Говнокод #23582 — Куча — Говнокод.ру

chtulhu 14.12.2017 10:27 # +3

мессенджер с привязкой к телефону не может быть секурным by design

Ответить

bormand 14.12.2017 18:42 # +2

Протокол же вроде открытый? Просто сомнительный и нестандартный.

Ответить

CHayT 14.12.2017 20:29 # +2

Причём полностью открытых (протокол и сервер) мессенджеров полно. Matrix, ring, tox... Не хочу, хочу жрать стикеры у паши.

Ответить

bormand 15.12.2017 08:05 # +2

Да в общем-то даже аська или джаббер с прикрученной end-to-end шифровалкой настолько же секьюрны, насколько и поделие олимпиадников...
Ответить
- Stallman 15.12.2017 12:05 # +2
  
  Учитывая, что джаббер-сервер можно держать у себя дома под кроватью, то джаббер даже посекьюрней будет Пашиной поделки, секьюрность которой упирается в обещания Паши никому ничего не рассказывать.
  Ответить
  - CHayT 15.12.2017 12:18 # +3
    
    Да. Jabber и matrix федеративные, tox -- вообще p2p. А вот почему олимпиадная поделка с дизайном из 90х считается убер-секьюрной, я понять не могу.
    Ответить
    - roman-kashitsyn 15.12.2017 12:55 # +5
      
      > почему олимпиадная поделка с дизайном из 90х считается убер-секьюрной, я понять не могу
      
      Потому что Паша пиарился и звал всех хакнуть поделку и присудил себе техническую победу, потому что никто так и не пришёл?
      Ответить
      - CHayT 15.12.2017 13:18 # +3
        
        Так хакали её уже через опсосов. Угоняли/блокировали аккаунты.
        Ответить
        
        bormand 15.12.2017 18:39 # +1
        
        У по-настоящему секьюрных систем нельзя восстановить учётку.
        
        А тут пошли на компромисс для удобства хомячков.
        Ответить
        
        inkanus-gray 16.12.2017 09:15 # +3
        
        Пароль в надёжной системе аналогичен знамени. Потерял знамя — часть ликвидируется.
        
        Просить, чтобы тебя пустили в систему после утери пароля — всё равно, что выступать под нейтральным флагом.
        Ответить
        
        SemaReal 26.02.2018 21:17 # 0
        
        >>Пароль в надёжной системе аналогичен знамени. Потерял знамя — часть ликвидируется.
        
        как приватный ключик от кошелька)
        Ответить
        
        1024-- 16.12.2017 15:36 # −1
        
        > У по-настоящему секьюрных систем нельзя восстановить учётку.
        У по-настоящему секьюрных систем нельзя создать учётку.
        
        А вообще, можно же привязать учётку только к списку контактов и паспорту, ключи шифрования генерировать во время беседы на лету, а подписываться отдельной подписью, которую получать при личном визите по паспорту.
        Забыл пароль - восстановился по смс.
        Потерял ключ от подписи - у получателя красный значок (как у сайтов без HTTPS) - для быстрой переписки хватит, а если речь о деньгах пойдёт, то адресат их не даст, пока новую не получишь.
        Угнали учётку - обратился к кому надо с паспортом - вернули учётку.
        Прочитать историю после восстановления - невозможно, если не сохранил на свой ПК, т.к. пароли и ключи забыты.
        И шифрованная переписка, и безопасное восстановление.
        Ответить
        
        bormand 16.12.2017 17:41 # 0
        
        И неотрекаемость со всеми вытекающими последствиями.
        Ответить
        
        1024-- 16.12.2017 19:01 # 0
        
        Полезное свойство. То есть схема выходит отличная.
        Ответить
        
        bormand 16.12.2017 19:34 # +2
        
        Минус этой схемы - все участники должны доверять центру сертификации.
        
        "Нет оснований не доверять сотруднику полиции."
        Ответить
        
        1024-- 16.12.2017 20:14 # 0
        
        К сожалению, пока ничего не другого не придумали. Нет уверенности без веры.
        Без этого можно доверять личному присутствию и обмениваться ключами в реальном мире.
        Ответить
        
        bormand 16.12.2017 21:02 # +1
        
        > личному присутствию
        > в реальном мире
        А как быть с человеком, которого никогда не увидишь ИРЛ и даже не знаешь, кто он на самом деле - бородатый админ или няшная котодевка?
        
        Остаётся только юзать password-authenticated key agreement на основе каких-то общих секретов и воспоминаний...
        Ответить
        
        bormand 16.12.2017 21:18 # +1
        
        > через опсосов
        Вот и получается, что "джвухфакторная аутентификация" на деле нихуя не джвухфакторная. Владение вторым фактором необходимо и достаточно, а пароль нужен только для красоты.
        Ответить
        
        COWuTEJIbTBOEuMAMKu 16.12.2017 21:48 # +2
        
        i am a very baaaad boy
        Ответить
        
        bormand 16.12.2017 22:10 # 0
        
        Вообще-то я тот коммент с негативной окраской писал - что фактор у такой аутентификации на деле всего один, и что он обходится через опсосов, троянов на телефоне и т.п.
        
        Видимо, я не умею выражать свои мысли. Ну да похуй.
        Ответить
        
        1024-- 16.12.2017 22:13 # −2
        
        Вообще, можно пользоваться старыми сервисами (не все собираются их удалять). ГК, например, не требует номера телефона.
        Но сервисы безобидны. Они часто бесплатно предоставляют свои услуги и не тревожат звонками/смс.
        То ли дело банки... А Google за столько лет так и не предложил взять кредит.
        Ответить
        
        bormand 16.12.2017 22:22 # −1
        
        > сервисы безобидны
        Зачем гуглу слать тебе смс, если ему проще и дешевле сливать тебе всё это говно в виде контекстной рекламы?
        
        Чего не скажешь о сервисах, к которым ты не ходишь каждый день (да, те же банки).
        Ответить
        
        1024-- 16.12.2017 23:03 # −2
        
        Слава Гуглу! Он хотя бы из потоков ненужного рекламного говна делает потоки чуть менее ненужного рекламного говна.
        
        А вот банки могли бы и на электронные письма перейти. По крайней мере, техподдержка шлёт. Может, и дешевле, чем операторов гонять.
        Лично у меня уже аллергия на эти звонки, на этот механический голос, который на все отказы с одной той же интонацией отвечает просьбой подумать. А письмо с условиями я бы может и поглядел на всякий случай.
        Ответить
        
        bormand 17.12.2017 00:24 # +2
        
        > письмо
        Это так не работает. Письмо ты будешь читать в спокойной обстановке, а значит не сможешь импульсивно согласиться на бОльшую абонентку, ненужную услугу и т.п. Поэтому здесь важен именно звонок.
        Ответить
        
        1024-- 17.12.2017 01:14 # −1
        
        Думаете, большинство ещё не обзавелось адблоком в голове?
        Маринуют пользователя тут меньше, чем продавцы чудо-пылесосов, которые приходят лично и работают более тонко.
        Впрочем, те, кто действительно хотел взять кредит, в зоне риска (или нет, если условия и правда адекватные).
        Ответить
        
        defecate-plusplus 17.12.2017 01:37 # −1
        
        тем, кому нужен кредит, банки сами не позвонят - т.к. банки звонят тем, кто и без кредита платежеспособен
        Ответить
        
        1024-- 17.12.2017 03:57 # −2
        
        Они на платёжеспособных как на самых трудныз обучают нейросети, чтобы придумать идеальный сценарий для впаривания кредитов всем?
        Интересно было бы знать, какие плолы приносят эти звонки и как окупаются...
        Ответить
        
        bormand 17.12.2017 07:54 # −1
        
        > как окупаются
        Не окупались бы - не звонили бы. Походу потенциальных жертв им хватает. И это не те, кто хотел взять кредит, а скорее те, кто хочет что-то купить.
        
        > условия адекватные
        Ну во время звонка особо не проверишь... Вряд ли ты заранее знаешь какие сейчас предложения на рынке. Хотя надо будет ради прикола сказать: "подождите, я погуглю и с конкурентами сравню".
        Ответить
        
        defecate-plusplus 17.12.2017 16:27 # 0
        
        нанять колл-центр ("телемаркетологи") и начать обзванивать по списку своих же клиентов и сношать им мозг по сценарию - не так и дорого, и вообще существенно дешевле, чем дать рекламу по федеральному каналу
        
        в любом банке есть бюджет на маркетинг, и даже с конверсией 0.1% телемаркетинг нормально окупает затраты на себя - потому и звонят
        
        из банков кредит предлагают только те банки, в которых я так или иначе клиент, и, возможно, мне повезло по жизни с выбором банков - звонят дай бог раз в квартал
        
        даже гугл раз в месяц звонит из какой-то польши и настаивает, почему я такой редиска до сих пор им не плачу за adwords
        Ответить
        
        1024-- 17.12.2017 17:04 # 0
        
        > из банков кредит предлагают только те банки, в которых я так или иначе клиент, и, возможно, мне повезло по жизни с выбором банков - звонят дай бог раз в квартал
        Примерно такая же ситуация, только по моим меркам комнатного анимешника человека с узким кругом общения это крайне часто.
        Ответить
        
        bormand 17.12.2017 17:29 # 0
        
        > комнатного анимешника
        Меня, как комнатного анимешника, больше бесят распродажи в магазинах. Думаешь по-быстрому затариться и вернуться в свой уютный няшкомирок, а попадаешь в неудачный день и приходится терпеть эту толпу вокруг.
        
