A web túltitkosítása

Fórumok

Néhány éve, többek között a Google ráhatásának köszönhetően, tapasztaljuk azt az idealizmust, hogy egyre több weblap vált át teljes titkosításra, ami alatt azt értem, hogy minden egyes elérhető elem SSL csatornán (HTTPS) kell letöltődjön.

Bár a titkos csatornára erőltetett információknak csak elenyésző hányada igényel titkosítást, a legkényelmesebb és a legjobban marketingezhető opció nyilván az, hogy "hát akkor barátaim, titkosítsunk mindent". Az ingyenes tanúsítványszolgáltatókkal (mint a Let's Encrypt) ez pedig egyre inkább felgyorsult.

Az eredmény pedig minden háztartásban érezhető, még ha havi pár forintról van csak szó a villanyszámlában, akkor is, ugyanis az oda-vissza titkosításnak, processzortól függően, lesz egy szép kis overhead-je, a számítási kapacitástól függően.

Kérdezem én, mi értelme titkosítani azt, hogy ...

  • milyen cikket olvasok a HWSW-n?
  • milyen képek tartoznak az olvasott cikkekhez?
  • milyen videót nézek a YouTube-on, vagy a Vimeo-n (igen, még a streaming URL is HTTPS-en jön le, tehát maga a videó is titkosítva lesz, ami az esetek 99%-ában úgyis publikus)?

Nem lenne egyszerűbb, ha ...

  • csak azokat a részeit titkosítanánk a webnek, amiket valóban szükséges? Pl. bejelentkező felületek, kommentelő szekciók (iframe-ben, vagy bármi más JS által támogatott cuccban) stb. ?
  • nem sújtanánk büntetőpontokkal azokat a weboldalakat, melyek szeretnék titkosítás nélkül szolgáltatni azon részeiket, melyekből nem nyerhető ki személyes információ (cikkek, képek)?
  • nem hagynánk ismételten, sokadjára cserben azokat, akik régebbi operációs rendszert használnak?

Hozzászólások

Teleszemeteled a hupot, tiszta bloat lesz így.

Popcorn bekészítve, ez megint jó lesz :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

De a popcorn ilyen vadkapitalista hajtás. És egyébként is, tisztában vagy te azzal, hogy mennyi EXTRAPROFIT van a pattogatott kukoricán? A pattogatott kukorica gyártóknak egy egész évig kellene téged etetniük!

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ahhoz egyébként mit szólnál, ha valaki kiderítené, hogy hol laksz, meglátogat, és úgy betörli a képedet, hogy a kórházban rakják össze újra?

Mégcsak véletlenül se értsd úgy, hogy ilyen szándékom van, én nagyon jól szórakozom. Csak tudod, sokféle ember van mindenhol, és volt már precedens hasonlóra. Csak arra akarok kilyukadni, hogy vicces, meg szórakoztató a trollkodásod, csak egy idő után nehogy bajod legyen belőle.

Hát ha most precedenst kell keresnem, akkor a deberecen.lame.hu eset jut eszembe. Ha jól emlékszem, a verekedők húzták a rövidebbet és amilyen alfahímet adtak elő, legalább annyira voltak egységsugarú lúzerek, hogy videót csináltak róla, felrakták, aztán meg csodálkoztak, hogy eljárás indul ellenük.

Válaszolva a kérdésedre, nem gondolom azt, hogy bárki venné a fáradságot kiderítené a címem, csak azért, hogy eljöjjön, megverjen, mindenféle pride nélkül, amivel a primitív alfahím büszkeségét a HUP közönsége előtt bereklámozhatja. Ha pedig bereklámozza, akkor ő húzza a rövidebbet, tehát nem éri meg.

Egyelőre attól jobban félek, hogy ha kihoznám a szoftvereim, akkor jönnének a bérgyilkosok, vagy a verőlegények, szoftvermultiék extraprofitját biztosítandó.

A C struktúrált assembly, a C++ nem rossz, de kell hozzá framework.

Lyézus.

Apropó, HolyC-t nézted már? Tudod, amiben a TempleOS-t írta a hozzád hasonló figura. Na, az nem bloat, hiszen Isten megmondta neki, hogy 640x480 és 16 szín mindenre elég. Garantáltan fut a P3-as gépeden.

Olvastam már pár hozzászólásod, és egyszerűen nem tudom eldönteni, hogy egy elképesztően elszánt troll vagy, vagy tényleg komolyan gondolod, amiket írsz.

Nem kell ahhoz munkanélkülinek, esetleg munkaképtelennek lenni, hogy valaki ne akarja megérteni a magántulajdon és mondjuk a verseny fogalmát, kifejezetten sikeres művészek, ritkábban, de léteznek olyan üzletemberek is, akiknél valami beakadt. A meglepő és kevésbé felismert tény, hogy akármilyen téves is legyen valakinek a nézete egy területen, más területeken még lehet közel zseniális, a képességek ugyan közel egy szinten szoktak lenni egy-egy esetben, de lehetnek nagyon távoli pontjaik is egymástól, lásd még kommunikációra képtelen matekzseni sztereotípiának alapját, vagy az üzletileg penge de érzelmileg 0 tőzsdeügynök.

Csak az érzelmileg 0 tőzsdeügynökök erőltetik a versenyt.

Akinek van szíve és lelke, az tudja, hogy a verseny csak egymás taposásához vezet. Sokkal jobb a kooperáció.

Aki nem az érzelmileg 0 tőzsdeügynökökhöz akar hasonlítani, az a közjót szolgálja, amennyire teheti, a nagy versenyzésen túl. Például támogatja a Windows XP-t frissítésekkel és Let's Encrypt-et is behozó WinSSL-lel.

A verseny az élet része. Mondhatni a motorja. Az egész evolúció egy nagy verseny, de az életben maradás ezen a bolygón verseny mindennel és mindenkivel. A verseny kíméletlen? Igen. Egy győztes van, nem több. A második helyezettől kezdődik a vesztesek névsora. A verseny szükségszerű. A versenyt lehet keretek/szabályok közé szorítani. De a versenyt kiiktatni utópia.

A legnagyobb probléma, hogy mint egy próféta úgy mondod ezeket, ez így nem állja meg a helyét semmilyen mércével. A versenyt nem kell eröltetni, az VAN. Aki elfogadja, és eszerint cselekszik nem csak 0 érzelmi intelligenciával rendelkező elmebeteg lehet, ahogy te állítod, szerintem ha abbahagyod a sarkítást, te is találsz egy rakás embert magad körül, aki tevékenységével a verseny részese (súgok: kb. majdnem mindenki), és hasznos, amit tesz. És hasznos ahogy teszi. Erre te fogod magad, rász@rsz, és nulla felmutatott érdemmel felsőbbrendűséget hirdetsz. Ezek után ne várd el, hogy az alantos nép, akinek prédikálsz tiszteljen.

A viselkedéseddel, azokkal a válaszokkal amit adsz, illetve azzal, hogy nem adsz válaszokat, nem azt mutatod, hogy egyenlő félként kezelsz minket. És közben nyiltan leírtad, hogy szerinted mit kéne kötelezővé tenni cégeknek, ez után a "bárki megteheti" nem egészen korlátlan idejű ígéret.

Trollnak nagyon kifinomult, és meg kell hagyni, mond érdekes dolgokat is, pl. én se tudok most amellett érvelni, hogy a hup .css-e miért legyen https-en keresztül letöltve, max azt, hogy elvi szinten ez alapján is monitorozható az, hogy mit olvasok.

Ettől függetlenül az idealistázása gyakorlatilag szitkozódás, tényekkel nem áraszt el minket (harmadik féltől származókkal), versenyt, erőfeszítést nem vállal, csak hangoztatja az elméleteit / véleményét, amihez joga és lehetősége van, ahogy nekünk is nem olvasni.

(És már látom előre, ahogy közösségi összefogásban megszületik a hupper kiegészítőben az a funkció, ami nem csak a comment-jeit rejti, hanem a fórumról a témákat, amiket létrehoz.)

Pontosan, de ez is a vadkapitalista böngésző idealista szabálya, aminek csak az az értelme, hogy elvakítsa a proletariátus becsületesen dolgozó tagjait, gyakorlati, tudományos haszna és indoklása nincs, csak a fogyasztást gerjesztő gépezet újabb fogaskereke!

(egyébként az, hogy a böngésző készítője így akarja, az nem indoklás :), az egy tény)

Enforced security. Jobb az, ha két extra css lejön feleslegesen titkosítva, mint hogy figyelmetlenségből, vagy tudatlanságból nem az se, aminek kéne. A tudatlanságra pedig látunk itt példát bőven, hajbazer a hwsw-t se titkosítaná, ahol ott a login űrlap :)

Egyébként css-en keresztül is lehet visszaélni, tegyük fel a szolgáltatód úgy dönt, hogy reklámokat injektál vele az oldalba. Eléggé elképzelhetetlennek tűnik, de nem az, valami hasonlóval találkoztam is, bár nem szolgáltató a felelős: Egyik kedvenc kávézómban tapasztaltam ilyesmit, használom a feedly-t, ami erősen webes technológiákra épít, valami feedbe bekerül valami extra reklám kód, és hirtelen tolja az arcomba, hogy vírusos a telefonom, ajjajmilesz... Semmi se lett, azóta nem használom azt a netet, és nincs ilyen... A tény viszont hogy nem jó, ha a kommunikációba bele lehet piszkálni akkor sem, ha semmi érzékeny adat nem kering épp.

Igen, de ez így nem optimális, ha csak ez az indoklás. Ez csak hibatűrőbb (programozó elfelejti berakni a titkosítandót a titkosítottak közé, ez maga a hiba). Abban van valami, hogy a jquery library feleslegesen töltődik le https-en, vagy a youtube videó, ami publikus. Youtube le tudná kezelni, hogy ami viszont nem publikus linken van, az https-en menjen.

(Nem, nem térített meg, csak ebben most lehet részben igaza van.)

"Abban van valami, hogy a jquery library feleslegesen töltődik le https-e"

Nem feleslegesen. Megintcsak. Man in the middle attack. Ráadásul egy közismert library, amibe még könnyebb becsempészni valamit. Tegyük fel egy extra kódot, ami amellett, hogy a szerverednek küldi el a bejelentkezési adatokat, elküldi a rosszindulatú félnek is. Onnantól hiába https minden más az oldalon.

Nem optimális? Az attól függ, mi a célfüggvény.
Nyilván van (legalább) egy f(x,y,z,p,q,...) függvény, ahol x a befektetett fejlesztői munkaórák száma, y a látogatók gépein napi átlagban felhasznált órajelek száma, z az esetlegesen kikerülő érzékeny adatok kikerülése esetén okozott veszteség, p a fórumokon emiatt elb...ot idő, q az átlagjúzer vérnyomásának emelkedése, stb. stb.

Az optimalizálás az, hogy keressük ennek az f függvénynek a minimumát vagy a maximumát.

Nem hogy a függvényt, de szerintem még a változók számát sem ismered. Így azért elég merész dolog nyilatkozni arról, hogy mi az optimális és mi nem.

No persze lehet olyan célfüggvényt megadni, amire az jön ki optimumnak, hogy mindenki dolgozzon napi 20 órában egy marék rizsét, és azt csinálja, amit én mondok, az összes haszon meg legyen az enyém, csak ebben a célfüggvényben vélhetőleg nincsen benne kellő súllyal, hogy az agyonütésem várható értéke alacsony legyen :)

Szóval az, hogy neked a mai napi célfüggvényed alapján ez nem optimális, attól bizony lehet, hogy másoknak az ő saját célfüggvényeik alapján az. Sőt még az is megeshet, hogy ha az emberiség minden tagjának a saját célfüggvényét normalizáltan összeadjuk, akkor az így kapott célfüggvény szerint is optimális.

Nem volt jó választás az optimális szó, azt akartam megfogalmazni, hogy nem egy másképp sehogyse megoldható problémáról van szó, ami miatt a https szükséges (pedig de), hanem egy workaround-al ha már úgyis ki tudjuk felejteni, rakjuk rá mindenre megoldás lett választva, amivel az is titkos lett, aminek nem volt szüksége rá (megintcsak, man in the middle attack miatt leírtakat felülbírálnám).

"mindenki dolgozzon napi 20 órában egy marék rizsét"

Ha elolvasod a többi hozzászólásom, főleg a kapcsolódó XP-s topic-ban akkor láthatod, hogy nagyon nem erről beszéltem, sőt, pont ugyanerre a problémára próbáltam hajbazer figyelmét irányítani.

No igen... és ez a hozzáállás az idealizmus. Holott egyébként az érzékeny információk nagy része nem szorul titkosításra. Ezt tartalomkezelői oldalról kéne lekezelni, és nagy valószínűséggel beis férne a mostani architektúrába: minden olyan tartalom, ami csak bejelentkezéssel érhető el, lehet titkosított. Máris leszűkülne a HTTPS olyanokra, mint tartalom beküldése, hozzászólás, adatlap szerkesztése, üzenetküldés stb. Ahogy egyébként a józan ész megkívánná.

