The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования

14.09.2021 14:59

В большинстве клиентских приложений для платформы децентрализованных коммуникаций Matrix выявлены уязвимости (CVE-2021-40823, CVE-2021-40824), позволяющие получить сведения о ключах, использованных для передачи сообщений в чатах со сквозным шифрованием (E2EE). Атакующий, скомпрометировав одного из пользователей чата, может расшифровать сообщения, ранее отправленные этому пользователю из уязвимых клиентских приложений.

Для успешной эксплуатации требуется наличие доступа к учётной записи получателя сообщений. Доступ может быть получен как через утечку параметров учётной записи, так и через взлом Matrix-сервера, через который подключается пользователь. Наибольшую опасность уязвимости представляют для пользователей шифрованных чат-комнат, к которым подключены Matrix-серверы, подконтрольные злоумышленникам. Администраторы подобных серверов могут попытаться выдать себя за пользователей сервера для перехвата сообщений отправляемых в чат с уязвимых клиентских приложений.

Уязвимости вызваны логическим ошибками в реализациях механизма предоставления повторного доступа к ключам, предложенных в matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824), matrix-rust-sdk < 0.4.0, FamedlySDK < 0.5.0 и Nheko ≤ 0.8.2. Реализации на базе библиотек matrix-ios-sdk, matrix-nio и libolm уязвимостям не подвержены.

Соответственно, уязвимости проявляются во всех приложениях, заимствовавших проблемный код, и не касаются непосредственно протоколов Matrix и Olm/Megolm. В частности, проблема затрагивает основной Matrix-клиент Element (бывший Riot) для Web, настольных систем и Android, а также сторонние клиентские приложения и библиотеки, включая FluffyChat, Nheko, Cinny и SchildiChat. Проблема не проявляется в официальном клиенте для платформы iOS, а также в приложениях Chatty, Hydrogen, mautrix, purple-matrix и Syphon.

Уязвимости были выявлены в ходе аудита безопасности клиента Element. Исправления в настоящее время уже выпущены для всех проблемных клиентов. Пользователям рекомендуется срочно установить обновления, а до установки обновления перевести клиенты в режим offline. Свидетельства об эксплуатации уязвимости до публикации исправления отсутствуют. По штатным логам клиента и сервера определить факт атаки невозможно, но так как для атаки требуется компрометация учётной записи администраторы могут проанализировать наличие подозрительных входов по логам аутентификации на своих серверах, а пользователи оценить список привязанных к своей учётной записи устройств на предмет недавних переподключений и смены статуса доверия.

Механизм повторного доступа к ключам (key sharing), в реализации которого были найдены уязвимости, позволяет клиенту, у которого нет ключей для расшифровки сообщения, запросить ключи у устройства отправителя или других своих устройств. Например, подобная возможность необходима для обеспечения расшифровки старых сообщений на новом устройстве пользователя или в случае потери пользователем имевшихся ключей. Спецификация протокола предписывает по умолчанию не отвечать на запросы ключей и отправлять их автоматически только верифицированным устройствам того же пользователя. К сожалению, в практических реализациях данное требование не было обеспечено и запросы на отправку ключей обрабатывались без должной идентификации устройства.

  1. Главная ссылка к новости (https://matrix.org/blog/2021/0...)
  2. OpenNews: Представлен метод атаки на групповой чат WhatsApp и Signal
  3. OpenNews: Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта
  4. OpenNews: Выпуск децентрализованной коммуникационной платформы Matrix 1.0
  5. OpenNews: Gitter переходит в экосистему Matrix и объединяется с Matrix-клиентом Element
  6. OpenNews: Google Play заблокировал Matrix-клиент Element (приложение восстановлено)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55799-matrix
Ключевые слова: matrix
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (151) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:31, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Вот вам и "ориентированный на безопасность" продукт от смузихлёбов. Занавес.
     
     
  • 2.6, Аноним (6), 15:35, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ну про Matrix всё стало ясно ещё после этого https://www.opennet.ru/opennews/art.shtml?num=50502
     
     
  • 3.87, Аноним (-), 20:04, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пример, который вы приводите, нерелевантен - ибо подобное условный факт компром... большой текст свёрнут, показать
     
  • 2.8, anonymous (??), 15:45, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +24 +/
    Вы знаете хотя бы один проект, в котором нет и никогда не было уязвимостей?
     
     
  • 3.41, Аноним (41), 16:40, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Не можете купить блендер для готовки что ли?

    Так ты же не путай кулинарный смузи и ментальный.

     
  • 2.57, Аноним (57), 17:04, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Смею отметить, уязвимость обнаружил их штатный сотрудник во время внутреннего аудита. То есть у них есть человек на зарплате, который за этим следит, постепенно проходясь по всей кодовой базе, и может даже не один. За это им плюсик в карму.
     
     
  • 3.144, kissmyass (?), 15:01, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    согласен, но ведь кто-то это накодил: "запросы на отправку ключей обрабатывались без должной идентификации устройства", и это реально смузихлебский подход

    1 педантичный профи на десяток смузиебов - это так себе расклад

     
     
  • 4.164, Аноним (164), 21:20, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А где вы найдете 10 педантичных профи? Среди анонимов Опеннета?

    Один - это в бесконечность раз больше, чем обычно (ноль).

     
  • 2.70, Аноним (70), 17:52, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Предложи альтернативу. А её нет. Так что иди проводить аудит
     
     
  • 3.85, Аноним (85), 19:51, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    XMPP + OTR
     
     
  • 4.101, Анонус (?), 21:26, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, просто НЕУЯЗВИМЫЙ!
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=xmpp
     
  • 4.151, Аноним (151), 16:12, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 2021
    > OTR
     
     
  • 5.167, Alexander (ok), 11:50, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не умеет шарить ключи между доверенными устройствами
     
     
  • 6.171, Аноним (171), 19:34, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ключ OTR - это файл /home/user/.purple/otr.private_key, его легко можно скопировать на доверенное устройство.
     
     
  • 7.176, Alexander (ok), 09:55, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ключ OTR - это файл /home/user/.purple/otr.private_key, его легко можно скопировать на
    > доверенное устройство.

    Скопировать-то можно, но отправленные с других устройств сообщения видны не будут (т.к. они шифруются публичным ключом получателя). Т.е. видны будут только входящие сообщения и те, что отправлены с этого устройства.

     
  • 2.76, Gefest (?), 18:30, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Использование языков со сборкой мусора - уменьшает внимание и подавляет способности писать код с нормальной цикломатической сложностью.
     
     
  • 3.82, n00by (ok), 19:10, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Интересное наблюдение. Что-то такое я подозревал. А что скажете о языке, где управление памятью не требуется, а из управляющих конструкций только вызов функций и pattern-matching? Или о LISP?
     
     
  • 4.86, Gefest (?), 19:53, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Или о LISP?

    Только Квисац Хадерах и Навигаторы Гильдии способны не запутасться в трехзначном числе скобочек ж))))
    Мы об императивном программировании говорили, в функциональном и логическом критерии несколько другие.

     
     
  • 5.128, lockywolf (ok), 12:10, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Основная проблема Лиспа не в количестве скобочек, а в том, что Лисп обычно знают хорошие программисты, которые не любят писать велосипеды. (Кроме интерпретатор Лиспа, конечно.)
     

  • 1.2, Аноним (2), 15:33, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот те на...
     
  • 1.3, Аноним (3), 15:34, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Matrix это просто мусор.
     
  • 1.4, Аноним (4), 15:34, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Как обычно... хотели сделать удобно, а получилось как всегда.
     
  • 1.5, Впопеннетчик (?), 15:35, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Уязвимости matrix-rust-sdk < 0.4.0

    Кто бы мог подумать!

     
     
  • 2.7, НяшМяш (ok), 15:43, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А ты пишешь на языке, который фиксит логические ошибки?
     
     
  • 3.10, Аноним (10), 15:54, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Но вы же обещали что без переполнения буфера нельзя ключи украсть...
     
