Comments | grey_olli: common infoleak

grey_olli

common infoleak

Dec 27, 2013 00:21

то к чему уже все привыкли - хранение контактов server side. Так вот правильно это делать так:

имена контактов назначенные пользователем должны отдаваться на сервер в зашифрованном на ключе клиента виде. В противном случае владельцу сервера даётся возможность получить доп статы по контактам пользователя.

осталось только дождаться когда это станет ( Read more... )

2rethink, security, attack vector

Comments 10

techquisitor December 26 2013, 20:36:35 UTC

Вот соглашусь, между прочим. Единственный вопрос - как ты это видишь в практическом плане и прозрачно для «не гиков».

grey_olli December 27 2013, 11:19:43 UTC

бранчи настроек в зависимости от того что пользователь думает про иБ вообще и Б его контактов в частности. В одном из вариантов ветвления сценарий такой:

тебя волнует прайваси твоих данных?
тебя волнует прайваси тех кого ты имеешь в контактлисте?

в зависимости от ответов на эти вопросы реализуются разные схемы. В частности можно хранить приватный ключ на пароле пользователя на сервере же в том случае если ему чхать на ИБ.

Дальнейшие подробности я готов обсуждать только с тем кто пишет софт который будет это реализовывать именно так.

sporaw December 26 2013, 20:39:35 UTC

Смешно :)
Это никому не нужно, цель - заполучить личные данные

grey_olli December 27 2013, 00:02:19 UTC

То что ты отвечаешь есть один из пунктов моего будущего доклада про фейл отрасли в целом.

sporaw December 27 2013, 00:18:38 UTC

А по какой отрасли-то? Какой-то КО-шный доклад намечается, если речь про ИБ.

Разве какие-то безопасники сделали что-то?
Хоть один сервис массовый сделан безопасниками?
Отвечу: нет.
Отсюда - какие вопросы?
Сервисы сделаны бизнесменами, которых интересуют бабки, а не безопасность.
А бабки из личных данных отлично получаются.

hijaq December 27 2013, 02:15:01 UTC

Эээ... Кто и почему будет это делать за свой счёт? И если ты про соц.сети, например, то как ты себе тогда представляешь их функционирование в этом случае?

grey_olli December 27 2013, 11:20:12 UTC

http://grey-olli.livejournal.com/801911.html?thread=1523319#t1523319

grey_olli December 27 2013, 11:21:36 UTC

помимо бабла есть social effort. И вот он то как раз бывает горы сворачивает. Примеры из моей жизни можно почитать по одноимённому тегу и тегу "прогибать мир".

Ну и подробности как я их вижу сейчас некогда обсуждать: http://grey-olli.livejournal.com/801911.html?thread=1523319#t1523319

hijaq December 27 2013, 14:54:34 UTC

Было бы даже интересно порассуждать на тему параноидальной соц.сети. На сколько я понимаю, в идеале она должна быть p2p, трафик расшифровывается на клиенте. Если честно, я пока не очень вижу как можно полностью обезопасить себя от дата майнинга, разве что как в bitocoin'е сделано - все получают весь трафик, но это адовая избыточность и тормоза в итоге будут, ну и browser only вариант идёт лесом. А без этого уже можно будет знать что этот hash получает инфу (= дружит) от этих трёх hash'ей и т.п. В общем, было бы интересно посмотреть на твой requirements list.

ruleo December 29 2013, 08:24:41 UTC

Контактов мобильника?
Адресной книги электронной почты?
Контакты Вконтакта/Одноклассников/Фейсбука/ЛикедИн?