forum.opennet.ru

"Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования "	+/–
Сообщение от opennews (??), 14-Сен-21, 15:31
В большинстве клиентских приложений для платформы децентрализованных коммуникаций Matrix выявлены уязвимости (CVE-2021-40823, CVE-2021-40824), позволяющие получить сведения о ключах, использованных для передачи сообщений в чатах со сквозным шифрованием (E2EE). Атакующий, скомпрометировав одного из пользователей чата, может расшифровать сообщения, ранее отправленные этому пользователю из уязвимых клиентских приложений... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55799
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования , opennews, 14-Сен-21, 15:31 [смотреть все]

Вот вам и ориентированный на безопасность продукт от смузихлёбов Занавес , Аноним, 14-Сен-21, 15:31 (1) //
- Ну про Matrix всё стало ясно ещё после этого https www opennet ru opennews art, Аноним, 14-Сен-21, 15:35 (6) //
  - Пример, который вы приводите, нерелевантен - ибо подобное условный факт компром, Аноним, 14-Сен-21, 20:04 (87)
- Вы знаете хотя бы один проект, в котором нет и никогда не было уязвимостей , anonymous, 14-Сен-21, 15:45 (8) //
  - Так ты же не путай кулинарный смузи и ментальный , Аноним, 14-Сен-21, 16:40 (41)
- Смею отметить, уязвимость обнаружил их штатный сотрудник во время внутреннего ау, Аноним, 14-Сен-21, 17:04 (57) //
  - согласен, но ведь кто-то это накодил запросы на отправку ключей обрабатывались, kissmyass, 15-Сен-21, 15:01 (144) //
    - А где вы найдете 10 педантичных профи Среди анонимов Опеннета Один - это в беск, Аноним, 15-Сен-21, 21:20 (164)
- Предложи альтернативу А её нет Так что иди проводить аудит, Аноним, 14-Сен-21, 17:52 (70) //
  - XMPP OTR, Аноним, 14-Сен-21, 19:51 (85) //
    - Да-да, просто НЕУЯЗВИМЫЙ https cve mitre org cgi-bin cvekey cgi keyword xmpp, Анонус, 14-Сен-21, 21:26 (101)
    - Уязвимости в клиентах Matrix, позволяющие раскрыть ключи скв..., Аноним, 15-Сен-21, 16:12 (151)
      - не умеет шарить ключи между доверенными устройствами, Alexander, 16-Сен-21, 11:50 (167)
        
        Ключ OTR - это файл home user purple otr private_key, его легко можно скопиров, Аноним, 16-Сен-21, 19:34 (171)
        
        Скопировать-то можно, но отправленные с других устройств сообщения видны не буду, Alexander, 17-Сен-21, 09:55 (176)
- Использование языков со сборкой мусора - уменьшает внимание и подавляет способно, Gefest, 14-Сен-21, 18:30 (76) //
  - Интересное наблюдение Что-то такое я подозревал А что скажете о языке, где упр, n00by, 14-Сен-21, 19:10 (82) //
    - Только Квисац Хадерах и Навигаторы Гильдии способны не запутасться в трехзначном, Gefest, 14-Сен-21, 19:53 (86)
      - Основная проблема Лиспа не в количестве скобочек, а в том, что Лисп обычно знают, lockywolf, 15-Сен-21, 12:10 (128)
Вот те на , Аноним, 14-Сен-21, 15:33 (2)
Matrix это просто мусор , Аноним, 14-Сен-21, 15:34 (3)
Как обычно хотели сделать удобно, а получилось как всегда , Аноним, 14-Сен-21, 15:34 (4)
Кто бы мог подумать , Впопеннетчик, 14-Сен-21, 15:35 (5) //
- А ты пишешь на языке, который фиксит логические ошибки , НяшМяш, 14-Сен-21, 15:43 (7) //
  - Но вы же обещали что без переполнения буфера нельзя ключи украсть , Аноним, 14-Сен-21, 15:54 (10) //
    - Они много чего бещали Это раст это вообще блабла технология Но зато новая Как, Аноним, 14-Сен-21, 16:10 (19)
      - Не пались так сильно, отвечая сам себе , Аноним, 14-Сен-21, 16:24 (32)
        
