Email or username:

Password:

Forgot your password?
596 posts total
Umnik

По поводу исходников XP. Даже если это правда, в этом нет ничего полезного для открытого ПО, потому что наработки оттуда нельзя будет тащить в проекты. На код распространяется копирайт. Даже на кусочки кода: напомню вам дело Оракл против Гугла.

Исходники представляют интерес чисто исследовательский, но практической пользы нам нет никакой.

@rf

Umnik

lor.sh/@umnik/1049094524547391

Тут я упомянул истори с Каспером, китайским антивирусом и ложным срабатыванием.

Но в моей практике были ещё более смешные вещи. К примеру, у МаКафе был релиз, в который были вшиты базы с ложным срабатыванием на деинсталлятор этого же релиза. То есть пользователь ставил МаКафе, тот распаковывался, запускался и сразу находил угрозу — %ПрограмФайлс%\МаКафе\анинсталл.ехе (пишу путь условно, передаю только суть).

Я тогда секретно работал на заказ для одной тестовой конторы и повидал всякого говна у самых разных производителей антивирусов. Но удаление собственного деинсталлятора сразу после установки впечатлило меня сильнее всего. Даже падающий сразу после первого обновления БитДефендер так не досталял, потому что с Битом просто так получилось, что я попал на сбойное обновление прям во время тестов и через пару часов проблема ушла, потому что выпустили фикс.
А вот МаКафе перевыпустили релизную сборку только через несколько дней.

@rf

lor.sh/@umnik/1049094524547391

Тут я упомянул истори с Каспером, китайским антивирусом и ложным срабатыванием.

Но в моей практике были ещё более смешные вещи. К примеру, у МаКафе был релиз, в который были вшиты базы с ложным срабатыванием на деинсталлятор этого же релиза. То есть пользователь ставил МаКафе, тот распаковывался, запускался и сразу находил угрозу — %ПрограмФайлс%\МаКафе\анинсталл.ехе (пишу путь условно, передаю только суть).

Umnik

Увидел тред, который был о другом, но задело и Телегу. Там её обвиняли в закрытости сервера и значит ей из-за этого нельзя доверять.

Но это не так! Давайте сходу договоримся, что Телега вообще не про анонимность. Думаю, никто не будет с этим спорить. Давайте вообще абстрагируемся от Телеги и возьмём в пример условный мессенджер.

При правильной реализации на сервер вообще наплевать, важен только клиент. Однако при этой же правильной реализации прилага будет не очень удобной.

Начнём с приватности.

1. Клиенты открыты
2. Клиенты ключи шифрования никогда не покидают клиентов, а ключи дешифровки передаются по защищённому каналу. В идеале — два чувака при личной встрече приложили телефоны друг к другу и по NFC обменялись ключами
3. Ключи дешифровки собеседников также никогда не покидают клиента

И теперь сервер может быть хоть под столом у товарища майора, всё равно о содержимом общения он узнать не может.

То есть нет проблемы в закрытости сервера. Это не мешает никак невозможности вскрытия общения.

В описанному выше нужно понимать, что:
1. Это неудобно для массового пользователя. Банально даже — нельзя начать вести переписку на одном устройстве и продолжить на другом. То есть сделать можно, но каждый этап выстраивания удобства приводит к потенциальным утечкам
2. Если не сделали/потеряли бекап клиента с ключами и переписками, то придётся создавать новую учётку и заново "знакомиться" с контактами. Это можно упростить, храня бекап на этих же серверах, но тогда добавляется условие, что пароль шифрования бекапа, который пользователь задаёт, тоже никогда не покидает клиента и даже на самом клиенте не сохраняется. Впрочем, это не решает проблему забывания пароля
3. Сам факт общения по-прежнему виден серверу
4. Должны быть выполнены современные бест практикс для генерации ключей.
5. Незакрытыми остаются атаки на само устройство. Но это другая сфера и тут есть во-первых свои бест практикс, во-вторых на масс железе с масс прошивками вы обречены, если атакующий — это АНБ или типа того

