beldmit: (Программизм)
Отображение русских букв в утилитах командной строки openssl. Она и раньше была, но существенно не везде.

То, что можно было доделать сравнительно малой кровью, я доделал. Subject и issuer сертификатов теперь будет выводиться по-русски, если указать опцию вывода -nameopt utf8. До X509 extensions так просто не добраться, так что завёл issue.

Спасибо [personal profile] vitus_wagner за сделанную в своё время сводку.
beldmit: (Человеческое лицо)
Ребёнок сходил в школу, а после школы посидела в "Старбаксе" с подругами, поиграли там в настолке. Пожалуй, первый в семье ДР в формате посиделок в кафе. И без родителей.

А вот Татьяна на празднование не попала, потому что вчера заболела ветрянкой. Врачи по-прежнему считают, что ветрянку надо лечить зелёнкой.
beldmit: (Манул)
Mastercard предлагает заменить пин-код на карте проверкой отпечатка пальца.

Каждый раз, когда я вижу новость о торжестве биометрии, мне становится интересно, когда же её начнут пробовать на прочность всерьёз. Не говоря уже о приколах типа "Милок, какие отпечатки пальцев, я 20 лет со щелочами работаю."
beldmit: (Манул)
Вчера с Ниной берём очередной КП, потихоньку-понемножку прибавляем к мышке кошку (на КП надо посчитать вместе кошек и мышек). Двое мужиков тихо квасят в уголке площадки. Один из них внезапно к нам подходит и начинает допытываться, кто мы такие. Ну, много лет тренировки, на этот вопрос ответ не приходя в сознание - "Бегущий город", соревнования.

Тут мужик совершенно на ровном месте выдаёт про то, что шли бы мы в свою "Единую Россию" Медведеву уточек кормить... Продолжение тоже было, но его я не запомнил, потому что мы всё-таки на КП сконцентрировались. Собутыльник его куда-то увёл в итоге, а я до сих пор в задумчивости.
beldmit: (Программизм)
Поскольку я сейчас не пишу платных материалов по инфобезу, то выложу здесь несколько ссылок, чтобы не пропадали.

Это отчёт компании Qrator о состоянии с DDoS-атаками по итогам 2016 года. Написано хорошо и понятно даже неспециалисту. Лучшая фраза оттуда, пожалуй, такова:

В 2017 году самым опасным человеком для сферы информационных технологий может оказаться подросток лет 18—19 с улыбкой на лице и парой биткоинов на электронном кошельке, проживающий где угодно на земном шаре. Не сыграет роли внутренняя или внешняя политика могучих держав.

Вторая новость из доменно-браузерной области, так что затрагивает примерно всех.
Несколько дней назад появилась публикация, из которой следовало, что браузеры, стремясь изобразить IDN-домены в человекочитаемом виде, способствуют фишингу. В качестве примеров был взят домен аррӏе.com (все символы в имени из кириллицы, смешивать их с латиницей нельзя, чётвёртая буква - уникодный символ PALOCHKA из кавказских языков). А если учесть, что TLS-сертификат теперь можно получить бесплатно, возможности для фишинга открываются довольно богатые. В качестве рекомендаций предлагают выключить в Mozilla изображение в человекочитаемом виде, а Google Chrome уже вроде бы выключил такое отображение в версии 58 (должна обновиться сегодня).

Хорошего решения тут не найти. Довольно давно запрещено смешение символов из разных кодовых страниц уникода в доменном имени, именно чтобы избежать фишинга. С другой стороны, отображение имён в человекочитаемом виде - благо. В том ПО, которое пишем мы с коллегами, отображение для IDN-доменов мы выводим в двух вариантах.

В выбранном решении утрачивается человекочитаемость (то есть то, ради чего все IDN-домены и выводились на рынок), но вероятность фишинга уменьшается. Но не до нуля: кириллицу от латиницы так отличить можно, а какую-нибудь условную одну крокозябрицу, которая имеет внутреннее представление xn--foo.com от другой с представлением xn--bar.com - уже не очень.

Ссылка на обсуждение в Chrome Bugzilla.
Позиция Mozilla на тему отображения IDN-символов.
beldmit: (Манул)
Евангелие/космогония от кого/чего должно начинаться с "В начале был мем"?
beldmit: (Программизм)
Уязвимость в ПО WiFi-чипсета от Broadcom позволяет взять под контроль телефон. По крайней мере, proof of concept кода, который использует переполнение стека для атаки, есть.

Пост от Google Project Zero с подробным описанием уязвимости.

Простого способа избежать уязвимости, как я понимаю, нет. То есть просто выключить WiFi может не хватить, потому что часть телефонов даже при этом с WiFi-сетями взаимодействует.
beldmit: (Манул)
С переездом на DW.

Не останавливает ни то, что от кучи провайдеров он недоступен, ни необходимость выстраивать связи заново. Собственно, я впервые вижу, что даже у тех, кто кросспостится, количество комментариев на DW становится больше, чем в ЖЖ.
beldmit: (Default)
Стихи Сергея Жадана, перевод Евгении Канищевой.

И ты возглавлял полки, и брал города,
и летом четырнадцатого было тебе тридцать пять.
Сколько вас осталось? Двадцать из ста.
Выжившие обычно плохо спят.

Три года тому назад ты менял этот свет.
Чёркал и правил его, как школьный диктант.
Он состоит не из одних поражений и бед,
не может он состоять из одних утрат.

Можно его кое-чему научить, как пса,
необходимо вправить его, как плечо.
Три года назад ты видел, как горят небеса,
Как река в чёрной ночи течёт.

Три года тому назад формировались полки,
лето как раз проклюнулось и жило,
и гладь форсированной вами реки
поблескивала на солнце, как птичье крыло.

Три года назад смерть брала твой след.
Горечь стояла в речи, как сок в стебле.
Каждое утро он снится тебе, этот свет –
изломанный тобой, понятный тебе.

Он не только из страхов, они не в счёт.
Не из одних лишь упрёков и утрат
Течёт река в чёрной ночи, течёт.
В чёрной ночи птицы летят, летят.
beldmit: (Программизм)
Когда технически грамотные программисты рассказывают, что главное в TLS — шифрование, мне становится понятно, что надо пересказать тот кусок презентаций, который я обычно адресую широкой публике. Это упрощённое изложение, но типичный сценарий покрывает.

Сенситивные данные могут подслушать те, кто читает трафик в произвольной точке между вами и получателем. От этого спасает шифрование данных при передаче. Но когда вы передаёте номер банковской карты и прочие реквизиты, вам надо убедиться, что передаёте вы их именно туда, куда надо.

У протокола TLS есть несколько задач. И перед тем, как мы согласуем ключи шифрования и начнём передавать зашифрованные данные, наша задача — убедиться, что соединились мы именно с тем, с кем хотели. Для этого предусмотрена фаза handshake. На этой фазе клиент и сервер сверяют разные куски информации, которыми они обменялись, между собой. Типичный случай — доменное имя в DNS-запросе и в сертификате. Если они не совпали, то возможно, вы пытаетесь договориться не с тем.

Если они совпали, то надо внимательно посмотреть на сертификат, потому что сертификат может выписать кто угодно кому угодно. Но есть список доверенных корневых сертификатов (сертификатов удостоверяющих центров, УЦ), приходящий с браузерами и операционной системой в целом. Если мы смогли проверить, что предъявленный сертификат (вообще говоря, цепочка сертификатов) кончается одним из доверенных, то мы можем на что-то надеяться. Сертификат конкретного домена, конечно, может быть отозван, и это можно проверять, но на практике это работает довольно странно.

Доверенный потому и доверенный, что предпринимает процедуру проверки того, что ему принесли. Процедура проверки может быть довольно развесистой, включющей в себя обращение с бумажными документами, и в результате на свет родится так называемый EV-сертификат. При соединении с таким сайтом в любом браузере у вас вылезет плашка на половину адресной строки с указанием компании-владельца.

Процедуры проверки удостоверяющими центрами заявителей сильно регламентированы, и на нарушениях УЦ время от времени попадаются. Так, пару месяцев назад пострадал УЦ WoSign. Сейчас Google предъявляет претензии Symantec. Но проблема не в УЦ, а в том, что если сертификат УЦ выпадает из списка доверенных, то страдают все, кто у них сертификаты купил. В результате единожды попавший в браузеры доверенный сертификат порождает проблему "Too big to fail". Из-за этого реальные проверки в браузерах не сводятся к построению цепочки доверия. Кажется, чуть ли не единственный случай, когда доверие отзывалось моментально, был связан с Diginotar, голландским УЦ, который был взломан несколько лет назад.

И только если предъявленный сервером сертификат не вызывает никаких вопросов по всем процедурам проверки, стороны и начнут обмениваться зашифрованным трафиком.
beldmit: (Программизм)
Вдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.

1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.

2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.

3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.

4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).

5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.

6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.

7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.

Наверняка что-то ещё я забыл.

С вами была пятничная рубрика «Как страшно жить».
beldmit: (Программизм)
Google анонсировал поэтапное выпиливание Symantec и его дочерних УЦ из Chrome.

Мотивировка - несоблюдение операционных практик в области безопасности. Пишут про 30000 сертификатов, выпущенных без должной проверки. При этом Symantec отвечает за 42% успешных валидаций по статистике Firefox (то есть посещений защищённых сайтов, доля сертификатов при этом скорее всего ниже).

Закат Солнца будет производиться вручную, рассчитан на несколько лет. До сих пор выпиливаний такого масштаба ещё не было, все прошлые казусы были с УЦ меньшего масштаба.

Symantec пока внятных заявлений не делал, а то, которое сделал, сводится к тому, что Google неправ и проявляет безответственность.

Вообще логика проверки сертификатов на валидность становится всё сложнее и сложнее. Вместо безусловной цепочки доверия, начинаем наблюдать массу вариаций на тему "Здесь играем, здесь не играем, тут рыбу заворачивали".
beldmit: (Человеческое лицо)
В начале марта мне посчастливилось слетать в Хошимин. В голове у меня он всё равно Сайгон, скорее всего из-за большей благозвучности. Впечатлений масса, но что-то уже выветрилось, так что запишу то, что сейчас в памяти.

То, что я там не попал под машину во время всех моих переходов улицы, я считаю чудом. То есть автомобили на светофоры реагируют всегда, мотоциклисты — отнюдь. Местами потоки, по ощущениям, пересекаются. Самый правильный способ перехода улицы — выбрать направление и идти вперёд.

Город стоит в пробках — метро откроют, кажется, через год. Мотоциклисты все в шлемах и едут медленно. Самое интересное, пожалуй — то, что много народа ездят в белых футболках/блузках, и они не становятся серыми за первые 15 минут. Не знаю уж, что за магия там действует. А вот от вида мотоциклистов в шлёпанцах и туфлях на (невысоком) каблуке мне до сих пор слегка не по себе.

Архитектуры в городе не очень много. Запомнился почтамт и собор Нотр-Дам-де-Сайгон, и ещё несколько зданий в центре. Запомнился храм, в который я попал с коллегами на экскурсию. В партизанские тоннели я не попал, улетел раньше. Президентский дворец Южного Вьетнама — сооружение крайне унылое снаружи, напоминает типовую коробку какого-нибудь обкома КПСС, построенного в 70-е. Окрестности города интенсивно застраиваются. Частично — виллами, частично — “элитными” кварталами системы Южное Бутово.

Страна, судя по рассказам нашей гидессы, бедная. Школьное образование платное с первого класса (при социализме было бесплатным в каком-то объёме, потом отменили).

Сколько-то фотографий выложено в Фейсбуке, и ещё будет. Вот тут платья из музея одного из тамошних модельеров.

Приехать в Сайгон было интересно и познавательно. И просто приятно выбраться в тепло. Но с детьми я туда, пожалуй, не поеду.
beldmit: (Default)
Выбрались вчера с Ниной и девицами на экскурсию "Московский модерн глазами инженеров" от http://engineer-history.ru/. Понравилось, надо ещё сходить.

Собственно, возили более-менее в стороне от классических модерновых зданий, зато показали несколько предельно лаконичных домов, которые, конечно, ещё модерн, но если заменить плитку на штукатурку и в паре мест заменить скошенные углы на прямые - получится вполне себе конструктивизм. Скажем, новый корпус МАРХИ - Строгановки - ВХУТЕМАСа вполне мог бы быть построен одновременно с ДК "Буревестник" каким-нибудь.

До сих пор у меня в голове было, что конструктивизм вылезает из ниоткуда после революции просто because we can, а тут прослеживается чёткий генезис.

В голове у меня так и не уложилось, что Марфо-Мариинская обитель отнесена к модерну. Ну и непонятно, откуда вылез в таких количествах в 1910-е псевдорусский стиль, когда довольно похожий декор вылезает в новых зданиях как минимум в Москве, Питере, Нижнем... То есть я тут подозреваю влияние 300-летия дома Романовых и связанный с этим интерес, но это домыслы.
beldmit: (Default)
Летом прошлого года я оказался в Берлине. Возвращаясь с обеда с коллегами, я обратил внимание на странную архитектурную деталь на берегу Ландвер-канала, который, в частности, разделяет две части зоопарка. Табличка при этой детали, переведённая с помощью известной матери, сообщала, что на этом месте убиты Карл Либкнехт и Роза Люксембург. Убили их в январе 1919, а вот 8 марта Роза Люксембург и Клара Цеткин придумали несколько раньше.

Я в гендерные праздники чувствую себя крайне по-дурацки, но привык к тому, что женщины радуются, когда их поздравляют с 8 марта. Собственно, поздравляю и желаю получить от этого праздника то содержание, которое вы для него внутри себя установили.
beldmit: (Человеческое лицо)
Когда-то давно родители выписывали для меня журнал «Юный натуралист». Читал я в нём меньше, чем следовало, будем честны, но оттуда мне запомнилось описание фрукта дуриана. Анонсировалось, что у него очень специфический вкус и не менее специфический запах. Позже я узнал, что дуриан нельзя, например, приносить в гостиницы и его не подают в ресторанах.

Поездка в Хошимин (хотя я этот город всё-таки воспринимаю как Сайгон) — мой второй приезд в Юго-Восточную Азию. В первый раз, три года назад, дуриан хотя и был в меню призоопаркового кафе в Сингапуре, но уже кончился. Сейчас я решил его таки попробовать.

Экскурсовод, которая возила нас по Сайгону, сказала, что после употребления дуриана им пахнут все выделения организма, и возможно вылезание прыщей, так как он очень жирный. Предупредила, что фрукт вызывает привыкание а-ля наркотик. В общем, интерес разгорелся по полной. И с мы коллегами после экскурсии пошли на рынок.

На рынке мне продали плотно запакованный пакет, который я схватил, не особо внимательно прочитав описание его содержимого. Дальше стали искать, где разъесть экзотику, но с общественными пространствами в Хошимине так себе, а ещё мы собирались в паб, так что откупорили пакет прямо на улице. Внутри оказалось два плотно запечатанных пакетика поменьше. Я вскрыл один.

Внутри оказались жёлтые сушёные кусочки дуриана. Почти без запаха. Со вкусом, больше всего напоминающим сушёные бананы, продававшиеся когда-то у нас. Тут я вспомнил, что про бананы в биологической литературе пишут, что они содержат то ли дофамин, то ли серотонин, то ли какой-то из их предшествеников. Так что в идею подсадки на дуриан верю сразу. Но в общем, не впечатляет. Один пакетик мы разъели на месте, второй я привёз домой. В аэропорту попались мне ещё конфеты с дурианом и кокосовым молоком.

Надеюсь, что я ещё окажусь в Юго-Восточной Азии в подходящий сезон и таки попробую фрукт в натуральном виде. Дурных последствий вроде не наступило.

Ну и, надо сказать, пост в фейсбуке про желание попробовать дуриан собрал на ровном месте 80 лайков, что для типичного моего поста ни о чём довольно много.
beldmit: (Default)
7 лет со дня смерти Андрея. Ужасно много, и временами ужасно одиноко.
beldmit: (Любовь к ближним)
Чёртовы идиоты из ЖЖ сломали перевели в состояние кота Шрёдингера кросспост с Dreamwidth. Что я по этому поводу буду делать, пока не знаю. Скорее всего какое-то время cut'n'paste, потом разберусь.
beldmit: (Default)
Съездили с Ниной и Татьяной в Переславль-Залесский, прихватив на обратном пути немного Сергиева Посада. Уехали 23-го, вернулись 25-го. В Переславле Нина до сего момента не была, а я был осенью 1997-го.

Так как машины у нас нет, а у слишком многих жителей Москвы она есть, на вариант ехать автобусом со «Щёлковской» мы забили. В итоге выбрали связку электричкой до Сергиева Посада, оттуда на такси. В принципе, можно было и тамошний автобус ловить, но это требовало организации, которой нам было лень заморачиваться.

Забронировали полулюкс в отеле «Лесная сказка», потому что собирались ехать вчетвером с Галкой. Но Галя в последний момент заявила, что хочет поразгребать комнату, и Вика составила ей в этом компанию. Знал бы — искал более бюджетный вариант. В этом отеле, впрочем, за отдельные деньги была сауна, куда очень хотела Татьяна. Персонал был явно не готов к такому количеству постояльцев, в ресторане в день приезда мы пообедали за какое-то немыслимое время и пицца была очень странной, а что творилось во время завтрака за шведским столом, воображению не поддаётся. WiFi в отеле есть, МТС и Билайн ловятся, но интернет мобильный еле шевелится. В городе честные 3G/4G.

Отель в нескольких километрах от города, сообщение с городом — такси. Разброс цены от отеля до разных точек по городу — от 150 до 300 рублей (к ботику Петра, который на самом деле за городом). Из 5 такси у двух номера подмосковные, у одного — Ленинградская область, у двух ярославские, не знаю уж, какие из этого делать выводы. Цены фиксированные.

В первый день гуляли по центру в пределах кольца валов, потом, уже в сумерках, дошли до места впадения Трубежа в Плещеево озеро. Сняли несколько замечательных кадров в режиме «найди горизонт» — в сумерках снег сливается с небом совершенно. Во второй день начали с ботика Петра I, постепенно продвигаясь к центру. В третий, немного потусовавшись у отеля, поехали на такси же в Сергиев Посад, там прошлись от Конного двора, где нас интересовал музей матрёшки, до музея игрушки мимо Лавры, и сели на электричку.

Когда догуляли в сумерках до озера, наблюдали, как группка из 3-4 человек со словами «Да здесь по прямой 5 километров» бодренько по льду направилось по этой самой предположительной прямой. Ну, авось дошли.

В Переславле достаточное количество мелких (в одну-две комнаты) музеев быта в диапазоне от века 19 до конца 20-го где-то. Наборы экспонатов сильно пересекаются, манеры экскурсоводов, за одним исключением, примерно одинаковы, но сделаны все с любовью. Экскурсоводов обычно 3-4, работают по почти замкнутому циклу, молодые и бойкие. Мы были в Музее хитрости и смекалки, Музее грампластинок, Музее чайников, Музее утюгов, забили на Музей денег (скупив там некоторое количество монеток), зашли на территорию Горицкого монастыря, который пока ещё музей-заповедник, и закончили Музеем радио. Музей радио отличается ярко выраженным личным отношением хозяина к экспонатам, как западным, так и советским, и любителям старой аудиотехники я его очень рекомендую.

В Сергиевом Посаде от Музея матрёшек я ожидал гораздо большего, честно говоря. То есть матрёшка на 45 вложенных образов — прикольно, но мне казалось, что были и среди серийно выпускавшихся в СССР, и среди авторских работ и гораздо более оригинальные экспонаты. Музей игрушек там меня не впечатлил, но я тут избалован Музеем игрушек в Праге.

Ужасное впечатление производят улицы. В Переславле чуть ли не каждый второй дом украшен надписью «Продаётся», но пройти по улицам можно. В Сергиевом Посаде то, что мы ни разу не упали, проходя мимо Лавры, верующий человек обязательно отнёс бы к категории чуда. Там в принципе нечищеные тротуары, а на подходах к Лавре, похоже, ещё и отполированые.

Отдельно хочется отметить, что это первая поездка на моей памяти, когда Татьяна вела себя близко к образцовому. То ли отсутствие Гали удвоило ей доступную порцию внимания, то ли потихоньку растёт.

Profile

beldmit: (Default)
beldmit

April 2017

S M T W T F S
      1
234 5 678
91011121314 15
1617181920 2122
23 24 2526272829
30      

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Apr. 26th, 2017 01:58 am
Powered by Dreamwidth Studios