Представители компании Canonical анонсировали принятие решения о смене используемой по умолчанию поисковой системы в Ubuntu 10.04. В поставляемом в составе дистрибутива web-браузере Firefox все поисковые запросы по умолчанию будут производиться через сервис Yahoo. Canonical не скрывает, что подобное изменение произведено в обмен на денежную компенсацию от компании Yahoo, которая позволит Canonical привлечь к проекту Ubuntu дополнительные ресурсы и новых оплачиваемых разработчиков.

Пока не ясно как на подобную инициативу отреагирует сообщество Mozilla, получающее деньги от компании Google за использование по умолчанию их поисковой системы (в русскоязычных сборках используется Yandex). Напомню, что Mozilla запрещает вносить изменения в браузер Firefox с сохранением названия. Пользователям, привыкшим к Google, после установки новой версии Ubuntu придется внести изменения в настройки.

http://www.opennet.ru/opennews/art.shtml?num=25167

27-01-2010 14:10:40
https://lists.ubuntu.com/archives/ubunt … 30065.html

Тема перенесена из форума «Программы и ОС» в форум «Новости».

Занятно. Неужели убунта сделает свой брендинг для ФФ?

Это особенно интересно в свете вот этой прошлогодней новости:

Yahoo! сменит поисковый механизм на Bing, а также получит возможность продавать рекламу на интернет-ресурсах Microsoft

Если это не утка, то юзеры убунты внезапно будут пользоваться поиском от ненавистного MS. Диверсия! :)

Действительно странный выбор.
По моему ощущению, "охват сайтов" у Яху явно меньше, чем у Гугла. Так что привлечёт ли это пользователей - непонятно.

я против Yahoo!

Ильнур пишет

я против Yahoo!

Почему? В конце концов его можно просто сменить на другой поисковик.

gunwitch пишет

странный выбор

gunwitch пишет

я против Yahoo!

То есть для вас:

Duble3 пишет

подобное изменение произведено в обмен на денежную компенсацию от компании Yahoo

не аргумент? Или трудно сделать три клика для смены поисковика? Еще скажите, что перестанете использовать убунту из-за этого...

Кстати да, новость читается очень забавно.
"Если отбросить шелуху с названиями, то новость можно читать как "Ubuntu меняет поисковой движок по умолчанию на Bing". По факту так оно и есть." (с) StopLinux.org.ru

Лично я не возражаю, проект получит дополнительную поддержку, не всё ж Шаттлворту финансировать.
А то, что Yahoo использует Bing только добавляет пикантности -- получается что Microsoft косвенно поддерживает конкурента -- на что только люди не пойдут, чтобы гуглу гадость сделать :)

Xroft пишет

Кстати да, новость читается очень забавно.
"Если отбросить шелуху с названиями, то новость можно читать как "Ubuntu меняет поисковой движок по умолчанию на Bing". По факту так оно и есть." (с) StopLinux.org.ru

Какой авторитетный источнег! Уже по всем интернетам обсосали, что это все только слухи, причем столетней давности.

Dracula пишет

это все только слухи, причем столетней давности

Но сделка Yahoo с Microsoft всё-таки была. Никто не говорит, что это плохо, просто получается забавная связь: Linux — Ubuntu — Firefox — Yahoo — Bing — Microsoft.

Dracula пишет

Какой авторитетный источнег! Уже по всем интернетам обсосали, что это все только слухи, причем столетней давности.

Не знаю, что вы там обсасывали, могли бы дату посмотреть.

Mozilla сменила дефлорный поисковик на Yandex, Ubuntu сменила его на Yahoo, что дальше? Microsoft сменит его на bing? а может быть появятся сборки с "официальным поисковиком васи пупкина"? declare.gif. Благо хоть это насильно не навязывают

Najlus пишет

Благо хоть это насильно не навязывают

А сейчас что насильно навязывают? А свою сборку действительно может сделать даже Вася Пупкин - мозилла этому никак не препятствует и наоборот всячески поощряет.

dimakey пишет

А сейчас что насильно навязывают?

Пока нет, но если мелкомягкие ставят в лиса трудноудоляемый .Net.framework assistant, то что мешает им разработать расширение для смены поисковика на Bing и запихнуть его в лиса подобным образом?

dimakey пишет

Najlus написал:Благо хоть это насильно не навязываютА сейчас что насильно навязывают? А свою сборку действительно может сделать даже Вася Пупкин - мозилла этому никак не препятствует и наоборот всячески поощряет.

