The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критические уязвимости, компрометирующие сквозное шифрование во многих Matrix-клиентах

29.09.2022 13:53

Разработчики платформы децентрализованных коммуникаций Matrix предупредили о выявлении критических уязвимостей в библиотеках matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, позволяющих администраторам серверов выдавать себя за других пользователей и читать сообщения в чатах со сквозным шифрованием (E2EE). Уязвимости вызваны ошибками в отдельных реализациях протокола Matrix и не являются проблемами самого протокола. В настоящее время, проектом выпущены обновления проблемных SDK и части построенных на их основе клиентских приложений.

Для успешного совершения атаки требуется обращение к подконтрольному атакующим домашнему серверу (homeserver - сервер для хранения истории и учётных записей клиентов). Применение сквозного шифрования на стороне клиента не позволяет администратору сервера вклиниваться в обмен сообщениями, но выявленные уязвимости дают возможность обойти данную защиту. Проблемы затрагивают основной Matrix-клиент Element (бывший Riot) для Web, настольных систем, iOS и Android, а также сторонние клиентские приложения, включая Cinny, Beeper, SchildiChat, Circuli и Synod.im. Уязвимости не проявляются в библиотеках matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go и matrix-nio, а также в приложениях Hydrogen, ElementX, Nheko, FluffyChat, Syphon, Timmy, Gomuks и Pantalaimon.

Выделяются три основных сценария проведения атаки:

  • Администратор Matrix-сервера может нарушить работу верификации на основе emoji (SAS, Short Authentication Strings) при использовании перекрёстных подписей и выдать себя за другого пользователя. Проблема вызвана уявзимостью (CVE-2022-39250) в коде matrix-js-sdk, связанной со смешиванием обработки идентификаторов устройств и ключей перекрестной подписи.
  • Контролирующий работу сервера атакующий может подделать отправителя, заслуживающего доверие, и передать фиктивный ключ для перехвата сообщений от других пользователей. Проблема вызвана уязвимостью в matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255) и matrix-android-sdk2 (CVE-2022-39248), из-за которой клиент некорректно принимал адресованные устройствам сообщения, зашифрованные с использованием протокола Megolm вместо Olm, приписывая сообщения отправителю Megolm, а не фактическому отправителю.
  • Эксплуатируя упомянутые в предыдущем пункте уязвимости, администратор сервера также может добавить фиктивный запасной ключ в пользовательскую учётную запись для извлечения ключей, используемых для шифрования сообщений.

Выявившие уязвимость исследователи также продемонстрировали атаки, приводящие к добавлению стороннего пользователя в чат или прикреплению чужого устройства к пользователю. Атаки основаны на том, что служебные сообщения, используемые для добавления пользователей в чат, не привязываются к ключам создателя чата и могут быть сгенерированы администратором сервера. Разработчики из проекта Matrix отнесли данные уязвимости к категории незначительных, так как подобные манипуляции не останутся незаметными - в случае подстановки пользователя он отобразится в списке пользователей чата, а при добавлении устройства будет выведено предупреждение, а устройство будет помечено как непроверенное (при этом сразу после добавления подставному устройству начнут передаваться общие ключи, необходимые для расшифровки сообщений).

  1. Главная ссылка к новости (https://matrix.org/blog/2022/0...)
  2. OpenNews: Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования
  3. OpenNews: Matrix-клиент Riot сменил название на Element
  4. OpenNews: Выпуск децентрализованной коммуникационной платформы Matrix 1.0
  5. OpenNews: Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта
  6. OpenNews: Взлом инфраструктуры matrix.org
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57844-matrix
Ключевые слова: matrix
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (118) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:09, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Matrix. An open network for secure, decentralized communication.
     
     
  • 2.17, КО (?), 14:49, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Копроприложение". То же самое, но вы об этом не знаете.
     
     
  • 3.122, Аноним (122), 23:16, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > "Копроприложение". То же самое, но вы об этом не знаете.

    И про распределенность врут, по факту большая часть юзеров висит на серваке элементсов и у 1 компании нездоровый контроль над протоколом, да и сам протокол явно переусложнен и это отливается.

     
  • 2.22, Аноним (22), 15:08, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +11 +/
    "S" in Matrix stands for "Security".
     
