victor_sudakov: (Default)
Прочитал в http://cinichka.ru/rss/35335-35335.html , что в такси включается автоматически после начала поездки салонная аудиозапись. Законно ли такое, тем более без ведома пассажиров? По мне так это грубейшее нарушение приватности.
victor_sudakov: (Default)
make ROOTPW=somepassword

По умолчанию root получается без пароля, поэтому по сети можно зайти только по ключу (перед сборкой положить в conf/authorized_keys).
victor_sudakov: (Default)
Для создания сабжа, без которого Google Chrome смотрит на сайты как на говно, надо:

1. Certificate request. В openssl.conf

[req]
req_extensions = v3_req
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = name1.example
DNS.2 = name2.example
IP.1 = 10.1.1.1


2. CA при подписании

[ CA_default ]
copy_extensions = copy
victor_sudakov: (Default)
Это же надо было так запрятать от пользователя! Зачем?

Меню "..." -> Дополнительные инструменты -> Инструменты разработчика -> Security -> View certificate
victor_sudakov: (Default)
В свете http://www.rbc.ru/technology_and_media/14/06/2017/594082a39a79477ceed106b2 как-то тревожно становится от намерений государства перейти на запись в электронном реестре как единственное подтверждение права на недвижимость, автомобиль (планы введения электронных ПТС) и др.

Успокойте меня как-нибудь! Скажите, почему уже завтра хакер не сможет переписать мою квартиру и машину на себя, внеся изменения в какую-нибудь государственную БД? Как будет гарантирована целостность данных?
victor_sudakov: (Default)
В мессенджер Telegram добавили голосовые и видеозвонки. Вот даже не знаю, радоваться ли. И окончательно перестаю понимать, за чей счёт банкет. https://telegram.org/blog/calls

Хотя способ верификации отпечатка ключа порадовал. Можно голосом сверить.
victor_sudakov: (Default)
Чтобы сабжевая конфигурация заработала, надо на клиенте в .ovpn явно прописывать тип шифрования, идентичный серверному. Иначе получим в логе на стороне сервера:

openvpn[44674]: x.x.x.x:59463 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote ='cipher BF-CBC'

Предположительно Tunnelblick не поддерживает NCP, как openvpn версии <=2.3

Lavabit

Feb. 3rd, 2017 07:32 pm
victor_sudakov: (Default)
You don't fully understand the importance of privacy until you've lost it (Ladar Levison)

"Насколько важна неприкосновенность частной жизни, осознаёшь только когда потеряешь её"

https://rublacklist.net/25180/

MAB

Jan. 19th, 2017 12:25 pm
victor_sudakov: (Default)
Для включения контроля доступа по списку разрешенных MAC адресов, при этом на порту можно иметь >1 разрешенного адреса:

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet1/0/29
  authentication host-mode multi-auth
  authentication order mab
  authentication port-control auto
  authentication timer reauthenticate 120
  authentication timer restart 600  
  authentication violation restrict
  mab
end

В RADIUS в users:

e8de27c96a2e Auth-Type = Local, Password = "e8de27c96a2e"

Или в tac_plus.conf:

user = e8de27c96a2e {
        name = "Printer 2"
        pap = cleartext "e8de27c96a2e"
}
victor_sudakov: (Default)
http://hitech.vesti.ru/news/view/id/10753

Как минимум рекомендуют в меню "Безопасность" включить опцию "Показывать уведомления безопасности". У меня по умолчанию было выключено.
victor_sudakov: (Default)
https://rublacklist.net/24658/

Это означает, что при получении запроса телекоммуникационная компания должна удалить всё шифрование, чтобы обеспечить правительственным агентам доступ к любым каналам связи. Это указывает на обязательство сохранять возможность доступа для сотрудников правоохранительных органов к зашифрованным устройствам и услугам, прекращая на этом законное использование шифрования end-to-end.

Очевидно же, что кончится эта тенденция появлением децентрализованных мессенджеров, за которыми не будет никакой телекоммуникационной компании. Это сейчас можно надавить на владельцев WhatsApp или Telegram, а если никаких владельцев вообще не будет, а будет обмен сообщениями peer-to-peer?

Поставить такие децентрализованные мессенджеры вне закона? Так и выйдет по пословице "where privacy is outlawed, only outlaws will have privacy." Т.е. как раз у преступников и террористов тайные мессенджеры останутся.

Проще уж сразу троянить все пользовательские устройства, смартфоны да планшеты, да снимать все нужные данные прямо с клавиатур.

