On 07.04.2014 23:17, Ciaby wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
>
> Any questions?
> http://heartbleed.com/
> :(
Esistono due tipi di dolore. quelli che ti fanno soffrire inutilmente e
quelli che ti rendono più forte.
Dopo questo, dopo le backdoor/bugdoor nei due openssl (goto goto!), dopo
la compromissine delle CA inserite nei trojan, mi chiedo se per la
cotica di maometto, non sia ora di pensare a qualcos'altro.
Qualcosa magari con un codice più facilmente mantenibile, minimale, e
naturalmente che ignori tutte le funzionalità di 15-16 anni or sono, che
tanto non ce ne siamo mai fatti nulla e gestirsi una CA propria è ancor
più difficile di gestirsi le proprie chiavi PGP.
Ora farei una domanda, tipo:
c'è qualche lavoro in corso per sostituire SSL ? non come standard
aziendale, non come standard governativo, ma almeno come meccanismo
sicuro utilizzabile dalla community, che bypassi il racket delle CA.
Poi il passo successivo è andare dal buon firefox e dir loro "hey,
volete fare il web seguendo la community ed i suoi standard, ecco il
nostro supporto: SSL non ci stava più bene per questi motivi"
Poi chrome segue e il sistema diventa standard de facto.
(poi ti svegli perché è solo in sogno, ok)
Idee a muzzo che magari qualcuno vuole approfondire x hackmeeting, o
magari esistono già e lo scopriremo da oggi:
. sistema semplificato di cifratura/autenticazione del server
. trasformare chiavi x509 di OpenCA (o delle altre CA se si è facoltosi)
in chiavi Tor HS
. apache mod_pgp e un bel plugin client side che rimpiazzi le
funzionalità base di https
. estensione del DOM perché ogni script/CSS/html incluso in una pagina
possa essere firmato, cifrato, o imporre XHR cifrate
vado a tamponare arterie finché SSL agonizza.
A tutti i sistemisti: vi siamo vicini.
--
Dipartimento di Resistenza Cibernetica,
UniPop -
http://www.cantiere.org/sms
