Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Взлом инфраструктуры matrix.org"	+/–
Сообщение от opennews (?), 12-Апр-19, 10:52
Разработчики платформы для  децентрализованного обмена сообщениями Matrix объявили (https://twitter.com/matrixdotorg/status/1116304867683905537) об экстренном отключении серверов Matrix.org (http://Matrix.org) и Riot.im (http://Riot.im) (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение сосоялось вчера вечером, после чего работа серверов была восстановлена (https://twitter.com/matrixdotorg/status/1116517160187248640), а приложения пересбораны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы (https://twitter.com/matrixdotorg/status/1116593380102852608) второй раз. Атакующие разместили (https://archive.md/SknNR) на главной странице проекта (https://matrix.org/) детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной милинов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. После первого взлома командой Matrix был опубликован отчёт (https://archive.md/JlR6v), в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. Всем пользователям было предписано сменить пароли. Но в процессе смены паролей в основном клиенте Riot пользователи выявили (https://github.com/vector-im/riot-web/issues/9434) пропадание файлов с резервными копиями ключей для восстановления шифрованной переписки. Напомним, что платформа для организации децентрализованных коммуникаций Matrix (https://github.com/matrix-org) преподносится как  проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма Signal, поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online,  организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.). URL: https://twitter.com/matrixdotorg/status/1116304867683905537 Новость: https://www.opennet.dev/opennews/art.shtml?num=50501
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Анонимус_б6_выпуск_3 (?), 12-Апр-19, 10:52	+31 +/–
>Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей Эпичное заявление на фоне самой новости
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #22, #41

2. Сообщение от rioko (?), 12-Апр-19, 10:53	+6 +/–
Welcome to Matrix An open network for SECURE, decentralized communication. ¯\_(ツ)_/¯ Бывает, чего уж там.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #13, #33, #117

4. Сообщение от fske (?), 12-Апр-19, 10:56	–1 +/–
Так умиляет, когда ломают "безопасников". Нет, ну конечно, сейчас фанаты будут петь песни про плохого админа/разработчика сайта, а так всё вэр и гуд и #вывсёврёте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10

5. Сообщение от SuomynonA (?), 12-Апр-19, 10:57	+6 +/–
просто некоторые молчат об инцидентах безопасности, а некоторые нет (трудно молчать с дефейсом)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60, #118

6. Сообщение от SuomynonA (?), 12-Апр-19, 11:00	+2 +/–
допустим, у меня в матриксе все чаты шифрованные. соответственно, взломщики не получат к ним доступ. а вот у того самого заблокированного мессенджера мало кто пользуется секретными чатиками.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 12-Апр-19, 11:05	+/–
matriks
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от hiveliberty (ok), 12-Апр-19, 11:06	–2 +/–
Не читаем до конца?) > После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. Jenkins
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #18

9. Сообщение от Аноним (9), 12-Апр-19, 11:08	+4 +/–
Правильно говорят, что matrix поделка хипстеров-смузихлебов. Только тормозят развитие нормальных децентрализованных протоколов типа tox/briar/ring своей морально устаревшей федерацией.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #65, #74

10. Сообщение от Аноним (10), 12-Апр-19, 11:10	+3 +/–
Взломать можно любого. В современных системах используется столько разного сложного софта, что уязвимости есть в любой системе. Чтобы быть в безопасности надо 1. иметь полностью свой кастомный софт; 2. быть неуловимым Джо; 3. жить в мире, где не существвует систем автоматического нахождения и эксплатации уязвимостей. Все пункты обязательны. 1 + 3 образуют комбо защиты от червей. 2 защищает от людей. Всем трём не соответствует никто, даже АНБ США.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16

11. Сообщение от Анонимс (?), 12-Апр-19, 11:11	–2 +/–
> Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной милинов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Что нужно сделать, чтобы такого больше никогда не происходило? Существуют ли в природе неуязвимые системы? Или нужно быть неуловимым джо и не высовываться, чтобы твоя система была защищённой от всех взломов.
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от VoDA (ok), 12-Апр-19, 11:15	+1 +/–
> которой размещены в том числе незашифрованные сообщения > Matrix обеспечивает оконечное (end-to-end) шифрование Это как? О_о
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

13. Сообщение от Аноним (13), 12-Апр-19, 11:16	+1 +/–
Тонко :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

14. Сообщение от Анонимс (?), 12-Апр-19, 11:18	–1 +/–
> Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма Signal Помнится, кто-то говорил, что Signal является дырявым, как дуршлаг. Так ли это на самом деле?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #47, #55

15. Сообщение от Андрей (??), 12-Апр-19, 11:21	+27 +/–
И новость подтверждает это: не стал известен ни один пароль в открытом виде, и ни одно зашифрованное сообщение не было расшифровано. То, что был потерян доступ к зашифрованной переписке - да, досадно, и, наверняка, может быть исправлено в будущем. Но в любом случае по соображениям безопасности всем известно, что в случае ЧП лучше потерять самому, чем чтобы досталось другим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

16. Сообщение от Crazy Alex (ok), 12-Апр-19, 11:21	+11 +/–
ну да, а мониторить апдейты на софт, который используется и торчит в мир - не надо, зачем же...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21

17. Сообщение от Андрей (??), 12-Апр-19, 11:24	+/–
Матрикс поддерживает также общение в стиле IRC, XMPP - т.е. публичные group chat, где нет смысла шифровать. Ну, и, конечно, если кто-то общался в личном чатике, но не включил шифрование. Но тут - ССЗБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

18. Сообщение от йцук (?), 12-Апр-19, 11:24	+8 +/–
> Jenkins Ага! Который является частью инфраструктуры проекта, может непосредственно влиять на его работоспособность, смотрит голым задом в паблик-сети и за которым никто не следит оставляя там такие дыры. Что долно заставить думать, что к остальным составляющим проекта эта команда относится как-то по-другому?:) </риторический_вопрос>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от Андрей (??), 12-Апр-19, 11:25	–1 +/–
Ни один пароль не стал известен в открытом виде (только хеши). Ни одно зашифрованное сообщение не было расшифровано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #35

20. Сообщение от Аноним (20), 12-Апр-19, 11:29	+/–
Это в рамках сливания Ассанджа или слак с хипчатом скинулись и заказали?
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от InuYasha (?), 12-Апр-19, 11:34	+5 +/–
У них, наверное, тот самый принцип - "работает - не трогай" :'D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #28, #82, #87

22. Сообщение от yoda (?), 12-Апр-19, 11:35	+4 +/–
>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins Это не сам matrix
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29, #36, #124

23. Сообщение от InuYasha (?), 12-Апр-19, 11:37	+10 +/–
А зачем там _вообще_ незашифрованные сообщения?? Это как в телеграме что-ли - все думают, что всё супер-шифруется, а оказывается - надо было ещё специальный чат открыть, ага. Из 100% мною опрошенных 100% думало что у них e2e шифрование, а про кнопочку "секрет" никто даже не знал. Здесь так же, что-ли? В итоге - жаббер с omemo так и остаётся самым лучшим протоколом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #25, #61

24. Сообщение от IRASoldier (?), 12-Апр-19, 11:41	–1 +/–
>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins А вот это указывает на безблагодатность современного подхода к инфраструктуре разработки и поддержки: слишком много сущностей. Старые добрые FTP + сервер БД - надёжнее.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #68

25. Сообщение от Андрей (??), 12-Апр-19, 11:47	–2 +/–
> А зачем там _вообще_ незашифрованные сообщения?? Потому что есть публичные комнаты, где шифрование не нужно. > а оказывается - надо было ещё специальный чат открыть, ага Официальный клиент версии 1.0 ещё не вышел, над проблемой сделать шифрование по-умолчанию продолжают работать. Доверяй, но проверяй. Типа, как сел в машину и поехал, а оказалось, что не пристёгнут. Но как же так, я же ожидал, что когда поверну ключ зажигания - ремень сам защёлкнется. А перед тем, как жать на газ, надо было всего-то навсего провести хотя бы зрительный контроль. омемо тоже надо включать ручками в гаджиме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #46, #54

26. Сообщение от Michael Shigorin (ok), 12-Апр-19, 11:50	+3 +/–
Скорее всё-таки rsync поверх ssh, но угу, человекопостижимость осталась мало где... (как тут на днях резонно замечали, начиная прям с ядра)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #85

27. Сообщение от Аноним (27), 12-Апр-19, 11:54	+/–
Минимум могли бы за VPN спрятать Jenkins.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

28. Сообщение от пох (?), 12-Апр-19, 12:01	+/–
этот принцип прекрасен, но только пока работает стена с автоматическими огнеметами и ров с крокодилами по периметру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

29. Сообщение от mumu (ok), 12-Апр-19, 12:14	–1 +/–
Да, это лживые заверения его владельцев о том, что они уделяют внимание безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы - это же так скучно и не по аджайловски
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #37, #38, #122

30. Сообщение от YetAnotherOnanym (ok), 12-Апр-19, 12:16	+/–
> системе непрерывной интеграции Jenkins Вот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #42, #71, #81

31. Сообщение от mumu (ok), 12-Апр-19, 12:18	–1 +/–
> Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей Это примерно как в рекламе использовать слоган "Наш продукт является продуктом №1". Можно спокойно отвечать за базар, если нет никакой юр. ответственности.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от scor (ok), 12-Апр-19, 12:28	+6 +/–
"continuous" -- это не "срочно-немедленно", а "integration" -- это не "пихать в продакшон".:) Смысл в том, чтоб поле очередного мержа в мастер быть уверенным, что оно по-прежнему рабочее. Но так бывает редко, да.:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

33. Сообщение от Ordu (ok), 12-Апр-19, 12:33	+3 +/–
Раньше было принято наперегонки кричать "БОЯН" в ответ на попытки шутить шутки, которые всех достали. Но что ни дай в руки хомячкам, они из всего сделают боян, они сделали боян из бояна. И теперь я даже не знаю как реагировать на шутки, которые повторяли так долго, что от них уже тошнит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #39

34. Сообщение от TOX user (?), 12-Апр-19, 12:34	+1 +/–
пользователи токса ржут и показывают пальцем на недодецентрализованных!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #43, #52

35. Сообщение от Ordu (ok), 12-Апр-19, 12:35	+1 +/–
Это на самом деле тёмный вопрос. Я не совсем понял, что происходило когда пользователи массово ломанулись менять пароли. Были ли эти попытки перехвачены?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #51

36. Сообщение от Адмирал Макйл Роджерс (?), 12-Апр-19, 12:36	+1 +/–
Этот факт не снимает ответственности за произошедшее с людей, ответственных за проект. Дискредитация мессенджера Matrix в глазах людей, представляющих интерес для организации. которую я имею честь возглавлять, привела к тому, что значительные средств, выделенные на этот проект, оказались потрачены впустую. По моему глубокому убеждению все виновные должны понести самое строгое наказане.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #44, #90

37. Сообщение от Аноним (37), 12-Апр-19, 12:39	+/–
Тут любое ружье могло выстрелить. Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая другая новая дыра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #110, #125

38. Сообщение от yoda (?), 12-Апр-19, 12:40	+/–
> Да, это лживые заверения его владельцев о том, что они уделяют внимание > безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы - > это же так скучно и не по аджайловски Меня больше интересует целостность пакетов, так как у меня свой сервер с отключённой интеграцией.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #116

39. Сообщение от Аноним (39), 12-Апр-19, 12:53	+1 +/–
Хоронили тёщу, порвали два бояна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #48

40. Сообщение от Аноним (39), 12-Апр-19, 12:59	+/–
— а он такой, это Неуловимый Джо, что его никто поймать не может?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

41. Сообщение от Аноним (41), 12-Апр-19, 13:07	+2 +/–
Нет абсолютно безопасных систем - не существуют в природе. Да и по ряду объективных причин не могут в принципе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

42. Сообщение от амоним (?), 12-Апр-19, 13:08	+2 +/–
согласен с предыдушим оратором + пихать можно, только например из релизной ветки + пихать можно, не в продакшон, а в тестовое окружение + можно делать сборки (чтобы потом было понятно, на что откатываться, а то не всегда можно reproducible build делать), и пихать вручную + можно не пихать, а просто тесты например гонять, и слать письма счастья: "такой вот враг, закомитив все сломал, шлите зондеркоманду" +++ ну и да, если смузи и микросервисов 100-500 (а то и вообще, прости господи, serverless), то можно это руками пихать многие сутки, и закосячить. короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #49

43. Сообщение от Аноним (43), 12-Апр-19, 13:09	+3 +/–
> пользователи токса ржут и показывают пальцем на недодецентрализованных! пользователь токса ржёт и показывает пальцем на недодецентрализованных! Он, вообще, всегда ржёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

44. Сообщение от Игнат (?), 12-Апр-19, 13:10	+2 +/–
Компании использующие self-hosted решение не пострадали, перебоя в работе не было. Возможно ответственные за выбор облачного решения облажались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

45. Сообщение от НяшМяш (ok), 12-Апр-19, 13:11	+1 +/–
Торчащий в интернет голой жопой приватный женкинс - это сильно. Особенно на фоне того, чей он. Как верить заявлениям "у нас самый безопасный мессенджер" от тех, кто не может элементарно инфраструктуру прикрыть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #86

46. Сообщение от pztrn (?), 12-Апр-19, 13:21	+2 +/–
Официальный клиент уже 1.0.7. Это официальный сервер еще до 1.0 не дошел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

47. Сообщение от Stax (ok), 12-Апр-19, 13:23	+/–
Голос в вашей голове вам такое нашептывал, что ли? Наоборот, все говорили что он весьма безопасен. Скорее всего лучше непонятных протоколов типа телеграмма и уж точно намного лучше основной массы. Даже Шнайер подтверждал, что Signal безопаснее всего: https://www.schneier.com/blog/archives/2016/06/comparing_mes...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #67

48. Сообщение от Ordu (ok), 12-Апр-19, 13:24	+/–
> Хоронили тёщу, порвали два бояна. Да, точно. Их там два было. Я и забыл уже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #84

49. Сообщение от нах (?), 12-Апр-19, 13:29	+1 +/–
пааанимаешь, если бы все кроме пункта 1 выполнялось, сайтик бы ломануть не вышло - пострадала бы только тестовая платформа или промежуточные билды, или вообще сломались бы тесты и народ пополз разбираться. > короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда ) но авторы шматрикса выбрали именно херак-херак и в продашн, а не еще куда. В чем, что характерно, совершенно они и не одиноки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #88

50. Сообщение от Shevchuk (ok), 12-Апр-19, 13:34	+1 +/–
А как именно они мешают? Держат тебя всемером, не дают писать код для "нормальных децентрализованных протоколов"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #66

51. Сообщение от yoda (?), 12-Апр-19, 13:36	+/–
Их открытая переписка ушла, а шифрованная к паролю учётной записи не имеет никакого отношения, так как шифруется _ключами_ на конкретном устройстве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #57

52. Сообщение от J.L. (?), 12-Апр-19, 13:37	+/–
> пользователи токса ржут и показывают пальцем на недодецентрализованных! шифрованные приваты в токсе вообще есть? там вроде плейнтекст же? (хотя не уверен, давно гуглил) но безсерверная децентрадизация в токсе работает хорошо //оффтоп зы: чаты, мультидевайсы, оффлайнсообщения через мультидевайсы/суперноды когда будут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #69

53. Сообщение от анон (?), 12-Апр-19, 13:40	+/–
Как вообще что-то типа Дженкинса может иметь плоскость атаки через интернет? Почему все не закрыто через vpn с 2fa?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56, #77

54. Сообщение от InuYasha (?), 12-Апр-19, 13:46	+3 +/–
>>Потому что есть публичные комнаты, где шифрование не нужно. как это - не нужно?? это весьма странное утверждение. Сродни "пригласил третьего осбеседника, пригласи и товарищмажора". Я, вот, насчёт омемо не понял - оно работает для чатов или нет. Потому что мультидевайс они запилили - молодцы. А обмен ключами в чате, как я считаю, тоже дело посильное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #63, #64

55. Сообщение от InuYasha (?), 12-Апр-19, 13:47	+/–
Насколько мне известно, дыряв не сигнал, а его реализация Вацапом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

56. Сообщение от scor (ok), 12-Апр-19, 13:49	+2 +/–
<ванга_моде> Они хотели чтоб их вебхуки с гит(хаба|лаба) дергали джобы на дженкинсе, но не придумали (не пытались) как это сделать не выставляя дженкинс голым задом в интернет</ванга_моде> Ну а вообще да, тенденция современности. Казалось бы очевидные и общеизвестные грабли опять бьют по новым лбам. Будь то дженкинсы в интернетах, монги без аутентификации или тайминг-атаки в WPA3:)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #120

57. Сообщение от Ordu (ok), 12-Апр-19, 13:49	+1 +/–
То есть аккаунт потерять можно, но раскрыть переписку -- нет. Это хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

58. Сообщение от Дон Ягон (?), 12-Апр-19, 13:52	+3 +/–
А что, кто-то сомневался в этих школо-хипстерах? Заявлять о том, что печёшься о безопасности не то же самое, что правда уделять ей время. Очень забавно читать перепись недалёких фанатиков в каментах, старающихся во что бы то ни стало отмыть своих кумиров. "Эта жи дженкинс, матрикз не дуршлаг"!!1
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