     
  • 3.40, Зануда (?), 16:36, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так теоретически x можно разкрыть как ks.
     
     
  • 4.51, Аноним (51), 18:00, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >ks

    kyber sesurity?


    А по сабжу - пофиксили и не скрыли, хорошо
    Найдите такие репорты для той же телеги.

     
     
  • 5.76, капитансексот Дуров (?), 00:13, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А зачем их там искать? Мы не шифруемся.

    Тем более в групповых чятиках.

     
  • 4.70, trolleybus (?), 21:11, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Security through obscurity - не видно, что в букве "x" есть "s".
    P.S. Если уж придираться, то в данном случае это скорее не ks, а cs. Буква "c" появляется во множественном числе - matrices.
     

  • 1.2, Аноним (2), 14:15, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    IRC должно быть достаточно для каждого.
     
     
  • 2.3, Аноним (3), 14:23, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Пользоваться мессенджерами 40 летней давности это слишком смузихлёбно и контрпродуктивно.
     
     
  • 3.5, Аноним (5), 14:25, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно если в них практически никого не осталось, как и самих серверов, а чтобы этот изначально дырявый труп хоть как-то шевелился и последних полтора юзверя не умерло в депрессии от гордого одиночества нужно обмазать его бажными дырявыми гейтами
     
     
  • 4.10, Аноним (3), 14:31, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, я с год назад активно использовал для скачивания вареза и дампов аниме с платных сервисов.
     
     
  • 5.15, ryoken (ok), 14:46, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Точно IRC, а не NNTP?
     
     
  • 6.18, Аноним (3), 14:49, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Точно IRC, а не NNTP?

    Не, XDCC.

     
  • 5.75, a_kusb (ok), 00:03, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Так-то irc - живое, а не историческое.
     
     
  • 6.119, Аноним (-), 23:06, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Так-то irc - живое, а не историческое.

    В Libera более 50 000 мощных опенсорсных кодеров. Кто причину пользоваться этим хотел? Хорошая причина.

     
  • 4.34, Аноним (34), 15:58, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    20+ лет пользуюсь IRC, и все 20 лет слышу как в нём никого не осталось, только 3½ анонима на двух серверах молчат. В основном от тех, кто туда один раз зашёл, ничего не понял и бросил.
     
     
  • 5.120, Аноним (-), 23:09, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 20+ лет пользуюсь IRC, и все 20 лет слышу как в нём
    > никого не осталось, только 3½ анонима на двух серверах молчат. В
    > основном от тех, кто туда один раз зашёл, ничего не понял
    > и бросил.

    - Эй анон, зачем ты юзаешь IRC? Есть же ICQ.
    - Эй анон, зачем ты юзаешь IRC? Есть же yahoo, MSN и AOL.
    - Эй анон, зачем ты юзаешь IRC? Есть же skype!
    - Эй анон, зачем ты юзаешь IRC? Есть же ватсапп!
    - Эй анон, зачем ты юзаешь IRC? Есть Телеграм!
    - Эй анон, зачем ты юзаешь IRC? Есть Matrix!
    - Эй анон, зачем ты юзаешь IRC? <- вы сейчас тут

     
     
  • 6.125, Kuromi (ok), 00:22, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Jabber где-то пропустили. Там тоже вполне себе есть MUC, правда крупные чатики быстро становятся неподьемными тз-за оверхеда.
     
     
  • 7.133, Аноним (-), 22:30, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Jabber где-то пропустили. Там тоже вполне себе есть MUC, правда крупные чатики
    > быстро становятся неподьемными тз-за оверхеда.

    А еще IRC сильно устойчивее к флуду и тому подобным недружественным воздействиям. Там сообщения лимитированы по размеру и на 1 юзера держат весьма умеренный буфер с дисконектом если он заполнен. Так что сильно и быстро нагадить в групчат 1 юзер не может.

    А в жабере с флудконтролем так же как со всем остальным - по сути никак. И сорвать чат в хлам может 1 несчастный бот, настолько что модераторы даже отвиснуть не могут чтобы его забанить, о том что за секунду валится 50 экранов текста даже упоминать не стоит - чего вы ожидали от 1 сообщения весом в 100 кило?