        10 19 , Аноним, 14-Сен-21, 18:44 (79)
        
        И даже 10 79 Но ты отмазывайся, отмазывайся , Аноним, 14-Сен-21, 20:42 (91)
        
        - сказочный молодец, Аноним, 14-Сен-21, 22:40 (108)
        Почему ты решил, что это один и тот же человек , Аноним, 15-Сен-21, 15:48 (148)
        
        Скорее всего, изначально он принял 9 за 0 При этом он не способен признавать ош, n00by, 15-Сен-21, 16:11 (150)
        
        Мимо Знатоков подвезли , Аноним, 15-Сен-21, 16:40 (156)
        
        То есть под идентификаторами Аноним 156 и Аноним - пишет один и тот же персо, n00by, 15-Сен-21, 17:41 (157)
        
        Т е ты обоср лся, подтвердив, что совершенно не знаешь механику циферок писа, Аноним, 15-Сен-21, 20:55 (161)
        Ну да, я и утверждаю -- ты изображаешь толпу Одному тебе страшно Интересно, , n00by, 16-Сен-21, 08:27 (166)
        Ну да, ты меня раскусил - я изображаю толпу отвечая в ветке исключительно от, Аноним, 16-Сен-21, 15:06 (169)
        А вот это сообщение - демка W тыканье носом Экспертуса Абсолютно тот же брауз, Аноним, 15-Сен-21, 20:58 (162)
        И да, забыл рассказать ну и третье сообщение нужно, для полноты демонстрации , , Аноним, 15-Сен-21, 21:03 (163)
    - Ссылку на обещания предоставишь Или балабол , Ordu, 14-Сен-21, 16:26 (33)
    - Нечего его минусовать Обещали Rust от всего защитит , Аноним, 14-Сен-21, 16:37 (40)
    - Кто обещал Не устану повторять, что не надо путать safety и security , anonymous, 15-Сен-21, 10:30 (119)
  - Нет, не пишет Это растоманы кричат о том как раст всех спасёт от дыр И вообще , Аноним, 14-Сен-21, 16:09 (17) //
    - Как интересно нет Как интересно нет Очередной диалог с голосами в своей голо, Аноним, 14-Сен-21, 16:17 (27)
- А вот это, надо понимать, другое static int dh_cmp_parameters const EVP_PKEY a,, Аноним, 14-Сен-21, 18:31 (77) //
  - Занятный баг, издержки копипасты Компилятор должен бы выдать предупреждение и б, n00by, 14-Сен-21, 19:30 (83) //
    - Он и выдал Прошло и прошло Я их что - читать, предупреждения эти, собирался, ч, Смузи Разработчик, 14-Сен-21, 23:14 (111)
    - запретим копипасту автодополнение в редакторах, очевидно ведь , Sw00p aka Jerom, 15-Сен-21, 11:11 (125)
Matrix-велосипед опять поломался Какая неожиданность , Аноним, 14-Сен-21, 15:55 (11)
Безопасный децентрализованный чат может быть только с шарманкой передачей морзя, Аноним, 14-Сен-21, 15:58 (12) //
- Кто минусует Зачем Не видите, человек популяризирует радиотехнику Между прочи, uis, 14-Сен-21, 16:16 (25)
- зачем морзянка припаяй дайлаповый модем к рации и прокинь впн , InuYasha, 14-Сен-21, 16:23 (30) //
  - Низзя Там есть ограничения на то, что любителю можно передовать Я не могу ошиб, Ordu, 14-Сен-21, 16:32 (37) //
    - По факту, конечно, старперы-радиолюбители там срутся не хуже Антонов опеннета, я, Аноним, 14-Сен-21, 17:03 (56)
      - 4 13 Запрещается ведение радиообмена а лицам, не имеющим квалификации за искл, Михрютка, 15-Сен-21, 15:47 (147)
        
        Помнится, когда прочитал всё это, подумалось а нахрена мне тогда радиосвязь , InuYasha, 16-Сен-21, 00:51 (165)
        