     
  • 4.19, Аноним (19), 16:10, 14/09/2021 Скрыто модератором
  • –4 +/
     
     
  • 5.32, Аноним (-), 16:24, 14/09/2021 Скрыто модератором
  • +3 +/
     
     
  • 6.79, Аноним (79), 18:44, 14/09/2021 Скрыто модератором
  • –2 +/
     
     
  • 7.91, Аноним (-), 20:42, 14/09/2021 Скрыто модератором
  • +/
     
     
  • 8.108, Аноним (108), 22:40, 14/09/2021 Скрыто модератором
  • –3 +/
     
  • 8.148, Аноним (85), 15:48, 15/09/2021 Скрыто модератором
  • +/
     
     
  • 9.150, n00by (ok), 16:11, 15/09/2021 Скрыто модератором
  • +/
     
     
  • 10.156, Аноним (156), 16:40, 15/09/2021 Скрыто модератором
  • +/
     
     
  • 11.157, n00by (ok), 17:41, 15/09/2021 Скрыто модератором
  • –1 +/
     
     
  • 12.161, Аноним (156), 20:55, 15/09/2021 Скрыто модератором
  • +/
     
     
  • 13.166, n00by (ok), 08:27, 16/09/2021 Скрыто модератором
  • –1 +/
     
     
  • 14.169, Аноним (-), 15:06, 16/09/2021 Скрыто модератором
  • +/
     
  • 12.162, Аноним (162), 20:58, 15/09/2021 Скрыто модератором
  • +/
     
     
  • 13.163, Аноним (-), 21:03, 15/09/2021 Скрыто модератором
  • +/
     
  • 4.33, Ordu (ok), 16:26, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ссылку на обещания предоставишь? Или балабол?
     
  • 4.40, Аноним (41), 16:37, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Нечего его минусовать. Обещали: Rust от всего защитит!
     
  • 4.119, anonymous (??), 10:30, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кто обещал? Не устану повторять, что не надо путать safety и security.
     
  • 3.17, Аноним (19), 16:09, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Нет, не пишет. Это растоманы кричат о том как раст всех спасёт от дыр. И вообще не важно что и как, главное раст всех уже победил.

    Это не мои слова. Это слова фанатов раста. Но когда у них получается экскримент они обычно моментально об этом забывают и начинают плакать что у всех бывает.

    При этом с радостью поносят когда допускают ошибки в других языках. Ну так такое и к ним отношение Чему удивлятся?

     
     
  • 4.27, Аноним (-), 16:17, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Это воображаемые анонимами растоманы кричат о том как раст всех спасёт
    > от дыр. И вообще не важно что и как, главное раст всех уже победил.

    Как интересно (нет)!


    > Это не мои слова. Это слова фанатов раста. Из розетки. Я точно слышал!

    Как интересно (нет)!

    > При этом с радостью поносят когда допускают ошибки в других языках. Ну
    > так такое и к ним отношение Чему удивлятся?

    Очередной диалог с голосами в своей голове, очередного анонимно-опеннетного Борцуна с Растоманами ...


     
  • 2.77, Аноним (77), 18:31, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вот это, надо понимать, другое?

    static int dh_cmp_parameters(const EVP_PKEY *a, const EVP_PKEY *b)
    {
      return
        ossl_ffc_params_cmp(&a->pkey.dh->params, &a->pkey.dh->params,
                            a->ameth != &ossl_dhx_asn1_meth);
    }


    https://hownot2code.com/2021/09/09/everybody-makes-mistakes-when-writing-compa

     
     
  • 3.83, n00by (ok), 19:30, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот это, надо понимать, другое?
    > static int dh_cmp_parameters(const EVP_PKEY *a, const EVP_PKEY *b)
    > {
    >   return
    >     ossl_ffc_params_cmp(&a->pkey.dh->params, &a->pkey.dh->params,
    >            
    >            
    >  a->ameth != &ossl_dhx_asn1_meth);
    > }

    Занятный баг, издержки копипасты. Компилятор должен бы выдать предупреждение и без статического анализатора. Интересно, почему оно прошло?


     
     
  • 4.111, Смузи Разработчик (?), 23:14, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он и выдал. Прошло и прошло. Я их что - читать, предупреждения эти, собирался, что-ли?

    Код же ж скомпилировался? Значит нормальный.

     
  • 4.125, Sw00p aka Jerom (?), 11:11, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Занятный баг, издержки копипасты.

    запретим копипасту (автодополнение) в редакторах, очевидно ведь :)

     

     ....большая нить свёрнута, показать (25)

  • 1.11, Аноним (11), 15:55, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Matrix-велосипед опять поломался. Какая неожиданность.
     
  • 1.12, Аноним (12), 15:58, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Безопасный децентрализованный чат может быть только с шарманкой: передачей морзянки, да хоть по КВ, хоть по СВ. Так что читайте схемы, паяйте разное.  
     
     
  • 2.25, uis (ok), 16:16, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто минусует? Зачем? Не видите, человек популяризирует радиотехнику? Между прочим, раньше были тысячи радиокружков. Нынче все эти люди уехали из Этой страны.
    Раньше opensource были радиоприёмники. Даже вентиляторы, даже компы(ЭВМ).
     
  • 2.30, InuYasha (??), 16:23, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    зачем морзянка? припаяй дайлаповый модем к рации и прокинь впн.
     