     
     
  • 8.138, pofigist (?), 08:32, 03/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    510 байт хватит всем, она На счёт устойчивости irc к недружественным действия... текст свёрнут, показать
     
  • 5.134, pofigist (?), 23:44, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Короче, а где сейчас живёт #fidorus? Давно не сpался по взрослому...
     
  • 3.6, Аноним (6), 14:25, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Попытка перефорса не удалась. Смузи -- это новые недотехнологии.
     
     
  • 4.7, Аноним (3), 14:30, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Нет, смузи -- это про любителей смузи. Вот у IRC ЦА -- это сплошные смузилюбы, найти разумную причину этим пользоваться сегодня невозможно.
     
     
  • 5.84, Аноним (84), 07:26, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Аноним(3) ну что ты пристал к людям?

    Вот я всё настроил, все команды выучил, все гейты IRC-Зоопарк_Протоколов настроил, всякие боты-автоответчики написал, в систему встроил. У меня всё работает, всё настроено так, как мне нужно, и при этом всего 70 мегабайт занимает, тогда как один только Дискорд мегабайт 300 весит.

    Ходи-общайся через то, что тебе удобно, но людям не мешай.

     
  • 5.118, Аноним (-), 23:04, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    IRC интересен тем что простой и понятный, минимум допущений Скажем придя в libe... большой текст свёрнут, показать
     
  • 2.12, Аоним (?), 14:36, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В этих ваших IRC нет возможности просмотра истории, только не нужно мне сейчас затирать про баунсеры, я значю что это такое. Ну его нафиг сервер держать для общения.
     
     
  • 3.74, AlexYeCu_not_logged (?), 23:21, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >В этих ваших IRC нет возможности просмотра истории,

    Вот как раз с историей всё в полном порядке: хранится единственным верным образом, на хардах участников.

     
  • 3.121, Аноним (-), 23:13, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > В этих ваших IRC нет возможности просмотра истории, только не нужно мне
    > сейчас затирать про баунсеры, я значю что это такое. Ну его
    > нафиг сервер держать для общения.

    Зато видя там 20 персон можно ожидать что это либо 20 реальных живых людей, которые ответят вот прямо "сейчас", либо половина это фрики которые установили баунсеры и проч - но в этом случае ожидаение их ответа того стоило. Хотя-бы потому что они пруфнули определенные скиллы делом, как минимум это тела способные поставить сервер/нарулить сервис и это даже не веб и они даже не будут уповать на корпорации (а irccloud надежно хайлайтит ламаков).

     
  • 2.52, Аноним (52), 18:23, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Должно быть, но как мы видим в реальности недостаточно последние лет эдак 20.
     
  • 2.100, анон (?), 13:29, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ирки до сих пор живы, и приносят намного больше пользы, ток они не для ламеров.
     

  • 1.4, Аноним (5), 14:23, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Реализация затянутая в Thunderbird тоже уязвима?
     
     
  • 2.21, Аноним (21), 15:01, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да. https://mastodon.online/@thunderbird/109081275076409201
     
     
  • 3.29, Аноним (29), 15:42, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –8 +/
    ты б ещё на вконтакте ссылку скинул
     

  • 1.8, Аноним (8), 14:30, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    XMPP forever
     
     
  • 2.25, Аноним (25), 15:18, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    https://f-droid.org/packages/eu.siacs.conversations/
    https://gajim.org/
    https://packages.debian.org/sid/ejabberd
    Все, что нужно знать про приватные месенжеры.
     
     
  • 3.35, Аноним (34), 16:03, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > https://f-droid.org/packages/eu.siacs.conversations/

    Это тот, в котором автор идейно борется против IPv6, захардкодив в клиенте приоритет IPv4? Спасибо, не надо.

    > https://packages.debian.org/sid/ejabberd

    Аноним выше жаловался, что баунсер для обмена сообщениями держать недосуг.

     
     
  • 4.37, An2 (?), 16:15, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Это тот, в котором автор идейно борется против IPv6, захардкодив в клиенте приоритет IPv4? Спасибо, не надо.

    Есть issue на github?