Теперь про анонимность.
1. Если действительно анонимный мессенджер станет сильно популярным, его тут же забанят. И не только в России, а в любой стране. Не питайте иллюзий, массовому запрещено быть анонимным по законам стран
2. Лучшее, что можно сделать — иметь уникальные ID, которые, если сам владелец не раскроется майору, нельзя будет конвертировать в этого владельца. Номер телефона, понятное дело, не подходит. Тогда майор будет видеть общение двух ID, но не будет понимать, кто это. Но когда он деанонимирует одного, то весь его контакт лист тоже, потенциально, может быть деанонимирован, если этот один знаком с остальными лично.
3. Когда майор возьмёт за жопу одного, он сможет начать строить графы общений. Скорее всего, если это действительно ОРМ, то многие из тех, кто в рамках расследования под колпаком, будут напрямую или через вторые руки знакомы друг с другом
4. Майоры любой страны будут применять пытки

В общем, дела такие. Если резюмировать, то
1. Серверу можно быть закрытым — это вообще ни на что не влияет
2. По умолчанию телега защищает вас от чтения переписки у провайдера, но сама она хранит её у себя, вместе с ключами шифрования (шифрование не оконечное, а транспортное). То есть вся ваша дефолтная переписка полностью доступна спецслужбам любой страны по законному запросу, но недоступна вашим провайдерам, к которым майоры приходят и без постановлений суда
3. Секретные чаты — честно секретные, с честным оконечным шифрованием

Таким образом, если под приватным понимать скрытие от совсем уже наглых майоров, то Телега приватна. Если вам нужно в телеге скрытия содержания общения и от самой Телеги, то такая возможность есть. Однако сам клиент под неё не заточен и она неудобна в использовании. То есть для перекидывания фразами подойдёт, но для полноценного использования ищите другой месседжер.
А если вы корпоративный клиент — обратитесь ко мне.

@rf

Увидел тред, который был о другом, но задело и Телегу. Там её обвиняли в закрытости сервера и значит ей из-за этого нельзя доверять.

Но это не так! Давайте сходу договоримся, что Телега вообще не про анонимность. Думаю, никто не будет с этим спорить. Давайте вообще абстрагируемся от Телеги и возьмём в пример условный мессенджер.

Umnik

Какие фичи должны быть в прошивке телефона, чтобы этот телефон можно было назвать безопасным? Не в смысле пулю остановит, а в смысле не даст никак извлечь данные из него постороннему, не даст возможности определить геолокацию приложениями и всё такое.

Полёт фантазии не ограничен. Просто расскажите свои идеи или что-то, что есть где-то и это было бы в тему для защищённого телефона.

@rf

fgntfg :verified:

@umnik это можно быть что-то хардварное. Типа мульифакторной биометрии.

Григорий Клюшников

Для начала — опенсорсная прошивка модема. Если основную ОС ещё можно собрать полностью из ПО с открытым кодом, что и делают всякие Purism и PinePhone (хотя странно, что у них зачем-то не AOSP, а свой корявый юзерспейс на основе графического стека десктопного линукса, но это исправимо), то буквально 100% чипов радиомодулей требуют проприетарной прошивки. Т.е. сейчас невозможно получить телефон, в котором не будет ни одного проприетарного программного компонента. И это прискорбно.

Шуро
@rf @umnik А ещё мне не хватает в андроиде функционала упрощённой разлочки. Чтобы в определённых условиях разлочка работала по пальцу/лицу (упрощённый, но небезопасный вариант), в иной ситуации подключался второй фактор (пароль, ключ).

Там есть Smart Lock с похожим функционалом, но он снимает замок полностью.
Umnik

Я тупой, помогите мне.

Espresso

```
@get:Rule
val splashActivity = ActivityTestRules.getSplashActivity()
```
где
```
public static ActivityTestRule<SplashActivity> getSplashActivity() {
return new ActivityTestRule<>(SplashActivity.class, false, true);
}
```

Это правило работает для всех @Test аннотаций — активити запускается на входе и завершается на выходе.

Но сейчас ActivityTestRule объявлен устаревшим. И у меня не получается использовать сценарии! То есть я не понимаю вообще, как заставить активити просто запуститься и просто завершиться, как это для ActivityTestRule работает.

Мне не надо управлять жизненным циклом активити, не надо менять состояния вручную. Мне надо, чтобы на входе в @Test она запустилась и на выходе завершилась.

@rf

Я тупой, помогите мне.

Espresso

```
@get:Rule
val splashActivity = ActivityTestRules.getSplashActivity()
```
где
```
public static ActivityTestRule<SplashActivity> getSplashActivity() {
return new ActivityTestRule<>(SplashActivity.class, false, true);
}
```

Это правило работает для всех @Test аннотаций — активити запускается на входе и завершается на выходе.

Umnik

Я досматриваю в спортзале текущий сериал и скоро нечего будет смотреть. Мне нужно каждый день как-то убивать 80 минут. Накидайте чего-то абсурдного, чтобы время проходило как можно незаметнее. Если это будет что-то на сложных щщах, то мне будет это тяжко воспринимать. Примеры того, что хорошо подходит:
— Саус парк
— Панти энд стокинг
— Рик и Морти
— Эксель Сага

Сейчас я досматриваю сериал Suits про адвокатов и именно что "досматриваю". Вся эта их болтовня, которая не двигает сюжет, прям бесит.

Скажем, Стренджер фингс, который последний сезон, он подходит, потому что там ебанизм происходит почти сразу. А вот первый не подходит.

К сожалению, я сам привёл примеры того, что идёт минут по 20, но в идеале лучше побольше за серию, чтобы не приходилось прерываться на включение следующей серии и промотки опенинга. Но это уже не критично, конечно.

@rf

Я досматриваю в спортзале текущий сериал и скоро нечего будет смотреть. Мне нужно каждый день как-то убивать 80 минут. Накидайте чего-то абсурдного, чтобы время проходило как можно незаметнее. Если это будет что-то на сложных щщах, то мне будет это тяжко воспринимать. Примеры того, что хорошо подходит:
— Саус парк
— Панти энд стокинг
— Рик и Морти
— Эксель Сага

Umnik

Парни, я обратил внимание, что очень многие неправильно понимают, как работает шифрование на мобилках. Так вот на мобилках не используется сейчас привычный FDE (full disk encryption), хотя OEM производитель (если это Android), может по-прежнему использовать FDE.

На мобилках, что Андроид, что айОС (говорю только о современных версиях!), применяется, почти всегда, FBE — file based encryption. Это позволяет:

1. Быстрее работать
2. Делать скопированные с носителя файлы по-прежнему непригодными к использованию
3. Иметь доступ к критичным данным ещё до того, как пользователь введёт мастер-ключ (в Андроди эта фича называется direct boot)
4. Иметь РАЗНЫЕ ключи шифрования хоть на каждый отдельный файл (хотя до такого упорина доходить не будут, но возможность есть)

При этом полного отказа от FDE не делают. Некоторые Андроиды и современные айФоны вполне сочетают FDE и FBE, просто FDE применяется ограниченно, но не выброшен совсем.

К сожалению, более-менее устаканивание FDE/FBE в Андроиде началось только в 7+. Из-за этого ваша 8-ка, к примеру, умеет в FBE, но этот FBE несовместим с Адоптабл сторадж. А вот в 9 эта проблема решена. А в 10 (но только те, кто изначально на 10, а не кто получил апдейт) FBE стал обязательным для OEM и те не могут его убрать, иначе не пройдут сертификацию.

@rf

Парни, я обратил внимание, что очень многие неправильно понимают, как работает шифрование на мобилках. Так вот на мобилках не используется сейчас привычный FDE (full disk encryption), хотя OEM производитель (если это Android), может по-прежнему использовать FDE.

На мобилках, что Андроид, что айОС (говорю только о современных версиях!), применяется, почти всегда, FBE — file based encryption. Это позволяет:

Umnik

Здесь ролик на 40 минут, в котором ребята говорят, что способны извлекать данные из любых Андроидов, айФонов и Маков: cnti.pro/conference/12082020_d

Повторяю — любых. Включая самые последние версии.

И можно было бы всё это свести к слову "пиздёж", но:
1. Они сказали, что нужна память и проц. А такую тонкость средний тролль не знает
2. Они берут от 2к до, самое много, всего лишь 50к рублей за телефон. Причём оплата только если данные удалось извлечь. Это бизнес-модель такая

Ваше мнение, господа? @rf

Здесь ролик на 40 минут, в котором ребята говорят, что способны извлекать данные из любых Андроидов, айФонов и Маков: cnti.pro/conference/12082020_d

Повторяю — любых. Включая самые последние версии.