OTPdroid

Dec. 25th, 2016 09:48 pm
victor_sudakov: (Default)
Лучший OTP калькулятор для Android: https://play.google.com/store/apps/details?id=de.ub0r.android.otpdroid

Умеет посчитать несколько фраз за 1 раз (аналог "opiekey -n").
victor_sudakov: (Default)
Похоже втихую готовится внедрение тотальной слежки за автомобилистами:
https://ria.ru/society/20161114/1481325254.html
https://ria.ru/society/20161110/1481047454.html

Я мог бы согласиться с "чёрным ящиком", который будет писать и сохранять внутри себя информацию на случай ДТП и т.п. Пусть даже в нем будет аварийная кнопка "Я в беде, передать мои координаты в службу спасения или автосервис".

Но если речь об устройстве, которое будет непрерывно передавать данные о местонахождении моего автомобиля - это никуда не годится, это тоталитаризм. Мало нам мобил!

А уж как бандиты порадуются: уж они сумеют купить или захакать для себя доступ к данным о передвижениях интересных им авто.
victor_sudakov: (Default)
Почитал про организацию key signing parties (даже по-русски есть https://github.com/ivladdalvi/keysigning-party/blob/master/keysigning.md )

Попробовал даже создать такую встречу для Томска: http://biglumber.com/x/web?keyring=5984;readonly=1

Вывод: сложно всё это, "страшно далеки они от народа".
victor_sudakov: (Default)
Сабж https://en.wikipedia.org/wiki/Opportunistic_encryption имеет право на существование, потому что пассивное прослушивание - это разновидность атаки, что оказывается признается и в RFC двухлетней давности https://tools.ietf.org/html/rfc7258 и популяризаторами конечно: http://victor-sudakov.livejournal.com/176485.html

Как по мне, так веб-сайт с самоподписанным сертификатом (но известным заранее из надежного источника экземпляром) может понадежнее будет, чем подписанный УЦ Чунгва-Телекома. Полагаемся же мы на такую модель при удаленном доступе по SSH.
victor_sudakov: (Default)
Кто знает, как можно в браузерах добавить дополнительный доверенный корневой УЦ, но чтобы он мог подтверждать подлинность нескольких сайтов из заданного списка, а не любого сайта. Допустим, https://oblstat.tom.ru/webstat/ имеет самоподписанный сертификат. Я бы хотел установить этот сертификат в доверенные УЦ, но только для самого oblstat.tom.ru и поддоменов.
victor_sudakov: (Default)
Если есть необходимость разрешить доступ к "show running-config" непривилегированному пользователю (в моем примере 3-го уровня доступа), то обычных команд
privilege exec level 3 show running-config view full
privilege exec level 3 show running-config view
privilege exec level 3 show running-config
privilege exec level 1 show
может оказаться недостаточно, конфиг будет отдаваться пустой или почти пустой.

Тогда надо добавить
file privilege 3

Источник: http://commandline.ninja/2016/05/30/rancid-and-ios-15-2-blank-config-and-how-to-work-around-newer-file-privileges/
victor_sudakov: (Default)
Имя пользователя из клиентского сертификата получаем командой
$ openssl x509 -noout -subject -in sudakov.pem
subject= /C=RU/ST=Siberia/L=Tomsk/O=SibPTUS/OU=PL/CN=Victor Sudakov/emailAddress=sudakov@sibptus.ru


Если в имени пользователя есть пробелы, то в AuthUserFile вписываем это имя без кавычек:
/C=RU/ST=Siberia/L=Tomsk/O=SibPTUS/OU=PL/CN=Victor Sudakov/emailAddress=sudakov@sibptus.ru:xxj31ZMTZzkVA


а в .htaccess в кавычках
Require user "/C=RU/ST=Siberia/L=Tomsk/O=SibPTUS/OU=PL/CN=Victor Sudakov/emailAddress=sudakov@sibptus.ru"


После этого в конфиге апача включить
SSLVerifyClient optional
SSLCACertificateFile "/usr/local/etc/apache22/cacert.pem"
<Directory "/path/to/your/site">
    SSLOptions +StdEnvVars +FakeBasicAuth
</Directory>
victor_sudakov: (Default)
Возможностью опубликовать PGP ключ в профиле, зашифрованными уведомлениями и особенно хедером

X-Mailer: ZuckMail [version 1.00]

Profile

victor_sudakov: (Default)
Виктор Судаков

September 2017

S M T W T F S
     12
34 56789
10 111213 141516
17181920212223
24252627282930

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 24th, 2017 05:05 am
Powered by Dreamwidth Studios