     
     
  • 5.45, Аноним (34), 17:51, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И не одно!

    https://github.com/iNPUTmice/Conversations/pull/3354
    https://github.com/iNPUTmice/Conversations/issues/3060

    Типичный шизик, борец с ветряными мельницами и эксперт по тому, как другим удобнее. Непробиваем настолько, что кому-то припекло форкнуть этот балаган в Conv6ations.

     
     
  • 6.56, An2 (?), 19:31, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо.

    > что кому-то припекло форкнуть

    А, так у C. есть и другие форки несогласных по другим пунктам. И я так понял с пользовательской базой.

     
     
  • 7.68, Аноним (-), 20:42, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуюсь форком под названием BlabberIM, но он почему-то стал звонить только если абоненты в одной локальной сети. Интересно, нет ли таких уязвимостей в OMEMO.
     
     
  • 8.69, Аноним (-), 20:47, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А, понял, почему Сменил сервер на jid pl, а он XEP-0215 External Service Disco... текст свёрнут, показать
     
  • 6.73, mikhailnov (ok), 22:44, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    По-моему, автор все правильно сделал. Какой смысл отдавать приоритет IPv6, который много где работает абы как (например, потому что не настроен), когда как IPv4 решает все задачи?
     
     
  • 7.77, Аноним (77), 00:30, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какой смысл ломать поведение операционной системы по умолчанию?
     
     
  • 8.79, mikhailnov (ok), 02:39, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут, насколько вижу при беглом просмотре https github com iNPUTmice Conversati... текст свёрнут, показать
     
     
  • 9.81, Аноним (34), 04:50, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как я и написал выше автор 8212 идейный шизик, борящийся с ветряными мельниц... текст свёрнут, показать
     
     
  • 10.82, mikhailnov (ok), 05:06, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Те, кто решил побороться с автором, выглядят более идейными шизиками... текст свёрнут, показать
     
     
  • 11.94, n00by (ok), 10:14, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Но когда лично ты борешься с автором другого мессенджера, публично поливая его р... текст свёрнут, показать
     
     
  • 12.101, mikhailnov (ok), 13:41, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У меня нет никаких претензий ни к Престону, ни к Илье, их работу уважаю, слова ... текст свёрнут, показать
     
     
  • 13.106, n00by (ok), 15:58, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты хочешь меня убедить, что отсутствие у тебя образования ни при чём, и ты согла... большой текст свёрнут, показать
     
  • 11.108, Аноним (34), 18:01, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я, кажется, начинаю понимать, по какому принципу функционирует твоё сознание Че... текст свёрнут, показать
     
  • 9.88, Аноним (84), 07:35, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    DNS по v6 вообще незачем разрешать DNS всегда работает в восходящую сторону, ... текст свёрнут, показать
     
     
  • 10.103, mikhailnov (ok), 13:44, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем именно уязвимость, в том, что устройство смотрит открытыми портами в гло... текст свёрнут, показать
     
  • 10.107, Аноним (34), 17:58, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А вот и свидетели секты святого Ната подъехали, куда ж без вас Что ты в публичн... текст свёрнут, показать
     
     
  • 11.126, Аноним (-), 00:29, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да задолбали уже кадры которые почему-то считают что stateful firewall это обяза... текст свёрнут, показать
     
  • 3.66, Аноним (66), 20:31, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >conversations
    >gajim

    Это те, которые настойчиво продвигают своё шифрование (написанное питонистами на си) с автоотправкой на другие ресурсы, да так, что специально отключают OTR и GPG?

     
     
  • 4.67, Аноним (66), 20:32, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >с автоотправкой на другие ресурсы

    И с гнилым тофу вместо надлежащей проверки ключей.

     
  • 2.49, Аноним (52), 17:55, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мессенджер в виде нагромождения несовместимых xep и серверов, срущих друг в друга xml ками с нестандартными полями может быть только говном. Просто по определению.
     

  • 1.11, Аноним (11), 14:32, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В matrix-rust-sdk, mautrix-python, mautrix-go уязвимости нет
    Ну что, кто тут смузехлебы, а?
     
     
  • 2.30, Аноним (29), 15:44, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кстати, накидайте нормальных рецептов смузи. у меня в блендере какая-то хрень получается
     
     
  • 3.31, Аноним (29), 15:44, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    острота про блендер
    избавил анонимов от лишней работы
     
  • 3.128, Аноним (128), 03:37, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Из того что тут обычно накидывают и набрасывают смузи не получится.
     
  • 2.97, Аноним (84), 10:46, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >В matrix-rust-sdk, mautrix-python, mautrix-go уязвимости нет

    Потому что в них вышеуказанный функционал вообще не реализован?

     

  • 1.14, Аноним (14), 14:46, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >Уязвимости не проявляются в библиотеках matrix-rust-sdk

    Ну вы поняли.

     
     
  • 2.32, Аноним (29), 15:47, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    так им никто не пользуется, как она может проявиться?
     
     
  • 3.36, Аноним (14), 16:10, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А против кого вы тогда воюете?
     
     
  • 4.137, aname (?), 03:06, 03/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А за что вы?
     
  • 2.44, истина в последней инстанции (?), 17:50, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    поняли, оно не работает. прикинь я пробовал.
     
     
  • 3.54, Аноним (14), 18:52, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > оно не работает

    Так нужно было запустить программу... Я понимаю, что вам религия не позволяет запускать ПО на расте, но вы попробуйте хотя бы разок. ОН(Ритчи) крышей не увидит.

     
     
  • 4.65, Аноним (66), 20:28, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >ну побудьте нам бетатестерами, ну напишите за нас, ну позязя

    Ты бы ему хотя бы чупа-чупс за это предложил.

     
     
  • 5.72, Аноним (72), 22:30, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >напишите за нас

    Вы, наверное, шутите? Код от икспердов опеннет и даром не нужен. Даже на самом безопасном языке в мире. Ну и сомневаюсь в полезности таких бетатестеров, которые даже программу запустить не могут.

     
  • 5.109, Аноним (34), 18:03, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из опеннетчика бетатестер как из известно чего пуля. Баг-репорты в комментах никому даром не сдались.
     

  • 1.16, ryoken (ok), 14:47, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все на ToX! :)
     
     
  • 2.20, Аноним (20), 14:51, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    давно сижу и общаюсь, как локально, так и глобально.
    ничего не надо поднимать
     
     
  • 3.28, penetrator (?), 15:42, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    есть свои плюсы и минусы

    но на Матрикс я пока не взлез, жду пока вот такое всякое говно повылазит

     
     
  • 4.33, Аноним (29), 15:50, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    только не ставьте сервак на sqlite. официальный матрикс сервер дико засирает бд нотификациями типа появления онлайн. есть официальная тулза для этого сервакуа, которая подметает postgres. для sqlite такой нет.

    есть тулза, которая конвертирует их sqlite бд в postgres бд, и потом типа можно бд почистить, но эта тулза не работает.

    короче, ради простейшего чатик-сервака приходится держать целую большую субд с засирающим её софтом

     
     
  • 5.64, Девсамизнаетечто (?), 20:25, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >есть официальная тулза для этого сервакуа, которая подметает postgres

    Я дико извиняюсь, а что такое подметание БД? Пусть памяти докупят!
    Как вызывать в отдельном треде запрос? Как подметать в этом же треде? Сложно... Надо написать микросервис!

    Эй, Васян-стажёр, напиши тулзу, пускай постгрес подметает! Что? Sqlite ещё надо поддерживать? На моём ноутбуке нет sqlite в systemd, давай постгрес!

     
     
  • 6.80, Аноним (29), 04:41, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    иди проспись
     
  • 5.90, Аноним (90), 08:15, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    sqlite на сервере? Да ты поехавший.
     
     
  • 6.110, Аноним (34), 18:04, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В чём проблема с sqlite на сервере? Ну-ка, расскажи.
     
  • 5.99, tmplsr (?), 11:46, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >для sqlite такой нет.
    >короче, ради простейшего чатик-сервака приходится держать целую большую субд с засирающим её софтом

    И не стрёмно тебе так позориться на весь opennet? Признаваться, что не можешь переписать тупую утилиту?

     
  • 2.58, Аноним (-), 19:54, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Все на ToX! :)

    Это тот, на который разработчик забил жирный болт, а дальше подхватили студенты с нулевыми знаниями в криптографии? Да, товарищи, далеко пойдете...

    https://www.linux.org.ru/forum/talks/14785448

     
     
  • 3.89, Аноним (89), 08:03, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    на одной версии нельзя сидеть? постоянно нужны обновы?
     
