на реал. нэйм, и по запросу тамошней полиции (или нашей полиции, если тамошняя даст добро) всё будет слито. А тор — это 2 шлюза (мост и выходная нода), по дефолту расположенные в разных странах. Поэтому там вычислить намного сложнее, если самому не тупить. Есть ещё i2p, но она, вроде, совсем медленная, хотя не пробовал. Может, стоит потестить.

aureliano15 ()
Ответ на: комментарий от hobbit

А ездить по правилам мсье не пробовал?

Пробовал, но не получается. :-)

На самом деле езжу я осторожно. Больше, чем на 20 км. стараюсь не превышать. Но бывает, что где-то случайно превысишь на 25, и именно в этом месте камера.

А последний штраф приходил за езду по полосе для маршрутного транспорта. Ну не езжу я по этой полосе никогда. Как на неё попал? Сам не знаю. Мог просто ехать по правой полосе и сразу не заметить знак на незнакомой трассе. А мог поворачивать направо и перестроиться в правый ряд чуть-чуть раньше времени. В общем, хрен знает.

aureliano15 ()
Ответ на: комментарий от aureliano15

так тормозит не браузер, а сам тор. к тому же, выходные ноды тора много где заблокированы и внесены в блэклисты. ибо там рассадник спаммеров. я сама блокирую его на всех ресурсах, которыми заведую. оттуда лезет всякая нечисть. с точки зрения админа это помойка.

и тебе доступ нужен или анонимизация? это разные вещи.

наличие VPN - не преступление. к тому же, VPN - лишь точка выхода. а куда ты будешь выходить - это твоё личное дело.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

там рассадник спаммеров

Везде, где анонимность — спам и не только, а есть и что похуже. Но это неизбежный побочный эффект.

и тебе доступ нужен или анонимизация?

Мне нужно и то, и другое. Т. е. в данный момент всерьёз анонимизация мне не нужна, т. к. ничего незаконного я не делаю, равно как и не спамлю, не накручиваю разные инет-голосования и не занимаюсь какой-то другой подобной фигнёй.

Но инструмент, который может обеспечить мою анонимность, я считаю — нужен.

aureliano15 ()
Ответ на: комментарий от aureliano15

Спасибо, успокоил. А то и так штрафы каждый месяц приходят, после того как камеры везде понавешали, а тут ещё и за обходы штрафы...

приходил всего один раз летом. в том месте по факту ни какого населённого пункта нет, лишь далеко на горизонте виднеются какие то гнилые бараки. но злые гаишники установили табличку и камеру в кустах.

Я тоже так думаю. Но хрен их знает... в общем, поверил статье. Ещё раз спасибо за опровержение.

я больше опасаюсь что путлеровцы всё же додумаются запилить реальную блокировку хотя надеюсь всё таки вряд ли потянут

iluha16 ()
Ответ на: комментарий от Iron_Bug

компенсация будет, если он обжалует преследование в ЕСПЧ. и она будет гораздо больше, чем он мог бы заработать за год или даже за пять лет, работая преподавателем.

и будет выдана ему как раз к пенсии, не быстро эти суды продвигаются. да и целый год сидеть в тюрьме я уж не знаю за какие деньги можно добровольно на такое согласиться. 15 суток можно тысяч за 100 в евро или долларах. и то учитывая какой там контингент есть риск их потом потратить на лечение от туберкулёза.

iluha16 ()
Ответ на: комментарий от aureliano15

Для такого приложения, я думаю, нужны права рута, а гугл и др. производители андроида не любят их давть, насколько я знаю. Поэтому вряд ли пропустят в магазин. Если пишешь для андроид, лучше выложи в свободный доступ: пользы будет больше, хоть бабла и не получишь.

из за этого рута андроид конечно гавнище полное но лучше альтернатив которые ещё более упоротые. почему я плеять за свои деньги покупаю девайз к которому не имею полного доступа и должен шляться по каким то форумам искать как его получить.

iluha16 ()
Ответ на: комментарий от aureliano15

С другой стороны, реальной альтернативы тору нет. Эти ваши обходы блокировок с помощью правил фаервола не анонимизируют. Vpn вообще регистрируется на реал. нэйм, и по запросу тамошней полиции (или нашей полиции, если тамошняя даст добро) всё будет слито. А тор — это 2 шлюза (мост и выходная нода), по дефолту расположенные в разных странах. Поэтому там вычислить намного сложнее, если самому не тупить. Есть ещё i2p, но она, вроде, совсем медленная, хотя не пробовал. Может, стоит потестить.

tor очень медленный. пилил как то спам бота работающего через него. VPN используй через несколько серваков зарегистрированных в разных юрисдикциях включая какие нибудь африканские жопы в которых и полиции то зачастую нет в которых идёт война и им мягко говоря не до того что бы с путлеровскими спецслужбами трындеть о том как ты там пропагандируешь наркоту которая у них в каждом ларьке круглосуточно. может и можно найти где зарегистрировать анонимно через биткойн какой нибудь.

iluha16 ()
Ответ на: комментарий от aureliano15

а сейчас разметки почти уже и нет после снегопада, запросто можно не заметить. вот меня однажды какой то деревенский мент тормознул и оштрафовал за отсутствие брызговиков на задних колёсах. вот я до сих пор думаю что не совсем по правилам он докопался, вроде как ехать никак нельзя только с определённым списком типа не работающих тормозов а тут может я в автосервис еду как раз что бы их прибить. кстати прибил но они опять отвалились где то через некоторое время и я забил, кроме того деревенского гаишника из какой то глухой деревни больше никто до такого не додумался.

iluha16 ()
Ответ на: комментарий от iluha16

tor очень медленный

Ну, по мне, так для текстового интернета вполне нормально, хотя, конечно, не летает. Вот когда-то, лет 7 — 8 назад, он был реально очень медленным. А сейчас более-менее ничего. Хотя, конечно, всё относительно.

VPN используй через несколько серваков зарегистрированных в разных юрисдикциях включая какие нибудь африканские жопы

Думаешь, там будет намного быстрее?

может и можно найти где зарегистрировать анонимно через биткойн какой нибудь.

Может быть.

из за этого рута андроид конечно гавнище полное но лучше альтернатив которые ещё более упоротые.

Я в своё время присматривал смартфоны на Линукс, но ничего приемлемого по цене/качеству не нашёл. Наверно, пока просто не пришло его время. В конце концов, к десктопу Линукс тоже шёл лет 10, пока не стал достаточно юзабельным и для простого юзера, и для большей части писишных железяк.

додумаются запилить реальную блокировку хотя надеюсь всё таки вряд ли потянут

Вряд ли. Т. е. что-то ещё закрыть, может, и смогут, и какие-то способы обхода могут перестать работать, но не все. Всё даже китайцы не могут (они хоть практически и заблокировали тот же тор, но впн'ы у них есть).

aureliano15 ()
Ответ на: комментарий от iluha16

вот меня однажды какой то деревенский мент тормознул и оштрафовал за отсутствие брызговиков на задних колёсах. вот я до сих пор думаю что не совсем по правилам он докопался, вроде как ехать никак нельзя только с определённым списком типа не работающих тормозов а тут может я в автосервис еду как раз что бы их прибить.

2.3.1. Перед выездом проверить и в пути обеспечить исправное техническое состояние транспортного средства в соответствии с Основными положениями по допуску транспортных средств к эксплуатации и обязанностями должностных лиц по обеспечению безопасности дорожного движения. Запрещается движение при неисправности рабочей тормозной системы, рулевого управления, сцепного устройства (в составе автопоезда), негорящих (отсутствующих) фарах и задних габаритных огнях в темное время суток или в условиях недостаточной видимости, недействующем со стороны водителя стеклоочистителе во время дождя или снегопада.

При возникновении в пути прочих неисправностей, с которыми приложением к Основным положениям запрещена эксплуатация транспортных средств, водитель должен устранить их, а если это невозможно, то он может следовать к месту стоянки или ремонта с соблюдением необходимых мер предосторожности;

Т. е. без брызговиков на сервис можно. Но только на сервис. Надо было сказать, что едешь туда. Правда, если в том направлении сервиса нет, то деревенский гаишник мог об этом знать.

aureliano15 ()
Ответ на: комментарий от aureliano15

вот как раз об этом я и подумал. но уже после того как честно заплатил этот штраф благо что копеечный. а конкретно в той жопе мира ни в каком направлении автосервиса нет, там вообще ничего нет. откуда там взялся этот гаишник и что он там делал учитывая что там в лучшем случае пара машин за час проедет для меня до сих пор загадка. и что мне делать если эти брызговики отлетели, вызывать эвакуатор что ли и он вряд ли туда поедет учитывая что там и населённых пунктов то никаких нет на многие километры. а брызговики эти отлетают в итоге когда грязь налипает на колёса и за них задевает, незнаю как их крепить, забил короче, в следущий раз буду говорить что в автосервис еду.

iluha16 ()
Ответ на: комментарий от aureliano15

Везде, где анонимность — спам и не только, а есть и что похуже. Но это неизбежный побочный эффект.

вот это меня пока и отпугивает от разного рода альтернативных сетей. я пока не придумала способ, как этого избежать. тут два варианта: либо демократия и спам, либо суровый админ и порядок. без администрирования никак не выйдет создать что-то распределённое и защищённое от спамеров. но любое центральное администрирование создаёт уязвимость к разного рода мудакам, которые лезут «управлять интернетами». так что тут палка о двух концах.

пока что для нормального доступа в сеть хватает обычных ВПНов. можно, наверное, создать монстрозный протокол, который бы работал поверх любых других, пролезая через любую дырку. и я уже думала на это счёт. но я пока пришла к выводу, что такой протокол создал бы больше проблем, чем принёс пользы. беда в том, что любое достижение цивилизации может быть использовано мудаками. и они будут гадить людям с помощью твоего софта. в этом состоит моральная проблема для создания любого ПО: надо понимать все возможные последствия.

Iron_Bug ★★★★ ()
Ответ на: комментарий от iluha16

вот меня однажды какой то деревенский мент тормознул и оштрафовал за отсутствие брызговиков на задних колёсах.

он там поди лет десять стоял, ждал, пока кто-нибудь проедет :)

Iron_Bug ★★★★ ()
Ответ на: комментарий от iluha16

да вполне. за три года можно управиться. тем более, что сейчас там дела из Эрефии стали рассматриваться гораздо быстрее, потому что там однотипных заявлений очень много и они уже типовые.

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

беда в том, что любое достижение цивилизации может быть использовано мудаками. и они будут гадить людям с помощью твоего софта. в этом состоит моральная проблема для создания любого ПО: надо понимать все возможные последствия.

Это как нож, которым можно резать хлеб, а можно — людей. Я всё-таки думаю, что адекватных людей больше, а значит и от ножей, и от анонимного софта больше пользы, чем вреда.

Но если говорить именно об анонимном софте, то у него есть ещё одна важная функция, перекрывающая, имхо, все недостатки: да, им могут пользоваться работорговцы, террористы и убийцы, и он может серьёзно им помочь (в этом контексте спамеры — просто мелкие шкодники, даже не хулиганы). В той же сети onion с ходу находятся форумы, где обсуждаются плюсы и минусы работы закладчиком наркоты со всеми техническими и юридическими деталями. И это сходу, даже без специального поиска по соответствующим ключевым словам. Но такой софт может помочь в случае начала государственного терроризма, который, как показывает практика, возможен везде. И этот государственный терроризм, имхо, намного опаснее отдельных подпольных террористических и прочих группировок.

Впрочем, думаю, углубляться в эту тему здесь не стоит.

aureliano15 ()
Ответ на: комментарий от aureliano15

да я из окна во дворе вижу, как наркоту закапывают. на каждом втором доме реклама наркоты намазана краской. проблема не в том, кто закладывает, а в государстве, которое это всё крышует. это же не просто так существуют все эти притоны. это никакой не секрет, что централизованная поставка наркоты вся под контролем управленцев разных уровней. и там кормятся все, начиная от мелких ментов и заканчивая губернаторами, попами и прочей шушарой. если бы за продажу наркоты и коррупцию расстреливали, как в Китае, у нас сразу поуменьшилось бы количество желающих. но с нашим уровнем коррупции расстрелы могут и будут использоваться против оппозиции. так что тут ничего не поможет, пока не сменят власть, в недобровольном порядке.

а что касается софта, то я как-то сидела и думала, как можно сделать неубиваемый протокол, чтобы передавать информацию вопреки любым «запретам». но потом подумала, что страшно такую вещь запускать в открытый доступ. всегда находятся говнюки, которые любую вещь используют не по назначению. а я не хочу создавать тулзы для говнюков. тем более, что я сама же работаю с проблемами, которые говнюки создают. тупой спамер или террорист-фанатик не могут ничего создать. но если у них будет средство для обхода любых преград - они станут ещё вредоноснее. это как разработка технологий: вроде бы технологии и достижения науки можно использовать в мирных целях, но только вот по факту люди используют большинство технологий чтобы убивать друг друга. у них пока что не тот уровень развития, чтобы давать им в руки опасные игрушки.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от Iron_Bug

> всегда находятся говнюки, которые любую вещь используют не по назначению

Можно к тору прикрутить скор. Допустим, получаем сертификат (для надёжности можно за небольшие деньги) и каждое своё сообщение/пакет/сессию/единицу_данных подписываем своим сертом. А владельцы выходных нод, через которые идёт трафик, не пропускают васянов, получивших серт вчера или имеющих скор < 50. Если скор будет расти долго, а срезаться быстро, то спамить через такой добротор будет проблематично.

Естественно, человека будет проще деонанизировать, потому что его сообщения можно связать между собой. С другой стороны, можно завести несколько сертов, один для двачей, другой для линкедина, третий «на всякий случай».

Ну и это цензура в любом случае, только не со стороны государства.

muon ★★★ ()
Ответ на: комментарий от Alve

Здравствуйте.

Очевидно, что когда человек не знает что сказать - он молчит. Прекратите прикрывать глупость, пожалуйста. Спасибо.

С уважением,

anonymous ()
Ответ на: комментарий от Iron_Bug

Здравствуйте.

Подписываюсь под написанным вами, собственно, как и всегда. К слову, куда обращаться, чтобы потребовать закрасить намалёванное? Возможно, если ддосить на эту тему, то будут следить чтобы не марали стены?

С уважением,

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.