        Да вот тоже В радиолюбительства только можно о погодах и антеннах Нафига оно т, Аноним, 17-Сен-21, 21:47 (179)
    - Briar не отключат , Аноним, 14-Сен-21, 20:07 (88)
    - Да ладно, а цифровые виды связи AMTOR, PACTOR, PACKET RADIO, CLOVER, G-TOR, FIE, Аноним, 16-Сен-21, 14:29 (168)
      - Да, пушто кодировать сигнал - можно передача голоса по радио тоже кодирование, , Аноним, 17-Сен-21, 21:45 (178)
  - Не стоит забывать про RFC1149 и его расширенную версию RFC2549, uis, 14-Сен-21, 22:57 (110) //
    - И еще более расширенную RFC6214, Владимир, 15-Сен-21, 11:20 (126)
      - Не, это просто редакция для ipv6, uis, 19-Сен-21, 14:26 (180)
- КВ, хоть по СВ - так там это, прохождение, узкая полоса и всё такое Спутники SA, Аноним, 14-Сен-21, 16:33 (38)
Хахха Никогда такого ведь небыло Но кто бы сомневался , Аноним, 14-Сен-21, 16:06 (15) //
- Не было подгорания у анти-расто-клоунов опеннета Точно А, ну да - это было пла, Аноним, 14-Сен-21, 16:09 (16) //
  - Точно небыло Прикинь Это же вы поносите всех на свете а на свои ошибки быстрен, Аноним, 14-Сен-21, 16:12 (22) //
    - И подтведить свои громкие заявления ссылкой ты тоже можешь Или балабол Не нашел, Аноним, 14-Сен-21, 16:20 (29)
      - Ну если ты и искать по слову Fracta1L не умеешь прямо тут на opennet То конечно, пончик, 14-Сен-21, 16:45 (45)
        
        Т е ни ссылки, ни каких либо аргументов кроме Мы все так говорим А значит это, Аноним, 14-Сен-21, 17:00 (54)
        
        Ну это же ваша любимая фраза Сишные дырени а у вас всё секурно Не моя Жалко не, Аноним, 16-Сен-21, 20:49 (174)
        
        Мне как пользователю rust как-то казалось, что Fracta1L -- это ж просто тролль , anonymous, 15-Сен-21, 10:44 (121)
        
        s про растения про rust автозамена , anonymous, 15-Сен-21, 10:45 (122)
        s скучно он скучно от s эмоциональных неэмоциональных извиняюсь, чёртова автозам, anonymous, 15-Сен-21, 10:46 (123)
        Тебе правильно думлось Он не то чтобы на rust ни одной строчки не написал, он в, Аноним, 16-Сен-21, 20:51 (175)
        
        По такой логике - ты вообще пассивный понилюб доказательства ищи сам, прямо т, Аноним, 15-Сен-21, 14:18 (139)
Kotlin безопасный говорили одни Dart безопасный говорили другие Третьи говорил, uis, 14-Сен-21, 16:10 (20) //
- Ошибка логическая и на всех языках одинаковая Типобезопасность, работа с память, Аноним, 14-Сен-21, 16:45 (46) //
  - Абсолютно согласен, но rusтоксикозников не переубедишь Как и go-секов, любителе, uis, 14-Сен-21, 22:15 (104)
- А какие безопасные по вашему мнению , JackONeill, 14-Сен-21, 17:01 (55) //
  - С и С , если выпрямить руки и быть внимательным, идеально-сферическим разработч, Аноним, 14-Сен-21, 17:08 (59) //
    - Т е вы не согласны с тем, что при прямых руках, идеально-сферический девелопер , JackONeill, 14-Сен-21, 18:54 (80)
      - Нет, не согласен Только c ЯП с формальной верификацией с возможностью отдельной, Аноним, 14-Сен-21, 20:54 (93)
        
        Где почитать об этом подробнее Интересно , JackONeill, 14-Сен-21, 21:07 (95)
        
        Хз - тема достаточно обширная и глубокая Я бы посоветовал начать, помимо англоя, Аноним, 14-Сен-21, 21:31 (102)
        