     
  • 4.127, Аноним (-), 00:49, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > на одной версии нельзя сидеть? постоянно нужны обновы?

    Вообще можно. Если зачем-то нужно.

     
  • 3.124, Аноним (-), 00:10, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В токсе, в отличие от, крипто столь глупыми способами не ломали За довольно мно... большой текст свёрнут, показать
     

  • 1.19, Аноним (19), 14:50, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто это всё потому, что такие вещи нужно писать в одном экземпляе на C, а потом уже использовать библиотеку где надо.
    А когда для каждого "языка" переписывается всё заново этим и должно всё заканчиваться
     
     
  • 2.24, Аноним (-), 15:09, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, чтобы если была дырень, то сразу у всех пользователей.
    Отличный план!
     
     
  • 3.41, Аноним (19), 16:55, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А какой план лучше? Чтобы дырени были у всех но разные?
     
  • 2.60, Аноним (60), 20:03, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    JS-макаки, сэр...
     

  • 1.23, Sw00p aka Jerom (?), 15:08, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    >в чатах со сквозным шифрованием (E2EE)

    само название говорит, сквозняк короче:)

     
  • 1.26, Аноним (26), 15:28, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Jabber с PGP хватит на всех.
     
     
  • 2.59, Аноним (-), 19:59, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Только для гиков. Простая домохозяйка не настроит.
     
     
  • 3.91, Аноним (90), 08:16, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Настроить-то настроит, но есть нюанс. Ты либо настраиваешь, что пароль перезапрашивается раз в какой-то очень большой срок, что плохо для всего остального, кроме мессенджеров, либо вводишь каждые несколько минут, что вызывает тонны ненависти уже в мессенджерах. Удобство.
     

  • 1.39, Аноним (39), 16:29, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > платформы децентрализованных коммуникаций Matrix
    > сервер для хранения истории и учётных записей клиентов

    А это точно одноранговая сеть?..

     
     
  • 2.62, Аноним (66), 20:17, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну надо же matrix llc что-то кушать.
    Но она не одноранговая, это федерация, так что тут всё нормально. Что не_нормально - так это то, что помимо обычного сервера там есть второй, который нужен для ресолвинга мобильных телефонов. И тут возникают вопросы.
     
     
  • 3.71, Аноним (71), 22:29, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ради объективности добавлю, что привяззка к мобильному телефону не обязательная опция. А так да Matrix тормозное и жрущие ресурсы js-месиво (да я знаю, что сервер у них на python и они хотели то-ли на go/rust то-ли на c/c++ переписать, но по факту самый популярный сервер все еще тот что на python), вот ей богу лучше-бы довели XMPP до ума собрав в одном стандарте номера всех XEP которые нужны чтобы не отсавать по функционалу от чокаки и пашкограмма и намекали разработчикам клиентов/серверов (и держателям серверов) что неплохо бы было этот документ соблюдать.
     
     
  • 4.92, Аноним (90), 08:18, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Давно сделали и каждый год обновляют. Просто нытики на опеннете такие вещи не читают.

    https://xmpp.org/about/compliance-suites/

     
     
  • 5.132, pofigist (?), 13:51, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том что его не читают разработчики клиентов и серверов...
     

  • 1.53, Аноним (89), 18:48, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В современных мессенджерах, на фоне их возможностей, всё больше дыр и всё меньше сами программисты понимают, как это работает.
     
     
  • 2.57, Аноним (29), 19:40, 29/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    один ты в белом пальто стоишь красивый
     

  • 1.55, An2 (?), 19:29, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда нет ещё исправлений, пишут "Критические уязвимости ...". Но в данном случае новость о вышедших исправлениях, а заголовок скандальный.
     
  • 1.61, Аноним (66), 20:15, 29/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Потом внезапно окажется, что ключики из-под матрикса должны храниться в невыгруж... большой текст свёрнут, показать
     
     
  • 2.95, n00by (ok), 10:39, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Потом внезапно окажется, что ключики из-под матрикса должны храниться в невыгружаемом пуле
    > памяти, который зааллочили явно не с помощью malloc и над которым
    > поколдовали с помощью mlock.

