Wątek: Poufność danych i pomysł
Wróć do listy wątków2 z 2
Poprzednia21 z 31: Agata.d
--Cytat (markus1234):
Ja nie mam możliwości dania pieniędzy na eltena, o nie mam ani karty płatniczej, ani konta w banku, a jestem pełnoletni.
--Koniec cytatu Ja też nie mam, ale można dać pieniądze komuś zaufanemu, kto konto posiada i poprosić go o przelanie. I ja właśnie tak zamierzam zrobić, gdyby była zrzutka na te szyfrowane dane.
Nigdy nie można być pewnym, że to co już masz będzie Ci dane na zawsze, a pewne w życiu są tylko dwie rzeczy, śmierć i podatki.
05.10.2019 13:45
22 z 31: magmar
Można zrobić przelew pocztą. Dla chcącego nic trudnego.
Wojna to pokój. wolność to niewola.
Ignorancja to siła. G. Orwell "Rok 1984"
05.10.2019 13:54
23 z 31: mimazg1
no właśnie "przecież nie potrzebują aż tak bardzo Eltena [...]
" napisałam o tych głuwnie którzy wiedzą czego chcą. I wcale nie przejęłabym się odejściami. Naniektórych portalach są co roczne zbiórki, czy to na serwer, czy na zasoby, i jakoś nikt zbytnio nie protestuje by 30 złociszy przelać. Ale oczywiście tu ważnym podejściem jest liczenie przez cały czas na ilość ludzi, ilość postów w ciągu roku jak najbardziej za free. I nie ma co biadolić, że nie ma tego, czy tamtego, wziąć się do kupy zdeklarować się za, albo przeciw i tyle. "Za darmo" już dawno temu umarło, no cóż--Cytat (Paulinux):
@Mimask, tak jak to było poruszane już gdzie indziej, kiedy wprowadzimy płatności nagle wszyscy przypomną sobie, że przecież nie potrzebują aż tak bardzo Eltena. Tylko że cholera polityka wpłat dobrowolnych też jakoś nie zdaje egzaminu. Rzeczywiście chyba trzebaby się pod jakąś fundację podciągnąć, bo innej drogi nie widzę.
--Koniec cytatu
05.10.2019 14:21
24 z 31: cinkciarzpl
Trzy razy tak
____________Panu się zdaje, że życie polega na tym, żeby dorosnąć. Co? Być dorosłym; zdać egzamin; zadośćuczynić normom. A co to jest norma? Czy pan, jako psychiatra może mi odpowiedzieć? Co to jest norma? Nie może pan, bo to jest g**no.
05.10.2019 14:27
25 z 31: Lowca_Androidow
No dobrze, a co z szyfrowaniem systemu na serwerze? Nie wiem jak to się odbywa w takim przypadku, ale pod linuxa, bo chyba na tym stoi serwer jest veracrypt, szyfrowanie partycji systemowej jest również możliwe i wydobycie danych z tejże partycji niewiele da bo będą te dane zaszyfrowane.
Oczywiście może to co piszę nie jest wykonalne, ale jak pisałem nie mam aż takiej wiedzy, ale rzucam pomysł bo jeśli to możliwe możnaby spróbować.
Dziękuję wszystkim tym, którzy mnie wspierali i pomagali, wszystkim tym, z którymi miło się gawędziło i spędzało czas.
Ostatnie zdarzenia przyspieszyły moją decyzję, odchodzę.
Na koniec chciałem pogratulować moderatorom grupy o telefonach, Samodzielność oraz Polskie społeczeństwo działań skutkujących tym, że nie chce się tutaj zaglądać
Mają wyłączność na słuszność, user nie ma prawa mieć innego zdania, a jeśli takowy broni swoich racji spuszczają ze smyczy swoją obronną maskotkę.
Działania władzy pokazują jedynie, że wspomniana moderacja ma w głębokim poważaniu to co miśli zwykły user bez uprawnień moderatorskich, bo kimże taki user jest..
Brak wyjaśnień, merytorycznych, podpartych choćby regulaminem, to brak szacunku.
Jak to nawet namiastka władzy potrafi uderzyć do głowy...
Aha, kroplę czary przelał ban otrzymany za to, że napisałem do maskotki moderatorek, że się podlizuje, żałuję jedynie, że nie napisałem kulturalnie, a nie zgodnie z moimi zasadami, że zawsze piszę to co myślę, czyli, że liże dupę.
05.10.2019 14:42
26 z 31: pajper
Takie szyfrowanie jest używane, ale bezcelowe.
Jak ktoś się włamie na serwer, to już się włamał. W momencie włamania serwer nie jest zaszyfrowany, bo musi działać.
Takie szyfrowanie dotyczy tylko sytuacji, gdy ktoś dobierze się do serwera fizycznie, a zważywszy, że mieści się on w wielkiej serwerowni w Warszawie, to... Ktoś taki i tak już wszystko o nas wie. :D
#StandWithUkraine
Shoot for the Moon. Even if you miss, you'll land among the stars.
05.10.2019 14:44
27 z 31: Julitka
@Mimask Przecież zbiórka wciąż spokojnie sobie wisi i czeka...
***Niezależnie od tego, czy zbudujesz swój dom na piasku czy na skale, przyjdzie burza.
05.10.2019 23:23
28 z 31: mikolajholysz
1. Nie.
2. Nie.
3. Raczej tak.
W sumie, co ci szkodzi postawić to na VPS na Digital Ocean za 5 dolarów, może nawet w Redisie zamiast Maria DB czy Postgres? Jaką masz gwarancję, że ktoś mając pełną kontrolę nad serwerem nie poprosi o wszystkie dane? Jak się zabezpieczysz pred czymś takim? Wiadomo, można robić szyfrowanie faktycznie end to end, klucze trzymając na urządzeniach użytkowników, ale to wprowadza swoje problemy.
w związku z przesiadką na Maca, prawie mnie tutaj nie ma. Inne sposoby kontaktu w wizytówce.
06.10.2019 20:39
29 z 31: mikolajholysz
Co do haseł, nowoczesna funkcja haszująca typu scrypt czy Argon2, duża trudność, np. 1/10 sekundy na rozpoznanie hasła na serwerze Eltena, plus do tego długi salt, powinny sprawę w miarę rozwiązać. Postawienie tego na VPS też mogłoby nie być takie głupie. Logowania to nie jest częsta operacja, więc coś od DO za 5 dolarów powinno wystarczyć w zupełności, względnie nawet serverles, czy to Amazon czy to inny taki. Przy tej ilości requestów to mogą być kwestie wersji free albo centów. Wiadomo, rate limiting typu 10 haseł per ip per minuta, 10 haseł per ip per user to by tam trzeba, żeby nikt nie zrobił tego co z SMSami.
w związku z przesiadką na Maca, prawie mnie tutaj nie ma. Inne sposoby kontaktu w wizytówce.
06.10.2019 20:43
30 z 31: pajper
@mikolajholysz to proste. Nie można requestować od tak sobie.
Kazać autoryzować się na drugim serwerze hasłem. Generowany tam będzie token i przepisywany na serwer główny. Czyli mamy ten sam token na obydwu serwerach, ale autoryzację tylko na drugim.
Przesyłać klucz tylko zautoryzowanym.
Potrzebny jest więc token do odczytania wiadomości.
To ogranicza pole ataku tylko do osób zalogowanych.
Albo nawet więcej, osobny token na obydwa serwery, przekazywany przy zalogowaniu. Wtedy nie wykradniesz.
Jasne, przy włamaniu na serwer można przejąć wszystkie klucze przechodzące przez niego, ale i tak już nie jest to tak proste, jak dump bazy danych. I trzeba trochę tam posiedzieć, bo ludzie nieczęsto się logują - zwykle mają aktywne sesje całymi dniami.
Dodać do tego limit jednego zapytania o klucz na sesję i jest problem. A limit wystarczy, bo klient może deszyfrować lokalnie, zapisując sobie klucz raz per sesja przy logowaniu w pamięci podręcznej.
Lub nawet na dysku i rządać przy pierwszym pobraniu klucza hasła, plus, do ustawienia, potwierdzanie takiego rządania via 2FA.
#StandWithUkraine
Shoot for the Moon. Even if you miss, you'll land among the stars.
06.10.2019 20:48
31 z 31: djkrissu
--Cytat (mimazg1):
Hm,
Odnośnie dwójki, mimo że są kłopoty ze skłonieniem kogokolwiek do płacenia za „publiczne” dobro, myślę, że jakaś możliwość jest uzyskania tej kaski. Będąc na kilku społecznościach premium, na których jest jasno określone regulaminowo, że każdy zapisujący się, i chcący korzystać z dobra społeczności musi niestety ponieść jakieś koszty, to i tu może trzeba byłoby rozważyć taką możliwość. No bo jeśli komuś naprawdę zależy na czymś, to te kilka, kilkanaście złociszy będzie umiał wyskubać z własnego zasobu. Swoją drogą, zastanawiam się, czemu już dawno nie zostało to wprowadzone, no ale może nie muszę wiedzieć. Przy podzieleniu każdej kwoty na kilka kilkadziesiąt osób, składka była by możliwie niezauważalna, a przecież nie oszukujmy się, każda działalność wolontariacka, kiedyś się kończy, i nawet jeśli twórcy czegoś, nie mają jakichś zysków materialnych, to przy całej dobroci własnego bycia, nie może cały czas finansować czegoś sam.
Za trójką jestem oczywiście za, gdyż są nawet wśród moich znajomych, tacy którzy wiedzą że mają się kontaktować ze mną tylko tą drogą, bo innej nie ma, no i piszą. a jeśli chodzi o jedynke, to myślę że też odpowiedź jest pozytywna.
Podstawowe pytanie, jakie twórca powinien sobie postawić, to czy zależy mu na ilości, czy jakości korzystających. I tak, tak wiem, że alternatywa końcowa jest brutalna, ale trzeba to sobie jasno wyjaśnić.
--Koniec cytatu Zgadzam się wpełni z mimask.
No nuno noooo!
15.11.2019 16:12