Ну я вроде как против этого и не высказывался.

Najlus пишет

что мешает им разработать расширение для смены поисковика на Bing и запихнуть его в лиса подобным образом?

Возможно кроссплатформенность браузера.

igorsub пишет

Возможно кроссплатформенность браузера.

Но это не мешает ставить NET.Framework assistant. Ясное дело что на линуксе или макоси такого сделать не получится, но большинство пользователей ведь и не на них сидят =(

Ubuntu сменит Google на Yahoo за еду

Вот еще одна новость, которая кое-что проясняет:

http://www.webplanet.ru/news/life/2009/ … hmidt.html

CEO Google считает, что приватность нужна только преступникам

Вебпланета. 10.12.2009 15:45


Многие пользователи беспокоятся по поводу того, что корпорация Google (так же, впрочем, как и другие компании) коллекционирует слишком много пользовательских данных. Исполнительный директор Google Эрик Шмидт передал привет всем этим людям, заявив, что пекущимся о приватности товарищам наверняка есть, что скрывать, сообщает Gawker.

"Если вы делаете что-то такое, что хотели бы ото всех скрыть, вам было бы лучше этого не делать. Реальность такова, что поисковые машины - включая Google - действительно будут хранить эту информацию какое-то время и это необходимо, например, мы все в США подчиняемся закону Patriot Act, и возможно, такая информация понадобится властям", - заявил Шмидт в интервью CNBC.

Gawker отмечает, что мнение исполнительного директора Google сильно эволюционировало с 2005 года. Тогда издание CNET опубликовало информацию о Шмидте, найденную поисковиком Google, упомянув о его хобби, заработке, соседях, бывших подружках и так далее. В ответ Google добавила CNET в "черный список". А теперь, оказывается, тайна личной жизни беспокоит только преступников.

Некоторые товарищи уже объяснили Шмидту, что он явно что-то попутал. Специалист по компьютерной безопасности и криптограф Брюс Шнайер ответил на высказывания Шмидта цитатой из своего текста трехлетней давности:

"Мы не делаем ничего плохого, когда занимаемся любовью или принимаем ванну. Мы не прячем что-то преднамеренно, когда ищем спокойное место для разговора или уединения. Мы ведем закрытые журналы, поем в душевой, полагаясь на то, что это место приватно, и пишем письма тайным любовникам, чтобы потом сжечь их. Приватность - базовая потребность человека".

Исполнительный директор стартапа Glubble (семейный браузер) Александр ван Эльсас (Alexander van Elsas) и вовсе выступил с открытым письмом Эрику Шмидту. Описав в трех абзацах все невероятные заслуги Google перед человечеством, он отметил, что в обмен на это люди отдают компании данные о себе. И это, по мнению ван Эльсаса, очень важно, а для некоторых людей - особенно. Получается отсутствие баланса, потому что у Google есть власть и сила, а у пользователей ни того, ни другого нет. При таком раскладе, пишет Эльсас, заявление Шмидта на CNBC является одним из самых дурацких и глупых. Тем более, что Google не спрашивает у пользователей разрешения, записывать данные о них или нет.

Еще более яркое заявление сделал Аса Доцлер, со-основатель Firefox и директор по развитию сообщества Mozilla. В ответ на откровения Шмидта он просто посоветовал пользователям Firefox переключиться с поиска Google на поиск Bing, и даже дал ссылку на необходимую примочку. Это особенно удивительно в связи с тем, что более 90% доходов корпорации Mozilla до сих пор приносит именно Google.

Может быть это заявление Брюса Шнайера повлияет на пользователей так же, как и в случае с дырой в IE, которая подтолкнула пользователей к переходу на лисичку? Очень надеюсь на это.

Очень и очень сомневаюсь... Против человеческой глупости и принципа "мне скрывать нечего" бессилен даже патриарх стойкого крипто! :)

В этом смысле показателен даже наш форум, посвященный ФФ, хотя, казалось бы, люди здесь должны собираться с уровнем IQ немножко выше двадцати. :)

Однако возгласы типа "я - герой, я ничего не боюсь, у меня все на виду, пусть хоть весь мой компьютер просканируют" раздаются тут каждый день. Вот только почему-то случись этим героям прос...ть пароль от любимого "ФКонтахте" или отдать доступ к управлению своей машиной вирусу, блокирующему ее и сообщающему: "отправьте СМС на номер (...)", как все они дружно "бегут к маменьке": "а-а-а ... что нам несчастным делать, помогите-спасите", а мы все дружно утираем им сопли и даем умные советы: поставьте вменяемый антивирус, научитесь настраивать фаэрволл, храните пользовательские данные в зашифрованном виде и т.п.