    Что бы «руткиту» с LD_PRELOAD было сразу понятно, где искать, не заморачиваясь с энтропией? ;)

     
     
  • 3.104, Аноним (104), 15:07, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Гостошифрованию руткиты с LD_PRELOAD не грозят и даже искать нигде не надо.
     
     
  • 4.105, n00by (ok), 15:49, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сразу видно эксперта, а не какого-то там пропагандиста из канадьчины. ;)
     

  • 1.85, mos87 (ok), 07:28, 30/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    штож, надобно БОЛЬШЕ хоббиистских фреймворкофф - обязательно на модных язычках
    так победим (в одном по теор. вер. не будет одной дыры, в другом - другой быгыгьi)
     
  • 1.93, Аноним (93), 08:58, 30/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Уязвимости вызваны ошибками в отдельных реализациях протокола Matrix и не являются проблемами самого протокола" (c) Ага, партия никогда не ошибается, это отдельные граждане иногда. Но только вот раз https://www.opennet.ru/opennews/art.shtml?num=50501
    два https://www.opennet.ru/opennews/art.shtml?num=50502
    и вообще дыр полно https://www.opennet.ru/opennews/art.shtml?num=55799
    А в остальном, прекрасная маркиза, все хорошо, все хорошо.
    Спасибо, конечно, но такое дырявое хренпоймичто не нужно.
     
  • 1.96, InuYasha (??), 10:42, 30/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как там дела, в Матрице? Хоть по одному годному клиенту на Десктоп и мобилки завезли? Чтоб на сишных языках и 640КБ. Ну, и сервер, само собой. А то, как ни зайду, у них всё какое-то скриптовое.
     
     
  • 2.113, pofigist (?), 21:17, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А ты знаешь я с удивлением обнаружил что оказывается на элетронщине сделано очень много реально годного софта.
    Да, жрет ресурсы... Но кремний дешевле кожаных мешков. В результате сишные клиенты - обычно неудобны, малофункциональны и развиваются со скоростью гимпа... 😁
     

  • 1.98, Аноним (84), 10:50, 30/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я тут, как ни странно, буду в каком-то смысле на стороне хипстоты.

    Проблема тут не в Matrix, а в том, что вообще идея "многосторонних секретных чатов" -- эзотерична. Как минимум потому, что то, что знают трое, знает весь мир. Ваша крипта может быть сколько угодно крепкой, но каждый +1 человек в группе увеличивает шанс утечки экспоненциально.

    Собственно, Сигнал это понимает, и в нём многостороннего E2E вообще нет и не будет.

     
     
  • 2.112, pofigist (?), 21:13, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шифрованные чатики это типа защита от админа сервера. И более ни от чего. Понятно что сценариев утечки немного больше чем "админ сервера прочитал и слил".

    Могу предложить несколько сценариев где их применение оправдано.

     
     
  • 3.129, Аноним (-), 09:08, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    99% уязвимостей это "админ прочитал и слил".
     
     
  • 4.130, pofigist (?), 10:29, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Неа... 99% уязвимостей это админ поленился (мы же не ЦРУ/ФБР/ФСБ - кому мы нахрен нужны) или не знал (линакс нельзя сломать - зачем морочиться, selinux disable, firewall disable...) как правильно настроить систему. Ну и вишенка на торте - меня несправедливо уволили разумеется...
     
  • 2.123, InuYasha (??), 23:18, 30/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    e2e muc - это защита от паяльника админу.
     
  • 2.131, Аноним (-), 11:48, 01/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://signal.org/blog/private-groups/

    В Сигнале есть шифрование групповых чатов.

     
     
  • 3.135, Аноним (-), 00:39, 02/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https://signal.org/blog/private-groups/
    > В Сигнале есть шифрование групповых чатов.

    А еще он почти на 100% завязан на одну наглую корпорацию и ничем не лучше всех остальных. И черт с ним с шифрованием при таком раскладе.

     
     
  • 4.136, pofigist (?), 12:12, 02/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поставь свой сервер. Правда я не уверен в его федеративнось... Но в определенных условиях это и хорошо.
     

  • 1.102, Аноним (-), 13:41, 30/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    месенжеры которые мы заслужили. лучше ими вообще не пользоваться
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру