Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раздел полезных советов: Используем BitMessage через IMAP/SMTP, auto_tips (?), 02-Дек-20, (0) [смотреть все] Супер , Ataka (?), 11:35 , 02-Дек-20, (1) // Супер будет когда без дыркеров , валяйте (?), 17:44 , 14-Мрт-21, (59) // а в чем проблема поглядеть как оно внутри докера стартует и перенести в свое окр, Аноним123 (?), 16:20 , 23-Мрт-21, (60) // 1 Там очень прикольный p2p клиентик, даже про tor в курсе и вообще дает полный, Аноним (64), 10:14 , 03-Апр-21, (64) https github com yshurik notbit или его оригинал https github com bpeel notb, Аноним (-), 09:53 , 03-Апр-21, (63) Если в этой ссылке буковки en заменить на буковки ru, то увидим, что статья об э, rvs2016 (ok), 11:39 , 02-Дек-20, (2) // Слева в колонки, в самом низу можно выбирать языки на википедии если что, Анонимим (?), 17:23 , 04-Дек-20, (15) +1 // Вот никогда бы не заметил, КО (?), 07:04 , 13-Дек-20, (36) // Не на то внимание фокусирует, вы бы сделали фокус на то как статьи могут разнить, Вися (?), 06:28 , 08-Фев-21, (55) Ну вообще это всей википедии свойственно Например по историческим вопросам , Вован (??), 02:41 , 12-Фев-21, (56) Ну наконец-то Автора pybitmessage много раз просили чтобы можно было просто рабо, Hideen Coin (?), 13:37 , 02-Дек-20, (3) Кстати Не точно по теме, но рядом с ней Как Thunderbird а научить запоминать те, rvs2016 (ok), 17:42 , 02-Дек-20, (4) // Дух Контрол СиВи негодует, Hum (?), 21:51 , 02-Дек-20, (5) Его лучше вообще не использовать, там eval на входных данных в коде попадался , Аноним (-), 08:02 , 03-Дек-20, (6) // Пардон, гусары, то только про pybitmessage верно , Аноним (-), 08:06 , 03-Дек-20, (7) –1 // Точно, это вам не пыхтон pybitmessage а клиент notbit на C, Hum (?), 10:40 , 03-Дек-20, (8) // Действительно Докер настроил на традиционное нубское УГ А поди ж ты - там куда, Аноним (-), 14:05 , 03-Дек-20, (11) Нет, это про любой вредный могущественным организациям софт верно И на Си софт , Аноним (21), 20:57 , 05-Дек-20, (21)   // Не соглашусь Питон отличный язык, но он как супер инструмент типа песочницы Толь, Hideen Coin (?), 00:22 , 06-Дек-20, (22)   В программе на си был бы не евал Туда бы запрятали уязвимость в работе с память, Аноним (21), 16:23 , 06-Дек-20, (23)   Ее первый же запуск под asan ubsan или valgrind спалит, статический анализ тоже , Аноним (25), 19:01 , 08-Дек-20, (25)   Не спалит ASAN и UBSAN палят только реально осуществлённое неопределённое повед, Аноним (27), 00:30 , 10-Дек-20, (27)   Поэтому еще fuzzing есть Питонисты до таких вещей обычно вообще не добираются Я, Аноним (-), 19:00 , 10-Дек-20, (29)   Предлагаю подумать, выполнит ли твой фаззинг и найдёт ли символьное выполнение у, Аноним (32), 00:55 , 11-Дек-20, (32)   Это скорее живой человек найдет При том в сабже быстро, там полтора файла, все , Аноним (-), 15:28 , 13-Янв-21, (41)   Лично я предпочту понимать код в этой мелкой и аккуратной штуке на си Потому чт, Аноним (25), 18:53 , 08-Дек-20, (24)   - это не про си Никакого За качественный аудит качественными глазами вообще при, Аноним (27), 00:55 , 10-Дек-20, (28)   Как-то получилось что у сишников тот код мелкий, аккуратный, понятный более мене, Аноним (-), 19:04 , 10-Дек-20, (30)   После слов Устанавливаем Docker дальше читать не стал , vantoo (ok), 12:53 , 03-Дек-20, (9) // Редкий случай довольно осмысленного использования, кст Оно поднимает окружение,, Аноним (-), 14:03 , 03-Дек-20, (10) // Сделал docker save, весь dockerimage всего 20МБ Тоже , Аноним (12), 15:30 , 03-Дек-20, (12) // Я забил на докер, он поди больше остального весит Но идею упер А вот ковырять , Аноним (-), 01:21 , 04-Дек-20, (13) Этот репозитарий мой https github com yshurik notbit Автор bpeel очень не с, yshurik (??), 11:20 , 04-Дек-20, (14) Я нашел https github com yshurik notbit в докерфайле По