     
  • 3.37, Ordu (ok), 16:32, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Низзя. Там есть ограничения на то, что любителю можно передовать. Я не могу ошибаться, ибо не интересовался особо, но, насколько я знаю, сигнал должен передаваться в чистом виде, чтобы кто угодно мог бы послушать. Кодировать сигнал -- это залёт. Кроме того, есть у меня подозрение, что содержание сообщения -- это тоже предмет контроля, и попытки обсудить сиськи Люськи с друганом с другого конца города могут кончится не лучшим образом.

    Поищи про любительскую радиопередачу, или что-нибудь типа того. Эти правила должны быть в паблике где-нибудь.

     
     
  • 4.56, Аноним (56), 17:03, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    По факту, конечно, старперы-радиолюбители там срутся не хуже Антонов опеннета, я как-то включил SDR послушать радиолюбителей - там прям а-оя оппеннет "дискуссия" шла. Но вообще да, по правилам там ничего такого низя, если надо - радиопередатчик отберут. В СССр рейдили и отбирали во всю, радиохулиганы были прям ууух
     
     
  • 5.147, Михрютка (ok), 15:47, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    4 13 Запрещается ведение радиообмена а лицам, не имеющим квалификации за иск... большой текст свёрнут, показать
     
     
  • 6.165, InuYasha (??), 00:51, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Помнится, когда прочитал всё это, подумалось "а нахрена мне тогда радиосвязь?". И в итоге - забил.
    Самая смехуечка - что wi-fi и та же СПС - это шифрованное радио. Но не "любительское". В общем, и в связном законодательстве сидят голубые люди, как и (почти) везде. :(
     
     
  • 7.179, Аноним (179), 21:47, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да вот тоже. В радиолюбительства только можно о погодах и антеннах. Нафига оно такое. Открытки собирать? Ну раньше да, без интернета-то клёво было, получить открытку о радиосвязи с Европой, а тем паче США там какими. Но нынче...

    Там из почетного разве что радиолюбители, которые радиомаяки или какие-то системы для служб спасения и поддержки дальних экспедиций, но до этого там надо ещё дорасти

     
  • 4.88, Аноним (85), 20:07, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Briar не отключат.
     
  • 4.168, Аноним (41), 14:29, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Кодировать сигнал -- это залёт.

    Да ладно, а цифровые виды связи: AMTOR, PACTOR, PACKET RADIO, CLOVER, G-TOR, FIELD HELL, PSK10, PSK31, PSK63, PSK125, MFSK16, CMK63, WSPR, ROSMF1, Olivia 16/500, HELLSCHREIBER, MT-63, JT9, JT65А ?

     
     
  • 5.178, Аноним (179), 21:45, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, пушто кодировать сигнал - можно (передача голоса по радио тоже кодирование, просто аналоговое), а вот ШИФРОВАТЬ - то залёт
     
  • 3.110, uis (ok), 22:57, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не стоит забывать про RFC1149 и его расширенную версию RFC2549
     
     
  • 4.126, Владимир (??), 11:20, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И еще более расширенную RFC6214
     
  • 2.38, Аноним (41), 16:33, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    КВ, хоть по СВ - так там это, прохождение, узкая полоса и всё такое. Спутники SATCOM - во.
     

  • 1.15, Аноним (19), 16:06, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > matrix-rust-sdk

    Хахха. Никогда такого ведь небыло. Но кто бы сомневался.

     
     
  • 2.16, Аноним (-), 16:09, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> matrix-rust-sdk
    > Хахха. Никогда такого ведь небыло. Но кто бы сомневался.

    Не было подгорания у анти-расто-клоунов опеннета? Точно?
    А, ну да - это было пламя праведной ярости ...

     
     
  • 3.22, Аноним (19), 16:12, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Точно небыло. Прикинь. Это же вы поносите всех на свете а на свои ошибки быстренько закрываете глаза. Чему теперь удивлятся что к вам такое отношение?

    Вон фракталу и ему подобным карликам спасибо и скажи.

    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - на закуску, не обляпайся.

     
     
  • 4.29, Аноним (-), 16:20, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Точно небыло. Прикинь. Это же вы поносите всех на свете а на свои ошибки быстренько закрываете глаза. Чему теперь удивлятся что к вам такое отношение?

    И подтведить свои громкие заявления ссылкой ты тоже можешь? Или балабол?

    > Вон фракталу и ему подобным карликам спасибо и скажи.
    > https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - на закуску, не обляпайся.

    Не нашел ничего по теме "не было подгорания у анти-расто-клоунов опеннета". Походу, ты обляпался.


     
     
  • 5.45, пончик (?), 16:45, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну если ты и искать по слову Fracta1L не умеешь прямо тут на opennet. То конечно, тебе дорока только всякие опаскрипты ну и балаболить про раст.
     
     
  • 6.54, Аноним (-), 17:00, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну если ты и искать по слову Fracta1L не умеешь прямо тут

    Т.е. ни ссылки, ни каких либо аргументов кроме "Мы все так говорим! А значит это правда!" не будет, будет лишь невнятное балабольство и перевод стрелок. Яснопонятно.

    Этот "Защитнег" сдулся, давайте нового!

     
     
  • 7.174, Аноним (174), 20:49, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это же ваша любимая фраза. Сишные дырени а у вас всё секурно. Не моя.

    Жалко не работает ничерта.
    Хотя нет, не жалко.

     
  • 6.121, anonymous (??), 10:44, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне как пользователю rust как-то казалось, что Fracta1L -- это ж просто тролль (не уверен, что он вообще хоть строчку написал на rust), которому нравится разжигать срачеки. Он действительно умудрился сформировать ваше мировоззрение? Плачевно, если так.

    Вообще я каждый раз вижу одну и ту же схему: тролль пишет про растения, растохейтеры начинают бороться с ветряными мельницами, кормя этого тролля. Тот, довольный, идёт в следующую новость за новым кормом.

    Просто перестаньте агриться, и научитесь общаться как взрослый человек. Троллю скучно он профессиональных эмоциональных бесед.

     
     
  • 7.122, anonymous (??), 10:45, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    s/про растения/про rust/ (автозамена)
     
  • 7.123, anonymous (??), 10:46, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    s/скучно он/скучно от/
    s/эмоциональных/неэмоциональных/

    извиняюсь, чёртова автозамена

     
  • 7.175, Аноним (174), 20:51, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе правильно думлось. Он не то чтобы на rust ни одной строчки не написал, он вообще ни одной строчки не написал. Он сам об этом открыто говорил. Уитата: "Я же недибил программистом быть".
     
  • 6.139, Аноним (-), 14:18, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это же вы поносите всех на свете
    > Ну если ты и искать по слову Fracta1L

    По такой "логике" - ты вообще пассивный понилюб (доказательства ищи сам, прямо тут на опеннет по слову iPony).

     

  • 1.20, uis (ok), 16:10, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Kotlin безопасный говорили одни. Dart безопасный говорили другие. Третьи говорили, что javascript и typescript безопасны. Прочие сидели на жабе и её тоже считали безопасной.
    Растоманы обязательно напишут, что это всё из-за "небезопасной" работы с памятью(в js, ага). Ну и во всём виноваты сишечка и компьютерные игры.
    Upd: я и не заметил, что на расте таки есть. Реактивненько дrustанули.
     
     
  • 2.46, Аноним (57), 16:45, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ошибка логическая и на всех языках одинаковая. Типобезопасность, работа с памятью и буферами к не отношения не имеет.
     
     
  • 3.104, uis (ok), 22:15, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Ошибка логическая и на всех языках одинаковая.

    Абсолютно согласен, но rusтоксикозников не переубедишь. Как и go-секов, любителей пощекотать js и ширяющихся кошлином.
    Их проблема, что они считают язык источниклм всех их бед, и если они будут писать на $mainstreamlanguage, то ни одна ошибка не прокрадётся в код.

     
  • 2.55, JackONeill (?), 17:01, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А какие безопасные по вашему мнению?
     
     
  • 3.59, Аноним (-), 17:08, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А какие безопасные по вашему мнению?

    С и С++, если выпрямить руки и быть внимательным, идеально-сферическим разработчиком!
    А еще все диалекты ЦУдРвКО (Ценные Указания для Разработчиков в Комментариях Опеннет) - там ни разу еще эксплуатируемю в реальности уязвимость не находили!

     
     
  • 4.80, JackONeill (?), 18:54, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Т.е. вы не согласны с тем, что при прямых руках, идеально-сферический девелопер способен написать безопасный код на том же kotlin, java, rust и даже JS?
     
     
  • 5.93, Аноним (-), 20:54, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Т.е. вы не согласны с тем, что при прямых руках, идеально-сферический девелопер
    > способен написать безопасный код на том же kotlin, java, rust и даже JS?

    Нет, не согласен.

    Только c ЯП с формальной верификацией (с возможностью отдельной нотации общей "модели" программы и данных a la B-Methode) будет шанс. Но кто оплатит этот "банкет"?

     
     
  • 6.95, JackONeill (?), 21:07, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Где почитать об этом подробнее? Интересно.
     
     
  • 7.102, Аноним (-), 21:31, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Где почитать об этом подробнее? Интересно.

    Хз - тема достаточно обширная и глубокая. Я бы посоветовал начать, помимо англоязычной википедии, с вводных ВУЗовских лекций на тему "формальная верификация".

    А так - "классика" Agda/Coq/Idris/(AterlierB в качестве продолжателя Method-B)
    Еще есть F* (f-star)
    http://www.fstar-lang.org/tutorial/
    и low-star
    https://fstarlang.github.io/lowstar/html/Core.html
    плюс kreMLin https://github.com/FStarLang/kremlin

    Из "новых-маргинальных" можно глянуть кока https://koka-lang.github.io/koka/doc/book.html?#sec-basics или dafny https://rise4fun.com/Dafny/tutorial/Termination (Dafny, имхо, хорош простотой и доступностью для тех, кто "вообще не в теме")  
    Ну и сам rise4fun полистать - там много интересного.

     
     
  • 8.103, JackONeill (?), 21:32, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарю... текст свёрнут, показать
     
  • 3.92, YetAnotherOnanym (ok), 20:48, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более-менее безопасен канцелярит.
     
     
  • 4.107, uis (ok), 22:33, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Смотря для кого
     
  • 3.106, uis (ok), 22:31, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А какие безопасные по вашему мнению?

    По моему - математика. Хотя и это спорно: в математике при делении на ноль начинается бесконейчный цирк с конями неопределённости.
    Выше накидали интересных ссылок.

     
  • 2.124, anonymous (??), 10:49, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Растоманы обязательно напишут, что это всё из-за "небезопасной" работы с памятью(в js, ага).

    Нет, не напишу. Боритесь с голосами в своей голове?

     
     
  • 3.173, Аноним (174), 20:46, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Таку уже написали. Глаза открой.
     
     
  • 4.177, anonymous (??), 10:11, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ссылочку, пожалуйста.
     

  • 1.21, Аноним (21), 16:11, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А зачем сервер когда просто хотят пообщаться двое людей?

    Сервер это прослушка разговора и самое слабое место.

    Пользуйтесь https://tox.chat

     
     
  • 2.23, uis (ok), 16:12, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ещё ring и briar.
    Правда последний только для rms.
     
     
  • 3.34, Аноним (41), 16:26, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Briar для RMS, ви таки шутите? Он же для смартфонов.
     
     
  • 4.105, uis (ok), 22:21, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Он же для смартфонов.

    Напиши для ноута на mips'е.

     
  • 2.47, Аноним (57), 16:47, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне даже отвечать на это лень. Гуглите недостатки P2P мемсенджеров. Они нужны и полезны,и в некоторых ситуациях незаменимы (Briar на уличных протестах, например), но они не замена для не-P2P. У них разное предназначения, разная ЦА, разная ниша.
     
     
  • 3.48, Аноним (57), 16:48, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё есть много вопросов к качеству реализаций токса и проблемах протокола, но ни один мессенджер не идеален и в матрице есть другие проблемы, так что это лучше вынести за скобки.
     
     
  • 4.134, Аноним (134), 13:40, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    TOX позиционируется как замена M$ Skype, чтобы в GNU/Linux была возможность осуществить видео звонок.

    Остальные возможности это дополнительные фичи.

     
  • 3.64, Аноним (11), 17:28, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Гуглите недостатки P2P мемсенджеров.

    С этими недостатками можно жить.

     
     
  • 4.66, Аноним (57), 17:36, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, но не для всех приемлемо. XMPP даёт больше удобства, но отбирает часть достоинств P2P, Matrix даёт ещё больше, отбирая часть достоинств XMPP, и так далее. Не всем комфортно P2P, не всем комфорно XMPP, не всем удобна матрица, а большинству нужен уровень удобства условной телеги и плевать на открытость, безопасность и централизацию.
     
     
  • 5.131, Аноним (41), 12:32, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но большинству посещающих Opennet, на открытость и безопасность точно не плевать.
     
     
  • 6.135, Аноним (-), 14:10, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Но большинству посещающих Opennet, на открытость и безопасность точно не плевать.

    Большинство - посещает опеннет из под вендочки и макоси.
    А у оставшейся части - "открытость" зачастую просто синоним "затобешлатнождемёбилдов!".

     
     
  • 7.140, Аноним (41), 14:29, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пох, узнаю тебя.
     
