Интересно, кто-нибудь видел подписанные расширения? Или я не там их загружаю?
А ты видел, что бы это было кому-то нужно?
стоящее замечание 
И я ни одной подписи не видел. Похоже, всем эти подписи до лампочки. А с подписями оно бы лучше было...
> А ты видел, что бы это было кому-то нужно?
Нужно тем, кто заботится о безопасности своей системы - как иначе определить, что пакет не был модифицирован? А то сейчас пользователи привыкнуть ставить пакеты без подписей... потом ведь не объяснишь прежде чем ставить пакет нужно убедится, что он не модифицирован.
Я видел, улучшенный блокиратор попапов был подписан Mozilla Foundation.
Подписи бесплатно не раздаются.
Тем более при желании, можно подделать и подпись. Ведь подделывают подписи даже конторы мелкомягких, и отсылают по почте обновление.
Ставить только из проверенных мест (Mozilla.ru и mozilla.org), а не с www.vasyapupkinkrutoixaker.ru.
Тем более, если придёт письмо с предложением установить новое крутое расширение, надо сразу в trash, а не смотреть на подпись.
Подписи делать - насколько мне известно - большой геморрой.
Тем более при желании, можно подделать и подпись. Ведь подделывают подписи даже конторы мелкомягких, и отсылают по почте обновление.
Позвольте узнать, это откуда Вы вынесли такое мнение?
Новости читал.
Psilon, чтобы подделать подпись, самому мощному серверу Пентагона придется столько лет, сколько планета Земля еще существует.
Конечно, подделать можно ))
gass512
А в Microsoft работают кристально честные люди, которы откажутся за $ сделать что-нибудь нехорошее.
Всмысле?
gass512
А в Microsoft работают кристально честные люди, которы откажутся за $ сделать что-нибудь нехорошее.
Это вы зря, вы, наверное, все-таки чего-то путаете
2004 год
родолжается выяснение обстоятельств попадания в глобальную сеть исходников Windows 2000.
Подозревают, начальника технического отдела компании Mainsoft, которая сотрудничает с Microsoft.
2003 год
Стоит напомнить, что некоторое время назад из Microsoft был уволен высокопоставленный менеджер, бывший директор отдела поисковых технологий Дэниел Фойснер (Daniel Feussner).
Согласно выдвинутым против него обвинениям, он присвоил 1600 копий различных программных продуктов Microsoft. Позднее Фойснер продал эти программы, причинив своим работодателям ущерб на сумму около $9 миллионов. Сейчас им занимается ФБР.
2001 год
Два цифровых сертификата по ошибке попали не в те руки. Теперь недобросовестные обладатели сертификатов Microsoft могут распространять вирусы и другие вредоносные программы под маркой Microsoft.
По данным представителей Microsoft, некто представился сотрудником компании и обманул VeriSign, заведующую цифровыми подписями. Таким образом было получено два сертификата на имя Microsoft, датированные 30 и 31 января.
to Psilon
Как раз хотел отметить тот удивительный факт, что утечек исходников из самой Микрософт почему-то не зафиксировано. Мошенничество с продажей софта не имеет к подписям никакого отношения. А случай 2001 года имеет отношение к бардаку в VeriSign, был оперативно пресечен и закончился ничем. За использование поддельного сертификата в Штатах можно загудеть, как за терроризм. Мои принципиальные возражения относились буквально к факту подделки и использования подписей. Цитирую вас еще раз:
Ведь подделывают подписи даже конторы мелкомягких, и отсылают по почте обновление.
А какая разница для пользователя, по вине мелкомягких или Verysign ему впарят что-либо.
И где гарантия, что это не повторится? Даже если и что-то подобное произойдёт, не в интересах MS это разглашать. Кто знает....
Хотя должен признать, что сам не совсем коректно выразился.
И замечание по делу.
Свежие новости:
http://www.securitylab.ru/54167.html
Не контора мелкомягких, но всё-таки.
http://www.securitylab.ru/54170.html
А это посерьёзней. А что в США за это будет?
Ну, вторая ссылка вообще не по теме.
А вот по поводу:
http://www.securitylab.ru/54167.html
Не контора мелкомягких, но всё-таки.
Вы извините, какая-то демагогия началась. Где там про цифровые подписи? Причем здесь тупой фишинг для тупых, которых при заключении договора сто раз предупреждают, что ни при каких обстоятельствах не пришлют им письма, с просьбой ввести конфиденциальную информацию. Или вы считаете, что письма были подписаны цифровой подписью Приватбанка? Ссылочку на источник, плз. А то мне это напоминает сенсацию с кражей хакерами! базы Банка России по транзакциям- 60 гигов! Я рыдал от смеха. В данном случае имела место обыкновенная кража. И собственно к безопасности информационных систем не имеет никакого отношения. По крайней мере к уязвимости ПО.
ЗЫ: Извините, если чересчур эмоционально вышло Безопасность для меня-тема больная
"Обыкновенная кража."
Зачем ломать навороченные компы, когда можно взять всё руками и унести? От этого она стала менее значимой?В этом и соль, взлом является не едиственным способом получить желаемое. Ведь нашумевший тов. Митник использовал не только компьютер.
Наверное Вам известно о ненадёжности хеш-функций MD5, позволяющей найти первую (полную) коллизию за 8 часов на Intel Pentium 1,6 GHz. А так же про коллизии В SHA-1. А также уязвимости в реализации гаммирования с обратной связью - CFB (Cipher Feedback) в OpenPGP. Когда можно произвести адаптивную атаку с выбором открытого текста и частично расшифровать данные.
Всё это плюс наличее дыр даже в ведомствах США, указывает на возможность украсть, что угодно и подделать, что угодно. А если имеется возможность не только компьютерным путём получить нужне данные (т.е не надо исать дыры в ПО, а просто получить, как Вы сказали, обыкновенной кражей), получается совсем другая картина.
Я имел в виду о возможности получения ключа подписи не перебором, а другим методом.
И еще одно соображение. Алгоритмы и методы цифровой подписи, как, впрочем, и вся несимметричная криптография имеют один существенный недостаток — отсутствие строгого доказательства надежности. На сегодняшний день нет доказательства существования или несуществования полиномиального алгоритма дискретного логарифмирования в простом поле.
Просто не надо свято верить в невозможность подделать ЦП или ещё что.
ИМХО,
вряд ли кому-то потребуется подделывать подпись расширений для Firefox а с другой стороны, подпись расширений - акт доброй воли разработчика, захочет - подпишет, не захочет - ну, и так все будут пользоваться.
Anton
Полностью согласен.
Наверное Вам известно о ненадёжности хеш-функций MD5, позволяющей найти первую (полную) коллизию за 8 часов на Intel Pentium 1,6 GHz.
Больше читай первоисточник и что там написано, а не желтую прессу, вроде securitylab и прочие compulenta. Любят там делать слона из ничего.
А так же про коллизии В SHA-1
Уже давно все перешли на 256 и 512.
Алгоритмы и методы цифровой подписи, как, впрочем, и вся несимметричная криптография имеют один существенный недостаток — отсутствие строгого доказательства надежности.
А Fingerprint на что?
Господа, будет вам попрекать друг друга некомпетентностью
Быстро сломать/обойти можно любую систему защиты. Другое дело, что для этого потребуются либо нехилые ресурсы (в т. ч. интеллектуальные), либо феноменальное везение.
Больше читай первоисточник и что там написано, а не желтую прессу, вроде securitylab и прочие compulenta. Любят там делать слона из ничего.
Ваше полное право не верить, я не настаиваю.
Уже давно все перешли на 256 и 512.
А Fingerprint на что?
И что?
http://www.vnunet.com/news/1162595
Ещё один способ что необходимо, без помощи взлома.
И что?
То, что подлинность ключа проверяется по его фингерпринту, который сверяется с фингерпринтом оригинального ключа.
http://www.vnunet.com/news/1162595
Ещё один способ что необходимо, без помощи взлома.
Поделом, а эти идиоты сами виноваты.
То, что подлинность ключа проверяется по его фингерпринту, который сверяется с фингерпринтом оригинального ключа.
Был украден оригинальный ключ, что тогда?
Поделом, а эти идиоты сами виноваты.
Человеческий фактор.
Это только в фильмах показывают, что 128 битные и более ключи ломают с помощью калькулятора. А история всевозможных взломов показывает, что наличие больших вычислительных мощностей, обычно не требуется. Самая главная и основная опасность - это человеческий фактор. Зачем, что-то ломать, если можно выдвинуть ящик стола и посмотреть пароль или на крайний случай под клавиатуру заглянуть... и т.д. по списку.
Был украден оригинальный ключ, что тогда?
А об этом уже должен знать тот, у кого его украли, и вовремя информировать всех, что ключ потерял силу. Тем более ключ мало украсть, надо passphrase угадать. Да и вообще перед началом важных переговоров лучше делать новую пару ключей. Да и вообще ключи всегда можно поменять, если есть подозрение. Тем более ключ не просто так, он passphrase защищен.
Человеческий фактор.
Это только в фильмах показывают, что 128 битные и более ключи ломают с помощью калькулятора. А история всевозможных взломов показывает, что наличие больших вычислительных мощностей, обычно не требуется. Самая главная и основная опасность - это человеческий фактор. Зачем, что-то ломать, если можно выдвинуть ящик стола и посмотреть пароль или на крайний случай под клавиатуру заглянуть... и т.д. по списку.
Вы правда считаете, что я свои пароли в ящике стола храню?
Вы правда считаете, что я свои пароли в ящике стола храню?
gass512 Почему именно ты? Но это факты, с которыми поспорить трудно. Только там, где за это штрафуют или даже увольняют, ситуация немного лучше. Но это уже к службе безопасности предприятия.
Еще раз повторюсь, что главная опасность безопасности данных (любого рода) - это Человеческий фактор
Новая пара ключей - новый фингерпринт. атака man-in-the-middle.
Вы правда считаете, что я свои пароли в ящике стола храню?
А где, если не секрет? Интересно же.
Новая пара ключей - новый фингерпринт. атака man-in-the-middle.
man-in-the-middle -- это для идиотов. Фингерпринт можно передать голосом по телефону, по почте, предварительно подписав письмо и так далее. Да и вообще man-in-the-middle в нашем случае не катит. Fingerpring -- не passphrase. А чтобы не было подмены паблик ключа, его можно посылать почтой с подписью, или опубликовывать в общедоступном источнике. И как раз FINGERPRINT -- защита против man in the middle. Ведь если fingerprint не совпадет с ключом, то сразу понятно, что кто-то из серединки вмешался
А где, если не секрет? Интересно же.
В голове. Если ее украдут, все равно пароля не найдут
Мои сообщения, и сообщения Psilon'а расшифруют, если захотят. Сообщения gass512 расшифруют через 5 млрд. лет эксплуатации одного из серверов Пентагона. У Sergeys пароль украдут из ящика стола.
man-in-the-middle -- это для идиотов
Еще раз повторюсь, что главная опасность безопасности данных (любого рода) - это Человеческий фактор
Anton
Зачем через 5 млрд. лет эксплуатации одного из серверов Пентагона? Пентотал натрия и 30 минут. 
Зачем через 5 млрд. лет эксплуатации одного из серверов Пентагона?
Так надо.
Пентотал натрия и 30 минут.
Так не надо.
2Psilon
Ну так я же не дурак в этом плане Пароли в ящике не держу, фингерпринты сверяю
Кстати, пассфраза у меня на PGP состоит из 21 символа и вида: h79(h53j30&#h#)~~j5*$
И на мыло подобный пароль.
Давай, ломай Только сначала попытайся украсть мой приватный ключ
gass512
А мне оно надо? И кому это надо? Есть что-то особо ценное?
А у меня в ящике стола пароль храниться в зашифрованном виде, так, что пусть берут!
Только вопрос, а оно им надо??? Чтобы появилось желание, что-то украсть, нужно, чтобы у того, у кого хотят украть, было что украсть. А если нет ничего, то чего переживать!
А самый высокий уровень компьютерной безопасности - это отсутствие компьютера!!!
gass512
Все равно сломают через 5e9 лет. Или через 2.5e9, если нужная последовательность окажется в начале второй половины списка возможных последовательностей.
Нас с Psilon'ом сломают гораздо быстрее 
У Sergeys зашифрованный пароль в ящике стола расшифруют с помощью калькулятора Через 5e9 лет, или через 2.5e9 лет на кластере из двух калькуляторов.
Редиски, блин, эти хакеры.
Все равно сломают через 5e9 лет. Или через 2.5e9, если нужная последовательность окажется в начале второй половины списка возможных последовательностей.
Кому она нафиг будет эта инфа нужна через 5е9 лет?
А шифрую я только номера карточек, телефоны, адреса... Ну, когда по почте их посылать приходится.
Не стоит овчинка выделки, чтобы ее миллион лет расшифровывать => защищено на ура.
Кому она нафиг будет эта инфа нужна через 5е9 лет?
Сотрудникам Пентагона, я полагаю, сервер-то пентагоновский. А может, археологи заинтересуются.
Зато мне она уже не нужна будет
Не защищено на ура, а защищено от дурака.
Конечно сломают, в Пентагоне ведь не дураки служат, однозначно.
Не защищено на ура, а защищено от дурака.
Всмысле?
Конечно сломают, в Пентагоне ведь не дураки служат, однозначно.
Ага, то-то на Циммермана уголовное дело заводило правительство США по обвинению в пособничестве терроризму... И всего-то из-за того, что он изобрел шифр, перед которым оказались бессильны спецслужбы.
В общем, как ни крути, а вы gass512, все же лишитесь своего аккаунта на гмаил.
Я, Вы и другие не сможем расшифровать.
Правительственные конторы смогут.
Я, Вы и другие, не сможем расшифровать.
Правительственные конторы смогут.
Через 10 миллиардов лет беспрерывной работы ста тысяч серверов?
Гыгыц, ну я не против Флаг им в руки.
И именно поэтому, наверное, Циммермана 10 лет правительство по судам таскало, да?
А метод расшифровки с помощью утюга и паяльника?
А метод расшифровки с помощью утюга и паяльника?
Это уже из другой оперы
Это почему? Зачем тратить ресурсы на подбор ключа, когда проще вытащить его из владельца?
Товарищ, а как у Вас с паранойей дела обстоят? И что Вы предлагаете? Хаять могут все.
gass512, я начинаю опасаться за ваши жизнь и здоровье. Все-таки в пентагоне не одни ведь яйцеголовые служат, верно ? А я об этом как-то не подумал.
Наткнулся на такую ссылку:
Вы уже пытались добавить цифровую подпись на ваш XPI? Вам это удалось? Легко? Если да, то вам повезло
Pete Collins, основатель Mozdev Group тоже мучался и прошел этот не совсем очевидный путь. Он решил поделится с другими своим решением. Документ доступно описывает процедуру подписывания, под Unix (что не так уж и важно) и на английском.
So you want to sign your XPI package?