| Szerző |
Üzenet |
Yellow Dog
Tag
|
# Elküldve: 2016. Jan. 22. 17:39
Quoting: anchor yurist@14russ-sem.ru
Ik bin nikt szovjetszkij szamuráj :-D
|
anchor
Tag
|
# Elküldve: 2016. Jan. 24. 02:16
többen is aggódtak hogy olyan openssl-t használok ami tele van biztonsági lyukakkal. (v1.0.0a) biszili lefordította nekem 68k-ra a legújabb full featured (v1.0.2e) openssl-t, az viszont brutál lassú. ezért egy régebbi verziót javasolt, ami nem tud mindent, de az összes security patch-et megkapta. (v0.9.8zh) no ezzel egész nap elvoltam, végül sikerült működésre bírni. köszönet bszilinek ezúttal is.
íme néhány speed info: (68020@28MHz, ssl connect test)
openssl v0.9.7c = 2sec (ősrégi 2003-as verzió)
openssl v0.9.8zh = 4sec (2015. dec. 3.)
openssl v1.0.0a = 7sec (régi 2010-es verzó)
openssl v1.0.2e = 17sec (2015. dec. 3.)
... van különbség ...
azért még jó lenne gyorsítani ezen az ssl dolgon. ahogy nézem legtöbb crypto engine-hez van asm gyorsítás x86, ppc, arm arhitektúrákra. m680x0 sehol. pedig pont itt lenne a legnagyobb szükség rá.
megkerestek az icaros desktop projecttől, hogy lehetne-e AROS x86 verzió, és hogy lehetne-e alapból adni a handlert a rendszerrel együtt. természetesen lesz mindenféle verzió, és örülnék ha az OS disztribúciók része tudna lenni.
|
dh1
Mr. DTP
|
# Elküldve: 2016. Jan. 24. 02:53
Respect Teso!
|
BSzili
Tag
|
# Elküldve: 2016. Jan. 24. 08:37
Azok akik Amigán lefuttatott OpenSSL exploitoktól tartottak, most egy időre fellélegezhetnek :)
|
Yellow Dog
Tag
|
# Elküldve: 2016. Jan. 24. 10:52
Mondjuk én továbbra sem értem, 2016-ban milyen Amiga cuccot kell annyira védeni a kiber-alvilágtól?
|
dh1
Mr. DTP
|
# Elküldve: 2016. Jan. 24. 11:30
Quoting: yellowdog Mondjuk én továbbra sem értem, 2016-ban milyen Amiga cuccot kell annyira védeni a kiber-alvilágtól?
miert? Amigan csak Amigara vonatkozo adatok lehetnek? wtf?
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 24. 14:17 - Szerkesztve: charlie
BSzili/anchor:
És milyen ciphereket, TLS/SSL verziót és HMAC-t használ az újabb és a régebbi OpenSSL verzió? :)
Csak mert a 0.9.8 semmit nem támogat, ami a modernebb webhez illik. Ekkora sebességkülönbség ugyanis nem abból ered, hogy mi van megoptimalizálva és mi nincs, ez egyszerűen az, hogy a 1.0.2 olyan titkosítási algoritmusokat preferál amik 2016-ban is időszerűek, de nyiván teljesítményigényesebbek is. A 0.9.8 meg szegénykém...
Szóval full respekt meg minden, de a régebbi OpenSSL-lel lett adva a szarnak egy pofon. Most ugyan nem lyukas és törhető, csak simán visszafejthető a kommunikáció... :) De sokkal gyorsabb, juhú!
Arról nem is beszélve, hogy a 0.9.8 és az 1.0.0 End of Life lett, 2015 dec. 31-én... Szóval a jövőbeni bugfixeknek amúgy is reszeltek.
Szerk: szóval lehet kérni, hogy legalább a MorphOS verzió a legújabb 1.0.2-vel legyen csomagolva? kthx... :)
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 24. 14:33 - Szerkesztve: charlie
@yellow dog:
Mondjuk én továbbra sem értem, 2016-ban milyen Amiga cuccot kell annyira védeni a kiber-alvilágtól?
Megint ugyan az a sztori mint az otthoni wifivel... Lehet hogy az Amigádon semmi titkos adat nincs, de ha valaki az Amiga miatt legyengített vagy kikapcsolt titkosítás miatt elolvassa amit a mobilodról vagy a laptopodról netezel?
Itt ugyanez. Nem az amigás WHDLoad cuccok a hipertitkosak. De ha valaki a gyengített amigás titkosításnak köszönhetően bemegy a Google Driveodra, sőt az egész Google accountodba (GMail, stb...), az annyira nem vicces...