Надеюсь, когда о неизлечимой болезни СЕО гугла узнает весь мир и люди начнут от него шарахаться он изменит свое мнение о приватности...

И вы наивно полагаете, что Бинг, Йаху, Яндекс, Рамблер и т.д. не собирают на вас компромат? laugh1.gif А на чем они тогда $ делают? yes.gif

Гугл, в отличие от остальных, признается в сборе инфы!

Да вот такой alyur_mini_01.gif им в руки! :)

Пусть хоть зальются анонимными запросами, генерирующимися при помощи определенных средств!
Лично мне лишней нагрузки на их сервера не жалко! :)

P.S. Учтите, лично я нигде никогда не писал, о преимуществах одной поисковой системы над другими - средства их заработка аналогичны. У меня вовсе другой посыл, касающийся исключительно мер по сохранению собственной privacy и безопасности в целом.

Keepun ну, думаю, если другие поисковики что то и собирают, то делают это не так нагло и не в таких масштабах, как гугл. Он, по всей видимости, стремится собрать всю информацию, которую только возможно, про всех пользователей, использующих его услуги и слить её спецслужбам.

Кстати, в этом свете очень странно выглядят вопли гугла, по поводу взлома почтовых ящиков китайцев. Ведь, если следовать идеям, озвученным Брюсом Шнайером, то все эти данные они должны были сами предоставить спецслужбам Китая (ведь гугл утверждает, что ящики взломали именно спецслужбы). А так, не красиво получается.. Гугл укрывает преступников, которым есть что скрывать...

DEATH 999 пишет

Keepun ну, думаю, если другие поисковики что то и собирают, то делают это не так нагло и не в таких масштабах, как гугл. Он, по всей видимости, стремится собрать всю информацию, которую только возможно, про всех пользователей, использующих его услуги и слить её спецслужбам.

С серверами знаком? Апач типа.

Так вот. ВСЕ запросы, посылаемые на сервер пишутся в логи. И чтобы узнать, что делал чел на сайте достаточно лишь распарсить лог :) Даже админы forum.mozilla-russia.org (че далеко ходить?) могут узнать многое о вас лишь проанализировать лог Апача. А если учесть, что и в Мускуле много чего интересного хранится, ммм... :)

Почувствуйте разницу между

Keepun пишет

чтобы узнать, что делал чел на сайте достаточно лишь распарсить лог

и целенаправленным сбором и систематизацией с целью передачи спецслужбам по запросу.

dimakey пишет

целенаправленным сбором и систематизацией с целью передачи спецслужбам по запросу.

А остальные не передают? laugh1.gif
А цель изначально другая: изучения спроса на рекламу. А СС все сдают по первому запросу grin.gif 

А логи хранит и твой провайдер. Дай сотруднику прова IP и ящик пива и получишь полный доклад о путешевствиях - ПРОВЕРЕНО!

Ага! А все присутствующие - просто тупые и беспомощные овцы, живущие в вечном рабском страхе и перед провайдером, и перед спецслужбами, и перед государством, но НИЧЕГО И НИКОГДА САМОСТОЯТЕЛЬНО палец о палец не ударявшие, чтобы защитить свое НЕОТЪЕМЛЕМОЕ ПРАВО на приватность и личную информационную безопасность! ... Не так ли?

Хотите жить в таком страхе - живите! Ваше личное рабское дело!

И в этом ничего катастрофического нет - чем больше будет шума, чем больше люди будут видеть, что о приватности нужно позаботится самому, тем скорее наиболее адекватные начнут использовать шифрование почты и трафика. Наконец-то разберутся, что практически в любой программе, работающей с сетью, есть галочка в настройках - "Безопасное соединение". И тогда пусть снифают мою почту, пусть хоть весь трафик у себя дублируют - получат gpg-кашу.

Ууу... народ! так вы вообще запутались :)

Шифровка трафика поможет оградится от снифинга, но не сотрет логи на конечном сервере, а в них попадает расшифрованная инфа :)

Rosenfeld, кстати, юзеры Тора вообще отдают свои пассы кому попадет пакет. Даже SSL не всегда помогает...

Не надо вводить в заблуждение и запугивать пользователей! :)

Вы просто не знаете азов современного крипто и ИБ или пытаетесь в качестве доказательной базы противопоставить им информацию на уровне интернет-слухов.