И можно было бы всё это свести к слову "пиздёж", но:
1. Они сказали, что нужна память и проц. А такую тонкость средний тролль не знает
2. Они берут от 2к до, самое много, всего лишь 50к рублей за телефон. Причём оплата только если данные удалось извлечь. Это бизнес-модель такая

Umnik

Я понял, как стабильно воспроизводить сворачивание Андроид Студии. При этом у Идеи проблемы нет. Сворачивание происходит, если навести курсор на любой элемент, пока Студия не имеет фокуса. И она свернётся в момент, когда нужно отобразить тултип.

На видео сверху Идея, снизу Студия, а фокус на Фаерфоксе.

Проверьте у себя, пожалуйста.

Arch Linux, KDE.

@rf

Umnik

Проблема с Android Studio и я даже не понимаю, как гуглить её. В общем, она много раз в день ни с того, ни с сего, сворачивается. Окно, в смысле. Вот я был в браузере, перевожу курсор на Студию (эти окна не перекрыты, оба прилеплены к своим половинам экрана), а она через секунду свернулась.

Работаю в Arch с KDE, если важно.

@rf

Umnik

Извините за спам, но забыл тегнуть @rf И будет здорово, если поможите репостами. В конце-концов, я не про политику.

Тут есть мобильные тестировщики? У меня такой вопрос — вы Appium используете? Как вы вообще сами к нему относитесь? А Алюр?

Лично я ненавижу их и проекты, где я начинаю автоматизацию, не имеют и не будут иметь (при мне) эти решения. Но легасипроекты я не выжигаю и сопровождаю.

Могу поделиться причинами, но хотел бы сначала услышать вашу позицию.

Umnik

Поделитесь своим любимым вариантом КиПаса под Android. Потому что когда я пробовал в последний раз парочку, они были непригодны (для меня) к продакшену.

@rf

Umnik

Существует ли в природе аналог Рунастика и Эндомондо, но как можно менее завязанный на всякие "облака" и ПлейСервисы, и при этом с поддержкой Гарминов? Если что-то знаете — подскажите.
#Android
@rf

Umnik

@rf Вот здесь есть цифры, которые я бы предложил обсудить mastodon.social/@vtag/10446049

Что именно обсуждать. Скажем так, "у другая моей знакомой" ЗП здесь указана абсолютно точно (не рубль в рубль, но очень близко). У него действительно такой вот оклад. Но ещё есть премиальная часть, которая как бы не гарантируется, но она есть. И с этой частью всё, в общем-то, в порядке.

Это никакая не серая ЗП. Всё отображается в 2-НДФЛ, со всего делаются отчисления. И в итоге в месяц на карточке денег больше, чем по окладу.

Понятно, что премию могут взять и срезать. Но пока такого не случалось, видимо не было никаких косяков.

Я хочу сказать, что не очень правильно сравнивать вот так в лоб. Да, делать из премии львиную долю ЗП — это как-то не очень морально, но ведь рыночек, все дела. Не нравится — топай туда, где иначе. Но там, где иначе, по крайней мере в России, денег в итоге меньше дают, вот в чём парадокс.

@rf Вот здесь есть цифры, которые я бы предложил обсудить mastodon.social/@vtag/10446049

Что именно обсуждать. Скажем так, "у другая моей знакомой" ЗП здесь указана абсолютно точно (не рубль в рубль, но очень близко). У него действительно такой вот оклад. Но ещё есть премиальная часть, которая как бы не гарантируется, но она есть. И с этой частью всё, в общем-то, в порядке.

Umnik

@rf Есть @Botbot, который постит Робовайфу. А посоветуйте ещё учёток, ботов или людей, которые постят картиночки. Это могут быть и топы с Санкаку, и подборки с бор, и вообще что угодно. Хочется красоты в ленте.

Umnik

@rf граждане товарищи, кто-нибудь пробовал заменять еду на, собственно, заменители, типа Сойлента и Смарт-фуда. Как оно?

Цель — тратить меньше времени на поглощение пищи, но при этом получать всё необходимое в течение _рабочей_ недели. На выходных же будет обычная еда.

Нагрузки у меня минимальные. Стараюсь ездить на велосипеде хоть час в день, но удаётся далеко не всегда. И поездки у меня — просто покатушки.

Go Up