• Messages
• Photos
• Map

Subscribe

• Jabber
• RSS

• *xmpp *pgp *говно

  Почитал XEP по реализации PGP в жаббирцах. Поблевал. За несколько месяцев подписывания сообщений (а подписываются только сообщения без какой-либо соли даже в виде жида адресата или таймстемпа) их можно было успеть скопить достаточно, чтобы сферический MITM мог более-менее полноценно общаться с их помощью прикрываясь моей личиной, лол. Пойду выключу нахуй подписывание.
  Если хочется аутентичности — просите другую сторону подписать своим ключом вашу случайную строку и включать её в каждое сообщение, иначе несекурно. Дерьмо.

  #1689471

  from blog-25146, 4 months ago
  Recommended by (4): @Posleobeda, @Tremerix, @Minoru, @Strephil

← All messages

Replies (22)

Post a reply (xmpp)

• @Avatar:

  Подписывание
  Соль

  
  ШТО

  #1689471/1

  from ИИТ, 4 months ago
• @Avatar:

  Если хочется аутентичности — просите другую сторону подписать своим

  ключом вашу случайную строку и включать её в каждое сообщение, иначе
  несекурно. Дерьмо.
  
  ШТОШТО

  #1689471/2

  from ИИТ, 4 months ago
• @L29Ah:

  @Avatar Если я отправил в сеть подписанное сообщение "привет", то любой другой хуй теперь может в неограниченных количествах от моего имени рассылать приветы. Аналогия ясна?

  #1689471/3

  from tkabber-home, 4 months ago, in reply to /2
• @Avatar:

  @L29Ah А. Ты в этом плане. Ну да, может :)

  #1689471/4

  from ИИТ, 4 months ago, in reply to /3
• @Tremerix:

  вот именно, сразу же надо было посмотреть. Авторы мудаки.

  #1689471/5

  from web, 4 months ago
• @Elemir:

  ЖМУ

  #1689471/6

  from BitlBee, 4 months ago
• @Strephil:

  @Elemir XEP'ы ведь можно развивать и дополнять?
  кто-нибудь умеет достаточно внятно излагать свои мысли, чтобы в новой версии шифрованные сообщения выглядели как-то так:
  <pgp time=1325084672>
  Подписанный текст
  </pgp>
  и подписывался бы весь текст с отметкой времени?

  #1689471/7

  from 3746620506132583100842980, 4 months ago, in reply to /6
• @Avatar:

  @Strephil Нужно подписывать всю станзу

  #1689471/8

  from eeepc, 4 months ago, in reply to /7
• @Strephil:

  @Avatar ну так это же открытый протокол. чем ныть, добейтесь, чтобы эти изменения были приняты.

  #1689471/9

  from 3746620506132583100842980, 4 months ago, in reply to /8
• @Strephil:

  @Avatar всё не факт что получится. потому что по мере отправления станза может ведь обрастать дополнительными всякими рюшками.

  #1689471/10

  from 3746620506132583100842980, 4 months ago, in reply to /8
• @Avatar:

  @Strephil Ну. Это вообще все бессмысленная хуйня на самом деле. Нужна сессия, а не подписывание одиночных сообщений. Типа OTR. Причем во многих клиентах оно есть

  #1689471/11

  from eeepc, 4 months ago, in reply to /10
• @Elemir:

  @Avatar У ОПа tkabber, он не умеет OTR

  #1689471/12

  from BitlBee, 4 months ago, in reply to /11
• @Avatar:

  @Elemir Мой jabber.el тоже не умеет. Есть смысл допилить к себе его, или что-то подобное, чем страдать хуйней с тем ксепом

  #1689471/13

  from eeepc, 4 months ago, in reply to /12
• @Strephil:

  @Avatar почему? чем плохо подписывать сообщения? у меня есть pgp-ключ, подписанный разными няшами. зачем мне какие-то непонятные OTR'ами?

  #1689471/14

  from 3746620506132583100842980, 4 months ago, in reply to /11
• @Elemir:

  @Avatar Не спорю, но у естественное отвращение к тиклю мешает. /me пересел на битлби и глумится

  #1689471/15

  from BitlBee, 4 months ago, in reply to /13
• @Elemir:

  @Strephil Соси дырявого хуйца Столмана, я лучше OTR поюзаю чем это решето

  #1689471/16

  from BitlBee, 4 months ago, in reply to /14
• @Avatar:

  @Strephil Ну. Во-первых, это медленно. Во-вторых — все равно нужен идентификатор сессии

  #1689471/17

  from eeepc, 4 months ago, in reply to /14
• @Strephil:

  @Avatar я печатаю меньше ста знаков в минуту. для меня это не медленно. Можно сделать простой протокол на основе PGP с блекджеком и сессиями. Зачем лишние сущности?

  #1689471/18

  from 3746620506132583100842980, 4 months ago, in reply to /17
• @Avatar:

  @Strephil Ну. Ключевая фраза — можно сделать. Можно сделать А, можно сделать Б. Вопрос — зачем делать А, если Б лучше? Конечно, будет лучше, если будет оформленный XEP, который все реализуют. Но на практике что бы ты не делал, все равно всё будет клиентозависимо

  #1689471/19

  from eeepc, 4 months ago, in reply to /18
• @Elemir:

  @Strephil Сиди и делай. В моём клиенте есть OTR, зачем нужен PGP я не понимаю. Особенно учитывая то, что единственная бесплатная реализация — дырка от унитаза

  #1689471/20

  from BitlBee, 4 months ago, in reply to /18
• @Strephil:

  @Avatar потому что есть готовая сеть подписанных ключей, которой я могу пользоваться. В OTR удостовериться, кто сидит на той стороне провода, очень не просто. Нужно придумывать какие-то запутанные вопросы и ответы. Ерунда это.

  #1689471/21

  from 3746620506132583100842980, 4 months ago, in reply to /19
• @Avatar:

  @Strephil С этим спорить не буду :)

  #1689471/22

  from eeepc, 4 months ago, in reply to /21

Messages

• All
• Blog
• Recommendations

Tags all

? ferrum juick juick_ppl link linux log music quote байк бомжвей Быдло веломобиль говно истеричка Москва няшнота Питер сны тян Хотеть

Search

Statistics

• I read (159)
• My readers (79)
• Messages: 845
• Replies: 9414