При правильном использовании комплексных мер безопасности:

Веб-сёрфинг

1. В логи на конечном сервере может попасть лишь обезличенный запрос с конечного сервера TOR.
2. Даже если сам конечный сервер TOR скомпрометирован, нужно очень постараться, чтобы попасть именно на него, ибо их цепочка непрерывно меняется.
3. Даже если "подставленный" сервер отдаст гипотетически атакующей стороне какую-то информацию о том, что я посещал определенный веб-сервер - это, по сути, ничего не меняет. Веб-сёрфинг - это не преступление!
4. Наличие сервиса TOR на клиентской машине также не является преступлением.
5. (О предполагаемом перехвате пользовательских паролей см. ниже)

Электронная почта

1. Шифрование сообщений происходит на машинах клиентов. Настоятельно рекомендуется при этом осуществлять шифрование на компьютерах, априорно не имеющих любых вариантов подключения к сетевым окружениям и интернету.
2. Зашифрованную ассиметричным шифрованием почту на своем сервере провайдер почтовых услуг может читать сколько угодно долго - от этого ничего не изменится. Кроме того, шифрование сообщений - не преступление!
3. Перехват локальным провайдером (раздающим коннект) ассиметрично зашифрованных сообщений бессмысленен. Если (как в большинстве случаев) при отправке/получении почты используется SSL/TLS  - затея становится еще безнадежнее.
4. Априорно не используется отправка почтовых сообщений через веб-интерфейс.

IM-общение

1. При использовании TOR в связке с IM-клиентом (см.: клиент TORChat) сообщения вначале шифруются сеансовым ключом, затем передаются по цепочке произвольно выбранных и постоянно меняющихся серверов TOR, причем каждый из серверов реально "знает" лишь то, что он получает информацию от соседнего сервера; кроме того, как уже упоминалось выше, эти сообщения уходят в зашифрованном виде. Все операции по шифрованию / дешифрованию происходят на машинах клиентов.
2. Без использования TOR (то есть при общении при помощи стандартных клиентов, например Mirand'ы и т.п.) сообщения (по аналогии с электронной почтой) шифруются ассиметричными ключами, потом передаются по зашифрованному каналу SSL/TLS (в случае с использованием протокола JABBER). Либо можно применять OTR.

См.: TORChat

скрытый текст
TorChat — это децентрализованная анонимная программа мгновенного обмена сообщениями, которая использует скрытые сервисы Tor в качестве основной сети. Она может быть использована для обмена текстовыми сообщениями и передачи файлов другим пользователям. Tor обеспечивает шифрование всего трафика между клиентом, значительно усложняя любые попытки определить физическое местонахождение клиента и с кем он в данный момент общается.

В TorChat каждый пользователь имеет уникальную электронную цифровую подпись, состоящую из 16 символов. Этот идентификатор генерируется случайным образом в сети Tor каждый раз, когда клиент начинает сеанс связи. Пользователи TorChat соединяются с Tor, чтобы на основе своего ID связаться с другим скрытым сервисом для последующего обмена информацией о состоянии, чате и других данных по соединению. Поскольку скрытые сервисы Tor могут принимать входящие соединения даже при нахождении за NAT, TorChat не нуждается в дополнительном туннелировании.

Версия TorChat для Windows портирована с использованием компилятора py2exe и поставляется с уже пригодной для использования копией Tor, которая может запущена с USB флэш-накопителя без установки, настройки или создания учетной записи.

При хранении данных на компьютере клиентов

1. Системные и пользовательские разделы зашифрованы (как в случае с LINUX или при применении TrueCrypt / FreeOTFE), включая разделы со свопом и временными данными; на худой конец - пользовательская информация хранится в криптоконтейнерах.
2. Система снабжена правильно настроенным фаэрволлом, работающим по принципу "запрещено ВСЁ, что ЯВНО НЕ РАЗРЕШЕНО пользователем!".
3. Имеется вменяемый и правильно настроенный антивирус и другие средства.
4. Пользовательские и системные пароли не хранятся в принципе или хранятся в зашифрованном виде.
5. "Отдаются" не сами пароли, а их хэши.
6. При работе с интернетом (как в случае со сборкой Rosenfox Portable) не хранятся, не принимаются и не обрабатываются никакие данные: кукиз, пароли, кэш, джава-скрипты, история посещений и т.п.
7. Система и прикладное ПО своевременно обновляется.
8. Не используются проприетарные ОС и ПО или софт с закрытым исходным кодом.