59. Сообщение от Shevchuk (ok), 12-Апр-19, 14:13	+5 +/–
> Matrix обеспечивает оконечное (end-to-end) шифрование Сквозное. Сквозное шифрование. > на базе проверенного алгоритма Signal На базе собственного протокола, использующего как _один из элементов_ алгоритм Double Ratchet, являющегося в свою очередь также _частью_ протокола Signal.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73

60. Сообщение от Аноним (60), 12-Апр-19, 14:15	+1 +/–
БОЛЬШЕ Дефейсов, разных прекрасных
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

61. Сообщение от fLegmatik (ok), 12-Апр-19, 14:17	+/–
Не может существовать одной кнопки "Сделать всё безопасно". Для полноценной безопасности пользователь должен сам оценить возможные угрозы и методы защиты от них. Если бы в телеграме были _только_ зашифрованные чаты, я думаю, его аудитория была бы раз в двадцать меньше, потому что применение шифрования приводит к головным болям у пользователей. Напомню, шифрованные чаты в телеграме, во-первых, не синхронизируются между несколькими устройствами одного пользователя, во-вторых, недоступны в десктопном клиенте, в-третьих, нет шифрованных многопользовательских чатов. Т.е. начав секретный чат на одном телефоне, ты обречён вести его только с этого телефона, прям как в ватсапе -- ну и зачем такое нужно продвинутой аудитории телеграма? Разработчики матрицы решают перечисленные проблемы, присущие шифрованным чатам, как могут, но в итоге получаются либо чертовски запутанные пути и интерфейсы, либо ухудшение безопасности (хранение приватных ключей на серверах), либо потери содержимого зашифрованных переписок (иногда даже до прочтения их адресатами), либо всё вместе взятое. Именно поэтому я не пользуюсь e2ee в принципе, а переписка в моём инстансе матрицы защищена методами неуловимого Джо, а также повседневным https. В день, когда матрикс-клиенты начнут открывать e2ee по умолчанию, пожалуй, я поищу альтернативы попроще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #80, #83

63. Сообщение от fLegmatik (ok), 12-Апр-19, 14:23	+2 +/–
Публичная комната - это не комната, куда кто-то кого-то персонально приглашает, а комната "заходи на огонёк кто хочет, в т.ч. товарищи майоры". В них всем посетителям рады, никого на входе не шмонают на предмет "свой-чужой". Более того, туда через бриджы могут заходить даже пользователи, никогда не слышавшие про матрицу и, соответственно, про её шифрование.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

64. Сообщение от Аноним (64), 12-Апр-19, 14:25	–4 +/–
Ну если ты обсуждаешь такие вещи, что приходится товарища майора бояться - твоя проблема, очевидно, не в выбранном мессенджере. А вообще, ещё одно утверждение есть: "Известное одному - секрет, двоим - не секрет, троим - объявление на весь белый свет."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

65. Сообщение от Аноним (99), 12-Апр-19, 14:26	+/–
> ring Он уже не ring, а jami.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

66. Сообщение от Аноним (99), 12-Апр-19, 14:27	+4 +/–
Оттягивают пользователей агрессивной рекламой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #78

67. Сообщение от Аноним (64), 12-Апр-19, 14:29	–3 +/–
>Даже Шнайер подтверждал Ага, а мой друг Васян, допустим, не подтверждал. Факты есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #112

68. Сообщение от Аноним (99), 12-Апр-19, 14:32	+2 +/–
> FTP Да уж, надёжней некуда. /me машет табличкой "сарказм"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #79

69. Сообщение от Аноним (64), 12-Апр-19, 14:32	+/–
Дык оно же сдлохло!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #76

71. Сообщение от Аноним (99), 12-Апр-19, 14:36	+1 +/–
>> системе непрерывной интеграции Jenkins > Вот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон? При правильном подходе пихают как раз медленно и поэтапно. А смысл же в том, чтобы срочно-немедленно обнаружить, если очередной пук что-то сломал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

72. Сообщение от Аноним (64), 12-Апр-19, 14:37	–2 +/–
Никто не сомневался и в одминах локалхоста, а также их знаниях по настройке инфраструктуры крупного проекта посредством комментов на опеннете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #91

73. Сообщение от Аноним (64), 12-Апр-19, 14:38	–1 +/–
Там под новостью кнопочка "исправить" есть. Скажи, ты opensource-проектам также помогаешь, как тут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #75

74. Сообщение от Аноним (74), 12-Апр-19, 14:47	+1 +/–
Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его исправить должна начинаться с его переписывания заново
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #119