     
  • 8.143, Аноним (-), 14:33, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, на опеннет заходят только ты и пох ... текст свёрнут, показать
     
     
  • 9.149, Аноним (85), 15:50, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И я ... текст свёрнут, показать
     
  • 3.133, Аноним (134), 13:37, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для протокола TOX есть много клиентов и разные навороты.

    В TOX есть

    Видео звонки (групповых видео звонков пока кажись нет)
    Аудио звонки
    Текстовый чат
    Обмен файлами
    Показ экрана
    Возможность создать группы
    TOX DNS для поиска контактов
    TOX может работать по верху TOR


    В TOX нет

    Тех с кем не знаете общаться
    Серверов
    Спамеров
    Цензуры
    Прослушки

     
  • 2.63, Anonimous (?), 17:25, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Пользуйтесь https://tox.chat

    Еще лучше

     
  • 2.141, Аноним (141), 14:31, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    NAT слышал, не?
     

  • 1.24, Аноним (24), 16:15, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Очередное доказательство, что старика jabber ещё рано отодвигать. Он ещё не раз сумеет всем своим молодым конкурентам скрутить фигу в кармане.
     
     
  • 2.26, пончик (?), 16:17, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И это верно
     
  • 2.35, Аноним (41), 16:29, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Старику бы кто подкрутил пересылку файлов и голосовое общение. Тогда бы и менять не нужно.
     
     
  • 3.43, Аноним (43), 16:41, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пересылка файлов там была овердофига лет назад, SIP тоже давно появился
     
     
  • 4.69, Аноним (57), 17:48, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Было, но удобными файлы стали лишь с появлением HTTP Upload лет 5-7 назад, а звонки – полтора года назад, когда их чуть добавили в Conversations и следом за ним в другие клиенты. Они базируются на наработках старых звонков, но обратно не совместимы с ними (на Pidgin или Psi+ нельзя позвонить), но делают это лучше благодаря отсутствию необходимости делать какие-либо настройки на клиенте (этим занимается сервер, поэтому он должен быть свежим), и именно это требование (XEP-0215) сделало их наконец адекватно юзабельными. Нажал одну кнопку и оно просто звонит, как в любом другом мессенжере. Жаль, конечно, что старые клиенты остались за бортом, но на самом деле поддержку XEP-0215 на клиенте очень легко сделать, и раз её где-то до сих пор нет, то значит клиент в стагнации.
     
     
  • 5.130, Аноним (41), 12:22, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    HTTP Upload не секурно. Если передаваемый файл содержит конфиденциальное, получается, что его нужно предварительно зашифровать.
     
     
  • 6.152, Аноним (151), 16:20, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не пользуюсь HTTP Upload без OMEMO, разве что изредка в конференциях, где файл и так публичен.
     
  • 5.132, Аноним (41), 13:37, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >и именно это требование (XEP-0215) сделало их наконец адекватно юзабельными

    Если сервер не поддерживает XEP-0215, в клиенте можно указать любой сторонний, живой сервер STUN. Я правильно понимаю? Или таки со стороны сервера XMPP что-то тоже обязательно требуется?

     
     
  • 6.153, Аноним (151), 16:22, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Dino и Conversations таких настроек не дают, а Gajim я не проверял. Но б-с ним, со STUN'ом, там TURN важнее, без которого нельзя звонить если у обоих участников непробиваемый NAT.
     
  • 3.50, Аноним (57), 16:57, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Есть там всё Берите Conversations на Android или его форки Blabber im, Snikket... большой текст свёрнут, показать
     
     
  • 4.62, Аноним (62), 17:25, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вся суть проблем XMPP в одном сообщении.
    Работает но только в определенных клиентах, с определенными серверами, по четным числам и на полшишечки.
     
     
  • 5.67, Аноним (57), 17:41, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Те, кто не в танке, на них попереходили 2-4 года назад, когда началась активная модернизация жаббера. А синапс уже работает без 32 гиг рамки? Сервер XMPP можно поднять даже на старой малинке, а клиенты лёгкие и без электрона (ну хорошо хоть Nheko под матрицу есть, раньше вообще был только электрон или веб).
     
  • 4.68, Аноним (57), 17:42, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    + на мак есть Beagle, это фактически десктопный Siskin от тех же разработчиков.
     

  • 1.28, Аноним (28), 16:20, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так любой агент может взять трубку вместо пользователя и попасть куда надо.
     
     
  • 2.52, Аноним (57), 16:58, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чего?
     