        Благодарю, JackONeill, 14-Сен-21, 21:32 (103)
  - Более-менее безопасен канцелярит , YetAnotherOnanym, 14-Сен-21, 20:48 (92) //
    - Смотря для кого, uis, 14-Сен-21, 22:33 (107)
  - По моему - математика Хотя и это спорно в математике при делении на ноль начин, uis, 14-Сен-21, 22:31 (106)
- Нет, не напишу Боритесь с голосами в своей голове , anonymous, 15-Сен-21, 10:49 (124) //
  - Таку уже написали Глаза открой , Аноним, 16-Сен-21, 20:46 (173) //
    - Ссылочку, пожалуйста , anonymous, 17-Сен-21, 10:11 (177)
А зачем сервер когда просто хотят пообщаться двое людей Сервер это прослушка раз, Аноним, 14-Сен-21, 16:11 (21) //
- А ещё ring и briar Правда последний только для rms , uis, 14-Сен-21, 16:12 (23) //
  - Briar для RMS, ви таки шутите Он же для смартфонов , Аноним, 14-Сен-21, 16:26 (34) //
    - Напиши для ноута на mips е , uis, 14-Сен-21, 22:21 (105)
- Мне даже отвечать на это лень Гуглите недостатки P2P мемсенджеров Они нужны и , Аноним, 14-Сен-21, 16:47 (47) //
  - Ещё есть много вопросов к качеству реализаций токса и проблемах протокола, но ни, Аноним, 14-Сен-21, 16:48 (48) //
    - TOX позиционируется как замена M Skype, чтобы в GNU Linux была возможность осущ, Аноним, 15-Сен-21, 13:40 (134)
  - С этими недостатками можно жить , Аноним, 14-Сен-21, 17:28 (64) //
    - Можно, но не для всех приемлемо XMPP даёт больше удобства, но отбирает часть до, Аноним, 14-Сен-21, 17:36 (66)
      - Но большинству посещающих Opennet, на открытость и безопасность точно не плевать, Аноним, 15-Сен-21, 12:32 (131)
        
        Большинство - посещает опеннет из под вендочки и макоси А у оставшейся части - , Аноним, 15-Сен-21, 14:10 (135)
        
        Пох, узнаю тебя , Аноним, 15-Сен-21, 14:29 (140)
        
        Ну да, на опеннет заходят только ты и пох , Аноним, 15-Сен-21, 14:33 (143)
        
        И я , Аноним, 15-Сен-21, 15:50 (149)
  - Для протокола TOX есть много клиентов и разные навороты В TOX естьВидео звонки , Аноним, 15-Сен-21, 13:37 (133)
- Еще лучше, Anonimous, 14-Сен-21, 17:25 (63)
- NAT слышал, не , Аноним, 15-Сен-21, 14:31 (141)
Очередное доказательство, что старика jabber ещё рано отодвигать Он ещё не раз , Аноним, 14-Сен-21, 16:15 (24) //
- И это верно, пончик, 14-Сен-21, 16:17 (26)
- Старику бы кто подкрутил пересылку файлов и голосовое общение Тогда бы и менять, Аноним, 14-Сен-21, 16:29 (35) //
  - Пересылка файлов там была овердофига лет назад, SIP тоже давно появился, Аноним, 14-Сен-21, 16:41 (43) //
    - Было, но удобными файлы стали лишь с появлением HTTP Upload лет 5-7 назад, а зво, Аноним, 14-Сен-21, 17:48 (69)
      - HTTP Upload не секурно Если передаваемый файл содержит конфиденциальное, получа, Аноним, 15-Сен-21, 12:22 (130)
        
        Я не пользуюсь HTTP Upload без OMEMO, разве что изредка в конференциях, где файл, Аноним, 15-Сен-21, 16:20 (152)
      - Если сервер не поддерживает XEP-0215, в клиенте можно указать любой сторонний, ж, Аноним, 15-Сен-21, 13:37 (132)
        