Minden lánc csak annyira erős, mint a leggyengébb láncszeme, ugye...
|
BSzili
Tag
|
# Elküldve: 2016. Jan. 24. 14:57
Hiába 1.0.2 a tuti, ha egyszerűen olyan sokáig tököl vele egy 020-as Amigán, hogy a google szervere megunja a várakozást. Aki államtitkot őriz Google Drive-on az nyilván nem 20+ éves hardveren fog matatni benne. NG-n ilyen gond nincs, szóval nem kell rémüldözni, hogy mindenhol 0.9.8-as OpenSSL lesz.
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 24. 15:12 - Szerkesztve: charlie
Értem, hogy villanymotor, de lásd fent. Aki Amigáról Google Drive-ozik, az jó eséllyel azzal az accountjával teszi, amit máshonnan is használ... Amihez erősen ellenjavalt gyenge titkosítással kapcsolódni, mert támadási vektor olyan adatokhoz, amiknek semmi köze az Amigás dolgokhoz.
Szerk: a mailboxod pl. benne potenciálisan banki, PayPal, orvosi és egyéb érzékeny adatok, social engineering lehetőségek, a Facebookod és egyebek átvételének lehetősége, stb... És nem csak a hazai viszonyokban kell gondolkodni, amikor ennek a veszélyeit mérlegeled...
És igen, a modern cipherek sajnos brutálisan teljesítményigényesek. Annyira, hogy még a sokGhz-s, sokmagos, modern procikba is spéci utasításkészletet építenek be a gyorsításukra (AES-NI), a SHA-1/SHA-256 checksumot meg valamelyik SSE-vel gyorsítják... És igen, nincs jó megoldás retro gépre sajnos...
|
anchor
Tag
|
# Elküldve: 2016. Jan. 24. 15:30
charlie:
én is úgy tudom hogy 0.9.8zh nem fog több törődést kapni a készítőktől.
mivel az openssl-en semmit sem optimalizáltunk, világos hogy a sebesség különbség nem emiatt van. ettől még érdemes lehet optimalizálni a modern crypto engineket, amiket az újabb openssl preferál. így lehetőség lesz használni azokat 68k-n. addig marad a 0.9.8zh. aki fél, az ne használja. mint ahogy aki fél hogy lezuhan a repülője, az ne repüljön.
a ppc/x86 verzió frissebb openssl-t használ, ott nincs sebesség probléma.
az AmiSSL 3.6 ősrégi openssl-t használ. ahhoz képest ez a handler modern darab 68k-n. persze lehet pánikolni, nincs megtiltva.
"lett adva a szarnak egy pofon" ... te vagy az első aki így értékeli a projectbe fektetett munkám, és erőfeszítésem.
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 24. 15:39 - Szerkesztve: charlie
@anchor:
"lett adva a szarnak egy pofon" ... te vagy az első aki így értékeli a projectbe fektetett munkám, és erőfeszítésem.
Az OpenSSL verzió váltásra értettem, lévén a hozzászólás kontextusa és az egyetlen problémám a titkosítás gyengesége volt. Nem az egész projektre, bár szerintem ez egyértelmű, ha nem ragadod ki a fenti 5 szót a szövegkörnyezetéből. Amúgy biztos túlreagáltam, lévén 3 éve (részben) ezzel is foglalkozom, de attól még ez van.
|
anchor
Tag
|
# Elküldve: 2016. Jan. 24. 16:05
128 bites AES titkosítást használ a v0.9.8zh alapból. itt egy angol nyelvű szöveg ennek a brute force feltöréséhez szükséges erőforrás igényről:
If you assume:
Every person on the planet owns 10 computers.
There are 7 billion people on the planet.
Each of these computers can test 1 billion key combinations per second.
On average, you can crack the key after testing 50% of the possibilities.
Then the earth's population can crack one encryption key in 77,000,000,000,000,000,000,000,000 years!
nem vagyok kirptográfiai szakember, de nem érzem reálisnak hogy egyesek pánikolnak a 68k openssl miatt. amúgy vélhetően egy windows alapú rendszer tartalmaz jópár backdoor-t.
(ps.: a gmail-hez amúgy nem férhozzá a handler.)
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 24. 16:22 - Szerkesztve: charlie
... és csak TLS 1.0-t támogat, a modernebb TLS 1.1-t és TLS 1.2-t nem. A TLS 1.0 pedig a szabványba épített "visszafele kompatibilitási" eljárás miatt downgradelhető SSLv3-ra ami aztán utat nyit egy rakás gyenge ciphernek és checksumnak (MD5, amihez ismert collision attackok vannak, pl.).
A ciphereket bruteforce törni nagyon nehéz, de a régebbi protokollok tele vannak olyan lyukakkal, hogy nem is kell bruteforce törni a ciphert magát, hanem ráveszed a két felet, hogy önként gyengítse meg a titkosítást, aztán hozzáférsz a kulcshoz/IV-hez és onnantól elolvasod a kommunikációt, bruteforce nélkül.
A kapcsolódó Wiki leír néhányat:
https://en.wikipedia.org/wiki/Transport_Layer_Security
|
anchor
Tag
|
# Elküldve: 2016. Jan. 24. 17:09
értem. ha valóban ilyen egyszerű feltörni a TLS 1.0-t, akkor a TLS 1.1 megszületéséig (2006) az openssl csak egy felesleges lassító layer volt.
az aminetes readme-ben benne lesz hogy mindenki saját felelőségére használja. aztán megvizsgálom hogy lehet-e megfelelő sebességet elérni biztonságosabb protokollal. ha igen, upgradelem az openssl-t. ha nem, akkor a 68k tábor a 0.9.8zh-val kell beérje. ez van.
azt értem hogy a google drive-odba bele látnak ha feltörik az ssl kapcsolatot. de a facebookodba, paypalodba, és a gmail-edbe hogy másznak bele?
|
Yellow Dog
Tag
|
# Elküldve: 2016. Jan. 24. 18:00
Szerintem lehet egy személynek több google drive-ja, szóval a legegyszerűbb külön tárolni az Amiga dolgokat, nem egy bonyolult és kivitelezhetetlen dolog ;-)
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 24. 18:44 - Szerkesztve: charlie
@anchor:
értem. ha valóban ilyen egyszerű feltörni a TLS 1.0-t, akkor a TLS 1.1 megszületéséig (2006) az openssl csak egy felesleges lassító layer volt.
Ezek a sebezhetőségek nyilván "menet közben" derülnek ki... Sokszor meg csak utólag, miután kijött egy újabb szabvány, de sajnos jónéhány szoftvert egész addig nem frissítenek, amíg egyes elméleti hibák gyakorlati kihasználásának lehetőségét nem bizonyítja senki. A 2015-ös év ebből a szempontból vízválasztó volt, hogy végre az összes karbantartott böngészőt frissítették TLS 1.2-re. De biztosak lehetünk benne, hogy tökéletes titkosítás nincs, szóval csak idő kérdése, amíg ez is elavult lesz.
az aminetes readme-ben benne lesz hogy mindenki saját felelőségére használja. aztán megvizsgálom hogy lehet-e megfelelő sebességet elérni biztonságosabb protokollal. ha igen, upgradelem az openssl-t. ha nem, akkor a 68k tábor a 0.9.8zh-val kell beérje. ez van.
Köszönöm. Ennyit akartam kérni. Nekem teljesen mindegy ki mit használ, és egy retro gépen az ember nyilván köt kompromisszumokat, de legyünk tisztában (és az usereink is) a lehetséges veszélyekkel, nem?
azt értem hogy a google drive-odba bele látnak ha feltörik az ssl kapcsolatot. de a facebookodba, paypalodba, és a gmail-edbe hogy másznak bele?
Na ezt en sem tudom. De mivel a Google account megosztott az osszes szolgaltatas kozott, ezert nem lennek nyugodt miatta. A tobbi egyeb cloud szolgaltatast csak azert soroltam fel, mert egy meghackkelt mailboxszal a potencialis hacker kuld maganak egy jelszovaltast a Paypal-odrol (ha van) es hello... Ugyanez Facebookkal, stb. Meg ilyesmi. Es meglepoen sokan nem hasznalnak meg tobblepcsos azonositast (telefonos/SMS megerosites, mittomen), stb...
|
anchor
Tag
|
# Elküldve: 2016. Jan. 24. 19:34
"GD handler based on libCurl (v7.37.1), and OpenSSL (0.9.8zh)
This version of openssl contains all security patches until
2015.12.03, but supports only TLS 1.0. Use this handler at your
own risk."
valami ilyen lesz a readme-ben.
abban egészen biztos vagyok hogy a handler nem fér hozzá a gmail fiókhoz.
a jogosultságokat és az elérhető API-kat külön be kell állítani a google dev console-on., és csak GD read/write van engedélyezve. azért a google nem kezdő.
|
Aragon
Tag
|
# Elküldve: 2016. Jan. 24. 20:04
Quoting: charlie Es meglepoen sokan nem hasznalnak meg tobblepcsos azonositast (telefonos/SMS megerosites,
Hát amúgy ez így van. Megnézel egy otp-s, meg egy erstés belépést. Utóbbi visszaépítette a biztonságot (rövidtávon felhasználóbarát), előbbi meg kényszeresen túlbiztosított, de nem bánom.
|
siz
Tag
|
# Elküldve: 2016. Jan. 24. 21:31
Quoting: anchor abban egészen biztos vagyok hogy a handler nem fér hozzá a gmail fiókhoz
Itt nem is arról van szó, hogy a handler hozzáfér vagy sem. Arról van szó, hogy a handler meggyengített kommunikációjával kiderül(het) a jelszó (de legalább egy token), azzal meg már beléphet a GMail-be.
Én pl. pont azért szavaztam Amigán a vezetékes hálózatra (ami ugyan kevésbé kényelmes), mert akkor nem kell a wifimet olyanra visszabutítani, ami Amigával is megy.
Kérdés a handlerrel kapcsolatban: a 030 mennyivel gyorsabb? Lehet, hogy azzal az újabb OpenSSL sem timeout-ol? Mert akkor lehetne belőle classic 68k/020 meg classic 030+ meg classic 060+ is.
|
anchor
Tag
|
# Elküldve: 2016. Jan. 25. 00:15
a jelszót nem kell megadni a GD eléréshez. egy client code van, amit itt kapsz: https://goo.gl/1K3xoq de az kizárólag a GD-hez jó. az access token is csak ahhoz jó. tehát a gmail fiókod nem érik el. persze az sem kívánatos hogy a GD-n tárolt fájljaid elérjék, ez tiszta sor.
elvileg lesz a jövő héttől egy blizzard 68030 nálam, akkor megnézem a legfrissebb openssl mit mutat azon. viszont rengeteg verziót kell majd karban tartanom már a mostani felállás szerint is, ezért nem túlzottan örülnék két 68k verziónak. (de nincs kizárva)
- GD handler
- DropBox handler
- Google Cloud Print
mindegyikből 68k, AROS x86, MOS, OS4 verszió. ez 15 build-et jelent. de ha van külön logging, és non logging verzió, akkor már 30-nál járunk. minden releasenél illik végig tesztelni mindegyik verzió alap funkcióit. a 68k build meg megy 3.1, 3.9, és AROS Vision alatt is. Nem olyan egyszerű. Ja hát és dolgozni is kell :) Kár hogy Amiga fejlesztésből nem lehet megélni, milyen szép is volna csak ezzel foglalkozni :)
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 25. 00:40
@anchor
Kár hogy Amiga fejlesztésből nem lehet megélni, milyen szép is volna csak ezzel foglalkozni :)
+1 :)
|
dh1
Mr. DTP
|
# Elküldve: 2016. Jan. 25. 08:39
Quoting: anchor az aminetes readme-ben benne lesz hogy mindenki saját felelőségére használja
itt a lenyeg, semmi sem kotelezo ...
a project kivalo, es hianypotlo
Big THX!
|
anchor
Tag
|
# Elküldve: 2016. Jan. 26. 14:10
felraktam aminetre a 68k verziót. remélem megfelel minden előírásnak,
ez az első aminetes uploadom. charlie fellélegezhet, raktam bele 1.0.2e
openssl-el fordított verziót is. izmosabb (68040/68060/AplolloFPGA) procival használható az is.
jah, és megy stabilan a 28MHz-re boostolt ACA1221 kártyámon is. igaz a WHDLoad több lemezes cuccokkal már nem élvezetes. sebaj, ma kapok egy blizzard 030@50-es kártyát ajándékba :) sőt, a Vampire600-as kártya már úton van kipper2k-tól.
|
Chain-Q
Divatamigás
|
# Elküldve: 2016. Jan. 26. 17:09 - Szerkesztve: charlie
Big like. Köszi minden érintettnek a munkát.
|
szt
Tag
|
# Elküldve: 2016. Jan. 26. 18:54 - Szerkesztve: szt
Lesz külön morphos verzió is?
Szerk: Elolvastam a tegnapi bejegyzést, ezek szerint igen...
|
Yellow Dog
Tag
|
# Elküldve: 2016. Jan. 26. 21:10
Quoting: dh1 a project kivalo, es hianypotlo Big THX!
Én ugyan Dropbox használó vagyok, de ez bizony nagyon szép dicséretes munka, én is csak gratulálni tudok :-)
|
anchor
Tag
|
# Elküldve: 2016. Jan. 26. 22:43
Már elkezdtem a DropBox verziót, csak le is álltam vele amikor megtudtam hogy a v2-es API-val nem fog menni a random letöltés. De szerencsére kiderült hogy még elérhető a v1-es API is. (Google-nál meg most jön a v3-as)
|
BSzili
Tag
|
# Elküldve: 2016. Jan. 27. 09:28
Új Google API? Lesz nagy jajveszékelés a userek között, pedig még a v1-es API-juk is működik :)
|
anchor
Tag
|
# Elküldve: 2016. Jan. 30. 01:02
Jelentem kigördült a gyárból a MorphOS natív verzió. Charlie tedd el a puskát! openssl v1.0.2e-vel van szerelve! ... áááá ... huhh... ez meleg volt :)
http://aminet.net/package/comm/tcp/GoogleDrive_handler_MOS
Ismét köszönet BSzilinek a virtuóz gcc kezelésért.
Következik az AROS x86 verzió.
|