     
  • 3.84, Аноним (28), 19:31, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В матрице. Или вы родились в нулевых?
     
     
  • 4.154, Аноним (151), 16:23, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ах, речь про ту Матрицу... :-)
     

  • 1.31, Аноним (41), 16:23, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    matrix-rust-sdk - Rust от уязвимости не спас. Кашмар-кашмар!
     
     
  • 2.36, Аноним (24), 16:31, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >matrix-rust-sdk - Rust от уязвимости не спас. Кашмар-кашмар!

    Сейчас тебе накидают, что во всем виноваты интелы с амде и их кривые процессоры, а божественная расточка невинна.

     

  • 1.44, Аноним (11), 16:44, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пора переходить на Jami.
    Там, как минимум, такой лажи ещё не случалось. А Matrix ломают уже не впервые.

    И децентрализация в Jami лучше - не федеративная сеть, а дистрибутивная.

     
     
  • 2.53, Аноним (57), 16:59, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    См. комментарий #47.
     
  • 2.81, evk (??), 19:01, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно!
    Лично писал баг, когда можно включая микрофон и камеру перустановить сессию с удаленным клиентом и у него тоже включатся камера и микрофон.
    Супер вещь, почти идеально для прослушки, жаль не нашел бага как автоматически звонок принять.
     
     
  • 3.100, Аноним (100), 21:23, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    тише.. не пали бэкдоры! Мы их внедряли с трудом.. а ты так палишь, не порядок товарищ.. не порядок...
     
  • 2.109, uis (ok), 22:43, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Пора переходить на Jami.

    На Ring. Ну или таки Jami. Мне первое больше ноавится.

     
     
  • 3.113, Аноним (171), 23:17, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Jami ранее назывался GNU Ring.
     
     
  • 4.116, uis (ok), 08:17, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Jami ранее назывался GNU Ring.

    Ваш Кэп. А ещё SFLphone. В этом и состоит шутка.

     
  • 2.136, Аноним (41), 14:11, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >не федеративная сеть, а дистрибутивная

    Федеративная, децентрализованная - про эти наслышаны. А дистрибутивная это как?

     
     
  • 3.155, Аноним (151), 16:25, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, имелось в виду "распределённая", в смысле ранвости всех узлов.
     
  • 3.158, Аноним (11), 17:51, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А дистрибутивная это как?

    Распределённая, да.
    Я просто забыл правильный перевод слова 'distributed' на русский.

     

  • 1.94, Аноним (100), 21:00, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > К сожалению, в практических реализациях данное требование не было обеспечено и запросы на отправку ключей обрабатывались без должной идентификации устройства.

    Это точно не бэкдор ?

     
     
  • 2.137, Аноним (41), 14:14, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, заверяю вас! Всегда с заботой о вас, тащ. майор.
     

  • 1.97, Аноним (-), 21:11, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Уязвимости в клиентах Matrix

    В KDE-клиенте Neochat тоже?

     
  • 1.114, Хан (?), 05:11, 15/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    XMPP топ
     
  • 1.117, Аноним (-), 09:31, 15/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    надо добавить в компилятор раст проверку на unsafe алгоритмы и iq тесты, тогда раст перестанет быть дырявым инструментом
     
     
  • 2.138, Аноним (41), 14:17, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это тогда надо Machine Learning в него добавить.
     

  • 1.120, Аноним (120), 10:32, 15/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    логическая ошибка с нарушением реализации протокола, нет, сейчас хейтеры будут рассказывать про unsafe и не безопасный rust.
    Безопасность раста заключается в закрывании дыр с памятью, как недавняя в V8 https://www.opennet.ru/opennews/art.shtml?num=55800
     
     
  • 2.129, uis (ok), 12:15, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда куда утекает память?
     
     
  • 3.160, Аноним (160), 19:04, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Остальные дыры ещё не нашли.
     

  • 1.142, Ананоним (?), 14:32, 15/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жириновский уже ржал?
     
  • 1.159, ммнюмнюмус (?), 18:22, 15/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2 недостатка в логе модерирования:

    - Нет описаний, по каким причинам происходит удаление.
    В идеале каждый пункт лога должен содержать ссылку на точное однозначное объяснение.

    - Некоторые пункты не содержат маску нарушения.
    Пусть не исходный regexp, но хоть что-то должно быть.

    Возможно нужны боты для отката пунктов модерирования, не соответствующих этим правилам (с пустыми сообщениями, бессмысленными коментариями в т.ч. со словами не из словаря и т.д.).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру