idxxx скоро превратится в тыкву

В понедельник возвращаем на ДОУ нормальные имена. Если вы жалете о том, что оставили какой-то из комментов на ДОУ напишите на [email protected] Удалим коммент или аккаунт.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

1) переключатель с куки-памятью при отправке любого сообщения или комментария: «подписаться» или «анонимно», 2) выпилить понятие «реальное имя» как бессмысленное, дискриминационное и неудобное с любой стороны.

А мне, пожалуйста, возможность удалять чужие аккаунты. Гулять так гулять!

ЗЫ: можно в платной подписке.

Аукцион можно устроить или вскладчину, а деньги — владельцу акка)

Не ну таки так никакого цимесу! И за шо же тогда таки давать деньги?

Блиин, а мне понравилось.
Если серьёзно, то зачем? Поставь каждому галку «анонимность» в профиль, и всё, этого будет достаточно.

Вплоть до того, что дать возможность создать 2 части профиля, реальный и анонимный. Это даст тебе возможность начисто выпилить анонимов, не заполнивших профиль. То есть если человек какие-то коменты хочет дать от имени ID (в том числе задним числом спрятаться), то чтобы была такая возможность. Но что ты сам знал кто есть кто, и даже давал возможность НАПИСАТЬ личное сообщение анониму.

Чего мне тебя учить, сам же видел какой профит даёт анонимность на Джине. :)
Кстати, может стоит эти профили совместить? Причина банальна — как такое вообще может быть, что какой-то айтишник в ua не был на DOU? Непорядок!

Зачем надо анонимность: Человек к примеру пишет, что Василий Апуппорионович из ЛидерРынка.com — бездарь, устроился по кумовству. И тут человек захотел устроиться в ЛидерРынка или любую другую контору, короче работу хочет искать. И хочет скрыть от глупых эйчаров некоторые коменты (например про глупых эйчаров).

Не будешь ли ты, достопочтеннейший повелитель Джина и Доу, подарить нам возможность иногда одевать маску зайчика?

Алексей, в наше время маска зайчика — не такая уже и безобидная штука
cs310919.vk.me/...rM3eQomMRp4.jpg

Ладно, тогда зайчика с флагом Латвии или Польши. Или авку чёрного властелина.

Или авку чёрного властелина.
Ради всего святого, только не в полный рост!

чувааак, 23.40 а уже тыква.... ПО какому времени живем? :)

А почему, позвольте спросить?
Вы же обещали анонимность аж до отмены того пакета законов.

Но странный стук зовёт в дорогу, Может, сердца, а может, стук в дверь. И когда я обернусь на пороге, Я скажу одно лишь слово: «Верь!»

Надеюсь после этого на DOU не появится еще десяток тем типа «Программиста {CompanyName} заочно приговорили к 30 суткам под стражей за „организацию массовых беспорядков“ »

Всех. Оптом. Ну а чё мы тут не по фене бакланим — неповага!

Не пойму @id1
Из крайности в крайность мечется.

Кто еще метнулся смотреть историю собственных постов — thumbs up ))

Не варто повертати — хай висить, поки не стане 100% зрозумілим

а смысл всего этого объяснили уже ? или я прослоупочил победу демократии ?

Я так рад, что победил здравый смысл...

У власти сейчас нет ни времени ни ресурсов, чтобы репрессировать за протестные посты в интернете. Им бы разобраться с протестующими в реале. А вот если революция будет задавлена, тогда да, за месяца три они пересажают всех активистов, а потом начнут шмонать интернет и вычислять просто недовольных.

Вроде бы да. Но там иногда — или !иногда ? -логика отсутсвует.

А можно еще проще — при написании сообщений сделать галку «Анонимно» — и тогда сообщение пойдет от имени Помидоры. Либо опцию в учетке — и тогда вообще все анонимно.
Правда — анонимность экстремистских (а сейчас под них можно даже чих на Его портрет подтянуть, особенно учитывая «ускоренные» суды) сообщений никак не снимает ответственность с владельцев сайта согласно «новым» нормам. Или я ошибаюсь? Ну и IMHO — анонимность ... заспамят и затролят сайт в ноль.
Я б для анонимистов сделал бы отдельную тему — как на всех форумах — «Флейм».

никакой анонимности айдишники не дают.

Это для самоуспокоения и лечении паранои в легкой, не запущенной еще, форме :)

Я б для анонимистов сделал бы отдельную тему — как на всех форумах — «Флейм».

А я б отдельный сайт :)

Блин, даже не подумал от таком простом решении %)))))

Можно для тормозов: «ручные» законы, когда отменили?

@id1: Когда https?

А Вы часто проверяете сертификаты при https-серфинге?
Параноя — она такая...

Стесняюсь спросить, а браузер их не проверяет?

А Вы список корневых сертификатов видили?
Уверены что там не выдадут государственную версию для «dou.ua» ?

Причём для этого не надо содействия этих CA. Самые простые сертификаты (domain validated) можно получить времено «переключив» часть связи с сервером на более сговорчивый, который подтвердит контроль.

Практически такое слабоосуществимо. Особенно при 8.8.8.8 в качестве DNS на клиенте. Слишком децентрализован выход в мир из Украины.

Как раз использование 8.8.8.8/8.8.4.4 упрощает задачу и добавляет еще один способ атаки.

