 | [matrix] Русская техподдержка | 140 Members |
| Помощь сообщества в настройке Matrix-серверов и клиентов, решении проблем, связанных с Матриксом. | 47 Servers |
| [matrix] Русская техподдержка | 140 Members |
| Помощь сообщества в настройке Matrix-серверов и клиентов, решении проблем, связанных с Матриксом. | 47 Servers |
| Sender | Message | Time |
|---|---|---|
| 11 Jul 2020 | ||
 kotovalexarian | Мы уже выяснили, что такие утверждения - это чушь и троллинг. Если вам нечего сказать, то не начинайте разговор. | 11:12:04 |
 Геннадий Ковалёв | Вы исходите из того, что сервер, который доставляет web-код на терминал взломан, а сервер, который доставляет бинарный андроид-код на терминал взломан быть не может. | 11:12:34 |
| Геннадий Ковалёв | > Мы уже выяснили, что такие утверждения - это чушь и троллинг. Если вам нечего сказать, то не начинайте разговор. Ну вот Вы уже и беситесь. | 11:12:48 |
| kotovalexarian | Чтобы понять, из чего я исхожу, надо хотя бы прочитать мои сообщения. | 11:13:06 |
| Геннадий Ковалёв | Я их читал. Повторяю для контроля Вашу мысль. Вы утверждаете, что код, полученный на андроид перепроверяется самостоятельной сборкой и сравниванием контрольных сумм/хешей и т.д. И утверждаете, что код, который скачается в браузер не может быть проверен. Так? | 11:14:39 |
 nightybrowser | kotovalexarian: какой вопрос вы мусолите? | 11:15:40 |
| kotovalexarian | Проблему подмены исходного кода веб-приложения Riot Web в случае взлома сервера или недобросовестного сервера. | 11:16:29 |
| nightybrowser | kotovalexarian: если исходить из того, что наличие хотя бы одной уязвимости сводит надежность системы в ноль, то все системы ненадежны. Такм образом, все системы можно взломать. | 11:17:46 |
| kotovalexarian | Хочу поднять Riot Web для простоты доступа на мой сервер, но боюсь, что не могу обеспечить достаточную гарантию, что сервер не взломают, а проверить это пользователь не может. Могут утечь приватные кючи пользователя. | 11:17:55 |
| Геннадий Ковалёв | Короче ясно :) | 11:18:19 |
| nightybrowser | * kotovalexarian: если исходить из того, что наличие хотя бы одной уязвимости сводит надежность системы в ноль, то все системы ненадежны. Такм образом, все системы можно взломать. | 11:18:20 |
| kotovalexarian | In reply to @nightybrowser:matrix.orgЯ хочу добиться того, чтобы если сервер взломан, то пользователь узнал, что исходный код веб-приложения подменён и не пользовался им. | 11:19:55 |
| nightybrowser | kotovalexarian: лучше беспокойся о перехвате. | 11:22:33 |
| Геннадий Ковалёв | Вся эта подмена кода уже прожёвана и выплюнута. Весь контур безопасности начинается с формулирования точек доверия. Если доверяем браузеру пользователя - одно дело, серверу разработчика - другое. Если тут доверие только браузеру, то надо делать расширение для него, в которое статично вбить контрольную сумму js, и которое проверит эту контрольную сумму при скачивании пака. Расширение элементарное. Если в задаче никто никому никогда не доверяет, то задача решения не имеет. | 11:27:33 |
| 12 Jul 2020 | ||
 pedro joined the room. | 07:54:44 | |
 Даниил | In reply to @kotovalexarian:crypto-libertarian.comИнтересный момент. Я бы у разрабов мэтрикса поинтересовался в англоязычном чате. Наверняка они об этом задумывались или уже какие-то меры предприняли. А в APK мне казалось уже есть встроенные функции проверки целостности и авторства. https://developer.android.com/studio/publish/app-signing | 12:51:07 |
 FSA | In reply to @danilovdl:ru-matrix.orgПриложение, которое выкладывается в Google Play подписывается ключом разработчика. Это и есть проверка. Но инфраструктуру разработчика могут взломать, ключ украсть. Как на F-Droid, не знаю. | 13:00:01 |
| FSA | Да и разработчику ничего не мешает вносить нужные ему изменения перед созданием APK и не выкладывать их в открытый доступ. | 13:00:58 |
| Геннадий Ковалёв | > Интересный момент. Я бы у разрабов мэтрикса поинтересовался в англоязычном чате. Наверняка они об этом задумывались или уже какие-то меры предприняли. А в APK мне казалось уже есть встроенные функции проверки целостности и авторства. Вопрос был не в этом, а в точках доверия системы. Софт проходит определённые стадии от кодинга до установки на конечное устройство. И спор про то, что когда мы рассуждаем где безопаснее надо делать одинаковые условия. Взломали сервер, где собирается js? Значит взломали сервер, где собирается apk. Со всеми ключами, подписями и так далее. | 13:01:38 |
| FSA | * Да и разработчику ничего не мешает вносить нужные ему изменения перед созданием APK и не выкладывать их в открытый доступ. | 13:01:50 |
| Геннадий Ковалёв | И на самом деле вопрос практический, с формулировкой конкретной задачи. Например, мы хотим иметь riot-web для какой-то закрытой группы, чтобы было всё очень секьюрно. Доверяем своему браузеру, что там не стоит сторонних расширений, и что не будет перехвата того, что вводится в формочки? Не доверяем серверу разработчика? Доверяем только своему серверу? Ну тогда сами собираем riot из исходников, кладём на свой сервер, чужими не пользуемся. Не доверяем автоматическим обновлениям apk? Сами собираем apk, устанавливаем на устройство, где все автообновления выпиливаются. Ну и т.д. | 13:06:21 |
| Геннадий Ковалёв | Если не доверять вообще никогда и ничему, то задача по безопасности решения не имеет. Короче всё очень конкретно. | 13:06:47 |
| Геннадий Ковалёв | И, кстати, ЕМНИП инфраструктуру разработчиков матричной тусы уже взламывали. | 13:08:29 |
| Даниил | Ага, тоже помню такое. Они тогда всех насильно разлогинили из мэтриска.
