Re: [Hackmeeting] javascript e facilit? = felicit?

Nachricht löschen

Nachricht beantworten
Autor: ɣęƈƞą
Datum:  
To: hackmeeting
Betreff: Re: [Hackmeeting] javascript e facilit? = felicit?
Brno a fondo mail :)

2014-07-27 12:45 GMT+02:00 putro <putro@???>:

>
>
>
> A me non importa molto l'ignoranza tecnica dei giovani e meno giovani,
> e' un problema secondario, il problema e' molto piu' politico che tecnico.
>


Ok, e sta cosa sta cambiando con il tempo. cambiano i poteri in gioco, la
paranoia degli utenti che si fanno soluzioni home made (bello, no ? anche
se fanno cazzate è bello) e cambia il mercato. sto cercando di capire
anch'io come devo cambiare, o cosa servirebbe di nuovo.


>
> Il giudizio del mercato per me non ha alcun valore positivo,
> mettersi a giocare anche noi su quel piano e' pericoloso.
>


ah, è che in modo molto pratico, penso "se macini utenti, la tua rete
prende voce in capitolo". bittorrent ha seguito una logica economica
(attiro utenti a condividere) ma senza seguire propriamente un mercato.
così anche Tor.

Penso ogni cosa nuova possa stimolare questo fenomeno sia positiva, e
l'usabilità è un elemento più raro e utile per raggiungerla.



>
> pero' devo conoscere il "valore" del codice aperto, devo sapere
> che e' bene diffidare da qualunque soggetto commerciale etc.
>


Certo, è fondamentale. Non so quale sia il modo meno costoso per
raggiungere questo tipo di consapevolezza, e penso ci siano degli elementi
che si combattono tra loro (es: il codice aperto è bello, ma attento ai
default del tuo software, perché possono rendere il codice aperto una
trappola), e tutto questo rende la spiegazione molto più complessa.



Brno:


> non scherziamo, dai.. :P
> forse un passo avanti si potrebbe fare:
>
> http://www.soeren-hentzschel.at/mozilla/firefox/2014/07/12/was-machen-eigentlich-electrolysis-e10s-und-shumway/



non capisco ancora il tedesco, comunque siamo arrivati al punto che dalla
facilità d'uso, ci si pone dubbi sulla sicurezza della piattaforma browser.




> "i browser stanno diventando sistemi operativi", dai vecna, non sono
> frasi che uno si aspetta da te :) dov'e' finito il vecna di s0ftpj?
> ridatecelo!




hahah, è cresciuto :)
a parte questo, era una teoria che avevo da un sacco di tempo, per una
questione di layerizzazione degli usi:

prima, quando c'erano i dinosauri, ricorderai che il sistema minimo e unico
presente su macchina unix per fare controllo degli accessi era
/etc/hosts.allow e /etc/hosts.deny : potevi controllare solo gli indirizzi
IP, e ogni indirizzo IP aveva assegnato un servizio (un ruolo nella rete, o
un certo tipo di utenti). poi questo è cambiato, in una macchina sola avevi
più servizi, e usavi filtrare per porte. poi all'interno della stessa
connessione ip:tcp, se la porta era l'80 o la 443, ti sei trovato che
potevi avere mail, chat o web. mentre prima mail e chat stavano su un'altro
servizio. E così, questa webbizzazione delle comunicazioni era
preannunciata da ben prima di android/chrome/firefoxos. E questo
comportamento di incapsulamento ha portato ad effetti collaterali (positivi
? negativi ? valutate voi):

CloudTransport: Using Cloud Storage for Censorship-Resistant Networking
http://www.cs.utexas.edu/~amir/papers/CloudTransport.pdf



non l'ha neutralizzato, l'ha *semplicemente* ignorato.
> mi spieghi in termini pratici la differenza tra enigmail e minilock?
> (intendo proprio in numero di click!)[i colori? il drang and drop? gli
> occhiali di nadim?], ignorando la parte di key management, che con
> enigmail PUOI fare, con minilock non sai manco che cos'e'! per non
> parlare dei bug che con minilock hai e con enigmail/gpg no.



I bug finché non li vedi non ci sono, sono solo stimati. E non so se è più
facile stimare dei bug utilizzabili contro un utente, in una sistema di
email non mantenuto (enigmail) o in un browser, il quale valore di mercato
di un exploit (credo) sarà superiore ai 20k €$£.

I vantaggi specifici, detto da uno che comunque si è solo limitato a
leggere la documentazione (perché devo ancora capire come provarlo : non
devi generare la chiave pubblica/privata, non devi importati la chiave del
destinatario prima di scrivere, e non si basa su SMTP (anche se
l'identificativo univoco "email" viene usata come salt).

Comunque, la cosa più vantaggiosa è proporre una cosa nuova, verificata,
unificata, che non richieda nessuno sbattimento (sbattimenti di enigmail =
configurarti POP3/IMAP, generarti chiave, eventuali giuste paranoie sul
come diffondere la chiave)



> cosa insegni scusa? a fare copy&paste? "tieni popolo, con questo sei
> sicuro, devi solo fare copy&paste, non te ne deve fregare di quel che in
> realta' stai eseguendo" -- questo e' il futuro? il modello da seguire?
> state bene allora!




penso che se davvero ci fosse quella condizione, avremmo questi effetti:

- maggiore possibilità di veicolazione software fallato ad utenti che
comunque ci credono inconsapevolemente. (ma questo significa, attacchi
targettizzati, quindi già utenti protetti dalla mass survelliance (ah,
forse non l'abbiamo mai esplicitato: la protezione dalla mass survelliance
è lo scopo di tutta sta roba)
- maggiore rete di utenti che usa tech di protezione (quindi impossibilità
di discriminazione come avviene con XKeyScore o approci simili)
- più persone che si chiedono come funziona/perché è sicuro rispetto ad
adesso, in cui se manco sai che esiste la roba di protezione, e manco te lo
chiedi.
- più attività di malware e collezione dati sui peer (ma quindi attacchi
targettizati, non massivi).

quindi si, ci vedo più effetti positivi che negativi.

E il prossimo step diventerebbe: cifra all'interno dei .pdf, così da poter
usare i servizi che ti fanno sharare .pdf e bloccare altri formati, e
estendi il tuo plugin perché nel momento in cui scarica o visualizza un
.pdf nel browser, capisce che il formato è cifrato e si comporta come fosse
un file minilock.




> >
> > (nota a margine: keybase.io )
> >
> ma quel keybase che da la possibilita' di uploadare le private keys?
>


non conoscevo quella feature. citavo keybase.io perché è un modo abbastanza
nuovo di diffondere la propria chiave pubblica, usando le altre identità
che hai sparse su social network e servizi vari. Assumendo che non tutte
possano essere violate allo stesso momento (mentre un sistema unico e
centralizzato di pubkey management, magari si).


ciaone!
> ps: come mai nessuno ha ancora nominato end-to-end l'extension di google
> su chrome? lolololol.



quella cosa non mi piace per un paio di motivi, e se nessuna l'ha citata in
questo threat improntato alla felicità, o perché non rende nessuno felice :)

oggi vedo di provare sto minilock per davvero.


--
This account is intended for mailing list only. Personal email via:
vecna at globaleaks dot org