Потому как вместо использования одного из сотен локальных ДНС у провайдеров (и в котором ответ будет находится часами или днями),
клиент регулярно посылает запрос через всю страну в предсказуемую локацию (до ближайшей точки присутствия Google), и по пути может получить «правильный» ответ созданый специально для него (или всей страны).

Однако для перехвата IP нужно сидеть устройством на всех выходных каналах из страны и фильтрить по layer 3.
Что у нас пока слабоосуществимо. Национальный файрвол еще не построили, насколько я знаю.

А можешь более подробно описать атаку даже если тебе удастся «перехватить ip»?

Если удастся перехватить пакет, то атака простейшая — надо ответить раньше DNS’а гугля.

Ну мой браузер посмотрит что твой ответ не подписан ключем для dou.ua, и отлупит сессию, где профит?

У меня два вопроса, первый — причём тут браузер и второй — где ключ dou.ua?

Ясно, не читатель. Данная ветка топика посвящена тому как будто-бы можно с помощью атаки на ДНС поломать сертификаты в хттпс.

Да ну нафиг читать столько :)

А для некоторых зон необходимо еще правильно подписать ответ.

Насколько подробно?
Про то, что использование 8.8.8.8 упрощают атаку согласен например вот человек:

CircleID: DNS Security Should Be One Of Your Priorities (including DNSSEC)
However... the attack surface against your DNS queries has now been expanded to include the entire part of the public Internet that is between your computer and Google’s Public DNS servers (to use the example of Google).
<b>An attacker now has a better chance of getting in the middle and injecting false DNS information</b> that goes back to your stub resolver running on your machine.
So for those reasons, I prefer to run the recursive DNS resolver as close to the end user as possible.

Или про то, как недорого создать “дополнительный” SSL сертификат, контролируя канал между RootCA и сервером?
Или как задействовать этот сертификат для MiM атаки на SSL (чтобы броузер не заметил)?

Последних два пункта пожалуйста

Сертификат: У Вас в броузере стоит около 100 компаний, которым он доверяет выдавать сертификаты.
Ничего не мешает, даже если dou.ua купит сертификат у одних, купить еще один в другой компании.

В процессе оформления дешевых из них — документов не требуется, а достаточно доказать регистратору что Вы якобы контролируете этот сайт (например добавите запись в DNS, отвечаете на емейл или можете файл разместить на сервере).

В случае даже временного контроля канала на пути к серверу — проверка файла на сервере очень даже удачно пройдёт и получите дополнительный сертификат.

MiM атака: Теперь имея SSL сертификат, которому доверяют броузеры, можете внаглую врезаться в переговоры броузера и сервера. Шифровать ответы клиенту новым сертификатом. Клиент не будет ведь проверять каким именно центром сертификации был SSL ключ подписан?

Уже даже для якобы решения этой проблемы плагины к броузерам разработали perspectives-project.org
Но у него есть свои недостатки — защищает от перехвата канала клиента в большому интернету, но если надолго перехватывается часть из большого интернета к серверу — то печалька.

В процессе оформления дешевых из них — документов не требуется, а достаточно доказать регистратору что Вы якобы контролируете этот сайт (например добавите запись в DNS, отвечаете на емейл или можете файл разместить на сервере).
Вот это действие обычно требует взлома другого защищенного соединения, например что бы добавить запись в ДНС, нужно поломать хттпс соединение админки хостера домена, и мы возвращаемся к изначальной задаче.
Есть вообще какая то конкретика, пример, пруфлинк такого взлома? Или это чисто научная фантастика?

Имел в виду — как часто при серфинге через хттпс Вы смотрите — кем, когда и кому выдан сертификат?
Зачем?
Гуглите «https man in the middle proxy».

Имел в виду — как часто при серфинге через хттпс Вы смотрите — кем, когда и кому выдан сертификат?
Если сертификат не для домена ДОУ, то мой хром например сразу покажет адскую страницу с кучей ругательств.
Гуглите «https man in the middle proxy».
Можно конкретную ссылку если ты таки сам уже погуглил?

Что вы под проверкой сертификата подразумеваете?

Кем, когда и кому он выдан. То есть по сути — выдан ли сертификат именно тому сайту, на котором Вы сейчас серфите. Учитывая, что очень часто используются самоподписанные сертификаты — люди привыкают и перестают обращать на цвет «https» в адресной строке.
А если еще и домен часто меняется (информ.война все ж таки)...

Вы про зачеркнутую надпись https
Конечно проверяю

Можно для тормозов: «ручные» законы, когда отменили?
Логику id1 очень сложно понять. Вполне возможно что он — девушка.

https не спасает от перехвата днс запросов.
лучше как я — амазоновская микра, сквид, порт на проксю проброшен через ssh , sshd на левом порту ... я как будто несколько лет назад подозревал

Ну это «для очумелых ручек». Массам подойдет VPN сервис за пределами любимой родины, с первого пинка по гуглу нечто типа такого
www.worldvpn.net/...CFcpF2wodinwApK

можно бы было оставить все комментарии за этот период анонимными, так было бы проще всего и никто бы не возражал

Может сделать юзера «Иван Помидоров» и все комментарии за это время перекинуть на него?

вот-вот. А то фиг его знает, что может оказаться «вне закона» во вторник.

Можно сделать анонимный понедельник (или вторник, например), когда можно писать все что хочешь, без реального имени.

Можно пойти еще дальше )) Только вчера посмотрел киношку, как раз в тему — www.kinopoisk.ru/film/661022

Підписатись на коментарі