Даже SSL не всегда помогает

Для того, чтобы делать такие заявления, нужно знать о имеющихся ТЕОРЕТИЧЕСКИХ(!) вариантах атак. Рекомендую прочитать общеизвестную литературу по этой тематике, а также о существующих гипотетических угрозах:

http://ru.wikipedia.org/wiki/SSL#.D0.90 … 0.BA.D0.B8

скрытый текст
Атаки

Опишем ряд атак, которые могут быть предприняты против протокола SSL.

Однако SSL устойчив к этим атакам.

Раскрытие шифров

Как известно, SSL зависит от различных криптографических параметров. Шифрование с открытым ключом RSA необходимо для пересылки ключей и аутентификации сервера/клиента. Однако в качестве шифра используются различные криптографические алгоритмы. Таким образом, если осуществить успешную атаку на эти алгоритмы, то SSL не может уже считаться безопасным. Атака на определенные коммуникационные сессии производится записью сессии, и потом, в течение долгого времени подбирается ключ сессии или ключ RSA. SSL же делает такую атаку невыгодной, так как тратится большое количество времени и денег.

Злоумышленник посередине

Такая атака предполагает участие трех сторон: сервера, клиента и злоумышленника, находящегося между ними. В данной ситуации злоумышленник может перехватывать все сообщения, которые следуют в обоих направлениях, и подменивать сообщения. Злоумышленник представляется сервером для клиента и клиентом для сервера. Но такая атака невозможна при использовании протокола SSL, из-за того, что сервер использует сертификаты. А злоумышленник не имеет сертификата сервера.

Замечание. Однако работа HTTS-фильтра (который устанавливает туннель в обе стороны и отдаёт свой сертификат клиенту) в MSForefrontTGM, работающая по этой схеме, не является атакой, но средством защиты и контроля.

Атака отклика

Злоумышленник записывает коммуникационную сессию между сервером и клиентом. Позднее, он пытается установить соединение с сервером, воспроизводя записанные сообщения клиента. Но SSL отбивает эту атаку при помощи особого уникального идентификатора соединения (ИС). Конечно, теоретически третья сторона не в силах предсказать (ИС), потому что он основан на наборе случайных событий. Однако злоумышленник с большими ресурсами может записать большое количество сессий и попытаться подобрать «верную» сессию, основываясь на код nonce, который послал сервер в сообщение Server_Hello. Но коды nonce SSL имеют, по меньшей мере длину 128 бит, а значит, злоумышленнику необходимо записать 2127 кодов nonce, чтобы получить вероятность угадывания 50 %. Но 2127 достаточно большое число, чтобы сделать эти атаки бессмысленными.

Атака против протокола рукопожатия

Злоумышленник может попытаться повлиять на обмен рукопожатиями для того, чтобы стороны выбрали разные алгоритмы шифрования, а не те, что они выбирают обычно. Из-за того, что многие реализации поддерживают 40 битное экспортированное шифрование, а некоторые даже 0 шифрование или MAC алгоритм, эти атаки представляют большой интерес.

Для такой атаки злоумышленнику необходимо быстро подменить одно или более сообщений рукопожатия. Если это происходит, то клиент и сервер вычислят различные значения хэшей сообщения рукопожатия. В результате чего стороны не примут друг от друга сообщения Finished. Без секрета злоумышленник не может исправить сообщение Finished, вот почему атака будет обнаружена.

См. также:

Протокол SSL. Безопасный уровень соединителей - http://book.itep.ru/6/ssl_65.htm

юзеры Тора вообще отдают свои пассы кому попадет пакет

1. Для того, чтобы это не происходило, необходимо выбирать сервисы, принимающие не сами пароли, а их хэши.
2. Оптимальный  вариант - не использовать веб-ресурсы, требующие регистрации (форумы, социальные сети и т.п.). Лично я НЕ НАХОЖУ НИ ОДНОГО такого ресурса, без существования которого (и без регистрации на котором) я не мог бы спокойно жить! :)
3. Перехват пароля (в худшем случае) может привести к компрометации почтового ящика, но не зашифрованных сообщений или ассиметричных пользовательских ключей.
4. Учитывайте также, что скомпрометированный конечный узел TOR не получает реальный пользовательский IP. Единственное, что он может получить в наихудшем варианте - это связку "логин" + "пароль" к определенному ресурсу. Если пользователь применяет свои реальные ФИО - это, как говорится, его собственная проблема, а в "нормальном" случае атакующая сторона получит связку "Tf5Evc68n@domain.com" + "Unf&d4nJ3VcEro91nY"... Ну и что - сильно ей это поможет?! Завладеть почтовым ящиком в этом случае можно, а вот отсылать от имени такого пользователя зашифрованную и подписанную при помощи ЭЦП корреспонденцию она НЕ сможет!
5. В случаях 3 и 4 текущего раздела можно (и нужно!) использовать также систему одноразовых почтовых ящиков на разных сервисах. То есть конечному пользователю может прийти письмо от кого угодно, допустим, от пользователя yiuh465b4dR4@random-mail.org, главное - чтобы такое сообщение было зашифровано и подписано при помощи PGP / GnuPG - расшифровав его и проверив ЭЦП, он может убедиться, что все в полном порядке.