счастью это более-мен, Аноним (18), 04:18 , 05-Дек-20, (18) очень круто придумано - распределенная почта , да еще совместимая с обычными кл, Аноним (-), 06:53 , 05-Дек-20, (19) На самом деле, если нужна именно система обмена сообщений с использованием в сти, Аноним (12), 17:26 , 05-Дек-20, (20) мне кажется или Delta Chat делает тоже самоеhttps delta chat, xc (?), 18:50 , 04-Дек-20, (16) // Вас жесточайше глючит Сабж мелкая штука на си установка dovecot для imap Испо, Аноним (17), 04:00 , 05-Дек-20, (17) Наоборот DeltaChat -- это привычный современным юзерам мобобильников чатик по и, другой аноним (?), 21:28 , 04-Фев-21, (51) // Во всяком случае, в этом транспорте никто не может снести сервер или заблочить , Аноним (53), 01:27 , 05-Фев-21, (53) Хорошая мыль оформить это в некий проект почтового сервера- потому что такой обм, Аноним (26), 14:26 , 09-Дек-20, (26) // А зачем Они готовый почтовый сервак взяли Или реюз кода для слабаков Есть уве, Аноним (-), 15:32 , 13-Янв-21, (42) Худший подход к безопасности, какой можно придумать Здорово хранить все сообщ, Аноним (31), 23:54 , 10-Дек-20, (31) // Нет там цепочки блоков, это новость неправильно отредактировали BitMessage это с, yshurik (??), 12:54 , 11-Дек-20, (33) // Это оно у тебя удалится А у вон тех экземпляров с патченым клиентом и логгером , Аноним (-), 15:36 , 13-Янв-21, (43) лучшее из того что есть не подделаешь отправителя, не подделаешь получателя, не , anonnnnnononon (?), 16:20 , 11-Дек-20, (34) // Я делал проверку notbit с PVS Studio Проверка показала очень хорошее качество к, Аноним (35), 19:35 , 11-Дек-20, (35) // Нашла ли бы PVS-Studio heartbleed , Аноним (38), 10:12 , 23-Дек-20, (38) Возможно Однако с качеством и размером кода openssl вы заколебетесь сортировать, Аноним (-), 15:39 , 13-Янв-21, (44) Идея отлична, вот это понимаю теперь будет у меня почта распределённая и зашифро, Hum (?), 21:18 , 16-Дек-20, (37) // Ты продвигаешь этот фейк или реально веришь что тебе бесплатно и без смс запилят, Аноним (-), 04:37 , 01-Фев-21, (49) // Это таки не фэйк, просто запакетировано по дурацки, в доскер Но клиентик сам по, Аноним (-), 09:46 , 03-Апр-21, (62) Пытался запустить и получил ошибку You have reached your pull rate limit You , Аноним (39), 10:17 , 03-Янв-21, (39) // Да docker hub теперь хамит и рекетирствует Приивязывает сколько кто напулил к I, yshurik (??), 15:10 , 08-Янв-21, (40) // Фирмачи приветы хипстерам передавали P А вы думали что хайп и халявка это навс, Аноним (-), 15:42 , 13-Янв-21, (46) Блин, ты не можешь 2 команды сам запустить без б-дского докера в отдельной вирту, Аноним (-), 15:41 , 13-Янв-21, (45) С быкдором все уже выяснили, это троян Автор нотбита сам пишет что I am not a c, Аноним (-), 01:46 , 31-Янв-21, (47) // Короче, если есть заинтересованные и любопытствующие шагайте в сад те кто ощущ, Аноним (-), 01:50 , 31-Янв-21, (48) // Ну я сделал это работать без всяких дыркеров в отдельной мелкой vm И чего , Аноним (-), 07:50 , 14-Апр-21, (65) Как это понимать , Аноним (50), 06:24 , 01-Фев-21, (50) // Это понимать так протокол не подразумевает доверия между системами принимающими, Аноним (53), 01:23 , 05-Фев-21, (52) Эта помоина я имею в виду Docker затребовала доступ к iptables К iptables, Ка, Аноним (-), 21:21 , 16-Фев-21, (57) // Кроме тибя никто ни рискнул запустить это , Аноним (-), 19:55 , 04-Мрт-21, (58) // Я доскер не запускал, нафиг мне этот хипстерский шит Но идея зачетная - я сд, Аноним (-), 09:35 , 03-Апр-21, (61) FYI, при использовании сабжа, как минимум90 151 X X 16145 239 X X 16 рекомендует, Аноним (-), 03:15 , 10-Май-21, (66) makemake all-recursivemake 1 Entering directory home demo Downloads notbit, anon3453234353435 (?), 23:48 , 07-Июл-21, (67) от yshurik не компилится, ошибку выше запостил а оригинальный от bpeel сначала , anon3453234353435 (?), 23:51 , 07-Июл-21, (68) 1,2,3,4,6,9,16,26,31,37,39,47,50,57,66,67,68

Сообщения

[Сортировка по времени | RSS]

	21. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (21), 05-Дек-20, 20:57
	Нет, это про любой вредный могущественным организациям софт верно. И на Си софт горазде труднее в понимании, чем на питоне. Логика такая - если на простом и memory-safe питоне софт не смогли уберечь от явных бэкдоров, более того, бэкдор обнаружили только когда всех отымели, это значит нет не то что "тысячи глаз", а даже четырёх глаз нет. Для кода на Си количество глаз смело делите на 100. Не используйте любой софт, для которого нет хотя-бы пары внимательных добронамеренных глаз. Софт он есть софт, если пропустили eval в софте на питоне, то пропустят и system и exec в софте на си, даже если нет очень неочевидных бэкдоров в работе с памятью, которые в питоней версии исключены как класс.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	22. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Hideen Coin (?), 06-Дек-20, 00:22
	Не соглашусь. Питон отличный язык, но он как супер инструмент типа песочницы. Только начальник отвернулся а в песочнице вы уже построили замок. Потому питон отличен чтобы проверять концепции и делать драфт реализации. Но как только надо создавать реальный продукт надо срочно менять язык/платформу на C, Rust, C++, Go или что там. Вас попросят добавить подвал в замке в песочнице а у вас рухнут две башни, добавите башню рухнет еще что-то. Потому зря автор делал из pybitmessage реальный продукт, он отвернулся и eval() пролез как в песочнице.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (21), 06-Дек-20, 16:23
	В программе на си был бы не евал. Туда бы запрятали уязвимость в работе с памятью, которую вы бы вообще хрен нашли. В питоне бэкдор обнаружили постфактум так быстро именно потому, что во первых её и не прятали, во-вторых питон memory safe и высокоуровен, программа делает только то, что в неё заложено, для исполнения произвольного кода тебе придётся либо изначально написать виртуальную машину на питоне, либо заюзать eval или exec, либо заюзать хак типа сохранения кода в файл и его импорта, что опять палево, либо делегировать это уязвимому или забэкдоренному модулю, либо заюзать subprocess. Больше способов нет,  поверхность атаки контролируется. Перечисленные способы палятся banditом, но pybitmessage, такой вот сюрприз, не проверялся banditом, когда в нём был этот бэкдор. Почему-то я не удивлён. В отличие от C, где поверхность атаки - каждая функция, статический анализатор встроенный в язык прощает явно некорректный код, который заведомо приведёт к поврежбению стека и кучи, а традиция программирования - говнокод, в котором нет желающих копаться. В отличие от C++, где поверхность атаки чуть лучше контролируется, но всё равно не контролируется, а стиль программирования уже энтерпрайзный с чётко разделёнными модулями о областями видимости. В отличие от раст, который memory-safe, но сообщество которого совсем поехало и превратило пакетный менеджер в npm, при этом в добавок язык-отстой, писать на котором в стиле нормального ооп невозможно: автоделегирование до сих пор не завезли; соответственно малое сообщество. Суммирую - для такого софта питон - один из наилучших выборов. Второй отн. норм выбор - джава. Если бы софт был строго для винды - то C#. В любом случае - Haxe, который транслируется во всё вышеперечисленное, а то что на нём почти никто не пишет, с лихвой компенсируется тем, что он генерирует человекочитаемый код, понятный разрабам на python, java, C#.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (25), 08-Дек-20, 19:01
	> в работе с памятью, которую вы бы вообще хрен нашли. Ее первый же запуск под asan/ubsan или valgrind спалит, статический анализ тоже не отменяли. А вот в pybitmessage такой код что там даже и не понятно, специально это или автор в своем амплуа был. > В питоне бэкдор обнаружили постфактум так быстро Оперативность соответствовала кодеру и юзерам - всего несколько лет втюхивали это скрипткидисам, потом кто-то наконец почитал код и охренел. Я этот крап снес посмотрев 1 раз сорец и офигев. > тебе придётся либо изначально написать виртуальную машину на питоне, Зачем такие сложности, когда eval() готовый есть... > Суммирую - для такого софта питон - один из наилучших выборов. Оно и видно, выбор скрипткиди с бэкдорами.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (27), 10-Дек-20, 00:30
	>Ее первый же запуск под asan/ubsan или valgrind спалит Не спалит. ASAN и UBSAN палят только реально осуществлённое неопределённое поведение. А не гипотетически осуществлённое при неизвестных обстоятельствах. >статический анализ тоже не отменяли. Program Verification Solutions, залогиньтесь. Для статического анализа вам понадобится символическое выполнение. Которое невозможно, я надеюсь, почти всегда. Иначе мы живём в алгоритмике (https://www.semanticscholar.org/paper/A-personal-view-of-ave... и на всей криптографии вообще поставлен крест. >А вот в pybitmessage такой код что там даже и не понятно, специально это или автор в своем амплуа был. Дилемма решается очень просто - презумпцией виновности. >Я этот крап снес посмотрев 1 раз сорец и офигев. Неужто весь исходник прочитал? >Зачем такие сложности, когда eval() готовый есть... ... который ловится хоть грепом, хоть бандитом.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (-), 10-Дек-20, 19:00
	Поэтому еще fuzzing есть. Питонисты до таких вещей обычно вообще не добираются. > Program Verification Solutions, залогиньтесь. Я cppcheck и smatch предпочитаю, так что им с этого ничего не достанется, увы. > Дилемма решается очень просто - презумпцией виновности. Тогда питонисты вредители и саботажники. Жуткий код работающий только в идеальных условиях в каждом первом питонпроекте практически. > Неужто весь исходник прочитал? 1 файла хватило.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (32), 11-Дек-20, 00:55
	>Поэтому еще fuzzing есть. Предлагаю подумать, выполнит ли твой фаззинг и найдёт ли символьное выполнение условия для выполнения ветви if(RSA_VERIFY(publicKey, blobFromNet)){activateBackdoor();} ? >Тогда питонисты вредители и саботажники. Жуткий код работающий только в идеальных условиях в каждом первом питонпроекте практически. У вас предубеждение. > 1 файла хватило. Да вам бы и одного расширения имени файла хватило бы.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (-), 13-Янв-21, 15:28
	> Предлагаю подумать, выполнит ли твой фаззинг и найдёт ли символьное выполнение условия > для выполнения ветви if(RSA_VERIFY(publicKey, blobFromNet)){activateBackdoor();} ? Это скорее живой человек найдет. При том в сабже быстро, там полтора файла, все компактно и по делу. В отличие от адского питономесива в оригинале, которое вообще открывать то в редакторе жутко, оно шевелится. Так что eval() он мог влепить и не со зла, а потому что так ему быстрей наобезьянить было. А о том что хакеры могут слать не то что задумано, или там ошибки какие и проч бывают - высокоуровневые, объектно ориентированные предпочитают не думать, это рушит их стройную картину мира. А потом реальный мир вносит свои коррективы - и, конечно, это разваливается при любом отклонении от идеала. Вон например "сикюрный" чатбот на пихоне. Всего-то так навскидку пара мелких проблем, бесконечная рекурсия позволяющая его зобанивать at will и умение вести переписку самого с собой в infinite loop, спамя себя и сеть. Чего-то на такое доисторический "несекурный" eggdrop и то не покупался. И это то что за 10 минут тыкания палочкой нашлось! Ах, еще жесткий write amplification когда на 1 команду спамит полчаса. И либо забанивается за спам, либо тупит как черт знает что, если раз в 5 минут команду слать. > У вас предубеждение. Что ж поделать если я ни разу не видел на питоне качественной, маленькой, аккуратной программы, готовой к неожиданностям? Обычно это либо нубаская наколенщина, либо летающие макаронные монстры, а самый эпик когда одно превращается в другое. Как питоносабж. >> 1 файла хватило. > Да вам бы и одного расширения имени файла хватило бы. Как угодно - вы в своем праве копаться в гавнокоде оригинала, если вам это проще.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (25), 08-Дек-20, 18:53
	> Нет, это про любой вредный могущественным организациям софт верно. И на Си > софт горазде труднее в понимании, чем на питоне. Лично я предпочту понимать код в этой мелкой и аккуратной штуке на си. Потому что "простой" в понимании код pybitmessage энтузиазма не вызвал. > Для кода на Си количество глаз смело делите на 100. Какой смысл от глаз типа вас? Кроме количества есть еще качество. > Не используйте любой софт, для которого нет хотя-бы пары внимательных добронамеренных глаз. В этом софте точно были глаза - это форк софта от другого человека, патченый. > Софт он есть софт, если пропустили eval в софте на питоне, Там весь код такой что не поймешь, злой умысел это или у автора просто грибочки сегодня очень забористые попались. Вам наслаждаться этой питоногадостью никто не запрещает.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	28. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (27), 10-Дек-20, 00:55
	>мелкой и аккуратной - это не про си. >Какой смысл от глаз типа вас? Кроме количества есть еще качество. Никакого. За качественный аудит качественными глазами вообще принято платить. Нет оплаты - нет аудита. >Там весь код такой что не поймешь, злой умысел это или у автора просто грибочки сегодня очень забористые попались. Вам наслаждаться этой питоногадостью никто не запрещает. Помнишь, за что Столмана из FSF выгнали? За то что он высказался, что малолетние шлюхи сами виноваты, что они шлюхи, что всем с детства вдалбливают, что быть шлюхой - это плохо, и не хрен из себя целку строить после того, как поработал шлюхой. Но на Западе простртуция легализована и участники индустрии платят налоги, а раз представители профессии врагами государства не объявлены и платят налоги - значит автоматически ничего плохого нет, уважаемое ремесло. Напр. владельцы ЧВК ведь уважаемые люди, а не уголовники, по тюрьмам сидящие за организацию ОПГ. И у секс-работников подгорело, что против их отрасли высказываются. Навязывание стереотипов детям о принижении человеческого достоинства секс-работников! Вот тут примерно так же. Использовал eval, через него взломали - не хрен из себя целку строить, везде написано во всех руководствах "eval не использовать", раз не последовал рекомендации - значит бэкдорщик. Правда похоже вставка бэкдоров скоро, если не уже, тоже станет уважаемой профессией.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Используем BitMessage через IMAP/SMTP"	+/–
	Сообщение от Аноним (-), 10-Дек-20, 19:04
	> - это не про си. Как-то получилось что у сишников тот код мелкий, аккуратный, понятный более менее, в отличие от крупнооптового ужаса в pybitmessage. Самое издевательское что у сишников кода раз в 10 меньше. Один из самых лаконичных p2p. > Никакого. За качественный аудит качественными глазами вообще принято платить. Нет оплаты - нет аудита. Платить за аудит наколенных макетов на питоне - это не ко мне. > Вот тут примерно так же. Использовал eval, через него взломали - не > хрен из себя целку строить, везде написано во всех руководствах "eval > не использовать", раз не последовал рекомендации - значит бэкдорщик. Правда похоже > вставка бэкдоров скоро, если не уже, тоже станет уважаемой профессией. Может и бэкдорщик. Но там весь код довольно наркоманский.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема