/lor/ - Компьютеры

>>>/b/232480
Ну, чтобы было что-то содержательное, должен быть все-таки некоторый порог вхождения. Если человеку сложно читать книжки хотя бы уровня пикрелейтед, то человек будет в сообществе просто наблюдателем. Или пользователем чужих продуктов - что тоже, наверное, интересно, но все-таки не то.

>вербуют спецслужбы, это типа элита ИТ.
Лол, такие-то стереотипы. На самом деле именно в спецслужбах оказываются просто феерические дуболомы, не нашедшие себя в более приличных местах.

>>891
https://yandex.ru/profi/second_stage
Чтобы не голословно, уровень кандидатов "в спецслужбы" можно оценить по олимпиадам отсюда. Несколько смешно это все.

>>890
Если уж решили тред про криптоанархизм назовите его нормально.

>>893
Так никто не решил пока. Просто проверка потенциала.

Мой тезис был:
>пилить надо мануал по внутренней эмиграции с правилами сетевой гигиены и сетевым этикетом.
Под этим я имел в виду не пердолинг очередного куска софта с претензией на элитарность в сфере ИБ, а скорее противоположное: как в нынешних условиях оставаться непромытым в сети, как не поддаваться провокациям, вбросам, манипуляциям, какова хотя бы примерная модель происходящего в интернет-дискурсе и как её применять в контексте личной [профессиональной] стратегии по жизни. Такое.
А пилить криптокод с анонимусами - затея интересная, да. Бэкдор в XZ utils тому хороший пример.

>>895
>как в нынешних условиях оставаться непромытым в сети
"Блажен муж, который не ходит на совет нечестивых и не стоит на пути грешных и не сидит в собрании развратителей". В смысле, просто не посещать ресурсы, про которые знаешь, что там тебя хотят промыть. Вконтакте, твиттер, новостные-пропагандистские сайты, оранжевый, вообще русскоязычные ресурсы с ботами, и прочее такое. Конфочки туда же.

>как не поддаваться провокациям,
Ну, есть всякие там рациовики, лессвронг. Но там тоже своя идеология у авторов есть, и много откровенных шизов тусуется, которых нужно уметь фильтровать. Есть пособия по https://ru.wikipedia.org/wiki/Рабулистика этой штуке, можно полистать. Пикрелейтед 1. Еще есть более сложная литература, типа пикрелейтед 2. Но это уже тоже ближе к идеологическому.

Мне так видится. Думаю, рабочая тактика.

>>896
Всё понятно. Надо либо уехать из России, либо окуклиться и сидеть тихо. А какие из-за расплодной повестки и анального режима будущее поколение будет - это похуй. Я же не политик какой-нибудь. Спасибо за наставление, мудрейший.

>>897
>будущее поколение
Зачем тебе будущее поколение спасать, если уже сейчас всё проебали? Достаточно посмотреть на зумеров и их уровень заинтересованности всяким инфо-мусором в интернете, а также на их отношение к приватности и безопасности в интернете.

>>898
Я не спасу будущее поколение. Я хочу дожить не в информационном концлагере. Даже не знаю, как такому мудрому человеку донести, какая тут связь. Не дотягиваю блаженностью, видимо, извиняй.

>>897
Имхо, если вы методичку готовите не чтобы полезной информацией поделиться (как, например, сделали в методичке про ОСы или про прокрастинацию), а чтобы влиять на какие-то там будущие поколения, то вы, во-первых, сами шиз-пропагандист, а во-вторых, занимаетесь ерундой. Я в это вписываться не буду, мне интересна только программистско-теоретическая часть.

>>899
>Я хочу дожить не в информационном концлагере
Тогда тебе нужно покупать билет в жопу мира, где технологии догонят наши нынешние только к тому моменту, когда ты уже будешь стариком. Алсо, остатки интернета, которые на тот момент ещё не успеют анально огородить, будут в таком же мертвом состоянии, в каком сейчас находятся имиджборды.

>>901
Остатки текущего интернета - esta muerto.
Даже соус эста муэрто.

Так что в итоге с криптографией?

>>901
По твоей логике ни в СССР не было информационного концлагеря, ни в Северной Корее.

>>905
Тут нет релейтед постов. Даже на луначе их в 100 раз больше.

>>891
Криптоанархизм не про математику криптографии, а про системное администрирование.

>>908
Ну, использование чужого готового софта. Безыдейное.

>>909
>Ну, использование чужого готового софта. Безыдейное.
Для людей, претендующих на статус творцов, есть куча разных занятий. Фекальная лепка костромских петушков, например.

>>914
С таким отношением никакого криптоанархизма не получится. Стандартное подавление энтузиазма и травля прямо как в школе.

>>915
Я другой анон, но считаю что выдумывание своей криптографии просто чтобы почувствовать себя безумный учёным так себе идея. Вероятность что написанное до тебя в каком-нибудь openssl будет работать не хуже чем самодельная реализация очень высокая, при этом всегда есть шанс что в самодельной реализации можно легко накосячить.
Вот набор практических (ну и от части теоретических) методов по обеспечению конфиденциальности был бы полезен. Но сам я тут не особо помощник, потому что как, например, решать проблему утечки через DNS в самой распространённой ОС я опыта не имею.

>>916
Довольно много людей уже выдумали свои велосипеды. Например, telegram, tox, matrix. Без понимания криптографии не получится обсудить эти штуки. К тому же не знаю, как тебя, а меня раздражает моё непонимание. И, например, мне было бы некофортно использовать ssl, не зная, как оно работает.

>>917
Понимать и реализовывать это две большие разницы. Собственно у тебя на первой картинке это и отображено и по неё же можно сделать вывод к чему это велосипедостроение приводит. Скорее всего, ты не изобретёшь чего-то лучшего, чем изобретено до тебя, если ты не всамделишный гений, в то время как если ты будешь пользоваться готовыми реализациями стойких алгоритмов, то скорее всего и результат будет хорошим. Другое дело, что хорошо бы понимать как эти алгоритмы работают и где их можно применять - но это прям базовая криптография и алгебра.

>>918
В первую очередь мне интересно понимать, что происходит. И мне кажется, что самый хорошо работающий способ понять штуку - самостоятельно сделать такую же. Я не замахиваюсь на революцию, конечно. Но и быть как пикрелейтед не хочу.

>>916
>проблему утечки через DNS
А что под этим понимать? Факт обращения к какому-либо ресурсу в сети регистрируемый провайдером как мониторинг DNS запросов? Ну решить такое можно только своим локальным (кеширующим) DNS сервером. Правда в таком случае провайдер всё-равно видит с какими IP ты соединяешься (ну или что к примеру используешь TOR)
>(ну и от части теоретических) методов по обеспечению конфиденциальности
Разговор с глазу на глаз при личной встрече.
Если всё-же брать удалённую коммуникацию - электронная почта с сообщениями зашифрованными закрытым ключом. Реализации, их несколько, на выбор. Ну или вплоть до "наколеночного" крепить запароленый архив, о пароле от которого и алгоритмах его последующей смены вы договорились по иным каналам. Ну и вплоть до напиши свой клиент со своей криптой. … правда сейчас в емэйл тоже повально просочилось - предоставь паспорт/иные удостоверения личности, массированное банилово не одобренных клиентов, вообще полупочта, когда доступ исключительно через веб-морду, блокировка передачи непонятных данных, в т.ч. запароленых архивов.
>>917
>Screenshot_20250510_122204….jpg
>подменой ключа (KCI)
К этому на самом деле очень много чего уязвимо. И это на самом деле счастье т.к. эта ОпенССЛ нынче в порядке вещей применяется против пользователя (например чтоб не посмотреть что там твой смартфон такое получает и передаёт удалённым узлам в интернете)(ну или любое ПО завязанное на работу по сети, впрочем второй тэзис нынче уже частенько не обязателен)

>>922
>Факт обращения к какому-либо ресурсу в сети регистрируемый провайдером как мониторинг DNS запросов?
Да. Ещё возможен интересный вариант когда ты спрашиваешь у одного DNS-сервера о отвечает другой. И вроде как это должен лечить DNSSEC, но, увы, далеко не везде он есть.
>Ну решить такое можно только своим локальным (кеширующим) DNS сервером.
Обычный резолвер в открытом виде обменивается в корневыми серверами, толку от него, если это всё видит провайдер. Надо это заворачивать в DoT, DoH или DNSCrypt (или ещё может куда-то, куда я не знаю). У каждого из которых свои особенности и из которых надо выбрать что-то по душе.
>Правда в таком случае провайдер всё-равно видит с какими IP ты соединяешься (ну или что к примеру используешь TOR)
Ну увидит он что я подключаюсь к одному из клаудфлёровых IP, на этом всё. Выводов из этого можно сделать не очень много.

>>924
>Обычный резолвер в открытом виде обменивается в корневыми серверами, толку от него, если это всё видит провайдер.
Ненулевой толк вообще-то есть.
К корневым серверам резолвер обращается раз в месяц (ну или как настроить, можно поставить и реже), ну и каждый раз если про конкретный DNS он ничего не знает.
Ну а на сайты ты при этом можешь ходить хоть по несколько раз за день.
Итого получается чтоб следить за твоей активностью нужно регистрировать именно пулы IP-адресов с которыми ты соединяешься (ну и/ли вообще анализировать твои TCP пакеты) ибо DNS запросов от тебя кот наплакал, да и то что есть своей дисперсией выдаёт, именно что работу сервера выполняющего циклические sync-фазы для поддержания когерентности сети.
>И вроде как это должен лечить DNSSEC
Или руками забить статичные привязки. Некрасиво, но в целом работоспособно ибо сервера не часто скачут с IP на IP.
-
Нет. Да конечно. Если тебе надо скрыть на уровне DNS запросов, что ты в принципе посещал когда либо какой-нить site-name.net то тут это всё не помощник.

>>925
>К корневым серверам резолвер обращается раз в месяц (ну или как настроить, можно поставить и реже)
По умолчанию в размер DNS-TTL, который обычно ни разу не месяц, а хорошо если час (на клаудфлёре той же 5 минут, кстати). И это даже имеет смысл - балансировщики CDN так направляют пользователей на менее загруженные узлы. Да и вообще это способ переключить поток пользователей на другой адрес (или пул адресов).
>DNS запросов от тебя кот наплакал
Это если ты ходишь на две с половиной страницы одни и те же.
>Или руками забить статичные привязки. Некрасиво, но в целом работоспособно ибо сервера не часто скачут с IP на IP.
Всякие контент-сервера, кросс-ссылки и прочее тоже руками забивать? А если завтра cdn.site-name.net сменится на static.site-name.net то что делать? И какова вероятность, что момент этого переезда останется незамеченным?
>Если тебе надо скрыть на уровне DNS запросов, что ты в принципе посещал когда либо какой-нить site-name.net то тут это всё не помощник.
Ну мне кажется, что стоит озаботиться возможностью надёжного и конфидециального доступа к этому site-name.net до того, как ты действительно туда захочешь сходить. Иначе получается, что для того чтобы туда сходить тебе нужно узнать и записать его IP, а он уже подменян.

Спору нет, днс-кеш это хорошо, удобно, полезно, снижается время перед загрузкой, но это не про то, всё-таки. И да, на мой взгляд лучше вместо принудительного кеширования на месяц подтягивать актуальные записи через prefetch.

>>926
>Это если ты ходишь на две с половиной страницы одни и те же
Ну или двестипятьдесят. Но да, ключевое - одних и тех-же.
>Всякие контент-сервера, кросс-ссылки и прочее тоже руками забивать?
Знаешь, в реальном поле я с таким крупняком не сталкивался.
Сейчас к примеру меня руками пришит nowere.net - его OpenNIC DNS почему-то резолвить не хочет. ещё недавно добавил warmandcozy.joinserver.ru (от местного ройстрой-вмпрл), его тоже резолвить не хочет и я тут просто IP сервера спрашивал, но в прочем мне оно не помогло т.к. у прова маршрутизация в направлении того IP сломана ещё оказалась. (и больше не те времена чтоб мочь с этим что-то сделать)
БЫвало такое с forum.ru-board.com такое происходило - у них случались периоды когда за домен оплата была просрочена (ну и домен ёк). Ещё с Рутором, Флибустой помню было, когда оно было ещё живое а DNS ещё использовал своего прова - да, в порядке РКН-блокировки выдавали фейк-IP.
Крупняк что ты описываешь - нет, благо не сталкивался.
>чтобы туда сходить тебе нужно узнать и записать его IP, а он уже подменян
Тут наверно задам несколько ключевой вопрос
про "подменян" ты имеешь в виду а-ля РКН блокировку, когда в место реального IP сайта штатный DNS прова выдаёт IP сервера-заглушки.
Или про вариант когда идёт мошенническая подмена на сервер содержащий фейковую версию сайта? (или фейк-прокси, что случается чаще т.к. такие злоумышленники типично интересуются только сбором персональных данных и/ли вставкой рекламы/вредоносных иньекций) - в таком случае скажу только совет - если есть такие опасения выспросить по иным каналам у целевой организации их пул IP и сверить (пингованием, трассировкой) на соответствие тому что тебе выдаёт "твой" DNS.

>И да, на мой взгляд лучше вместо принудительного кеширования на месяц
Я кстати не говорил о принудительном кешировании. Я говорил чисто про таймаут после которого локальный кешировщик начинает проверять когерентность записей в своей БД. (собственно за то про что ты начал свой пост, вон, упомянув что та-же Клауда делает это раз в пять минут (не знал кстати))

>>927
>Знаешь, в реальном поле я с таким крупняком не сталкивался.
Да это вообще повсеместно встречается. Заходишь на рутрекер - там три домена. Статические и динамические данные разделяют уже давно и довольно часто.
>Тут наверно задам несколько ключевой вопрос
>про "подменян" ты имеешь в виду а-ля РКН блокировку, когда в место реального IP сайта штатный DNS прова выдаёт IP сервера-заглушки.
>Или про вариант когда идёт мошенническая подмена на сервер содержащий фейковую версию сайта?
Разницы-то особой нет. Сегодня может стоять заглушка РКН, завтра - заглушка РКН с логированием (например, идентификатора яндекса, гугла, вконтакта, госуслуг или ещё черт знает чего, чем там статистику сейчас на сайтах собирают) а послезавтра - фейк-заглушка от РКН. Но по большому счёту разницы кто и на что подменяет нет, я говорю в общем случае о достоверности передаваемых данных.
>если есть такие опасения выспросить по иным каналам у целевой организации их пул IP и сверить (пингованием, трассировкой) на соответствие тому что тебе выдаёт "твой" DNS.
Проблема в том что я могу быть ещё не знаком с site-name.net и хочу зайти туда первый раз чтобы ознакомиться. У меня нет связей с его администрацией (да и у них нет особого доверия ко мне, чтобы давать свои адреса). Так вот, уже в этот момент, я попасть на fake-site.net. И простой резолвер тут меня никак от этого не защитит, потому что обычный протокол DNS никак не гарантирует достоверность данных. Резолвер будет спрашивать запись у OpenNIC, а отвечать ему будет провайдер, РКН или гипотетический нарушитель посередине.

Я эту ветку и поднял потому, что про эту проблему почему-то все забывают. Я, конечно, догадываюсь почему - в популярных браузерах сейчас по умолчанию вроде включен DoH, но тут уж вопрос насколько каждый готов передавать данные о всех своих посещенных адресах условному гуглу. Да и не одним браузером ограничен интернет. А винду я упомянул в том посте по той причине, что её резолвер шлёт DNS запросы сразу на все интерфейсы. Сидишь ты за своим впном, а днс-запросы (в открытом виде) идут на открытый интерфейс провайдеру.

>в том что я могу быть ещё не знаком с site-name.net и хочу зайти туда первый
Что-ж. В таком случае проброс DNS через прокси, Socks-прокси типа TOR или i2p, DoH (DNS завёрнутый в HTTPS). Да, ни один не гарантирует ни стабильной работы ни вообще безопасности от подмены (просто исходя из за редкости применения тех или иных штук из данного списка, а соответственно наличия на стороне условного провайдера оборудования способного совершить подмену)(не говоря уже о том, что все эти штуки - свои системы частного характера живущие отдельно от общей сети)
И тут опять-же всё сводится к ВПН с шифром с закрытыми ключами до узла окружению которого есть доверие.
После этого останется только блокировки портов (чтоб вообще перекрыть возможность такого вида доступа), хотя, скорей до. Скорей, у меня есть последнее мнение именно такую хрень начинают внедрять уже сейчас.
>по умолчанию вроде включен DoH
Да вроде нет. В срезе чистого Chrome и Firefox. (Надо-бы перепроверить по чистому…) Если да…с другой стороны это уже другая дыра в безопасности т.к. DoH - это частная лавочка Мозиллы (ну и вопроса насколько ты доверяешь тому, что они тебе выдадут, и что они там собирают/не собирают и для чего)
Правда в таком срезе сейчас при сомнениях есть ещё вариант вручную получить ответы от разных систем и принять личное решение на основе собранных данных.
>винду…что её резолвер шлёт DNS запросы сразу на все интерфейсы
А с другого боку, сейчас даже не знаю, есть ли под винду фаерволы способные решить эту задачу. …просто дома оная у меня стоит только на игровом ведре и там отвечать на DNS-запросы может только Станция, имеющая выход в интернет (Если на ней интернет для локалки в данный момент вообще разрешён).
Да, согласен, в *nix сиё эффективно решает почти "штатный" iptables.
…
Вообще знаю proxyfier (программа такая в т.ч. для Win10, способная хукать socks часть WinAPI и загнать софт в прокси не умеющий в этот самый прокси) Им такие вещи в общем можно решать. Включительно как побочной функцией изолировать какой program_name от общей сети, или вообще от сети.