A programozó/rendszergazda plusz munkáját is megfizeted, akár az oldal használójaként is?

Amennyiben számomra érdekes az oldal és biztosítanak rá lehetőséget (PayPal-on és nem többletfogyasztásra ösztönző reklámokon, meg értelmetlen promóciós termékeken keresztül), akkor igen.

Ki vállalja a felelősséget, ha a kínai nagy tűzfal monitorozó scriptet kezd belerakni minden titkosítatlan jquery.min.js-be?

Aki belerakta.

3 hangsúlyos pont:

1 - megparancsolhatom / elvárhatom / számonkérhetem az "extraprofitot" szerző cégek vezetőitől, hogy azt csinálják amit én, tapasztalat nélkül jónak látok, hisz a rendes profit (???) szintje felett keresők lekötelezettjei a társadalomnak, én pedig a társadalom szószólója vagyok

2 - én magam nem vállalok kockázatot, nem indítok saját tevékenységet, mert a genyó óriások eltipornának, a megvezetett buta tömegek nem ismernék fel zsenialitásomat, és ez nem azért van, mert nem tudok alapvető szinten se kommunikálni, és mert itt is idealistázással és egyéb módokon sértegetek mindenkit, hanem mert valami egyelőre nem részletezett gonosz erő (talán a verseny szelleme) elvakított mindenkit, kivéve engem

3 - adatokra nincs szükségem, hisz bárki kéri tőlem, hogy tényeket mutassak, csak az ellenség ügynöke, az elképzelésem önmagában tény, felül áll a kritizálható ideológiák posványos tömegén

figyelj, a f@sz3rt reagáljunk neked bármire is érdemben?
ott van egy rakás érdemben-reagálás a fórumon
amivel nem is törődtél
vagy rádobtál egy sablon bloat vagy akármilyen szöveget mintsem hogy válaszoltál volna.
Ha megoldottuk egy problémád akkor kitaláltál egy semmitmondó újat.

Szóval miért fárasszuk magunk érdembeli válaszokkal mikor úgysem foglalkozol vele?
Csak a magunk szórakoztatására szivatunk oda-vissza! :D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Rád nem lehet érdemben reagálni, mert nem tudsz érdemben állást foglalni semmiben. Ha valaki a nyitó posztodra érdemben reagál, akkor gyorsan változtatsz - neked kedvező módon - a paramétereken és odadobod az asztalra, hogy: Na tessék! nincs igazad! Hülye vagy!

Következetlen vagy, egyszer megállítanál minden energiafelhasználást, egyszer meg kijelented, hogy nem a te dolgod...döntsd már el végre, hogy mi a bajod! amíg te sem tudod, mi fáj, addig az orvos is csak hümmögve tudja az idejét rád pazarolni valami egyéb, hasznos dolog helyett!

Egy fontos kérdés kimaradt: "Ki vállalja a felelősséget, ha egy fontos oldal kimarad?"
Én ha biztonsági tanácsadó lennék egy banknál, kiszámolnám, hogy mennyi károm van abból, ha valami kimarad, és hogy mennyi károm van abból, hogy mindent titkosítok. A userek 99%-át úgysem fogja ez érdekelni, 70 %-ának meg már olyan proci van a gépében, ami hardveresen megbirkózik a titkosítással.
Így minden oldal menne titkosítás alá.

Ki vállalja a felelősséget, ha a kínai nagy tűzfal monitorozó scriptet kezd belerakni minden titkosítatlan jquery.min.js-be?
Aki belerakta.

Ezzel a hozzáállással ne menj el marketingesnek, mert abban a pillanatban ügyfeleket veszítesz. Döntéshozónak se menj el, mert akkor meg járhatsz a bíróságra.
TE is felelős vagy érte, mert nem tettél meg mindent, hogy elkerüld a bajt.

Nota bene én vagyok a hülye, hogy még ezt a topicot olvasom.

Köszönömabókot.

A CSS mellett egyáltalán nincs érv. Kivéve az olyan eseteket, amikor tényleg beleinjektálnak kódot és az egy működő böngészősebezhetőséget használ ki. Azonban az ilyen trükközések a gyakorlatban nagyon ritkák.

Ennél azonban sokkal fontosabb, hogy multimédiás tartalmakat (képek, videók), design elemeket és JS kódot miért kell letitkosítani. Amik a forgalom nagy százalékát adják.

Az is nagyon ritka, hogy nyílt wifi hálózaton szándékosan hajtóvadászatot indítanak az arra feltévedő emberek ellen úgy, hogy a HTTP response-okba injektálnak a telefonjukat/laptopjukat feltörő kódokat. Ehhez rengeteg utánajárás és a használt platformok alapos ismerete volna szükséges.

Az idealistázásom pedig azzal magyarázható, hogy idealizmus az, ha egy honlap minden szegmensét titkosítjuk csak azért, hogy az esetek 0,0001%-ában előforduló támadásoktól védjük, mint például a nyílt hálózatos kódinjektálás. Ha botnetet akarok építeni, nem a sarki cukrászda elé parkolok KALI Linux-szal (el se indulna P3-ason:P), hanem feltöröm a hwsw.hu-t és belerakok egy javascript kódot, ami elindítja a botot minden látogató gépén. Az pedig HTTPS-en is ugyanúgy átmegy.

"Az is nagyon ritka, hogy nyílt wifi hálózaton"

HAHAHA. Ne tegyél már ilyen kijelentéseket.

Minden kezdő hekker pistike szórakozása beülni plázákba kamu ingyen hotspotokat nyitogatni, figyelni a forgalmat. Nem mondom, hogy napi szinten látok ilyeneket, de azért előfordul.

És személyesen találkoztam egy olyan wifi hálózattal egy kávézóban, ami reklámokat injektál az oldalba. Lehet, hogy nem kártevő, de bosszantó.

A többire más kommentekben válaszoltam.

" idealizmus az, ha egy honlap minden szegmensét titkosítjuk "

A szó amit keresel: Elővigyázatosság. Az idealizmus pont az lenne, ha nem titkosítanánk, hiszen egy ideális világban nincs szükség rá.

"az esetek 0,0001%-ában előforduló támadásoktól"

Konkrétan kérem a statisztikát ami alapján ezt összeadtad. Ha nem tudsz, akkor csapj a kezedre amiért tényként közölsz egy számot, amire bizonyítékod nincs.

Nem szükséges fake hotspot a forgalomfigyeléshez, lentebb ki is fejtettem https://hup.hu/node/153022?comments_per_page=9999#comment-2088425
hogy elég egy buta android meg egy pár-megás sniffer prog aztán felcsatlakozni és már meg is van a HTTP titkosítatlan adat!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

"Az is nagyon ritka, hogy nyílt wifi hálózaton szándékosan hajtóvadászatot indítanak az arra feltévedő emberek ellen úgy, hogy a HTTP response-okba injektálnak a telefonjukat/laptopjukat feltörő kódokat."

Én fellőnék a gépemre egy free wifit "KFC" néven, és lokálban proxy-znám a kéréseket, és cserélgetném a js fájlokat. Ez nekem nem tűnik agysebészetnek.

GYSEV -nél nincs még jóváhagyás sem, felkapcsolódik és van net! (már amikor net is van)
De egyébként sem tűnne fel kb. senkinek hogy nem kéri a jóváhagyást MÁV esetén.
Ráadásul a legtöbb ember bekapcsolt WiFi-vel szaladgál ami úton-útfélen felkapcsolódik mindenre ami meg van jegyeztetve...

Innentől meg elég beülni az akármelyik pályaudvarra, csinálni egy GYSEV vagy MÁV wifi azonos nevű hotspot-ot és boldog-boldogtalan automatikusan rajta is van.

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

mondtam már, ha X oldal csak HTTP és van egy belépő-form akkor már sniffeléssel meg is van minden ami a belépéshez szükséges,
két kattintással később pedig bent van a sniffelő és olvassa a leveleid,
szerintem ez kicsit komolyabb mint a keresési eredményeid, erre az esetre igenis kell pl. a VPN

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Akkor hogy értsd mire gondolt a kollega: ha a nyitóoldal http és van rajta belépő form, akkor ott mi akadályoz meg bárkit is, hogy az action részt átírja a saját igényeinek megfelelően (ott már hiába mutat https-re az action). A végfelhasználó ugyanis nem fogja a form forráskódját túrni, hogy vajon helyes-e az url.

"Akkor már csak egy kérdés: a böngésző címsorában melyik címet írnád ki: http vagy https? "
Tehát, fordítok: te mit csinálsz?
Erre azt válaszolod: "A címsorban birkáék "www"-vel kezdenek."
Ugye nem sértődsz meg, ha azt gondolom, amikor rólad kérdeznek, magadról válaszolsz?

plsz szimplán nem csak egyszerűbb de érthetőbb a szimpla felhasználónak és a fejlesztőnek is hogy vagy titkosítva van az egész vagy nem! Senki nem akar azon sakkozni hogy akkor ezen vagy azon az oldalon most mi van titkosítva mi nem!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

majd ha kitanultad a szakmát meg felhúztál annyi weboldalt mint én vagy bármelyik webes itt
akkor lesz jogod eldönteni mennyire idealizmus vagy mennyire életszerű és kézenfekvő/logikus a fent említett módon történő beüzemelés! :D Nincs benne gyakorlatod nincs is rálátásod szóval nem is igazán tudod miről van szó!
addig meg maradjunk annyiban hogy mi értünk hozzá te meg nem (is fogsz)! ;D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

De te nem tudsz programozni,
a kutyának sem kellesz mint munkaerő
ezért kérsz minket hogy segítsünk a neked, hogyan bányászhatnal össze annyi aprópénz amitől legalabb éhen nem halsz ;)!

Van itt egy rakás webfejleszto és programozó aki dolgozik és csak egy munkanélküli birka, ez mindent megmagyaráz, mi tudunk te meg szrt sem! :D
--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

"én se tudok most amellett érvelni, hogy a hup .css-e miért legyen https-en keresztül letöltve"
Én igen. Inkább legyen minden titkosítva, mint véletlenül valami kimaradjon, aminek kellett volna lennie.
Értem én, hogy ha egyedül vagy otthon, és ruha van rajtad, az bloat, de valahogy mégis, nem árt, ha mondjuk egy tüzeset miatt nem egy szál nem túl őszinte mosolyban menekülsz ki az utcára :P

"nem hagynánk ismételten, sokadjára cserben azokat, akik régebbi operációs rendszert használnak?"

Nincsenek cserben hagyva, olvasgassanak régi elavult weboldalakat...

"nem sújtanánk büntetőpontokkal azokat a weboldalakat,"

Nem hát..

"csak azokat a részeit titkosítanánk a webnek, amiket valóban szükséges? "

Nem, több kóder idő, több gépidő, több atomerőmű, 2 cunami +1 fukusima,
Te tényeg sugárfertőzést akarsz?

azért elképzelem hogy még lehet 86-ost tankolni meg 2T-t a kutakon, mert ugye ha topiknyitón múlna még ez lenne, meg analóg tv, vhs és a többi, nem is értem a topok indítód, hogy amikor meghúz egy vonalat akkor miért a vonalon felülről hisztizik hogy milyen jó alatt? ez már nem az első ilyen hülyesége

én már alapvetően azt nem értettem miért gondolja hogy ő meghúz egy vonalat és akkor mindenkinek az kell legyen a mérce...

Mondtam neki egyszer hogy na akkor én meg meghúzom a C64-nél és ő akkor ahhoz igazodjon, na az nem tetszett neki, de nem értette meg az iróniát és a paródiát a dologban! :D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

50 oldal digitalmech nyáladzás incoming in 3..2..

Valahogy tudtam, hogy ez megint a te muved...

--

"You can hide a semi truck in 300 lines of code"

Nagy tudomány kellett elolvasni a nulladik sort.

Értlemes reakciód is van, vagy csak azon lovagolsz, hogy egy számodra unszimpatikus karakter nyitotta a topikot?

Bár nekem a te nicked nem rémélik, sem az, hogy bármit ártottam volna. Tehát elég valószínű, hogy csak a birkanyájat követed és ezért idebégettél.

Nem tudnád egy topikban csinálni? Add neki az Éljen a sötét középkor címet és ott fejtegessed. Lassan erről szól a hup, hogy te hogy szeretnéd konzerválni a múltat, ha van rajta sapka, azért, ha nincs, akkor meg azért.

Defensive design? Így biztos minden kényes adat titkosítva lesz, még véletlenül sem marad ki semmi.

Amúgy van némi fogalmad a mérnöki óradíjakról? Mennyivel többe kerül pontosan felderíteni mi a kényes információ és mi nem?

Szívesen látnék egy nagyjábóli számítást is tőled, hogy kb. mennyi az a "szép kis overhead". Évi hány forintra saccolod / user?

Megprobalok erdemben valaszolni.

Alapvetoen mondhatnank, hogy minek titkositani a HUP-ot, HWSW-t mert ugy is publikusak ezek a cikkek. Ez igaz es en nem szegyellem, hogy olvasom oket. Viszont ha peldaul elkezdek sok allashirdetest olvasni es latja a munkaltatom, hogy elkezdtem masfele nezelodni ez akar erinthet negativan is. Ne csak a sajat use casedbol indulj ki.
Ha pedig mar titkositas van, akkor azert kell minden elemet titkositani, mert a HTTP-n letoltott elemeket egyszeru modositani es igy konnyen megkerulheto a titkositas.
Szemelyes informacio pedig szinte minden egyes HTTP requestbol kinyerheto, ha mar van egy kis kontextusod amibe az adott keres behelyezheto.

Es a titkositasi algoritmusok fejlodnek. Egyikrol kiderul, hogy bugos, a masik mar nem eleg eros es nem lehet bent hagyni a korabbi megoldasokat mert akkor egy downgrade attackkal viszonylag konnyen megkerulheto. Itt nem arrol van szo, hogy szandekosan zarjak ki a kicsit regebbi gepeket / szoftvereket folosleges es eroforraszabalo dolgokat implementalva, hanem csak az idokozben felfedezett uj dolgokra reagalnak.

--
http://blog.htmm.hu/

Pontosan, bemész egy plázába egy butább androidos telefonnal, felcsatlakozol a pláza wifi hálózatára és elindítását egy most neven nem nevezett egyébként pár megás sniffer programot aztán már jönnek is a különböző személyes infók amik http alatt mennek. Úgy 2 Éve talán teszteltem tesómmal akkor simán beléptem a CitroMail fiókjába, le is döbbent hogy hogy a fenébe lehet ez...Hát nagyon egyszerűen... :D

Szóval ha másért nem is, ezért KELL A TITKOSITAS!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Az oké, hogy a hálózat üzemeltetői nem fogják tudni, mit nézel, csak a faszbúk megy youtube az fogja ezentúl is. Sőt, csak ők fogják tudni.
Mondjuk engem nem zavar, hogy titkosítanak, csak azt remélem, hogy a csomagrepok megmaradnak plain http-n, hogy lehessen házon belül cache-t használni. Mert az már gáz, hogy vagy meg MITM-eled a kapcsolatot, vagy lemondasz a caching proxyról. Ahhoz meg, hogy ne tudják az adatfolyamot megváltoztatni, nem fontos a titkosítás, elég lenne authentikálni a csomagokat.

Ott azért ez megoldott, mert
1) maga a csomag tartalmaz aláírást (pl. Linuxon GPG) és a kliensek fel vannak készítve, hogy ellenőrizniük kell,
2) relatíve kevés (repónként egy) kulcsot kell biztonságosan eljuttatnod a kliensekre (pl. első használatkor rákérdez, hogy jó-e [zypper ezt csinálja], vagy szerepel az elvileg biztonságos telepítő médiumon [Windows ezt csinálja az MS root certekkel])
3) nem CRC32-t használnak az aláíráshoz, hanem tényleges crypto-t.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Youtube videók titkosítása: így kicsit nehezebb azért azt is kideríteni, hogy MELYIK videót nézed?
De valóban a privacy és a security nem azonos fogalmak, és ezt el kell(ene) fogadni.
A titkosítás nem okoz akkora overhead-et. Egyetlen haszna lenne, ha nem minden tartalom lenne titkosítva: a caching proxy-k működnének. De a mai világban ez sem nagyon szempont már.

Egy nagyobb szervezetben simán meg lehet csinálni, hogy a "proxy" kibontsa a HTTPS forgalmat, nem csak a Squid létezik. Inkább abban az irányban kellene tapogatózni, hogy ki dönti el, hogy az adott tartalom titkosítandó vagy sem (lásd pl. DLP). Sokkal nagyobb erőforrásigénye van az összes adatot nyilvántartani és osztályozni, minthogy minden forgalmat titkosított csatornán átküldeni.

Néhány ok ami miatt ebbe az irányba megy a világ:

  • A HTTP es HTTPs tartalom keverése techikailag problémás, így ha egy site elkezd részben titkosítást használni, akkor már nincs megállás, minden tartalmat HTTPS-re kell átállítani (a böngészők különböző warningokat dobnak, ha nem így teszel)
  • Ha például a CSS-t nem titkosítod, egy támadó következtetéseket vonhat le belőle, hogy épp milyen siteot olvasol vagy azon belül milyen tartalmat.
  • "Mi értelme titkosítani azt, hogy milyen cikket olvasok a HWSW-n?" Mindenkinek más a definíciója arról, hogy mit érdemes titkosítani és mit nem. Van aki azt állítja, hogy igenis a HWSW-s cikkek olvasását se lássa bárki, mert például profilt építhet ebből, amit aztán eladhat marketing cégeknek, stb
  • A probléma egészét tekintve részben technikai (HTTP és HTTPS keverése, esetleg annak konfigurálhatósága, hogy te hogyan szeretnéd), de főleg emberi, hiszen a legtöbb felhasználó nem szeretne azzal foglalkozni, hogy finomhangolja, mi legyen titkosítva és mi ne. Nekik az a kényelmes ha minden titkosított, a szolgáltatók pedig a tömegigényeket fogják kiszolgálni, nem pedig rétegigényeket.

Nolám. Hát nem mégis csak kilóg szoftvermultiéknál a lóláb.

Tehát megint arról van szó, hogy egy vállalat a saját piaci monopóliuma (és extraprofitja:P) érdekében olyan lépésre szánja el magát, amit be lehet csomagolni a "legyünk biztonságosak, let's encrypt everything" idealizmusba, a másik oldalon ugyanakkor szintén gépeket és jól működő, régi operációs rendszerkeet minősítenek vele elavultnak (ha nem dobatnak ki). Ráadásul, gigawattokban lehet mérni a titkosítási overhead-et világszinten, amit ez az átállás okozott.

Ráadásul, gigawattokban lehet mérni a titkosítási overhead

És erről leginkább azok tehetnek, akik ezeréves vasakat használnak ezeréves szoftverrel, így a hardware encryption helyett szoftverből megy minden :)

No meg azok, akik a 4W-os fogyasztású friss Atom proci helyett egy 80W-os Pentium 4-et használnak, ami a hardware encryptiontől eltekintve is legalább 5x lassabb, vagyis összességében ugyanahhoz a feladathoz legalább 100x annyi áramot fogyaszt.

Jönni fog az új vas fejlesztési-gyártási-szállítási költségeivel, amire a másik topic-ban sem voltak adatok amennyire olvastam.

(Engem is rohadtul zavar, hogy van egy Sony M2-esem törött kijelzővel, amit nem tudok mire használni így, de ezen az se segítene, ha lenne még hozzá alkatrész 20 év múlva is, merthogy kb. annyiba fáj az alkatrész mint a telefon értéke.)

Ha még van kép valamennyire akkor HomeSecu Kamerának még megteszi az ilyesmi.
Ha nagyon sajnálod kidobni. https://alfred.camera/ egész jó opció erre.
Másik amire régi telefonokat még lehet használni az az autóba GPS, de ez mivelhogy pont a kijelző halott nem életképes opció

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Mondjuk 1milliárd géppel és napi átlag 8 órával számolva, napi kb 600 GWh, vagyis kb. 12-15 paksi erőmű áramtermelése. Az már - érzésem szerint - bőven behozza a fejlesztési/gyártási költséget.

Ami viszont tényleg baj, és nem látszik a megoldása, az a tengernyi szemét, ami így termelődik. Ez miatt én is igyekszem addig használni minden cuccomat, amíg ésszerűen használni tudom, utána pedig próbálok neki helyet találni ott, ahol kevesebbre van igény. Pl. gyereknek játszani jó a 386-os notebook is, nem kell játék-notit venni. :)

Épp a múltkor voltam egy ismerősömnél, ahol volt két Asus eeePC, a pontos típusukra már nem emlékszem. Annyira jól ment a soruk ismerőséknek, hogy büszkén dicsekedtek, hogy nem használják már semmire ezeket a gépeket, csak néha dobálóznak vele. Aztán elkértem az egyiket, megnézni, működik-e. Működött, a kijelző oldala pedig be volt repedve, meg volt nyomódva. Akkor esett le, hogy nem vicceltek.

Vajon akkor is dobálnák, nem csak az udvaron, hanem a kukába is ki, ha ezekről lehetne natív szoftverrel facebook-ozni és youtube-ozni? Csak mert a hardver (a 4W-os atom procival együtt) képes volna rá, legalább egy olyan élményt nyújtva, mint egy tablet.

Vagy majd erre is lesz valami jó kifogás, hogy miért jó minden, így, ahogy van?

No az eeePC az mondjuk egy igen perverz jószág. Azokat legyártani is kár volt. Főleg a 700-as széria az alaplapra forrasztott 512MB memóriával és 2GB háttértárral. Azok miatt tényleg környezetvédelmi bírságot kellet volna kiszabni az ASUS-ra. Már új korában is csak ajtótámasztéknak ajánlottam. Azok az atom procik még a P4 szintjét se hozták, és amit köré raktak, az is ipari hulladék volt. Csak hát az olcsó-kicsi-könnyű "ultrabook" hívószóra megindultak a birkák...

Nekem 900AX van, 1GB integrált RAM, az aktuális LUBUNTU egész szépen fut rajta,
mondjuk a böngészők terén lentebb kellett adni a Firefox Chrome kombót
de szerencsére volt rá alternativ böngésző ami kevesebbet eszik, mondjuk nem böngészek rajta mert
az lett a sorsa hogy van benne egy vinyó amire mentegetek mindenfélét hálón a laptopokról, amolyan közös gyűjtőhely.

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Én egy Sony Vaio P11Z-t használok a mai napig is. Nekem tökéletes. Baromi könnyű, elfér akár a farzsebben, akár egy zakó belső zsebében. Telefonról kap netet, és bárhol vagyok, van egy kényelmes konzolom. OpenVPN és ssh fut leginkább rajta, meg időnként minicom. Az X-et nem is tudom mikor indítottam el utoljára.

Nekem, arra amire használom: jó. 100 emberből 99-nek viszont semmire sem jó, és valójában nem is volt az soha. De így legalább kaptam egyet "Te talán tudsz kezdeni valamit vele" felkiáltással.

A másik 99-nek jó lenne, ha lenne rá optimalizált YouTube és Facebook kliens, meg valami tartalomolvasó, amivel ki lehet extractolni a szöveges / képi tartalmakat egy weboldalból, a designt, reklámokat stb. elhagyni. Mint a Firefox Reader view-ja, csak nyilván natív C/C++/Assembly alapokon.

Szerintem meg azok miatt, akik szarrá bloat-osítják a webet és kiszúrják a felhasználók szemét egy webes klienssel, amikor milliárdjaik vannak (lennének) egy natív kliens kifejlesztésére, lásd Facebook. Bezzeg amikor Indiát, meg a fejlődő országokat kell Facebook-függővé tenni, akkor tudnak csinálni Facebook Lite-ot, ami a legrégebbi ótvar szar Androidon is elmegy és elfér ~1 MB-ban. De a nyugati, az pazaroljon, fogyasszon többet, mert megteheti.

szerintem meg azok miatt akik nem csinálnak bloat-mentes szoftvert pedig napi 20 órát tudnak HUP előtt ülni és panaszkodni hogy más nem csinálja meg helyettük jól! :D

Egyébként meg szakadj már le arról ki mire költi a spórolt pénzét! Pont annyi közöd van a cégek spórolt pénzéhez mint nekünk a tiédhez, mégsem mondjuk hogy szemét hajbazer nem fizeti a holnapi ebédünk a spórolt pénzéből!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Egy Facebook-nak igenis van társadalmi felelőssége. Minden oligopóliumnak van társadalmi felelőssége. Sőt, egy banknak is van. Meg egy mobilszolgáltatónak is. Azért van, mert a cselekedeteik, döntéseik aktívan kihatnak a társadalomra. Ha holnaptól a Facebook csak okostelefonon jön be, gépen nem, akkor a Facbook felelős lesz a gépkidobásért. De azért a környezetszennyezésért is, amivel az új, helyettes eszközöket legyártották. Még akkor is, ha egy ilyen balfasz döntéssel kurva sok profitot és felhasználót veszített.

És te szerinted nem vagy felelős a környezetszennyezésért?
Azt mondod tudnál szoftvert optimalizálni de nem teszed, szóval épp úgy felelős vagy te is mint az aki tud úszni de nem ugrik be a fuldoklóért!!
--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

És a felhasználókat is a lustaság veszi arra rá, hogy ne használjanak mást, mint facebook-ot, ha az lassú, vagy egyéb bajuk van vele. Ne mások cselekedeteinek eredményeként definiáld már magad, van neked szabad akaratod, felelősséged, cselekvőképességed, mozdulj meg wazze.

(Webes fejlesztő vagyok, nem tartom hatékonynak a jelenlegi böngészőket, de nem ismerem a lassúság okát részletesen, mint minden, ez is biztos megoldható, de van annyi üzleti tapasztalatom, hogy nem biztos, hogy megéri megoldani jelenleg, nekik. Megjegyzem amit készítek az ha rajtam múlik gyors, van igényem erre, de vannak korlátaim is.)

A felhasználókat az veszi rá, hogy a menőcsávókat (általában buta, de tehetős alfahímek) ráveszik, akiknek van gyors gépük. Utána akik kevésbé menők, kénytelenek lesznek függővé válni a Facebook-tól. Aztán később belassul a felület és mivel már mindenki függő, így könnyebb új gépet venni és tovább függeni, mint átállni valami másra és elveszíteni a "hűdesokbarátomvan" illúziót.

"ráveszik":

kik? ki veszi rá a menőcsávót? és ki veszi rá a "rávevőket"? mindig van egy előző a szálban, ugye tudod? lehet fogni apánkra-anyánkra, összeesküvőkre, monopol cégekre, de abba ugye nem gondolod komolyan, hogy belehalsz, ha nem vagy facebook-on?

ennél jóval cselekvőképesebbek az emberek, számonkérsz máson lustaságot, de te magad nem mozdítod meg a körülötted élőket, nem vállalkozol semmire, csak kritizálsz, ez így nem korrekt másokra nézve. beleszólsz, hogy kinek milyen felelőssége van, cégeknek mire kéne fordítani a pénzt, de az egyének felelősségét gyakorlatilag elveted, nincs nekik erejük, gyámoltalan kis kihasznált bábok.

A lassusag oka a broken by design HTML. Felre ne erts, hypertext markup nyelvnek tokeletes, de az nem egyenlo egy UI leiro nyelvvel. Meg ha HTML5 helyett XHTML-lel mentek volna, meg meg-meg ertenem, de nem. De igazabol le kellett volna cserelni az egeszet a francba, valami ertelmes leiro nyelvre (pl. mxml, qml, xaml), tamogatni rendesen component-based-seget (most a shadow dom-mal probaljak beleganyolni, ami valljuk be: ganyolas...).

A JS ilyen szempontbol meg maradhatott is volna, az engine-ek teren egesz jo eredmenyeket ertek el, de a dynamically+weakly typed termeszete miatt valami katasztrofa vele dolgozni. Es ne is beszeljunk az elszabott scope kezeleserol. Van benne logika nyilvan, meg azt is mondhatnank, hogy erdekes, de egyreszt dolgozni akarsz vele, nem jatszani, masreszt mas nyelvek elegansabban is meg tudtak oldani a lambdazast, meg a first class functionoket.

CSS az nem is lenne rossz, de mar a lete is az egesz elkepzeles kudarcanak tekintheto. Alapvetoen UI-t nem plain text kellene letrehozni (foleg itt, a XXI. szazadban), hanem egy editorban osszekattintgatni.

Na, az meg, hogy nem hogy egy rendes UI editort nem voltak eddig kepesek osszeszenvedni hozza, de meg egy rendes debuggert se, az is csak az egesz elkepzeles eszemetseget mutatja. Ha normalisan megtervezett alkalmazas-platformot keresel, akkor valahol a Qt, Microsoft, Apple, Adobe haza tajan erdemes nezelodni.

Szerk: + Canonical, mielott BZoltan megsertodik, hogy kihagyom oket :P

Valószínűleg nagyon sok mindent kár volt legyártani, egyesek szerint a P3-at is. Azonban az a helyzet, hogy ezeket az eszközöket legyártották és mivel van bennük működőképes hardver, ezért van eszmei, de főleg használati értékük. Ezt nyilván csak és kizárólag megfelelően optimalizált és kompatíbilis szoftverrel lehet kiaknázni. Ráadásul, ha egy Intel Atom teljesítményére optimalizálnák a szoftvereket, akkor sokkal gyorsabb processzoron is jobban futnának.

És gondolom még mindig a fejlesztők a hibásak és nem az aki nem hajlandó saját igényei szerint saját magának optimalizálni?
Ha nekiülnél optimalizálni még a végén használható lenne a Pentum 1-est is, nem kellene meghúzni a határt P3-nál. Csak azért mert neked P3 van még nagyon sok embernek csak 1 vagy 2 van, és ők kénytelenek lesznek kidobni, benned van az utolsó reményük. Ne engedd hogy csalódjanak benned!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

csak mondom, vagy nem?

- Miért ne lenne olyan P1 P2 gazda aki épp fontolgatja hogy kidobja a gépét és újat vesz? Simán lehet hogy van!

- Miért ne lenne a P1 P2 gazdák között egy olyan felfogású mint te hogy azt mondja, ha jönne rá optimalizált szoftver akkor tovább használná? Simán lehet hogy van!

Szóval biztos hogy ha optimalizálnál szoftvereket lenne ki használná!

Másik témában is volt aki irt neked hogy ő optimalizál szoftvereket és kapott visszajelzéseket miszerint köszönik neki! Arra valahogy épp nem reagáltál semmit, pedig lehet hogy ha megkérnéd ő elindítana ezen az úton és megosztaná veled a tapasztalatait!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

mert ő csak csinálja és nem itt panaszkodik nekünk, csak csinálja szépen csendben és kész nem kell ennek ekkora felhajtás amit te művelsz ráadásul úgy hogy meg sem próbálod! Persze könnyebb azt mondani hogy nem hiszem el, mert akkor továbbra sem kell semmit csinálni!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Pedig nem lehetetlen... Apple dobta nehany gep supportjat az elmult osszel megjelent macOS verzioval, igy barkacsolunk magunknak: https://forums.macrumors.com/threads/macos-10-12-sierra-unsupported-mac…

A dropbox nem tamogatja a PowerPC maceket 2015 ota, hat megoldjuk magunknak egy kis patchelessel: https://forums.macrumors.com/threads/reconnect-unsupported-leopard-macs…

Nincs friss firefox regi os x-re? Barkacsolunk: http://www.floodgap.com/software/tenfourfox/

Siman csak csinalni kell es emberek orulnek neki.

Ennyi.

---
Apple iMac 27"
áéíóöőúüű

Nem tudom. En pl. mikor elkezdtem a dropbox piszkalasat, irtam nekik, hogy ingyenmunkaban szivesen folytatnam a 10.5/PPC supportot, de ebbol nem kertek. Akkor meg aktivan hasznaltam a G4-es PowerBookot sokadlagos gepnek. Azota mar nem hasznalom, de hackolom a dolgot, kb 100-150 ember szokta megkoszonni tenylegesen a segitseget, de sok helyre be van linkelve, es a google is elso helyen hozza. A hivatalos forumrol pedig kimoderaljak a linkeket, de onnan is megtalalta eddig mindenki.

A Sierras dolgot nem tudom, mert oda nem en terjeszten a dolgomat, hanem az a srac aki az installert osszerakta. En csak a software update daemon patchet csinaltam, mert az Apple nem ad updateket a nem tamogatott gepeknek, ezert meg kell patchelni a software update daemont, hogy mukodjon.

---
Apple iMac 27"
áéíóöőúüű

Tehát pár ezren azért használhatják, ha 100-150 megköszöni.

Az már több, mint egy tonnánnyi gépen segített, amit szoftvermultiék és hardvergyártóék kidobattak volna.

Őszinte elismerésem! (komolyan)

A fórumokról minden linket kimoderálnak vagy csak a Tieidet azért, hogy mindenki vegyen újat?

Fenyegető leveleket (cease & desist) nem kaptál még, hogy állj le, mert nincs meg az extraprofitjuk jogsértő, amit csinálsz?

A gyartot ez nem erdekli. A dropbox-ek azt mondtak azert dobjak ki a linkeket, mert nem kivannak egy harmadik fel alltal modositott dropbox binarist terjeszteni. Nyilvan van benne racio, mert az alairasukat ki kellett rola dobni, en nem irtam ala, es barmit belemoddolhattam. De nem tettem.

---
Apple iMac 27"
áéíóöőúüű

A gyarto kb. azt tesz amit akar, senki nem kotelezi semmire. Teged sem kotelez senki arra, hogy mevasarold a dolgait. Nem erdekel, hogy ki miert nem vesz uj gepet, ez mindenkinek az egyeni dontese. De ha en megoldok magamnak valamit, akkor azt kb odaadhatom barkinek, akit ez erdekel.

---
Apple iMac 27"
áéíóöőúüű

Nem hiszem.

Szerintem Czo-t azért nem találták be multiék, mert nem használják elegen a cuccát.

Ha használnák elegen a cuccát, kapna egy cease & desist lettert, valami szabadalomra vagy EULA-ra hivatkozva.

Ha pedig nem állna le, eltaposnák és lehet, hogy hirtelen már nem is lenne olyan vicces a "RIP Czo" kommented.

Ez az egy tényleg számos eset (1), de ne keverd ide azt ha egy hardvert buherál saját szoftverrel és párhuzamosan jogsértést követ el!

Neked annyi a feladatod (mint Czo is tette) hogy csinálsz egy szoftvert egy olyan hardverre amin nincs kikötve hogy csak az az egy szoftver mehet rá! :D
a PS3 teljesen más kategória, te addig soha el sem jutnál hogy ennyire jó legyél benne, hacker szint neked esélytelen! :D

Egyébként meg ki a r@k mondta hogy fedd fel a valódi személyiséged? :D
miért gondolod hogy Czo a saját nevén csinálja és még a telefonszámát + lakcimét is megadja? idióta vagy ha ezt hiszed, és akkor is ha nem tudod elrejteni!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

nem csak hacker nem leszel de programozó sem, csak egy senki vagy aki semmihez sem ért, elvileg tudsz valami programnyelvet de szerintem itt mindenki erősen kételkedik benne hogy igaz, alkalmazások készitésében pedig egyenesen biztosak vagyunk hogy képtelen vagy rá, csak egyvalamihez értesz, beleszólni abba amihez nem értesz!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

LOL. Kb vegtelen ideje vannak emberek, akik szeretnek regi gepekkel foglalkozni, es ezekre ezt azt alkotni (akar feszegetni a hardver es a kornyezet hatarait). Ne keresgess mar kifogasokat. A kozosseg ereje hatalmas, meg peznt is dobnak be, ha szeretnenek valamit. Pl. van itt Amigara Firefox port: http://www.amigabounty.net/?function=viewproject&projectid=44 . Valaki megcsinalta, es meg is kapta a lovet. Barmi lehetseges!

---
Apple iMac 27"
áéíóöőúüű

te nem érted...
nem azokért az idealistákért kell csinálni akik nem fogják használni
HANEM
azokért akik hasonlóan gondolkodnak és fogják használni!

Ez most olyan mint ha azt mondtad volna,
"azért nem csinálom mert úgyis kidobnak 30 gépet, kit érdekel hogy ha csinálnám akkor 10 gépet mégsem dobnának ki!
Ezt mondtam neked az előbb, felelős vagy érte mégsem teszel semmit csak vádaskodsz!

Itt van egy élő példa akit nem gyilkoltak le a multik,
sőt a google keresője egyenesen első helyre rakta, el tudja mondani a tapasztalatait és te még mindig kifogásokat gyártasz!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

"ezeket az eszközöket legyártották és mivel van bennük működőképes hardver, ezért van eszmei, de főleg használati értékük"

Ebben igazad van. De ugyanúgy igaz ez a korábbi gépekre, eszközökre is. Neked milyen korábbi eszközeid vannak, és mit csináltál velük? Nem váltál meg egy routertől sem, semmi elektronikától soha?

Nem fogom titkolni. Attól váltam meg, amiről megbizonyosodtam, hogy működésképtelen. Például az "elromlott a router", "hülyéskedik a router" nálam is előfordult és legtöbbször a hálózati tápegység hibája volt (kiszáradó kondi, brummosodó egyenáram). Ezekhez általában vettem új tápegységet. Ha abszolút semmit nem csinált egy eszköz és meg se mukkant, akkor elektronikai hulladékgyűjtőbe vittem el, vagy leadtam szervizbe, ahol még tudtak vele valamit kezdeni, esetleg hobbielektronikás ismerősnek odaadtam. Általában a legutóbbira volt a legtöbb példa. Attól még, hogy egy vitális komponens szar egy eszközben, attól még sok alkatrészt ki lehet belőle szedni, ami jó.

Ha mindenki így csinálná, jobb hely lenne a világ.

jó hogy itt vagy, a világnak szüksége van tech-szentekre! :D
hidd el, egyszer eljő érted a tech-felhő és felvisz a tech-mennybe ahol ott lesz minden régi kacat amiket istápolhatsz a tech-örökkévalóságig! :D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

ne keverd a szezont a fazonnal, a vallást az elméleti fizikával! :D

meg ha így haladsz a fejlesztéssel ahogy az elmúlt 2 hónapban
már ne haragudj de ebből 1.000% hogy nem lesz semmi,
cáfolj meg de tudom hogy nem fogsz mert azt csak fejlesztéssel lehetne!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Akkor most meg az az új bajod hogy oké hogy van aki ír szoftvereket de nem a google az?
Mész te a jó büdös p*cs@ba hajbazer! Nem érzed hogy iszonyatos baj van a fejedben? Pár nap alatt kiderült (nekünk köszönhetően) hogy rengeteg dologban tévedsz és egy rakás problémádra van megoldás jelenleg is
de te akkor kreálsz magadnak új problémákat, kvázi magad sz0p@tod!

Olyan ökör vagy hogy az valami hihetetlen, unokaöcsém 3 éves létére értelmesebb mert ha ő akar valamit akkor megcsinálja egyedül vagy segítséggel de megcsinálja és nem hisztizik hónapokig hogy ezért meg azért nem csinálja és nem vádol senki mást ha nem csinálja meg!
--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

A megoldás az, hogy hagyjuk a fenébe. Ne szóljunk hozzá, ne írjunk vissza neki, rakjuk trollszűrőre, és ha már nem szól hozzá senki, akkor elül.

Tényleg elmebeteg lehet a csávó, most szedett elő egy több hónapos témát és odament kötözködni. Nem kell etetni. Sajnos én is sokáig tettem, mert először érdemesnek tartottam, utána szórakoztatónak. Most már csak szimplán fárasztó, és szánalmas.

https://hup.hu/node/153022?comments_per_page=9999#comment-2088684
"Fenyegető leveleket (cease & desist) nem kaptál még, hogy állj le, mert nincs meg az extraprofitjuk"

https://hup.hu/node/153022?comments_per_page=9999#comment-2088642
"mert eltaposnának jogi úton, vagy bérgyilkossal nyíratnának ki."

És még akad ilyen és ehhez hasonló bőven, szóval vannak problémáid...

Aki titkosítást használ lehet paranoidnak hívni de inkább elővigyázatosnak, mert mit lehet tudni...

DE aki azt hiszi fenyegetőleveleket fog kapni meg bérgyilkossal nyíratják ki mert irt egy szoftvert na az már BETEG! :D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

na jah, te vagy a világ elsődleges közellensége! :D

egy qva kis optimalizált bload-mentes programot nem tudnál összedobni még vagy 60 évig ebben a tempóban szóval nem kell félned szerintem

vizsgáltasd ki magad!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"


épp erről beszélek te nemn0rmális... :D

milyen jogon akarod te nekünk megmondani hogyan óvjuk a környezetet?
Talán ha mi azt mondanánk neked hogy azzal óvd hogy C64-et használsz akkor hallgatnál ránk? NEM! Pedig kevesebb erőforrást igényelne stb stb stb.

Röviden! Mi a fenéért hallgatnánk rád ha te sem hallgatsz ránk?

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"


akkor le a P3-al, emberek százainak van még Commodore64 otthon ami csak porosodik,
ha neked nincs akkor tessék feladni egy hirdetést és holnaptól csakis C64-et használni!

Ha megcsináltad akkor mi attól kezdve P3-at használunk,
ADDIG NEM!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Azért melóból-jövet mikor előkaptam a tabom a metrón és elkezdtem olvasni hajbazer hülyeségeit
páran szerintem nézték mit vigyorgok annyira,
de néha vissza is kellett fogjam hogy el ne röhögjem magam. :D
true story

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Arról nem is beszélve hogy tech eszköz kevés ami nem kinai, hajbazer meg múltkor azt mondta neki nincs otthon semmi ami kinai mert a munkások meg tál rizs meg szállitás környezetszennyezés ilyesmi, tudod...

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Tehát az ismerőseid is retardáltak. Ez sajnálatos, de nem mindenki az körülötted, akinek igénye van újabb és jobb gépekre :)

"Vajon akkor is dobálnák, nem csak az udvaron, hanem a kukába is ki, ha ezekről lehetne natív szoftverrel facebook-ozni "

Igen.

Az eredmény pedig minden háztartásban érezhető, még ha havi pár forintról van csak szó a villanyszámlában, akkor is, ugyanis az oda-vissza titkosításnak, processzortól függően, lesz egy szép kis overhead-je, a számítási kapacitástól függően.

az oda-vissza titkosításnak minden esetben van overhead-je, ez nem függ a számítási kapacitástól. Ha már ekkora energiát fektetsz abba, hogy széttrollkodod a hupot, legalább ne írnál le logikátlan hülyeségeket.

Nem, nem függ.
Egy titkosított kommunikációnak minden esetben lesz overhead-je egy titkosítatlanhoz képest, mert végig kell futtatni az adaton az encrypt/decrypt párost. A számítási kapacitásnak és az esetleges hardveres támogatásnak ehhez annyi köze van, hogy milyen gyorsan történik meg ez a folyamat.

Nem, továbbra sem függ egyik dolog a másiktól. Sokkal egyszerűbb lenne ha egyszerűen beismernéd, hogy amit írtál logikailag helytelen, de a korábbi megnyilvánulásaid alapján ez soha nem fog megtörténni. Az igazat megvallva sokkal szívesebben írtam volna le ezt a két mondatot két külön hozzászólásba, úgy most melegebb lenne a szobában...

Úgy vélem, elbeszélünk egymás mellett.

Ha 1 MB titkosított web bloat-ot kell dekódolnod, az jár valamekkora CPU használattal. Ez a CPU használat pedig jár valamekkora elektromos fogyasztással. Az elektromos fogyasztás pedig jár valamekkora szén-dioxid pöfékeléssel. Az overhead nyilván fix, hiszen más hardveren is ugyanúgy ki kell titkosítani, azonban az a másik hardver már lehet, hogy kevesebb wattot fog elfogyasztani és lehet, hogy nagyobb kapacitása van, ez által kevesebb %-ot fog enni a CPU-ból a kititkosítás. Ha van egy (vélhetően újabb) CPU-d, ami kevesebb Wattból megoldja ugyanazt a feladatot, akkor kevesebb lesz az érezhető overhead. Ha viszont nincs ilyened, akkor sokkal több lesz az érezhető overhead.

Tehát az elméleti idealizmusod a gyakorlatban nagyon is fájó dolog, főleg egy régi hardveren.

Ez is azt bizonyítja, hogy érdemes újabb gépre váltani, amikor a technológia lépett valamekkorát előre.

Értem, hogy a te logikád az, hogy ne használjuk az új dolgokat és akkor új vas sem kell alá...de a te logikád oda vezet rendesen kimaxolva, hogy nem kell internet, nem kell film, zene...de villany sem. Van petróleum és lámpa. Mondjuk papír sincs, de van agyagtábla és karcoló fa...annyiban támogatom ezt a végletes elképzelésedet, hogy ez elhozná azt a boldog korszakot, hogy nem tudsz millió topikot nyitni millió marhaságért.

Ami még jó egyébként, hogy az elmúlt 10 évben az IT egyik igen hangsúlyos vonala a green it, a modern cuccok sokkal kevesebbet zabálnak, mint azok a szarok, amiket ő itt meg akar menteni (gyak egy pi elemről tud annyit, mint egy p3 a 400 wattos codegány/vargánya tápjával), mert jó az még, uh egyébként tök nem környezettudatos, amit csinál.

Sokkal előrébb van egy tablet, mint egy P1. Más kérdés, hogy az Anrdoid bloat és a tabletből is több mindent ki lehet hozni. Bár a legjobb lett volna, ha le se gyártják őket. A 2002-ben kijött WindowsXP tableteknek volt csak értelmük. Nem birkáéknak készült. Nem is vették. Végül ez lett a vesztük.

a windows egy szar! Te meg... hát te vagy az emberiség bloat-ja...

Bele akarsz nyúlni a windows-ba kijavítani vagy fejleszteni, mit tudsz tenni? semmit?
Ha a droidba (Cyanogen, lineage etc.) akarsz belenyúlni mit tudsz tenni? Amit csak akarsz!

A windows nem ad semmit (XP sem) a linux hatalmat ad a kezedbe és választási lehetőséget!

Ha neked az jó akkor sz0pD csak az XP f@sz@T egész nap 12 órában mit érdekel engem!

Kell a brantnak a fizetős windows akármelyik szarod,
akkor sem használnám ha ingyen adnák (és sokan vagyunk itt ezen a véleményen!)
mert egy nagy bloat az 1.1-től a 10-ig az egész!

Irányzást csak a linux adja a kezedbe!
INGYEN!
Bár ugye ezt te soha nem fogod tudni felfogni milyen az ha irányitást ad egy rendszer a kezedbe
azt meg főleg hogy milyen ha ingyen adnak valamit és nem úgy van ingyen hogy ellopod az ncore-ról!

u.i.
kérhetnél trey-től egy új nevet, bloatman vagy ilyesmi
--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

cserébe kipatchelem belőle az összes bloatot, mint hardening, meg egyéb idealista security hülyeségek és bepatchelem az összes buffer overflow-t.. aztán majd nézel egyet egy maihoz hasonló estén, amikor az asszony már alszik, te meg az én kommentjeimre élvezkedsz, és elindul az Adobloat Premiere és renderelheted belőle a videót Windows XP atom processzoron és gyorsabb lesz mint a bloated i5ös szarodon amit3 év múlva sznobságból fogsz működőképesen kidobni úgyis

ja de közben elgondolkodtam azon, amit mondtál, hogy Czo is álnéven csinálja

és arra jutottam, hogy valószínűleg azért nem nyírták ki, mert jól csinálja

egyébként, ha felvállalná magát, meg az identitását, akkor már ment volna érte a bérgyilkos sniperrel

vagy el lett volna vágva a kocsijában a fékvezeték

Szerinte csak az bloat amit ő annak mond,
a linux, android stb. pl. bloat (ezért nem használja) az XP meg win98 nem bloat mert használja.
A VBScript (mert elvileg azt az egyet tudja) az nem bloat de a HTML meg kb. minden más programnyelv már bloat.

Szóval ő eldönti hogy mi lehet bloat meg mi nem, ne aggódj te azon! :D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Hát, a VBS-nél meg úgy általában a Visual Basicként bloatabb nyelv nem létezik. A Linux, BSD meg nyilvánvalóan blaot, azért használják embedded eszközökben, hálózati eszközökben, telefonban, minimalista/stick/oneboard PC-knél (mindeféle piték), mert ezekben úgyis i5 van legalább sokgiga RAM-mal, és csak azért nem raknak ezekre XP-t GDI-vel, mert az túl jó lenne rá (nem, nem azért, mert nem mind x86-os architektúra), és kormányügynökök hangtompítóssal agyonlőnék őket. Nem is értem, hogy ezen mi nem világos nektek elsőre. Valószínű csak értetlenkedtek vagy a Bloaternmentnek dolgozik az összes HUP-os.

Mindegy, Visual Basicet már csak azért is megéri megtanulni programozni, mert időtálló, nagyon modern technológia, és erősen multiplatformos is. Meg nem bloat. Szerintem a Win 11-et már Excel-makróként fogják fejleszteni.

Az a baj, hogy amíg azt üvöltöd hogy: De igen is az ember képes a levegőbe emelkedni, van rá mód! Addig elkönyvelik, hogy elmebeteg vagy.
Ha ellenben építenél valami korszakalkotót, és bebizonyítanád azt, hogy igazad van, akkor zseni lennél.
Tudod miért te vagy a birka? Nem ezért, mert szembemész a többséggel. Azért mert semmit sem teszel, csak bégetsz, hogy márpedig. Véletlenül sem belegondolva, hogy itt olyan szakemberek is vannak, akik jobban tudják mint te.

Igy van, akárcsak a WindowsMobile,
nekem még porosodik ott egy 6.1-es valahol, XP telefon-koppintás,
kevés ember engedhette meg magának akkoriban és közelébe sem ért egy droid 2.2-nek sem kezelhetőség sem szabad-módosítási szempontból!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Nagyon sokáig használtam egy 5.0-st, amit aztán 6-osra lehetett frissíteni, szerettem. Az kényelmesen elfért az egyik kezemben, miközben a másikban a ceruza. 4-es Androidnál voltam hajlandó váltani. (Igaz, akkor már muszáj is volt, mert szó szerint szét volt esve a telefon.)

Az 5-össel kapcsolatban nincs tapasztalatom, 6.0 volt aztán 6.1-re lett frissitve,
kényelmesnek nem mondanám, egy nagy dorong volt az enyém, egy HTC persze akkoriban csúcsmobil, de ma már nem birná a szemem sem azt a pixeles kijelzőt :)
--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Igen, ilyen a verseny, gyorsan alkotni kellett mert aki kimarad lemarad, az elsők megalkotásakor nem a design és a használhatóság a legfontosabb hanem hogy gyorsabban alkoss a versenytársaknál mert akkor jobb pozícióban indulsz a piacon.
--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

és mi van akkor, ha lemarad? hova a picsába kell rohanni?

jahogy az extraprofit kell

csakhogy a sima profit ígyis-úgyis megvan, ha a piaci igényeket szolgálod ki, sietség nélkül.. csak sokaknak nem elég, mert befektetőék annyira mohók, hogy nekik piaci egyeduralom kell, meg ők legyenek/maradjanak az elsők

egy szó, amit annyira szeretsz: IDEALIZMUS

és hogy ez mekkora károkat okoz, kérdezd meg azt a 100 millió embert, aki még mindig XP-t használ.. de megkérdezheted azt a 300 milliót is, akikkel kidobatták a gépüket

És mi van ha MI ROHANNI AKARUNK?
Mi van ha elvárjuk hogy fejlődjön a TECH piac hogy még a mi életünkben elérjük azt a szintet amit megálmodtunk?
Jogunk van hozzá, neked meg jogod van hozzá hogy lemaradj! ENNYI!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Az már nem a mi bajunk csak a tiéd, minket nem különösebben izgat a problémád!

Jogi lehetőségeid adottak,
petíciónak hívják,
a lakosság egy előre meghatározott százalékától aláírást gyűjtesz majd ezt benyújtod az illetékeseknek
akik eljárást indítanak vagy szavazásra bocsátják!

Demokráciában ezt megteheted, van lehetőséged, élj vele!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

És hogy jut el ahhoz a százmillió emberhez, akit érint?

Sehogy. Mert a primitív fészbuk lájkolgatók nem fogják osztogatni. Ha osztogatják se biztos hogy eljut.

A demokrácia szép idealizmus, csak megvalósítva nincs az, hogy egy átlagember ugyanannyi erőfeszítéssel érvényesíthesse az érdekeit, mint egy szoftvermulti termékmenedzsere, aki egy tollvonással állítja le az XP támogatását.

ez már nem a mi problémánk hanem a tiéd, oldd meg, van lehetőséged

mindenki azt osztja meg ami érdekli,
ha nem érdekli akkor azt jelenti hogy igy jártál,
mindenkinek szabad akarata van, neked is, mindenkinek joga van eldönteni mit akar

Ha nem tetszik a demokrácia el lehet takarodni kommunista országokba, ennyi, lehetőséged van, pont azért mert ezt az általad annyira utált demokrácia lehetővé tette!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

A hűdenagy energiapazarláson kívül van ennek azért más aspektusa is:
- az internetszolgáltatók megpróbálják törvényesíteni, hogy ők is megfigyelhessék a forgalmat és pénzzé tehessék, mondván az online reklámcégek is ezt teszik és ők sem akarnak hátrányba kerülni a pénzharácsolásban.
- előbb csak hallgatózik az internetszolgáltató, de később, ha vérszemet kapnak akár módosíthatja is a tartalmat, például a saját reklámait szúrhatja be

Van már bejáratott módja annak, hogy a böngészők észrevegyék, ha a szolgáltató újracsomagolja a saját kulcsával a titkosított oldalakat.

Te ugye egy titkosszolgálati aktivista vagy, aki hülyeségre és sebezhetőségre próbálja rábeszélni az átlag, tudatlan embereket, ugye?

Tény, hogy ez a titkosítás túl van tolva mostanában, de elfér. Inkább legyen több, mint túl kevés. A régebbi operációs rendszereket használókat meg nem csak cserben hagyjuk, de cserbenhagyással gázoljuk, ez független bármilyen webtől és titkosítástól. Különben is, ezen a linken nem régebbi OS-ről van szó, hanem nem támogatottról. Jó, tudom, ott lesznek a POS-os frissítések 2019-ig, de attól még sok oldal és böngésző nem támogatja. Pont.

Elolvasva a fentieket, arra jutottam ez a válasz segít eldönteni, hogy elszánt troll vagy más vagy-e.

Azt mondani, hogy neked nem kell a magánélet védelmének bizonyos aspektusa (akármelyik, de a lényeg, hogy te nem rejtegednéd), eléggé olyan, mint azt mondani, hogy neked nem kell szólásszabadság mert nincs mit mondanod. ( <- kissé lopva és helyzetre szabva más szájából)

------------------------
Everyone is a winner*

Akkor nem olvastál elég figyelmesen.

Nem lenne egyszerűbb, ha csak azokat a részeit titkosítanánk a webnek, amiket valóban szükséges? Pl. bejelentkező felületek, kommentelő szekciók (iframe-ben, vagy bármi más JS által támogatott cuccban) stb. ?

Ez hol a francba a szólásszabadság és a privát széfra korlátozása?

Egyszerűen, csak arról van szó, hogy nem titkosítjuk azt, amit nem muszáj, mert 0,0001%-ban fordul elő az, hogy valaki kiáll az utcára kémkedni utánam a laptopjával, hogy melyik index cikket olvasom. A fizikai betörés a lakásba nagyobb valószínűséggel fordul elő.

...amiket valóban szükséges...

Jól gondolom kedves hajbazer hogy azt meg majd te döntöd el nekünk és helyettünk hogy számunkra mi a valóban szükséges titkosítás?
Megint te akarod meghúzni a határokat? Mire fel?

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Nem, ellenkezőleg.

Én gondolom jól, hogy Google-ék eldöntötték helyettünk, hogy számunkra minden elem titkosítása szükséges, vagy ha nem, akkor az oldalt lejjebb soroljuk. Nem láttalak a Google fórumain panaszkodni. Ja hogy ott hamar az én HUP-os szerepembe kerültél volna és inkább élvezkedsz a "mindenjóahogyvan" melegágyban. Csak mert biztos vagyok abban, hogy ha holnaptól a HDMI jelet is XML-ben küldenék ki a monitorokra, akkor te lennél az első, aki jönnél a "csinálj jobbat", "a világ fejlődik", "a bináris nem elég hibatűrő" és hasonló okosságokkal. De ha nem te lennél, akkor a többi mérnök úr Szenti, manfreed és SzBlackY megtennék helyetted.

Nem te gondolod jól, persze jogod van abban hitegetni magad amiben akarod, még ha téves is amit hiszel! :)

Figyelj, őszintén, kiirhatsz ebben egy szavazós kérdést is, de elég ha végigolvasod a témát,
a hozzászólók 99%- a úgy gondolja hogy szükséges neki a titkosítás,
vagyunk itt eleget akik tapasztalatból tudjuk milyen sok adatot véd a titkosítás, szóval a HUP statisztika alapján a google eldöntötte de jól döntötte el!

Nem panaszkodok a google fórumán mert nincs panaszom!
Egyébként tanultam keresőoptimalizálást és dolgoztam is benne egy darabig pár éve, nekem nincs gondom a google dolgaival,
de ha lenne akkor mindenkit ösztönöznék hogy használjon duckducgo -t és hasonlókat persze nem itt fórumon mint ahogy te csinálod, ennek semmi értelme, senkit nem köteleztek google-re, nem kell használni csak lehet, remélem tudod mi a különbség!

Egyébként meg ha valaki kitalál egy jobbat akkor hajrá, az biztos hogy nem a magadfajták miatt van kint a nemzetközi űrállomás! :D Ha a fajtádon múlna még mindig a lapos-föld szélét keresnénk! :D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Kíváncsi lennék erre a 99%-ra, ha mondjuk még nem mindent titkosítanánk, hanem csak a szükséges részeket és mivel minden tartalomszolgáltató jól meghúzná a határokat, így sokkal kevesebb incidens lenne, akkor vajon hányan mondanának biztosan igent arra, hogy akarnak-e mindent agyba-főbe titkosítani.

Ha szoftvermultiék profitja múlna rajta, hogy elhitessék a birkákkal, hogy a Föld gömbölyű (miközben egyébként lapos), akkor megtennék.

Túlspilázod, a szoftvermultiék csak szimplán kihasználják hogy a magadfajta azt hiszi nem tud semmit tenni ezért nem is tesz! Mi lenne velük ha azt hinnéd tudsz valamit tenni és tennél? akkor lenne végük, de szerencséjük van mert te úgysem teszel semmit, igaz?

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

szegény Czo is
épp csak leirta neked a hozzászólást és a
bérgyilkos-gyikemberek már ki is végezték a multik parancsára,
nem is értem hogyan hagyhatták eddig életben pedig nem tegnap kezdte el a projektjét,
biztosan adminisztrációs hiba volt az illuminati földönkivülieket munkaerőként alkalmazó főhadiszállásán! :/

RIP Czo, kár érte, pedig jó ember volt,
soha nem keresett kifogásokat csak tette amit jónak érzett és emberek százainak ha nem ezreinek segített!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Igen, a Google eldöntötte mindenki helyett. Mert megteheti, mammut cégóriás, amit akar, azt keresztülviszi. Te is csinálj egy ilyen céget, és akkor te is sokmindent eldönthetsz sokmindenki helyett, akár még a P3-akat is visszahozhatod, meg irányíthatod, hogy merre fejlődjön a technológia. Addig viszont nem te vagy olyan helyzetben, hogy dönthess ilyen kérdésekben. Még abban dönthetsz, hogy milyen gépet és OS-t használsz, de az internetnek pont az a lényege, hogy nem a te gépedről fut, nem nálad van az irányítás, ki vagy szolgáltatva, te akarod igénybevenni róla a szolgáltatást.

Amikor bemész a bankba szerzdősést kötni vagy felszálsz a BKV-re, akkor sem te döntöd el a feltételeket, legfeljebb azt, hogy igénybe-veszed-e az adott szolgáltatást.

Nekem leginkább azzal van bajom, hogy a felvevőpiac (avagy hupuék és az r=1 birkák) képtelen a saját igényeit tudatosítani, annak gátat szabni, illetve átgondolni, kit, milyen irányba támogat. 2010-ben létrehoztam egy topic-ot arról, hogy mennyiben gáz, vagy nem gáz, hogy külföldi hatalmak szerverein tárolódik minden adatunk, amelyre igazából nincsen ráhatásunk és olyan szakszolgálat elemezgeti, amilyen csak akarja. Azóta kijöttek Snowden wikileak-ek, NSA szivárogtatás, CIA szivárogtatás, meg filmek, meg minden szemfelnyitogató anyagok a témában és senkit kibaszottul, de kurvára nem érdekelt. A centralizált adattárolás ellen szól még az is, hogy több, mint kétmilliárd fiókot már feltörtek és kiszivárogtattak. Ha centralizált adattárolás nincs, nem történhetett volna meg.

Az emberek nem előrelátóak, nem futatnak fejben szimulációkat, ezért csak utólag tanulnak, legalábbis a többség. Mivel a Snowden leak után sem lett publikus tömegesen az, hogy kit és hogyan figyeltek meg egész pontosan, ÉS ez hogyan befolyásolta az életét, a probléma szintje megmaradt a passzív dohányzás, vagy a rákkeltő füstölt szalonna szintjén: "ez van", mondta a bácsi, és szerelte az autóját tovább.

Ahogy te nevezted őket, a "birkák" pont azért nem tudják az érdekeiket érvényesíteni, mert nincsen rá akaratuk, nem hajlandók / képesek szembenézni nehézségekkel, felelősséggel, csak "megúszni" akarják az életet. Rossz helyen próbálod menteni a népet, a népet nem lehet magától megmenteni, és nem elég, ha az x+1-edik problémát megoldod, lesz új, mert közben nem segítettél gyarapodni a népnek (NEM anyagiakban).

És ha már elindulsz ezen az úton, akkor kezd a fejlesztést magadon: amit itt sokan leírtak, főleg a jobbszándékú comment-ek, lehetnek elgondolkodtató alapok, vagy válaszd a másik útvonalat: nézd meg azt, amiről a tömeg nem tud még semmit, próbálj ki új dolgokat, de ne morfondírozz, gyötrődj, hajtogasd, hogy nincs esélyed, mert van.

Én speciel úgy gondolom hogy ha dönthetek hogy hazai vagy külföldi szerveren tárolok személyes infókat akkor inkább külföldin,
mégpedig a következők miatt: pl az USA hiába tudja az adataim, nincs kihatással a mindennapi életemre, jobban érdekük nekik a saját állampolgáraik megfigyelése, hasonlóképp a mi kormányunkat meg mi érdekeljük nem az amcsik mert ránk le tudnak csapni ha akarnak az amcsikra meg úgysem!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

öcsém, neked nagyon kezedhez nőtt ez a link miután mi megmutattuk neked! :/ szánalmas

Egyébként meg mert miért ne?

Figyelj, aki használja annak nincs baja ezzel a dologgal,
hidd el ha bajom lenne vele akkor nem ezt használnám hanem valami decentralizált csevegőt.
Engem sem kötelez senki arra hogy használjam, azért használom mert igy döntöttem,
te meg használj decentralizált cuccokat az meg a te döntésed, egészségedre, megteheted szerencsére van kinálat a zinternetten!

Mikor elkezdtem Signal-t használni megmondtam az ismerőseimnek itt elértek a face-en meg vagy igen vagy nem, akinek nem tetszett az felhív telefonon aki meg akar elér ott, ennyi, nekem sem kötelező nekik sem kötelező igazodni a másikhoz!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

kollégák, barátok és a család egy része jah,
játékra telegram
szülőkkel meg telefon fagy fész (Édesanyám felnevelt így joga van eldönteni hogyan kommunikálunk, szóval ami neki épp jobb!)

signal előtt meg telegram volt az egész családnak,
nincs itt semmi multi-eröltetés, gmail sem kötelező az utóbbi időben asszony is én is protonmail-t használunk, dropbox helyett meg MEGA-t a telefonra de az meg nem neked való mert titkosított!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Fenébe az elismeréssel! Miattam aztán ne álljon helyre az emberiségbe vetett hited, még csak az hiányozna!
Mindenki azt használ amit akar, akinek nem tetszik hát szíve joga, téged sem kötelez senki semmire csak te ezt nem veszed észre, túl kényelmes vagy ahhoz!
--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

1) senki sem mondta hogy szükség van rá!
2) senki felett nincs jogod ítéletet mondani aki úgy dönt hogy épp ezt vagy azt használja, akinek a FB jön be azt használja, akinek meg nem az nem, ez a te marhaságod megint hogy szerinted senkinek nem kellene használnia FB cuccokat, de aki akarja had használja, attól nem lesz birka, a magadfajta viszont egy utolsó senkiházi aki azt hiszi hogy bárki felett áll pedig szart sem tud semmitől csak egy szaros kis munkanélküli aki unalmában ahelyett hogy létrehozna valami maradandót vagy megtanulna valami programnyelvet inkább az egész napját f@szs@g0kkal és trollkodással tölti!

Nem vagy jobb egyikőnknél sem, sőt te vagy a legrosszabb mert azt hiszed csak neked lehet igazad miközben sorra dőlnek be a nagy elméleteid! Akkor birálj bárkit is ha legalább arra a szintre elérsz, majd akkor lesz jogod kiosztani a fejlesztőket ha legalább egy szaros kis programot meg tudsz irni...

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Hát akkor nem lesz, nem kell velünk sem megosztanod, majd kirakod reddit-re, azt mondtad ott úgyis sok hozzád hasonló figura van

Egyébként meg Czo -t leugatta bárki is? NEM! SŐT, gratuláltunk neki és mondtuk hogy csak igy tovább!
Ő már megtette azt amit te nem! Mentett meg gépeket attól hogy kidobják!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

A lakásbetörésről van rendőrségi statisztika és nemigen lehet elrejteni a tényt,
arról hogy a kezdő hacker-pistike sniffeli a plázában vagy a MÁV állomásin napi 100 ember adatait arról meg nem lesz ha nem használja fel/nem derül ki!
HTTP sniffelésnél pedig nem csak az jön le hogy ki mit néz hanem hogy a HTTP oldalra ki mivel jelentkezett be!

Az hogy nem derül ki és nincs róla statisztika nem azt jelenti hogy nincs jelen a mindennapokban, 5 perc kutatás után bárki talál windows, linux vagy android gépre is sniffer programot 20 perc múlva már tesztelheti is és nem sok esélye van hogy lebukna,
a betörés ennél jóval nehezebb és veszélyesebb!

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Ha valakinek Magyarország szomorú hely, akkor elérkezett a megfelelő Momentum, hogy a Soros pénzen az agyába égetett diktatórikus rémálmait elfeledje. Ha nem megy, akkor kiköltözhetne olyan országba, ahol retteghet, és ennek a rettegésnek alapja is van. Pl. Észak-Koreába. Bár már nem sokáig, mert Trump hamarosan leatomozza és a nukleáris hamuból ott is kivirágzik majd egy gyönyörű demokrácia.

Szóval jobban jár, ha inkább használ valami direkt erre szakosodott megoldást, pl. Tor. Csak mert a tied sem igazi érv. Méghozzá azért nem, mert ha mondjuk a magyar kormány azokat a renitenseket akarná Kubatov-listázni, akik az index.hu-ról tájékozódnak, akkor elég lenne simán a HTTPS kapcsolatot figyelni, hogy melyik IP-re megy és az alapján már meg is van. Az, hogy milyen cikkeket olvas el, szerintem már marhára de részletkérdés.

Nekem Magyarország egy pesszimista birkatársadalomnak tűnik, de ennek semmi köze nincs ahhoz, ki van épp hatalmon, vagy melyik amerikai/magyar tőzsdecápa/milliárdos pénzeli az aktuális ellenzéket.

Szerintem Észak-Korea provokál, kiabál és fenyegetőzik.

Szerintem Észak-Korea nem jelent valós fenyegetést.

Szerintem a Nyugatnak nincs és nem is lesz addig antikommunista propagandája, amíg a nagytőke és a pénztőke nincs veszélyben egy valóban népszerű és jól működő kommunista eszme által (ami jelenleg max. zárt, önellátó gazdaságokban működik jól, ahol mindenki rendesen teszi a dolgát). Mivel a világ jelentős részére már ráerőltették a kapitalizmust, így csak egy olyan új eszme fog tudni nagy népszerűséget szerezni magának, ami többet tud felmutatni, mint a jelenlegi berendezkedés. Például mindenkinek VR szemüveg egy fix hardveren, ahol olyan virtuális okostelefont vesz amilyet akar, meg olyan gépet dob ki, amilyet akar. :P Cserébe nincs környezetszennyezés, mert a VR szemüvegre, meg a mögöttes hardverre lifetime support van. :P

"Mivel a világ jelentős részére már ráerőltették a kapitalizmust"

minden kapitalista országban élő személynek szíve joga és szabad akarata elhagyni a kapitalista országot és egy szívéhez közelebb álló elveket valló kommunista országba menni és élni, te is megteheted akár már holnap!

A kommunista országokból jellemzően nehezebben engedik ki az ott élőket a kapitalista országokba,
nem tudom hány éves vagy, nem is érdekel, de itt vagyunk páran akik még emlékszünk milyen nehéz is volt akkoriban kijutni vagy behozni bármit is, és nem tech cuccokat csak pl. banánt, narancsot ésatöbbit.

Szóval személyes tapasztalat alapján azt mondom hogy hidd el nincs ráderőltetve a kapitalizmus, szabadon távozhatsz (nem úgy mint pl. 30 éve)

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

"Szóval jobban jár, ha inkább használ valami direkt erre szakosodott megoldást, pl. Tor."

Mert az NEM bloat ugye, hogy ugyanaz az adatcsomag pattog jópár relay-en keresztül, többszörös adatforgalmat generálva? Nem? Csak a logikádat követem.

A többire inkább nem reagálnék.

Ahol erre szükség van ott, "ez van".

De a nyugati világban erre nincs szükség. Kivéve, ha Snowden vagy. De mivel nagyon kevés Snowden van, aki hajlandó beáldozni a karrierjét a közjóért, ezért talán nem bloat, ha csak azok használják, akiknek feltétlenül szükségük van rá.

Az viszont bloat, hogy 99%-ban olyan információkat titkosítunk, amiket nem feltétlenül szükséges.

Oké, akkor írd le, hogy szerinted mi szorul titkosításra egy

  • hup.hu felületéről úgy, hogy csak hozzászólásokat nézegetek
  • hup.hu felületéről úgy, hogy hozzászólok
  • index.hu -ról úgy, hogy kommentelni se lehet
  • hwsw.hu-ról úgy, hogy nem vagyok bejelentkezve kommentelőnek
  • hwsw.hu-ról úgy, hogy be vagyok jelentkezve kommentelőnek

Mindhárom általad felsorolt oldalon van érzékeny adat bevitelére lehetőség (bejelentkezés, regisztráció). Ennek az ellopásának megakadályozása preferált. De ha nem is akarsz bejelentkezni, feltételezem nem akarsz szembesülni azzal, hogy az adatforgalomba belepiszkál valaki, és reklámokat rak be, vagy megváltoztatja a tartalmat.

hajbazer, mondtam, tanuld ki a szakmát te is mint mi itt páran azt megtettük, aztán majd ha te is fejlesztő leszel eldöntheted hogyan fejlesztesz, addig meg törődj bele mert mást nem tehetsz minket meg nem érdekel a nyűgöd ha az emberek 99%-ának nincs baja vele elégedettek is leszünk.

Minap csináltam egy oldalt, reszponziv (szóval telefonon és asztalin is igazodik), tudom hogy neked egy nagy bloat mert tele van szerinted felesleges dolgokkal ugyanakkor ha bárki felmegy telefonról neki frankón tetszeni fog hogy nem kell jobbra-balra húzgálnia hogy mindent lásson, szóval ez van, te vagy az elhanyagolható 1% és mi a többség érdekét nézzük.

Majd amikor utcára vonulnak világszerte emberek milliói hogy ne igy legyen akkor csináljuk máshogy.

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Akkor két "apró" megjegyzés: a HTTP stateless protokoll, így ahhoz, hogy állapotot át tudjál vinni lekérdezések között (pl. hogy bejelentkezve maradjál...) kell "valami". Ezt a "valami"-t nevezzük mondjuk sütinek vagy session azonosítónak.
Namármost: marha bittonságosan bejelentkezel a HWSW-re, ami utána - mert nem blótul van írva - visszadob téged sima HTTP-re. Én meg ott ülök a snifferrel és a bejelentkezésed utáni első plaintext lekérésből kiolvasom az azonosítódat és benn vagyok a nevedben.
És persze, lehetne kitenni egy belepett-user-a-hwswn.hu domainre a kritikus tartalmakat, hogy a hwsw.hu-ra érkező HTTP kérésekbe a böngésződ még véletlenül se tegye be a session ID-d, aztán "szépen" be lehet ágyazni iframe-be. És máris többszörözted a lekérések számát (tudod, minden oldalletöltésnél a két-három másik iframe-t is be kell húzni). Aztán lehet számolgatni a gigawattokat. Hupsz.

Ami meg a webfejlesztők elszántságát illeti: a webfejlesztők többnyire elég elszántak és szeretik az újdonságokat, amikkel hatékonyabb és jobb weboldalakat csinálhatnak. Csak nem az XP + IE8 kombóra, mert az nem fogja őket támogatni - kivéve, ha egy bloatware JS libbel beletaknyolják a supportot, már ahol lehet. Hupsz.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

The Secure attribute limits the scope of the cookie to "secure"
channels (where "secure" is defined by the user agent). When a
cookie has the Secure attribute, the user agent will include the
cookie in an HTTP request only if the request is transmitted over a
secure channel (typically HTTP over Transport Layer Security (TLS)
[RFC2818]).

Although seemingly useful for protecting cookies from active network
attackers, the Secure attribute protects only the cookie's
confidentiality. An active network attacker can overwrite Secure
cookies from an insecure channel, disrupting their integrity (see
Section 8.6 for more details).

...

8.6 ...

An active network attacker can also inject cookies into the Cookie
header sent to https://example.com/ by impersonating a response from
http://example.com/ and injecting a Set-Cookie header. The HTTPS
server at example.com will be unable to distinguish these cookies
from cookies that it set itself in an HTTPS response. An active
network attacker might be able to leverage this ability to mount an
attack against example.com even if example.com uses HTTPS
exclusively.

Servers can partially mitigate these attacks by encrypting and
signing the contents of their cookies. However, using cryptography
does not mitigate the issue completely because an attacker can replay
a cookie he or she received from the authentic example.com server in
the user's session, with unpredictable results.

(RFC 6265)

Vagyis cseszheted a HTTPS-es belépésed és a secure sütid, ha én a HTTP-re irányuló forgalomba beszúrtam egy session id-t, amit én is ismerek - amint beléptél, van egy session-öm, amin be vagy jelentkezve.

Egyébként a csúnya gonosz fejlesztőék ezt is megbloatosították :(

Starting with Chrome 52 and Firefox 52, insecure sites (http:) can't set cookies with the "secure" directive anymore.

(https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Secure_and_Ht…)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Korrekt session kezelés él illik új id-t generálni minden kritikus esemény után, így a logót után is. Vagy éppen szét lehet szedni külön subdomainre a https és a http tartalmat, hogy a same-origin policy miatt ne lehessen így cookiet injektálni.

Ettől függetlenül a normális biztonsági szemlélet az, hogy minél kevesebb hibalehetőséget hagyjunk, úgyhogy ez is egy remek példa arra, miért rossz a mixed-content.

Az új session ID generálása sem segít, onnantól kezdve, hogy a beágyazó oldal titkosítatlan, én, mint támadó, simán átütöm, hogy lesz szíves sima HTTP-n betölteni/elküldeni a formot (ugye onnan indultunk, hogy bele tudok nyúlni a forgalmába és tudok neki HTTP-n HTTPS-t proxyzni), eljátszok egy MITM-t és az új session is az enyém. Én is első körben a külön domain-t írtam, hajbazer kollégának nem jött át. Ráadásul akkor a külön domainen lehet HSTS, hogy az első lekérés [újabb attack vector :) ] után már ne lehessen downgrade attackelni.

Ettől függetlenül a normális biztonsági szemlélet az, hogy minél kevesebb hibalehetőséget hagyjunk, úgyhogy ez is egy remek példa arra, miért rossz a mixed-content.

Ebben egyetértünk :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

ha csak azok használják, akiknek feltétlenül szükségük van rá.

Azért az megvan hogyan működik a TOR?
A biztonság épp annak függvényében nő minél több ember használja és válik továbbítóvá vagy épp kilépőponttá!

Ergo ha csak 2 Snowden használja épp az egész semmit sem ér! :D

--
Linus Torvalds-"Nvidia Fuck You" / Linux Distributions / pár plusz HUP funkció"

Nem akartam hozzászólni, de hát... Aztat szeretném kérdezni, hogy 80Plus Titanium tápegységed megvetted-e már? :) Kis forgalomnál egy Core2duo vagy újabb gépen kb. mérési hiba kategória a HTTPS böngészgetés, ráadásul mégújabb procikban ott az AES gyorsítás meg a hw randomgenerátor, meg a GPU gyorsítás a böngészőben. Ha a régi a géped egy jó táppal mindenképp jót teszel vele és villanyszámládnak.

Nagyon veszélyes tévedés azt hinni, hogy a https kapcsolatra csak a bizalmas adataid védelme miatt van szükség. Nyomós technikai okok vannak, ami miatt a jelenlegi rendszerben nem működik jól a mixed-content. Gondoljunk például a same-origin policyre.

Lazán kapcsolódik ez a defcon talk, bár nem erről szól, de rengeteg demót hoz arra, hogy mi mindent lehet meglenni egy http, vagy akár csak kevert http/https oldallal.
https://m.youtube.com/watch?v=0QT4YJn7oVI

A régi gépes felvetésedre nem igazán lehet érdemben reagálni, mert már maga az ötlet is téves: jó eséllyel a biztonságos https kapcsolat sem lesz biztonságos ezekről a gépekről. Lásd SHA1, SSLvbármennyi... Az a nagy helyzet, hogy természetesen lehetne ilyen teljesítményű gépekre biztonságos, modern dolgokat fejleszteni, de erre nem alkalmasak az általad újra és újra felmelegedést, elavult szoftverek. Így pedig nem éri meg. Valószínűleg még környezetvédelmi vagy humanitárius nézőpontból sem lenne az egyébként.

Adok meg egy okot: bizonyos internetszolgaltatok bizonyos orszagokban egy idoben ugy gondoltak, hogy ok majd jol osszetomoriti a weboldalak kepeit. Olyannyira, hogy a kepek mosott szarra alakultak a mobilos kapcsolatokon. Persze errol a usereknek csak az ASZF 96. oldalan szoltak, es kikapcsolni sem lehetett. Mas szolgaltatok, megint mas orszagokban, ugy gondoltak hogy majd jol beszurjak az oldalakba a sajat reklamjaikat az oldal altal kiszolgalt helyett. Vagyis gyakorlatilag ellopva a bevetelt az oldal uzemeltetojetol.

Felreertes ne essek, sztem a _vegfelhasznalo_ nyugodtan modositsa tetszese szerint az oldalt, de amikor a szolgaltato belenyul, a vegfelhasznalo tudta es beleegyezese nelkul, az nem ok. Na es a HTTPS ezt nagyon szepen megoldja, mert a csotany szolgaltato aki meg akar 20 fillert keresni, nem tud belenyukalni a felhasznalo altal kert tartalomba.

Ugyhogy ha kerhetem, akkor legyen mindenhol HTTPS hogy az ilyen baromsagoknak egyszer es mindenkorra vege legyen.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Ha nem is CRC32-t, de hasht lehetne sima HTTP keres eseten. Darabolt / websocketes kapcsolatoknal mar problemasabb. Csak epp nem igy alakult a vilag, ugyhogy ha valtoztatni akarsz, irj ra RFC-t, proof of conceptet, hatha lesz belole valami. A HUP-os topickal keves valtozast fogsz elerni, az biztos.

Edit: az megvan, hogy a HTTP ugy epul fel, hogy nem kell feltetlenul elore ismerni az egesz tartalmat, ugye? A chunked encoding mar nagyon regen letezik es nagyobb fajlok, illetve streamelt adatfolyamokra (filmek, nagy result setek, stb) hasznaljak is boszen. Erre nem lehet csak ugy hasht csinalni.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

A CRC32 gyorsabb. A hash bloat. Erre a célra legalább is.


$stamp = encrypt(crc32($website_data));
echo $page . $stamp;

A fogadó oldalon meg megnézzük, hogy jó-e a pecsét.

Ezzel máris invalidáltuk az összes "szolgáltatóék tetszőleges tartalmat szúrnak be" és az összes "plázában a hekkercsávó saját hotspottal meg módosított oldallal hekkeli meg a fészbukom" érveléseket. Mivel ha a CRC32 nem stimmel, eldobjuk az oldalt. A CRC32-t pedig nem tudja úgy megmókolni, hogy neki tetsszen, mert az meg kőkeményen titkosítva van.

1. az utkozeseket hogy kezeled?
2. a chunked encodingot es a streamelest hogy kezeled?

Egyebkent a hackercsavot ezzel nem kuszobolod ki, mert ha belehallgat a forgalomba, tovabbra is el tudja lopni a sutiket es be tud lepni a Facebookba az en nevemben.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Jó a Facebook pont szar példa volt, mert ott többségben vannak a személyes adatok.

De ha egy login form-ot levédünk titkosított CRC-vel, akkor nem fog megjelenni a login form, ha belepiszkálnak. Mivel a crc-t meg alá kell írnia és le kell titkosítania a kommentelhető.híreket.szolgáltató.oldal.hu-nak.

A streaming esetében pedig teljesen értelmetlen titkosítani. Rendkívül valószínűtlen, hogy a hekkercsávó majd a h.264 stream-be injektálgat saját tömörített képi tartalmat.

A CRC32 nem kriptografiai hash fuggveny, eleg konnyu utkozest generalni. Vagyis be lehet szurni tartalmat egy oldalba anelkul, hogy megvaltozna a CRC. Eleg egy JavaScript fajlt beszurni es maris el tudom lopni a jelszavadat.

Streaming eseten pedig azert kell titkositani, mert kulonben a szolgaltato bele fog turmakolni, le fogja konvertalni / vagy megvaltoztatja a requestet szarabb minosegre. Hiaba fizetek elo full HD video szolgaltatasra, hiaba fizettem sok GB-nyi forgalomra, ha a szolgaltato ugy dont, hogy o most sporol maganak par fillert es nem azt adja amit kertem. Lattuk, megtortent. (Arrol nem beszelve, hogy nem csak videot lehet streamelni, hanem PDF-et vagy CSV fajlt is.)

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Oké, mi az encrypt-nél használt kulcsod? Hogy juttatod le a publikus kulcsot a userhez, hogy ellenőrizni tudja? Támadó viszonylag könnyen tud ütköző CRC32-t csinálni és beletenni a payloadját, mert nem crypto hash a CRC32.

Onnantól kezdve (és ezt egyszer kell megcsinálnod, mert a kulcspárod nem változik) meg visszatértünk oda, hogy egyébként kéne egy jobb hash függvény (mondjuk SHA-2 család), hogy kell valahogy biztonságosan eljuttatni a publikus kulcsot (legyen akár egy CA-kkal teli PKI rendszer, akár mondjuk egy DNSSec-alapú DANE), hogy... újra fel kell találni az SSL/TLS-t.

Igen, a Windows Update és a Linuxos csomagkezelők tudják ezt a módszert használni, mert van biztonságos mód az aláíró kulcsok publikálására (alapból ott van a telepítőn, biztonságos, előre ismert trust anchoron keresztül bizalmi lánccal kiépített TLS kapcsolaton keresztül húzza le az új kulcsot, ...). Azaz de, van, pont azt akarod leváltani...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A crc32 nem kriptográfiai hash, vagyis nem kunszt egy olyan rosszindulatú kódot létrehozni, aminek ugyan az a crc32 eredménye, mint az eredetinek. Innentől kezdve hiába nem tudsz piszkálni a crc32 eredményével, a tartalmat mégis tudod manipulálni.

A dolog szépsége hogy kriptográfiailag biztonságos hasht elég nehéz készíteni, vagyis nem sokkal lesz kisebb az overhead a hashek ellenőrzésekor, mintha eleve titkosítva küldenéd a tartalmak.

Értem, hogy a legkönnyebb beleszállni a "bloat kolléga nem ért semmihez, ezért direkt primitívnek értelmezzük a felvetését" csődületbe, de akkor elmagyarázom még egyszer, és talán SzBlöki is megérti. :P

Van egy oldal, aminek a tartalmát garantálni szeretnénk. Ha a tartalmát garantálni tudjuk a fogadó oldalon, az máris ellehetetleníti a következő két támadási módot.

  • Hekkercsávó ül a plázában, fake hotspotokat gyárt és kicseréli a bejelentkezést igénylő oldalak login formját a sajátjára. Nem tudja kicserélni, mert nem jelenik meg az oldal, ha belepiszkál.
  • Netszolgáltatóék extraprofit reményében kicserélik a különféle ad-szerverekről érkező reklámokat a sajátjaikra. Nem tudják kicserélni, mert ha kicserélik, nem jelenik meg az oldal (vagy a reklám), ha belepiszkálnak.

Lemegy egy HTTP reply, amiben van két extra mező. Egyik a titkosított CRC32, a másik egy digitális aláírás. Ha átírják az CRC32-t egy ütközőre, az érvénytelen. Az oldal nem töltődik be, vagy a böngésző figyelmeztet. Ha belehekkelnek valamit az oldalba, a CRC32 nem stimmel, az oldal nem töltődik be, vagy a böngésző figyelmeztet. A digitális aláírás hitelességét pedig ugyanúgy root CA-kon keresztül lehetne ellenőrizni, ahogy eddig a cert-ek hitelességét.

Így jóval kevesebbet kéne számolni a CPU-nak is, meg titkosítgatni 99%-ban teljesen nyilvános adatokat (kivéve Facebook, nCore stb. esetében).

Továbbra is eltekintve az összes eddig elhangzott szakmai érvtől, hogy miért lenne továbbra is triviálisan hackelhető, amit csinálsz: ezt _kötelezővé_ tennéd minden szerver számára (természetesen visszafelé is a HTTP/0.9-ig, különben hekkercsávó simán csinál egy downgrade attacket), vagy valahol publikálnál egy listát, hogy melyik szerverek támogatják a hajbazerCRC HTTP fejléceket, vagy...?

Mert ha a böngésző nem biztos (és nem lehet) abban, hogy neki látnia kell ilyen fejléceket, a plázában ülő hekkercsávó simán kihúzza a titkosítatlan HTTP-n érkező fejléceket, mintha ott se lettek volna...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

HTTP/1.3 keretein belül ki lehetne adni.

Tehát kötelező jelleggel mindenki frissítsen http kiszolgálót és klienst (ez nem csak böngésző, hanem tengernyi alkalmazás), hogy egy problémára adott évtizedek óta több-kevesebb sikerrel működő, karban tartott megoldást lecserélhessünk egy visszafelé nem kompatibilis, de legalább nem biztonságos (mert nem egy érvet felsoroltunk, hogy miért nem az), definiálatlan (mert még mindig nem látom az RFC-t és az implementációt) megoldásra.

Na, ennyit az "idealista" fejlesztők "bloat"-barát hozzáállásáról és rólad...

SSL-nél is van downgrade attack, mégis meg tudták oldani az upgrade-et.

Na ná, mert az, hogy SSLv1 vagy SSLv2 van (az SSLv2 bevezetésének első éveiben) nem egy boolean kapcsoló, hogy "Van biztonság" vagy "Nincs biztonság", hanem a "Kevésbé biztonságos" és a "Nagyobb biztonságos" közti átmenet. A te megoldásod egy boolean kapcsoló lenne a "Nincs biztonság" és a "Nincs biztonság, de van valami triviális megkerülhető izé" között.
Ráadásul az SSL/TLS-nél a downgrade attack csak korábbi SSL/TLS verziókra működik (továbbra is van valamilyen szintű biztonság) és (fúj, csúnya gonosz update a bloathuszár fejlesztőktől) egy normálisan karbantartott gépen le vannak tiltva az ismert biztonsági hibákkal rendelkező protokollok és cipher suite-ok, így egy downgrade attacknél a kliens eldobja a kapcsolatot.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A CRC32 nem kriptográfiai hash, vagyis át lehet írni úgy az oldalt, hogy nem változik meg tőle a CRC32.

Az ütközés azt jelenti, hogy van két különböző forráskódú oldal, aminek ugyan az a hash eredménye. Vagyis a kliens nem fogja észrevenni hogy belepiszkáltak, mert a hash egyezik, tehát meg fog jelenni a megváltoztatott az oldal.

Természetesen lehet titkosítás nélkül integritást garantálni (lásd pl. GnuPG aláírások), de ezt nem véletlenül nem integrálják a HTTP protokollba. Természetesen lehetne olyan protokollt csinálni ami úgy működik, ahogy te szeretnéd (a dpkg/apt repók hasonlóan működnek), de ez nem a HTTP, és valószínűleg a jövőben sem lesz az. Ennek kompatibilitási, technikai okai vannak. Tessék először képbe kerülni a jelenlegi technológiák működésével, meg ezeknek az eljárásoknak a matematikai alapjaival, utána tudsz érdemben javítani.

Erre nem lehet csak ugy hasht csinalni.

Tessék szoftverfejlesztőéknek kihozni egy HTTP 1.3-at és beleimplementálni. Szerintem nem lett volna annyira nagy ügy, mint a cipherekkel szívni orrba-szjába. Egyébként meg könnyen backportolható lenne akár IE6-ra is, mert egy viszonylag egyszerű algoritmusról van szó. A chunkok végén is lehetne ilyen aláírás.