Тоже важный вопрос, но вроде kotovalexarian, конкретно высказал опасения про безопасность web-сервера раздающего riot. То есть недостаточноый уровень доверия конкретно этому звену. Всё таки, если будут скомпрометированы разрабы, их платформа разработки и распространения кода, то мне кажется больше шансов будет что это будет своевременно замечено и исправлено, чем если кто-то втихушку сделает что-то типа фишинг-риота и попытается пользователей на него заманить. Или техническими какими-нибудь способами сделать так чтобы сайты с риотом выглядили идентично. | 13:26:06 |
| FSA | В ответ на@gik:bigur.comАга. Был косяк с Riot для Android. То ли ключ утёк, то ли потеряли. | 13:26:17 |
| Геннадий Ковалёв | > То есть недостаточноый уровень доверия конкретно этому звену. Ну вот эти рассуждения и основываются не на науке, не на математике и просчёте угроз и их противодействию, а на вере: "я в этот сервер верую, а в этот сервер не верую, аминь!". При этом уже случившийся факт, что фишинга ещё не было, а компьютер разработчика под контроль брали. Про "быстрее заметят" - это тоже вера. Поскольку существующий взлом был обнаружен так, что взломщик сам дал об этом знать, по своей воле. Там на странице что-то разместил и так далее... То есть это не настоящий злоумышленник, это какой-то хулиган, которому надо было продемонстрировать "смотрите как я могу" или "смотрите как тут всё дыряво". А если у этого человека в голове другой умысел? Тихая индексация, тихая слежка... Если он знает основные признаки как его могут запалить? Если он не увеличивает траффик, если он не делает действий со строгим периодом? Сидит тише мыши? Так публичный подменённый riot запалят гораздо быстрее... Я сейчас не агитирую за то, что riot-web безопаснее. Я сейчас про то, что это не тот подход, который необходим для решения вопроса безопасности в целом. | 14:33:30 |
| Даниил | Согласен, что вера (хотя, я бы назвал это чем-то вроде "технической интуиции") и должна восприниматься соответсвенно. Согласен, что комплексное решение должно решаться другим образом с соответсвующим научным инструментарием. Однако вряд ли подобные инструменты и экспертные знания может себе позволить более или менее рядовой человек который просто захотел обзавестись своим homeserver. Ему вполне может быть достаточно некомплексного подхода (да и на некоторые моменты всей системы ему сложно будет повлиять) и технической интуиции. Да, ересь, но ведь лучше чем ничего? Как бы там ни было, я тоже никого ни за что не агитирую. Просто высказался что автор оригинального вопроса предложил интересную фичу для riot-web. Лично мне было бы интересно иметь её или узнать какие другие меры разрабы применили/разрабатывают в отношении этого момента. | 15:16:57 |
| Геннадий Ковалёв | Ну я поэтому и говорю, что для простого смертного достаточно просто сформулировать для себя "а чему я вообще доверяю". И это вопрос не вообще, в целом, а именно субъективно про автора сообщения и его конкретную ситуацию. Он отвечает, к примеру, серверу, где лежит js от webpack я не доверяю, а своему браузеру доверяю. Тогда уже конкретная проблема с конкретным решением. Например, либо положи самостоятельно скомпилированный пак к себе на сервер, либо сделай расширение, которое контрольную сумму скачанного js проверит. Либо не скачивай js, а поставь скомпилированный на электроне. Может ещё чего. Ну и всё. Если точки доверия/не доверия другие - тогда и решения другие. А если ты отвечаешь за переписку в группе, где в твои обязанности входит работа с конкретными угрозами, будь-то потеря, несанкционированное распространение, подмена информации и т.д., то и подход должен исходить не из субъективной веры, а из конкретного устройства процессов и техники с формулировкой конкретных угроз и способов противодействия. И здесь говорить, что "этому серверу я верю, а этому не верю" - просто непрофессионально. | 15:30:01 |
| Даниил | По поводу расширения проверяющего загруженный riot-web, действительно интересный и вполне реализуемый вариант для задачи kotovalexarian. Опять же при условии, что это уже не предусмотрено разрабами мэтрикса в каком-либо виде. | 15:49:47 |
| 14 Jul 2020 | ||
 shokolatte joined the room. | 01:49:30 | |