75. Сообщение от Shevchuk (ok), 12-Апр-19, 14:50	+3 +/–
А прочитавшие неверно написанный текст увидят лог изменений? Ой, нет. А комментарий увидят. А непринятые изменения будут видны в истории пулл реквестов? Ой, нет. А комментарий будет. Скажи, ты open source проектам так же помогаешь, как тут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #98

76. Сообщение от J.L. (?), 12-Апр-19, 14:51	+/–
> Дык оно же сдлохло! ну по tox сообщения и файлы ходят с андройда на линукс и винду, и обратно связь держит весьма неплохо, даже когда на той стороне на мобильнике очень плохой инет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

77. Сообщение от Мамкин ИБ иксперт (?), 12-Апр-19, 14:59	+/–
2fa недостаточно, нужно 3fa. минимум!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #106

78. Сообщение от Shevchuk (ok), 12-Апр-19, 15:02	+/–
Например?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

79. Сообщение от Andrey Mitrofanov (?), 12-Апр-19, 15:03	+/–
> /me машет табличкой "сарказм" Не, бро... Маши-не маши, а у него эта табличка и в нике, и по фейсу пропечатана.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

80. Сообщение от J.L. (?), 12-Апр-19, 15:06	+3 +/–
> шифрованные чаты в телеграме, во-первых, не синхронизируются между несколькими устройствами одного пользователя всегда интересовало почему два моих девайса не могут открыть между собой канал (теми же самыми средствами, что и с другими общаются) и поделиться друг с другом моей хисторей (ключи шифрования прилагаются УЖЕ, для указания что это мой девайс)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

81. Сообщение от Андрей (??), 12-Апр-19, 15:18	+1 +/–
Чтобы запустить стабильную версию клиента, идут на https://riot.im/app/. А чтобы узнать, пофикшен ли ваш баг 5 минут назад, надо как-то тоже иметь возможность сразу запустить экспериментальную версию, для чего и необходима автоматизированная интеграция. Тогда идут на https://riot.im/develop/.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

82. Сообщение от Crazy Alex (ok), 12-Апр-19, 15:18	+/–
Ну, теоретически, в древности именно для этого были минорные бранчи, включающие только то, что штатное поведение не меняет никак. Впрочем, админы и тогда не рвались обновляться...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #93

83. Сообщение от Crazy Alex (ok), 12-Апр-19, 15:27	+/–
Это всё от максимализма. Нет никакой проблемы генерировать мастер-ключ из пароля стандартным образом, чтобы он на всех устройствах был один и тот же. И публичный ключ получать при добавлении контакта, сделав его подтверждение по сторонним каналам опциональным. Ну да, надёжность не идеал, но выше, чем тупо гонять открытый текст. А "супер-серкретные" чаты или OMEMO оставить тем, кому оно надо. То есть не кнопка "Сделать всё безопасно", а "сделать настолько безопасно, насколько возможно без ухудшения user experience". Впрочем, это больше Токсу надо говорить, а то они совсем застряли со своим фанатизмом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #108

84. Сообщение от forum reader (?), 12-Апр-19, 15:28	–1 +/–
Выкапывай.   Будем хоронить заново.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

85. Сообщение от Crazy Alex (ok), 12-Апр-19, 15:28	+/–
В принципе да, но хотел бы я видеть человекопостижимый CI, который бы умел хоть что-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

86. Сообщение от Crazy Alex (ok), 12-Апр-19, 15:29	+/–
Может, там результаты ранов всем показать хотели? Иначе правда непонятно, зачем такое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #105

87. Сообщение от forum reader (?), 12-Апр-19, 15:30	–4 +/–
По моему опыту, мои системы которые работают по этому принципу не были взломаны ни разу. А вот системы, на которые постоянно накатываются обновления ломают.   Парадокс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #94, #107

88. Сообщение от Crazy Alex (ok), 12-Апр-19, 15:35	+/–
Сильно не факт. В смысле, никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить... Да и других сценариев может быть вагон, допустим, запихивание зловреда в текущие билды, которые кто-то из разработчиков у себя запускает, и так далее и тому подобное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #95

89. Сообщение от AnonPlus (?), 12-Апр-19, 15:40	+4 +/–
Хакер им там на гитхабе любезно вывалил кучку issues, где расписал все слабые места https://github.com/matrix-org/matrix.org/issues
Ответить | Правка | Наверх | Cообщить модератору

90. Сообщение от роопм (?), 12-Апр-19, 15:43	+/–
Какая отвественность? фри фор фан же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #99

91. Сообщение от Дон Ягон (?), 12-Апр-19, 15:47	+1 +/–
Не открывать дженкинс всем и каждому - это, конечно, большая наука, доо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

93. Сообщение от Аноним (99), 12-Апр-19, 16:20	+/–
У дженкинса есть LTS, да. Аж месяца два или три поддерживается, не помню уже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

94. Сообщение от Аноним (99), 12-Апр-19, 16:20	+2 +/–
Привет, Джо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

95. Сообщение от Аноним (99), 12-Апр-19, 16:25	+/–
> никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить... Больше того, если поломать CI и получить админский доступ — можно и создать первую джобу, если её нет, а можно просто вытащить credentials и дальше уже действовать по старинке, ручками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #100

96. Сообщение от robot228 (?), 12-Апр-19, 16:35	+/–
Так им и надо за опенсанс и светлосерый на белом. Вы только гляньте на это https://matrix.org/docs/guides/e2e_implementation.html#id29
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #102

97. Сообщение от DFX (ok), 12-Апр-19, 16:37	+1 +/–
>синхронизация истории и состояния клиентов Каких "клиентов" ? Riot, Хром без меню, и кучки "Hello World" в GUI-форме ? >поддерживает поиск и неограниченный просмотр истории переписки Так поддерживает, что by-design разработчики этих клиентов отказываются хранить любую историю локально, ага, превращая весь клиент в browser одной веб-странички. Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101

98. Сообщение от Аноним (98), 12-Апр-19, 17:33	–1 +/–
То есть тебе важнее наследить в истории, и неважно чем? Ясно-понятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #111

99. Сообщение от Аноним (99), 12-Апр-19, 18:18	+/–
Конечно же, не та, которая материальная. Та, которая по совести, в виде собственной репутации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

100. Сообщение от Crazy Alex (ok), 12-Апр-19, 18:26	+1 +/–
Ну, первую службу получится создать только если с CI на боевой сервер вообще доступ есть. Но да, там вариантов масса. CI вообще имеют свойство собирать в себя море критичной инфы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

101. Сообщение от Андрей (??), 12-Апр-19, 19:05	+/–
> разработчики этих клиентов отказываются хранить любую историю локально Это очень досадно. Мне вообще непонятно, почему нельзя рассматривать историю по UNIX-way как файл. Т.е. чтобы локально хранилась та же база, что и на сервере. > Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC А причём тут HTML к протоколу Matrix? И разве можно сравнивать IRC с обеспеченной консистенцией истории в Matrix!?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

102. Сообщение от cool29 (?), 12-Апр-19, 19:07	+/–
> Так им и надо за опенсанс и светлосерый на белом. Вы только > гляньте на это https://matrix.org/docs/guides/e2e_implementation.html#id29 Читал сегодня про нарушения зрения. Из коментариев понял что те кто много сидит в ide c ТЕМНЫМИ темами не переносят высокий контраст. Вот я и подумал что наверно им этот светлосерый шрифт кажется каким то сверхчерным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

103. Сообщение от Аноним (103), 12-Апр-19, 19:57	+1 +/–
Работает не трогай?
Ответить | Правка | Наверх | Cообщить модератору

105. Сообщение от анон (?), 13-Апр-19, 00:48	+/–
Хочешь показать, выложи демонстрационный. Нет, ребята, если разрабы позиционируют себя как защищенные и допускают такие ошибки то диагноз ясен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #113

106. Сообщение от анон (?), 13-Апр-19, 00:49	+/–
Да хоть бы 2йку бы организовали везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

107. Сообщение от Kuromi (ok), 13-Апр-19, 02:34	+/–
Да вам в Чебурнет наниматься надо срочно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

108. Сообщение от fLegmatik (ok), 13-Апр-19, 08:38	+/–
> генерировать мастер-ключ из пароля стандартным образом, Если ключ генерируется однообразно, то чем он может быть лучше самого пароля? Практического смысла в однообразной генерации нет. К тому же, если пользователь поменяет пароль, ему заново сообщать своим контактам про новый публичный ключ? > чтобы он на всех устройствах был один и тот же. Если под подозрением компроментации окажется одно устройство и мы отзываем его ключ из списка доверяемых, то автоматически теряется связь с человеком, даже если у него были другие куда более надёжные устройства? > надёжность не идеал, но выше, чем тупо гонять открытый текст Соединения в матрице шифруются минимум на уровне https, поэтому если комната приватная и нешифрованная (e2ee), её содержимое доступно не кому попало, а только участникам комнаты и админам их серверов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

109. Сообщение от Онаним (?), 13-Апр-19, 09:09	+/–
Девляпсы опять надевляпсили со своим CI? Вообще современный хайп в сторону девопс - зло. Впрочем, желаю как можно больше таких ситуаций - быстрее придёт понимание.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #114, #121

110. Сообщение от mumu (ok), 13-Апр-19, 12:49	+3 +/–
т.е. просто забить на сервер, который имеет доступ ко всем репам и не следить за выходящие для него обновления безопасности - это ружьё, которое может свалить фирму "уделяющую большое внимание безопасности"? Ой мамочки... А в следующий раз они скажут "ну ктож знал, что нужно дефолтовые пароли менять на монгу, смотрящую в интернет, это же никак не связано с (нашими) представлениями о безопаности"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

111. Сообщение от Shevchuk (ok), 13-Апр-19, 19:18	+1 +/–
То есть мне важно донести информацию. Но я не гордый, предложенной "кнопочкой" я тоже воспользовался. Видишь результат? Получается, "наследил неважно чем" пока ты, а выбранный мной изначально способ оказался эффективнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

112. Сообщение от Аноним (112), 13-Апр-19, 20:32	+/–
А факты от Васяна есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

113. Сообщение от Аноним (112), 13-Апр-19, 20:34	+/–
Если компания не прошла PCI DSS, то все заверения в безопасности чего-либо - профанация. А теперь дети, как большие эксперты в безопасности, просто обязаны заминусовать этот каммент.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

114. Сообщение от Аноним (112), 13-Апр-19, 20:38	–1 +/–
Придёт понимание чего?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

116. Сообщение от хотел спросить (?), 13-Апр-19, 23:35	+/–
а чем бы вам интеграция навредила бы в данном случае?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

117. Сообщение от хотел спросить (?), 13-Апр-19, 23:37	+/–
типа Matrix - S means Secure?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

118. Сообщение от хотел спросить (?), 13-Апр-19, 23:42	+/–
за это полагаются штрафы.. по-крайней мере в Европе или если пострадали европейские резиденты компания обязана уведомить об утечке, а еще если ругулятор посчитает, что не было предпринято никаких шагов для избежания утечки (короче халатность), то все равно могут штрафа впаять GDPR ребята ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

119. Сообщение от J.L. (?), 14-Апр-19, 13:21	+/–
> Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его > исправить должна начинаться с его переписывания заново и чего не взялись переписывать? я не про авторов, а вообще - не слышно чтот про децентрализированные чатики
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

120. Сообщение от user455 (?), 14-Апр-19, 18:14	+/–
> как это сделать не выставляя дженкинс голым задом в интернет публичные сервисы публикуют список своих подсетей обычно для добавления в белые списки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

121. Сообщение от user455 (?), 14-Апр-19, 18:20	+/–
есть какие -то альтернативы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

122. Сообщение от rshadow (ok), 15-Апр-19, 11:46	+1 +/–
Логика железная. Разработчик заболел простудой ... вся система подвержена заражению вирусом?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

123. Сообщение от Тамара (?), 17-Апр-19, 12:30	–1 +/–
Я ничего в этом не понимаю, но уже почти месяц не могу установить систему Роса. В мой компьютер всё это время - что-то закачивается. Бесконечно! Мне уже страшно. Там есть такие странные фразы, что хочется выбросить компьютер  на мусорку. А ведь он новый!
Ответить | Правка | Наверх | Cообщить модератору

124. Сообщение от Аноним (124), 10-Май-20, 11:47	+/–
>>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins > Это не сам matrix Да, они просто настолько заняты секурностью своего кода, что своевременно накатывать заплатки на инфраструктуру у них времени нет, это победа!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

125. Сообщение от Аноним (125), 10-Май-20, 11:59	+/–
> Тут любое ружье могло выстрелить. > Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая > другая новая дыра. Ключевое слово здесь "необновленный". Одно дело если инфраструктуру взламывают из-за не найденной пока уязвимости, а другое дело когда наши юные секурити-бойз прощёлкали обновления уже известной дыры, по моему это достаточно красноречиво говорит о конторе, которая позиционирует себя как разработчик безопасного софта, и на мой взгляд "это какой-то... позор?!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема