- A hozzászóláshoz be kell jelentkezni
- 4336 megtekintés
Hozzászólások
na, majd oket is bedaralja az NSA.
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Jo lenne mar tenyleg valami ertelmes (NSA biztos) TrueCrypt-fork.
- A hozzászóláshoz be kell jelentkezni
Remélem a rebrandelésen kívül más is fog történni. Vajon a hozzáadott kód is lesz olyan minőségű, mint az eredeti?
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Remek. És mi a garancia, hogy tiszta forráskódból dolgoznak?
- A hozzászóláshoz be kell jelentkezni
Ahogy mondani szoktam: "Csak olyan programban bizok amelyiket en irtam"
Ott lesz a forraskod. Barki atnezheti. Ha olyan van akkor ki is vehet (NSA-) modulokat belole, aztan fordithatja maganak. Senki sincs kotelezve eloforditott binarisok hasznalatara.
- A hozzászóláshoz be kell jelentkezni
Jogos, csak pont te írtad, hogy csak abban bízol, amit te írtál.
Tehát nekem is át kellene nézni a forráskódot, majd az alapján dönteni. Nyilván se hozzáértés, se idő nincs rá.
Átfutottam az oldalt, hogy honnan szedték a kódot, de nem találtam róla infót. Az lett volna kicsit megnyugtató, ha az auditot végző prof végül kiad egy közleményt, hogy az általa vizsgált kód minden szempontból tiszta és azt a kódot a leendő forkok rendelkezésére bocsájtja. Persze nyilván őt is megvehették/megzsarolhatták megfelelő helyről, hogy mit ne vegyen észre. Szóval gémóver.
- A hozzászóláshoz be kell jelentkezni
Azert, hogy ha kapcsolatban allnak veluk akkor biztos nem azt fogjak irni, hogy a kod szarmazasi helye a National Security Agency.
Amugy meg ha a TrueCryp-tben is vannak NSA szamara fenntartott kiskapuk, akkor sem hiszem ,hogy nyiltan beleteszik abba a forraskodba ami mindenki szamara olvashato. A binarisban mar mas kerdes, hogy azon belul mi van.
- A hozzászóláshoz be kell jelentkezni
> akkor sem hiszem ,hogy nyiltan beleteszik abba a forraskodba ami mindenki szamara olvashato
Nem, a manyeyeballs nem dolgozik olyan gyorsan. Mire megtalálnak egy hibát, évtizedek telhetnek el.
- A hozzászóláshoz be kell jelentkezni
Főleg ha célzottan nem is keresi senki!
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Naná, de a manyeyeballs lényege, hogy célzottan senki nem keresi (azaz pl. nem kap azért pénzt valaki, hogy auditálja a kódot, mert ezt ugye zárt forrású cuccokkal is megteheti a gyártója), hanem előbb-utóbb észreveszi valaki. És tényleg. De főleg utóbb. :)
De mindegy, a TCnext-es arcok állítólag célzottan auditálnak, ami saját bevallásuk szerint is még mindig "ongoing" folyamat, pedig van már TCnext egy ideje. Mi a garancia arra, hogy tényleg csinálnak valamit? Mi a garancia arra, hogy az NSA még nem vette át az egészet, és fogja majd azt mondani, hogy az audit nem talált backdoort? Mi a garancia arra, hogy nem eleve az NSA kezdte a projektet? Stb.
tl;dr attól, hogy lehetőséged van auditálni a kódot, még nem lesz hozzá automatikusan erőforrásod/szakértelmed is
- A hozzászóláshoz be kell jelentkezni
Nem feltétlen neked kell auditálni a kódot. A kód elérhető. Megfizethetsz egy hozzáértőt, hogy auditálja neked. Ha nincs pénzed, csinálhatsz rá egy közösségi finanszírozási kampányt és az érdektársaiddal együttműködve megteremthetitek az alapján az auditnak. Ezernyi lehetőség van.
https://twitter.com/matthew_d_green/status/472395898597556225
A nyílt forrás nem arról szól, hogy minden ingyen van. Ja és a nyílt forrás az nem kötelezvény. Senki sincs kötelezve az auditálásra. A nyílt forrás egy lehetőség, amivel lehet igény esetén élni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
(paranoia-irónia on)...majd megfizetsz/közösségifinanszíroztatsz egy másik szakértőt, hogy auditálja, hogy a Nálad lévő bináris ennek a kódnak megfelel-e?
Emiatt inkább nem a binárist használod, hanem magad fordítod forrásból.
Akkor viszont kell egy még drágább szakértő, aki megvizsgálja, hogy a fordítóprogramod nincs-e megbabrálva és valóban azt állítja elő a forrásból, amit kell. Utána pedig elégedetten hátradőlhetsz, hiszen biztos lehetsz benne, hogy az operációs rendszeredben nincs olyan "furcsaság", amely a truecryptben található "furcsasággal" (nem hiba, ezért a szakértőd nem veszi észre...) együtt képez veszedelmes kombinációt... s.í.t.
A processzorod mikrokódjában található tisztességtelen szándékú kód pedig csendben teszi tovább a dolgát...
(paranoia-irónia off)
Mai ajánlott olvasmányunk:
Friedrich Dürrenmatt: A MEGBÍZÁS, AVAGY A MEGFIGYELŐK MEGFIGYELŐJÉNEK MEGFIGYELÉSÉRŐL
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Én nem, mert én nem töltöm az időm ilyen dolgokkal. Viszont aki szeretne ezzel foglalkozni, annak megvan erre a lehetősége. Ha nincs is 100%-os biztonság, én ettől függetlenül üdvözlök minden olyan dolgot, ami a biztonság fokozását célozza, vagy elősegíti azt.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A könyvet mindettől függetlenül ajánlom mindenkinek!
(Persze a Fizikusokat se hagyjátok ki!)
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
"nem hiszem ,hogy nyiltan beleteszik abba a forraskodba ami mindenki szamara olvashato. A binarisban mar mas kerdes"
Az lenne a tuti lebukas. :)
- A hozzászóláshoz be kell jelentkezni
> Ott lesz a forraskod. Barki atnezheti.
Istenemmá'. Ha mindig kapnék egy dollárt, amikor valaki ezt mondja, megvehetném belőle a Google-t.
Nem. Tévedsz. Ott lesz a forráskód, és elméletileg bárki átnézheti. Ez olyannyira igaz, hogy a TCnext-nél _csapatosan_ álltak neki auditálni a kódot, mégsem jutottak kb. semmire. Ha akár csak messziről láttál volna valaha programkódot, akkor tudnád, hogy egy ilyen "fussuk át backdoorok után kutatva" az k*rva sok embernap, amit ki fog fizetni? Te? Vagy neked, személy szerint pehsa-nak megvan az ideje és szakértelme, hogy egyedül "átnézze" a kódot, és megtalálja benne a biztonsági réseket?
Ha ez így lenne, akkor nem találnának 20+ éves backdoorokat mondjuk az X-ben.
> Ha olyan van akkor ki is vehet (NSA-) modulokat belole
Az tuti, mert biztos úgy lesz elnevezve a backdoor, hogy NSA_BACKDOOR_DO_NOT_REMOVE.c... :)
- A hozzászóláshoz be kell jelentkezni
Nem azt mondtam, hogy en magam napi 24 oraban ilyeneket csinalok. Csak valaszkent irtam, hogy van ilyenre lehetoseg. Ha nagy projektrol van szo akkor meg igen, ott van a TCnext meg egyebek, akik ezt csinaljak. Am mivel nem tudunk semmit arrol, hogy naluk a hatterben mik folynak, igy meg a kijott eredmenynek sem hihetunk 100%-osan.
- A hozzászóláshoz be kell jelentkezni
"Ott lesz a forraskod. Barki atnezheti."
At, csak azt ne felejtsd el, hogy a kod hibamentessegerol meggyozodni minimum egy, de inkabb ket nagysagrenddel tobb munka, mint megirni.
"Csak olyan programban bizok amelyiket en irtam"
Jo annak, aki sosem hibazik. A vilag maradek 100.000%-a sajnos erre nem kepes.
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni
Ha magamnak megirom es forditom a programot, valamint nem vagyok olyan hulye, hogy mindenkinek megosszam a forraskodot, akkor szerintem EN magam megbizhatok az adott programban.
- A hozzászóláshoz be kell jelentkezni
Feltéve, hogy nem lesz benne egy akkora biztonsági rés, amin átfér egy csillagromboló is.
- A hozzászóláshoz be kell jelentkezni
Honnan tudod, hogy biztonsagos az a kod?
- A hozzászóláshoz be kell jelentkezni
hasznalta az erot! :D
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
sub
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
úgy emlékszem, truecryptet marha nehéz volt fordítani. ha ez már gondtalanul fordul, egyel jobb.
tc-nél nem ismertünk senkit,
(gyönyörűen megmaradt ez a történet elejétől a végéig, nem kizárt hogy 50-80 év múlva feloldják az aktáját) ;)
ha itt esetleg ismerünk majd valakiket, kettővel jobb.
truecrypthez még: próbálta valaki utánuk csinálni, hogy népszerű szoftvert ennyire névtelenül frissítget (akár fele) ennyi ideig?
- A hozzászóláshoz be kell jelentkezni
+1
Már az is nagy dolog lenne, ha lenne egy forrás, amit letöltök, kiadok egy configure és egy make-et, aztán elkészül aminek el kell készülnie.
Amúgy (kisemberként és szerintem) semmi baj nincs a truecrypt 7.1a-val, jó az még egy ideig...
- A hozzászóláshoz be kell jelentkezni
Nem nagyon értem én ezt. Van forrás, letölthető, nálam (FreeBSD) ports-ból telepíthető - azaz mondok egy make-et, és kész. (Ha a nem támogatott FreBSD-re ezt meg lehet csinálni, akkor nagy eséllyel a támogatott Linuxon is menni fog :-) )
- A hozzászóláshoz be kell jelentkezni