> "It's believed" как-то не очень убедительно в качестве доказательств.господи, еще один настольный лоер решил казуистикой поупражняться. не убежден ты, да и черт с тобой.
>> машины, на которые был несанкционированный доступ, в оффлайне на форенсик, ключи отозваны,
> Ну это логично хорошо и правильно.
>> остальное - business as usual.
> И что помешает повтору этой ситуации?
повторной потере ключа? ничего. впрочем, если вы в состоянии спроектировать систему, которая гарантирует невозможность угона SSH ключа у неконтролируемого юзера в неконтролируемом окружении, NSA, я думаю, будет очень заинтересована.
>> потеря ключа - это не то чтобы бином ньютона, а вполне себе тривиальная ситуация.
> Нет, извините, когда это делают разработчики - это НЕ тривиальная ситуация.
это ожидаемая и тривиальная ситуация, к которой нормальный секьюрити офисер готов заранее.
>> это все замечательно, но никакого отношения к теме не имеет, т.к. _взлома_
>> не было. был вполне штатный доступ.
> Нифига себе у некоторых понятия о "штатном доступе". Осталось еще добавить что
> хак инфраструктуры был запланировал и вообще, это учения :)
если вы в состоянии спроектировать систему, которая гарантированно определяет, когда SSH аутентификация по авторизованному ключу производится хакером, а когда легальным юзером - повторяю, свяжитесь с NSA, они с удовольствием такую систему купят.
>> алсо я больше прислушаюсь к словам коммитера, который работает вместе
>> с Уотсоном в Кембридже над реальными проектами по безопасности, чем к выступлению на опеннете.
> Академики о безопасности? Это что-то типа сферической безопасности в вакууме?
погуглите кто такой Роберт Уотсон, что он делает в проекте FreeBSD и что он делает в Кембридже, и не ставьте себя в смешное положение такими высказываниями. Мне почему-то кажется, что вы - вот лично вы - не в состоянии похвастаться и десятой частью того, что сделал лично он, но мнение уже имеете.
