Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

Достали

2013-11-02 09:57:58 (читать в оригинале)

На слэшдоте пишут что некий пассажир в Лосанджелесском аэропорту вытащил автомат и начал целенаправленно отстреливать сотрудников TSA.

Меня удивляет скорее то, что это не стало случаться раньше и в массовых количествах.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/914903.html. Please comment there using OpenID. Now there are comments

---

Литературные старости

2013-11-01 20:27:35 (читать в оригинале)

Завести что-ли привычку регулярно находить какую-нибудь давно вышедшую из-под копирайта книгу, и публиковать рецензию на неё. А то у меня есть подозрение что многие не читают хорошего старого, а читают плохое новое только потому что про старое никогда не слышали.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/914503.html. Please comment there using OpenID. Now there are comments

---

Пара идей

2013-11-01 11:43:36 (читать в оригинале)

1. Средство удаленного управления компьютером "Форпатрил". Работает, считывая посредством видеокамеры с экрана другого компьютера штрихкоды и преобразуя их в события от клавиатуры и мыши.
Соотвественно на втором компьютере имеется софт, который выдает эти штрихкоды на экран, принимая информацию о действиях оператора по сети. и софт, который передает картинку с видеокамеры снимающей экран управляемого компьютера, на третий компьютер, где сидит оператаор.

Названо в честь соответствующего эпизода из форкосигановской саги, года Майлз попросил Айвена поставить напротив друг друга секретный компьютер и компьютер, подключенный к общедоступной сети.

2. Репутация unix, как систеаы, в которой не бывает вирусов, сложилась в основном потому, что старая школа юниксового программирования сложилась в условиях многопользовательских систем. Где разработчиков одновременно работало много, и системные администраторы вынуждены были не давать им слишком много воли. Поэтому там не принято использовать больше прав, чем реально необходимо.
Поэтому микрсофту надо поменять систему лицензирования средств разработки таким образом, чтобы любой компании, где есть два и более разработчка, выгоднее было бы посадить их работать на терминальном сервере, причем на одном. Тогда через некоторое время разработчики научатся писать программы для условий, когда машина им монопольно не принадлежит.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/914262.html. Please comment there using OpenID. Now there are comments

---

Ni Dieu, ni César, ni Tribun.

2013-11-01 00:12:12 (читать в оригинале)

Все-таки Эжен Потье был гением. Он написал песню, которая содержит куда больше смысла, чем вкладывали в неё все, кто использовал её в качестве гимна.

Вот что вчера при обсуждении медицинских шарлатанов, что сегодня, при обсуждении безопасности передачи информации в сети наблюдается одна и та же картина - люди норовят перевалить обязанность принимать решения на бога, государство (царя) или там какого Касперского (который вполне годится в герои), вместо того чтобы сделать это "своею собственной рукой". Впрочем, про собственную руку это уже не Потье, это уже Аркадий Яковлевич Коц. У Потье было всего лишь "sauvons-nous nous-mêmes".
Впрочем, если Максим Отставнов укажет мне на то, что следующая строчка "Travaillons au salut commun", возразить мне будет нечего.

Ну кроме разницы между Travaillons commun и покупкой коммерческого сервиса.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/913994.html. Please comment there using OpenID. Now there are comments

---

Зачем вам подорожная, хамы? Вы же неграмотны!

2013-10-31 10:32:27 (читать в оригинале)

Спросил дон Румата Эсторский у остановивших его на дороге серых штурмовиков.

И правда, зачем неграмотному проверяющему письменный документ? Он же не сможет ни сопоставить список особых примет со стоящим перед ним человеком, ни убедиться что подписан документ тем, кто имеет право такие документы подписывать. Конечно, требуется чтобы у проверямого был хоть какой казеный документ. Герой "Золоченых лбов" Шергина в этой ситуации "квитанцию старую показыват, а они неграмотны, думают диплом".

Так вот распространившиеся нынче по интернету вопли насчет некриптованного траффика во внутренней сети гугля и прочие попытки совать SSL куда ни попадя, вызывают у меня аналогичное ощущение. "Зачем вам SSL, ламеры, если вы неграмотны в области PKI?"

Для того чтобы читать ваш SSL-траффик АНБ совершенно не нужен доступ во внутреннюю сеть Гугля. Конечно, иметь доступ туда им удобно. Но непринципиально. Достаточно иметь контроль над Verisign.

Приходит агент АНБ в Verisign и приносит постановление секретного суда с требованием с целью прослушки электронной почты страшного-террориста Будь-Он-Не-Ладен выдать АНБ сертификат X.509 на домен google.com (на публичный ключ, секретную часть которого само АНБ и сгенерировало). Что не выдадут? Выдадут, куда денутся. Я подозреваю, что и без судебного постановления выдадут, но это уже конспирология.

Главное, установив этот сертификат на любом подконтрольном роутере между вами и гуглем, АНБ может успешно выдать себя за гугль, расшифровывать ваш запрос, а потом передавать его в настоящий гугль уже от своего имени. Получать ответ, расшифровывать его и после этого передавать вам зашифровав на ключах "поддельной" сессии.

И ваш браузер этому сертификату поверит. Ведь сертификат выдан удостоверяющим центром, который у браузера в доверенные прописан.
Ну и что, что сертификаты гугль покупает у GeoTrust, а не у Verisign. Если ваш траффик почему-либо решит почитать китайская разведка, и у них есть контроль над каким-то роутером между вами и гуглем, они запросто подсунут вам сертифмкат, выданный China Network Information Center. И браузер его молча проглотит.

Я видел только один браузер, который при установлении SSL-соединения сообщает пользователю, каким именно удостоверяющим центром удостоверена подлинность сервера. Это Microb в Maemo 5.

Эта технология давным давно используется во всяких корпоративных файрволлах. В корпоративном домене адмнистратор запросто может при помощи доменных политик включить в список доверенных свой собственный сертификат УЦ. И пропускать весь ваш https-траффик через DLP систему, антивирус или что угодно, генерируя свои сертификаты на любое доменное имя на лету. Конечно, корпоративная система скорее всего обломается на сайте, использующем клиентский сертификат. Потому что сервер-то которому вы предъявляете клиентский сертификат не под контролем вашего корпоративного сисадмина. Но от АНБ не спасет даже это.

Вообще в современном интернете самоподписанные сертификаты обеспечивают большую безопасность, чем честно купленные у коммерческих CA. Потому что браузер предупредит о ЛЮБОМ изменении самоподписанного сертификата, но молча сожрет смену сертификата с подписью доверенного УЦ, и даже замену сертификата с подписью одного УЦ на сертификат с подписью другого УЦ, потому что валидные сертификаты он не кэширует.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/913732.html. Please comment there using OpenID. Now there are comments