XMPP asub oma võrgu liiklust krüpteerima

doc, Üks enamlevinud laialijagatud vestlussüsteeme XMPP on selle arendajate ja haldajate plaanide järgi asumas krüpteerima klient-server ja server-server ühendusi. Eelmisel aastal kirjutasid enam kui 70 tarkvaraarendajat ja teenuse pakkujat alla manifestile, milles kuupäevaliselt pandi kirja erinevad etapid kogu võrgustiku krüpteerimiseks. Nüüd on kätte jõudnud viimane hetk, peale mida paljud XMPP teenust pakkuvad serverid keelduvad krüpteerimata ühendustest. Seadistamiseks pakutakse näpunäiteid ja abi – omapoolse heakskiidu on andnud ka suured tehnoloogiahiiud. Nuhkimiskampaaniate avalikustamise tõttu on taoline algatus leidnud sooja vastuvõttu ning seega pole ime kui erinevate ägedate vestluskeskkondade juurest pagetakse IRC või XMPP juurde tagasi.

Üks arvamus “XMPP asub oma võrgu liiklust krüpteerima” kohta

  1. Üks päev jõudsin mõttele, et kogu see SSL-jura kaotab Tor’i võrgus oma mõtte, sest seal on kõik nii kui nii krüptitud. Põhimõtteliselt, kui teha tavalike, JavaScript’i põhine, serveri ja veebilehitseja vahel avateksti saatev, rakendus ja panna see Tor’i võrku, siis ongi saavutatud see, mida “tagant järgi” krüpteerimist kasutusele võtvad süsteemid saavutada soovivad.

    Kui mõelda, et jututoa-rakendus on vaid üks rakendus paljudest, siis inimestel on litsam mitme eriotstarbelise tarkvara asemel oma arvutisse installida Tor-võrgus hõlbsat surfimist võimaldav Tor Veebilehitseja. Ma installisin selle lausa oma Androidi telefonile ära ja täitsa toimib.

    Edasi jääb siis vaid kliendi arvutit turvata, sest kogu see krüpto asi kaotab oma mõtte, kui Windowsi/Maci/Androidi/jne. enda tagaukse kaudu rahulikult privaatvõtmetele kallale saab või jookutab kasutaja mõnda hiljem kasutaja enda nõusolekul installitud programmi, mis muuseas loeb “kõvakettalt” (Androidi telefoni mälukaardilt) muude programmide privaatvõtmed ja saadab need, kuhu just tahab.

    Minu meelest see mudel, et kõik andmed (Word’i dokumendid, videod, MP3-failid, arvutimängude failid, igasugu võtmed ja ~/.programmispetsiifilineseadistusfail, jne.) on ühes kuhjas koos ja siis kõik programmid, mida kasutaja tööle saab tõmmada, saavad ligi kõigile antud kasutaja failidele, on fundamentaalselt puruks. Palju korrektsem oleks, et üks programm pääseks teise programmi poolt loodud failidele ligi vaid siis, kui selleks spetsiaalselt luba antakse. Oletan, et serveri seadistamisel on otstarbekaim teha nii, et eri rakendused on eri kasutajate õigustes ning andmevahetus eri kasutajate õigustes jooksvate programmide vahel toimub vaid läbi mõne “pordi” (linux pipe või klassikaline TCP/IP port, jne.). Kasutajate failid on loetavad/kirjutavad/käivitatavad vaid neile endile. Üks viis, kuidas sellist mudelit tava-kasutajatele ehk serveerida, on nii, et tavakasutajad saavad “installatsioonifailiks” virtuaalmasina jäljendi ning programmi käivitamine seisneb virtuaalmasina käivitamises ja veebilehitseja suunamises vastava virtuaalmasina vastavale pordile. Sedasi peaks olema granteeritud, et ühes virtuaalmasinas (või “Linux/BSD Jail’is”) olev programm ei saa ligi teise programmi andmetele. Näiteks kuskil korporatiivvõrgus võiks just sellist poliitikat kasutada, et kõik programmid ongi installitud liivakasti/jail’i ning liivakastist välja on installitud veebilehitseja ja rakendus, mis liivakastides olevaid programme käivitab.

    Palun parandage mind, kui ma siin jälle mõne lolluse kirjutasin.

    Tänan lugemast. :-)

Kommenteerimine on suletud