По теме читайте также:

http://ru.wikipedia.org/wiki/SSL
http://ru.wikipedia.org/wiki/TLS
http://ru.wikipedia.org/wiki/OpenSSL
http://ru.wikipedia.org/wiki/GnuTLS

http://www.torproject.org/overview.html.ru
http://ttorrott.narod.ru/
https://www.sesawe.net/Ispol-zovanie-Tor-s-mostami.html
http://ru.wikipedia.org/wiki/TorChat

Rosenfeld, большинство из описанного работать не будет, потому что на конечном компе должно стоять настроенное ПО для расшифровки. Например для мыльника или IM. Это условие можно выполнить только лишь по обоюдному согласию. То есть 90% всех посланных тобой сообщений идут не зашифрованными!

При вводе пасса на сайте без поддержки SSL (опять же - этот форум) он передается в открытом виде. В ответ форум ставит куки. Мне не нужно гадать какие данные вводились для входа. Мне достаточно лишь получить куки, которые передаются с каждый твоим чихом (запросом) и скомпрометировать форум - все, акк мой :) Остальное тоже по такому принципу угоняется, но НЕ ВСЁ.

10-02-2010 15:37:07
Тема, впрочем, не об этом.

Базар начался из разбирательства: в каком виде и какая инфа хранится на конечном сервере и что из нее можно узнать о человеке, а не о том, как безопасно ее туда доставить (Tor, SSL и т.п.) girl_wacko.gif

Rosenfeld, большинство из описанного работать не будет

Как-то странно это слышать. :)

Допустим, это не работает у Вас или Вы этим не пользуетесь (по лени, по незнанию и т.п.). В то же время эта схема замечательным образом работает у десятков тысяч других людей, которые обеспокоены своей privacy - не по факту того, что они делают что-то незаконное, а по факту неотъемлемого (по рождению) права на ее сохранение.

Поэтому "большинство из этого не работает" - это голословное и бездоказательное заключение. Это примерно из той же оперы: "Линукс НЕ работает, потому что я его попробовал и У МЕНЯ он не заработал!" :)

Тут всего два варианта - либо Вы, как специалист, умнее всех: Циммермана, Шнайера, Шамира, Эль Гамаля и сотен других авторитетов  в области стойкого крипто, разрабатывающих алгоритмы, программное обеспечение и схемы его применения - то есть Вы самостоятельно "на коленке" можете ломать любые пароли, перехватывать и расшифровывать любые сообщения, зашифрованные любым (симметричным или ассиметричным) ключом, запросто входить в туннелированные и шифрованные соединения, подменяя и компрометируя там данные, походя собирать в корзину пароли с конечных серверов TOR и т.п...

Либо - второй вариант, гораздо более правдоподобный для всех окружающих, :) - что Вы, мягко говоря, несколько преувеличиваете свой "кулхацкеровские" возможности :)

Пока что Вы не предложили никаких контраргументов, подкрепленных доказательной базой, кроме таких, что: "все равно не работает" или "все равно это можно сломать". Да и вряд ли сможете.

потому что на конечном компе должно стоять настроенное ПО для расшифровки. Например для мыльника или IM. Это условие можно выполнить только лишь по обоюдному согласию.

... А что, кто-то здесь утверждал обратное? :) Есть такая хорошая еврейская пословица: "это понятно даже ослу моего рэбе" :)

Большинство из моих реципиентов, тех, кто уважает меня и мою privacy, а также, в первую очередь - СЕБЯ и СВОЮ privacy, ПО ОБОЮДНОМУ СОГЛАСИЮ имеют аналогичные криптографические средства для обмена почтовыми и IM-сообщениями. Что в этом необычного?!

Более того, большинство из современных средств почтового и IM-общения УЖЕ имеют встроенные в себя средства шифрования сообщений, работающих по тем принципам, что я описал выше (если они, конечно же, ХОТЯТ считаться "современным программным обеспечением"!). И надо быть СОВСЕМ "семи пядей во лбу, :) чтобы НЕ СУМЕТЬ справиться с настройкой того, что УЖЕ встроено в твой софт разработчиками.

Вот, к примеру, УЖЕ существующая поддержка "шифрования на лету" в IM-мессенджерах:

скрытый текст
Следующие клиенты имеют встроенную поддержку протокола OTR. Это позволяет использовать протокол во всех сетях сообщений, с которыми работает клиент (к примеру: OSCAR, Jabber, MSN, YIM, IRC и другие).

* Adium (Mac OS X) имеет встроенную поддержку;
* Pidgin, ранее Gaim, (кросс-платформенное приложение) с официальным плагином;
* Kopete (Unix) с плагином от третьих разработчиков;
* MCabber (Unix) имеет встроенную поддержку, начиная с версии 0.9.4;
* climm (бывший mICQ) начиная с версии 0.5.4;
* Miranda IM (Microsoft Windows) с плагином от третьих разработчиков;
* Trillian (Microsoft Windows) с плагином от третьих разработчиков;
* qutIM (Microsoft Windows, Linux, Mac OS X) с плагином от третьих разработчиков;
* irssi (Unix) с плагином от третьих разработчиков.

(и это  не считая того, что все они (или большинство из них) поддерживают "из коробки"  не только шифрования сообщений "на лету", но и шифрование самого канала, по которому они передаются - во всяком случае, когда речь идет о JABBER-протоколе).

А вот список современных почтовых программ, поддерживающих шифрование трафика и шифрование сообщений при помощи PGP / GnuPG (см. таблицы "Поддержка SSL и TLS" и "Свойства"):

http://ru.wikipedia.org/wiki/Сравнение_ … х_программ

Не разобраться в простейших принципах генерирование и применения ассиметричных ключей может, уж извините, только полный шлимазл!

Более того, я уже приводил такой пример: допустим, на замечательном сайте www.pgpru.com считается хорошим тоном подписывать все свои сообщения на форуме при помощи своего личного ключа PGP. Пример можно посмотреть в любой из их тем, допустим, хотя бы здесь:

Я уже приводил такой случай: если допустим, кто-то (к присутствующим не относится!) :) НЕ чистит зубы утром и вечером (ну нет у него такой привычки!), то это не значит, что его примеру должны последовать сотни других людей.

То есть 90% всех посланных тобой сообщений идут не зашифрованными!

Я, возможно, нередко произвожу на окружающих впечатление цудрейтера и ашикера, :) но тем не менее, стараюсь не доводить степень моего идиотизма до такой степени, чтобы слать "в белый свет" зашифрованные сообщения тем людям, у которых априорно нет аналогичных средств защиты!

Просто я правильно выбираю степень угроз и трезво их оцениваю. Есть случаи, когда мне безразлична защита определенных текстовых и других данных - я, естественно, посылаю или храню их в менее защищенном виде. В случае, когда это необходимо - я пользуюсь большинством из вышеперечисленных средств и не испытывают от этого никакого дискомфорта, потому что степень удобства их применения подойдет даже ребенку... У меня нет паранойи и я не буду зашифровывать кулинарные рецепты тройным алгоритмом Serpent-Twofish-AES, а также отправлять их посредством TOR, Вы уж мне поверьте! :)

Мне достаточно лишь получить куки, которые передаются с каждый твоим чихом (запросом) и скомпрометировать форум - все, акк мой :) Остальное тоже по такому принципу угоняется

Немного выше я уже оценил степень Ваших умений и навыков, поэтому не хотелось бы повторяться. :)

Да, форум Мозиллы практически не защищен, однако это не значит, что я храню на нем свои сверхсекретные данные или до дрожи в коленках дорожу аккаунтом на нем. Сотый раз повторюсь - не следует проявлять паранойю там, где это не необходимо. В постоянном страхе я жить никого не призываю, а призываю трезво оценивать уровень секретности хранимой личной информации и вероятность степени угроз для нее.

Rosenfeld пишет

Rosenfeld, большинство из описанного работать не будет

Как-то странно это слышать. :)

(многопустыхбукв)

потому что на конечном компе должно стоять настроенное ПО для расшифровки. Например для мыльника или IM. Это условие можно выполнить только лишь по обоюдному согласию.

... А что, кто-то здесь утверждал обратное? :) Есть такая хорошая еврейская пословица: "это понятно даже ослу моего рэбе" :)

Как-то странно посты читаешь...
Попробуй Конституцию или УК так почитать, разбивая предложение на части и трактуя каждую часть по отдельности. :D

Rosenfeld пишет

Более того, большинство из современных средств почтового и IM-общения УЖЕ имеют встроенные в себя средства шифрования сообщений, работающих по тем принципам, что я описал выше (если они, конечно же, ХОТЯТ считаться "современным программным обеспечением"!). И надо быть СОВСЕМ "семи пядей во лбу, :) чтобы НЕ СУМЕТЬ справиться с настройкой того, что УЖЕ встроено в твой софт разработчиками.

Вот, к примеру, УЖЕ существующая поддержка "шифрования на лету" в IM-мессенджерах:

Следующие клиенты имеют встроенную поддержку протокола OTR. Это позволяет использовать протокол во всех сетях сообщений, с которыми работает клиент (к примеру: OSCAR, Jabber, MSN, YIM, IRC и другие).

А ниже сам же это опровергаешь:

Rosenfeld пишет

* Kopete (Unix) с плагином от третьих разработчиков;
* Miranda IM (Microsoft Windows) с плагином от третьих разработчиков;
* Trillian (Microsoft Windows) с плагином от третьих разработчиков;
* qutIM (Microsoft Windows, Linux, Mac OS X) с плагином от третьих разработчиков;
* irssi (Unix) с плагином от третьих разработчиков.

И где мне искать эти "плагины от третьих разработчиков" ??? И почему я им должен доверять? SecureIM мою Миранду валит...
Кстати, чтобы прикрутить GnuPG к MS Outlook нужен тоже "плагин от третьих разработчиков" и не ясно какой...

Rosenfeld пишет

Не разобраться в простейших принципах генерирование и применения ассиметричных ключей может, уж извините, только полный шлимазл!

Когда знаешь ответ, только тогда понимаешь его очивидность...

Rosenfeld пишет

То есть 90% всех посланных тобой сообщений идут не зашифрованными!

Я, возможно, нередко произвожу на окружающих впечатление цудрейтера и ашикера, :) но тем не менее, стараюсь не доводить степень моего идиотизма до такой степени, чтобы слать "в белый свет" зашифрованные сообщения тем людям, у которых априорно нет аналогичных средств защиты!

Однако, своими постами доказываешь обратное...

Rosenfeld пишет

Немного выше я уже оценил степень Ваших умений и навыков, поэтому не хотелось бы повторяться. :)

А я оценил твои знания. И че?

Пусть простят меня участники форума, но среди моих жизненных принципов есть следующие:

1. Не уподобляться спорящим "по понятиям": "типа а чё?"
2. Не воевать с детьми и "кулхацкерами".
3. Не раздувать самомнение людей, утверждающих, что могут "об колено" сломать любой общепризнанный алгоритм шифрования.
4. Не помогать советами там, где помогать бесполезно: если у кого-то жизнь не сложилась до такой степени, что он заявляет "а вот у меня не работает" (там где априорно работает у других) - то это уже не проблема, а клиника.

Rosenfeld
Ты забыл свой пятый принцип - во всех постах использовать слово "априорно".

Ты забыл свой пятый принцип - во всех постах использовать слово "априорно".

Гораздо короче все вышеизложенное было сказано в фильме "Леон": "Кроме женщин и детей!" :)

Rosenfeld, а по делу напечатать больше нечего? ну-ну...

11-02-2010 15:23:46
А по теме тут шифрование вообще никаким боком, хотя Rosenfeld его зачем-то приплел laugh1.gif

Keepun пишет

А по теме тут шифрование вообще никаким боком, хотя Rosenfeld его зачем-то приплел

Очень даже в тему приплёл - сервер, к которому ты подключаешься, сможет сохранить не твой IP, а адрес выхода из того же ТОРа. А шифрование поможет предотвратить перехват и анализ твоего трафика.

dimakey пишет

Очень даже в тему приплёл - сервер, к которому ты подключаешься, сможет сохранить не твой IP, а адрес выхода из того же ТОРа.

Определение чела по IP - это второй вариант, потому что большая часть народа за NAT'ом сидит. А первый - это куки.

P.S. А файлы тоже через ТОР тянете? rofl.gif

dimakey пишет

А шифрование поможет предотвратить перехват и анализ твоего трафика.

А логи Bing, Yahoo, Google да и любого другого сервера тоже почистит? laugh1.gif - а ведь тема об этом.