        Dino и Conversations таких настроек не дают, а Gajim я не проверял Но б-с ним, , Аноним, 15-Сен-21, 16:22 (153)
  - Есть там всё Берите Conversations на Android или его форки Blabber im, Snikket, Аноним, 14-Сен-21, 16:57 (50) //
    - Вся суть проблем XMPP в одном сообщении Работает но только в определенных клиент, Аноним, 14-Сен-21, 17:25 (62)
      - Те, кто не в танке, на них попереходили 2-4 года назад, когда началась активная , Аноним, 14-Сен-21, 17:41 (67)
    - на мак есть Beagle, это фактически десктопный Siskin от тех же разработчиков , Аноним, 14-Сен-21, 17:42 (68)
Так любой агент может взять трубку вместо пользователя и попасть куда надо , Аноним, 14-Сен-21, 16:20 (28) //
- Чего , Аноним, 14-Сен-21, 16:58 (52) //
  - В матрице Или вы родились в нулевых , Аноним, 14-Сен-21, 19:31 (84) //
    - Ах, речь про ту Матрицу - , Аноним, 15-Сен-21, 16:23 (154)
matrix-rust-sdk - Rust от уязвимости не спас Кашмар-кашмар , Аноним, 14-Сен-21, 16:23 (31) //
- Сейчас тебе накидают, что во всем виноваты интелы с амде и их кривые процессоры,, Аноним, 14-Сен-21, 16:31 (36)
Пора переходить на Jami Там, как минимум, такой лажи ещё не случалось А Matrix , Аноним, 14-Сен-21, 16:44 (44) //
- См комментарий 47 , Аноним, 14-Сен-21, 16:59 (53)
- Да ладно Лично писал баг, когда можно включая микрофон и камеру перустановить се, evk, 14-Сен-21, 19:01 (81) //
  - тише не пали бэкдоры Мы их внедряли с трудом а ты так палишь, не порядок то, Аноним, 14-Сен-21, 21:23 (100)
- На Ring Ну или таки Jami Мне первое больше ноавится , uis, 14-Сен-21, 22:43 (109) //
  - Jami ранее назывался GNU Ring , Аноним, 14-Сен-21, 23:17 (113) //
    - Ваш Кэп А ещё SFLphone В этом и состоит шутка , uis, 15-Сен-21, 08:17 (116)
- Федеративная, децентрализованная - про эти наслышаны А дистрибутивная это как , Аноним, 15-Сен-21, 14:11 (136) //
  - Видимо, имелось в виду распределённая , в смысле ранвости всех узлов , Аноним, 15-Сен-21, 16:25 (155)
  - Распределённая, да Я просто забыл правильный перевод слова distributed на русс, Аноним, 15-Сен-21, 17:51 (158)
Это точно не бэкдор , Аноним, 14-Сен-21, 21:00 (94) //
- Нет, заверяю вас Всегда с заботой о вас, тащ майор , Аноним, 15-Сен-21, 14:14 (137)
В KDE-клиенте Neochat тоже , Аноним, 14-Сен-21, 21:11 (97)
XMPP топ, Хан, 15-Сен-21, 05:11 (114)
надо добавить в компилятор раст проверку на unsafe алгоритмы и iq тесты, тогда р, Аноним, 15-Сен-21, 09:31 (117) //
- Это тогда надо Machine Learning в него добавить , Аноним, 15-Сен-21, 14:17 (138)
логическая ошибка с нарушением реализации протокола, нет, сейчас хейтеры будут р, Аноним, 15-Сен-21, 10:32 (120) //
- Тогда куда утекает память , uis, 15-Сен-21, 12:15 (129) //
  - Остальные дыры ещё не нашли , Аноним, 15-Сен-21, 19:04 (160)
Жириновский уже ржал , Ананоним, 15-Сен-21, 14:32 (142)
2 недостатка в логе модерирования - Нет описаний, по каким причинам происходит у, ммнюмнюмус, 15-Сен-21, 18:22 (159)
Наша сеть анонимная и безопасная, говорили они Хочешь сделать хорошо -- сделай с, Брат Анон, 19-Сен-21, 20:30 (181)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру