On 03/12/13 11:48, blicero@??? wrote:
> On Tue, Dec 03, 2013 at 09:05:28AM +0100, Fabio Pietrosanti (naif) wrote:
>> http://log.nadim.cc/?p=122
>>
>> Mi paiono argomenti discussi in questa lista.
>>
>
> certo, ma non c'entrano una mazza con la polemica proposta da te
> precedentemente.
> Molte delle osservazioni che fa Nadim sono vere: il problema non è riseup o
> autistici, il problema è SSL e un problema di scala, oltre che un problema di
> percezione da parte degli utenti.
Ma molte sono delle sonorissime cazzate. D'altra parte, la personalita'
del caro Nadim la conosciamo e non da oggi. Se dici "e' tutto merda" poi
viene piu' facile promuovere se' stessi.
Nel suo post non e' affatto chiaro dal suo post come fa il passaggio
"usano SSL -> MITM come a google" (a google lo sniffing lo facevano
sfruttando il fatto che, sul trasporto intra-datacenter, google NON
usaVA encryption SSL).
Il problema, se vogliamo, e' che l'unica encryption di cui ti puoi
fidare senza basarti su una relazione di trust (con un'entita' terza,
che e' la Certification Authority[1]) e' la crittografia integrale
end-to-end. Magari non piena di bachi ridicoli come quella di
crypto.cat, aggiungerei. Ma divaghiamo...
> Ma da lì non ci si schioda: o la gente si da una sveglia o il problema rimane.
> E dal punto di vista tecnico di alternative valide a SSL non è che ce ne siano
> molte (a parte la crittazione delle proprie comunicazioni con crittografica
> forte come gpg con chiavi >>> 4096 bit)
>
Ripeto, l'alternativa e' la crittazione end-to-end liberandosi dell'idea
che tutto si faccia tramite browser (incluse le eventuali
estensioni...). Tipo LEAP, che infatti anche il simpaticone e' obbligato
a nominare verso fine rant, ma vabbe'.
Ciao
Joe
[1] Questo rapporto di fiducia e' critico; e' questa la ragione per cui
A/I ha scelto coscientemente di NON usare certificati di una CA esterna
(si veda
http://www.autistici.org/it/ssl.html)