        А от звонков относительно легко отбиться.
        Ответить
        
        Stallman 18.12.2017 02:31 # 0
        
        Комнатный анимешник затаривается онлайн онли.
        Ответить
        
        bormand 18.12.2017 07:00 # 0
        
        > онлайн онли
        И на работу на метро не катается, угу.
        Ответить
        
        1024-- 22.12.2017 03:24 # 0
        
        Ответить
        
        1024-- 31.12.2017 13:17 # 0
        
        До Вас таки моя индийская записка дошла или в спам попала?
        Ответить
        
        bormand 31.12.2017 16:59 # 0
        
        > индийская
        Нигерийская.
        
        Сорри, давно почту не читал.
        Ответить
        
        1024-- 26.02.2018 21:15 # 0
        
        А в общем плане что думаете по заявленному вопросу (относитесь позитивно/негативно/с подозрением/затрудняетесь ответить/письмо не дошло)?
        Ответить
        
        CHayT 17.12.2017 22:27 # +2
        
        Когда я ещё пользовался сбером, трава была зелена, а смартфоны не настолько зондовыми, и умели автоматически сбрасывать звонки с незнакомых номеров. Ксо жалению, сейчас эту фичу не завозят, по крайней мере, в стоковые прошивки.
        Ответить
        
        inkanus-gray 17.12.2017 18:16 # +3
        
        У меня на звонки возникла чёткая реакция: бросать трубку.
        
        Достали интернет-провайдеры, звонящие каждую неделю и заявляющие, что они лучше моего провайдера. На вопрос, чем же они лучше, оператор отвечает: «Вы не понимаете, это сложно объяснить, но мы лучше». Так и хочется ответить: «Мама твоя не понимает, иначе бы такая тупая пизда не родилась». Но я просто бросаю трубку.
        
        Достали фирмы, устанавливающие водосчётчики, звонящие каждую неделю, чтобы сообщить: «У вас скоро истекает межповерочный интервал. Вы можете пригласить нашего мастера для поверки». Да у моих счётчиков межповерочный интервал истекает лет через пять. Ответишь им, через неделю они же снова звонят. Нет, блядь, у меня счётчик ВНЕЗАПНО постарел за неделю.
        
        После таких звонков я могу импульсивно согласиться только на услугу киллера.
        
        Это и есть их data mining, big data и нейросети?
        Ответить
        
        1024-- 17.12.2017 18:52 # +3
        
        > интернет-провайдеры
        > Так и хочется ответить: «Мама твоя не понимает, иначе бы такая тупая пизда не родилась».
        Это ещё ладно, это чужие провайдеры, там в более цензурной форме можно что-то такое сказать.
        Вот с банками как-то боязно. Ответишь своему банку, а потом из-за технических неполадок деньги куда-нибудь уйдут.
        
        > Это и есть их data mining, big data и нейросети?
        Слава всем богам, что оно так реализовано. Пусть лучше сотня звонков от упоротого "механического" оператора с заученными фразами авторства племянника менеджера, от которых сразу тошнит, чем продуманная нейросетями питушня с глубокой психологией.
        Ответить
        
        inkanus-gray 17.12.2017 18:59 # +1
        
        Согласен со всеми пунктами.
        
        > Вот с банками как-то боязно.
        
        Чужую фирму можно послать, а со «своей» лучше не ссориться. Особенно с банком. Банки могут в любой момент временно блокировать счета подо всякими нелепыми предлогами типа «подозрительных операций».
        
        > от которых сразу тошнит
        
        И тут тоже хорошо, когда, пытаясь тебя поймать, несут откровенную чушь. Сразу срабатывает детектор и сомнительное предложение отклоняешь.
        
        Хуже, когда мошенник основательно подготовился.
        Ответить

Говнокод: по колено в коде.

Куча / Говнокод #23582

Комментарии (41) RSS

Добавить комментарий