phd

Браузеры в Linux не поддерживают passkeys, только с аппаратным ключом. А отдавать свои ключи Гуглю в Андроиде я не хочу.

Нашёлся, однако, менеджер паролей, который умеет пароли, OTP, passkeys, и интегрируется с браузерами через установку в них расширения. Программа KeePassXC, расширение KeePassXC-Browser. Программа и расширение свободные, не облачные, всё локально.

Для работы с passkeys требуется версия KeePassXC 2.7.7, а в Debian sta(b)le только 2.7.4. Пришлось скачать AppImage версия 2.7.9, он хорошо работает. До обновления Debian буду пользоваться AppImage.

Для работы надо включить в настройках программы и расширения поддержку passkeys, и выключить в расширении fallback — аппаратных ключей у меня не предвидится.

Зашёл на GitHub по OTP, завёл passkey. Ключ сохранился в KeePassXC. Вышел, зашёл по passkey. Работает.

Единственно, чего я не понимаю — чем OTP лучше или хуже passkeys. С точки зрения (не)удобства совершенно одинаково. А с точки зрения безопасности — я пока не понял.

X-Post из DW.

ДавайтеШифроваться собирается добавить в меню новый тип сертификатов — короткоживущие. Как бабочки, 6 дней.

Найдено на /. X-Post из DW.

Upd. БШ: This is an excellent idea.

https://www.cnews.ru/news/top/2022-09-23_chrome_i_firefox_zabrakovali_sberbank

Приближается необходимость купить недорогой телефон.

https://www.gosuslugi.ru/crt

Отдельный, для ГосУслуг и СберОнлайна.

X-Post из DW.

При переезде на новую виртуалку настраивал и тестировал имеющиеся VPN. Заодно посчитал, скока их у меня.

На ноутбуке: ssh -D, ssh -w, OpenVPN на обе работы и на мои собственные серверы. WireGuard; он мне понравился после того как я научился им пользоваться, так что он теперь везде включен по умолчанию. L2TP+IPSec настроен на один сервер на работе, добавить серверов не должно быть проблемой. В браузере бесплатная версия Browsec; нидерландский сервер работает очень хорошо и быстро везде, кроме ЖЖ; ЖЖ его уже блокирует (сначала блокировок не было); остальные сервера тормозят, но работают.

На андроеде: ssh -D (давно не тестировал, но не ожидаю проблем), Browsec, OpenVPN, Psiphon, WireGuard.

Outline мне не понравился, ни клиентская, ни серверная части. От серверной я избавился целиком вместе с виртуалкой (повезло, совпало с переездом), клиентскую и андроидную удалил.

Единственное, против чего у меня нет таблетки, так это против полного отключения России от Интернета. Изнутри и снаружи.

Upd. + nthLink.

X-Post из DW.

Три девицы под окном
Пряли поздно вечерком…

Только не три девицы, а мы с женой; не под Окнами, а под Линуксом; жена не пряла, а вязала. А сели мы посмотреть серию сериала на моём ноутбуке. А я беру телефон и включаю OpenVPN в сторону моего нового сервера. А он не включается! Пришлось смотреть кено. :-D

После кина сел посмотреть, чего не донастроил. Вылезло много мелочей. Все поправил, всё работает.

Потом вспомнил, что у меня ещё был VPN посредством ssh -w. Протестировал — клиентская часть работает, серверная нет. Но там всё просто — передать на сервер открытый ключ, чтобы разрешить ssh root@.

Ну и поскольку приближается время тотальных блокировок VPN РосКомЦензурой, нужно будет ещё парочку разных VPN настроить. OpenVPN легко блокируется, ssh -w не работает на Андроиде. Нужно будет настроить WireGuard и Outline.

X-Post из DW.

Upd 26.03.2022. Не удалось запустить WireGuard. Всё поставил, настроил — а пакетики не ходят. Попробую Outline, а потом вернусь к WireGuard.

Upd 27.03.2022. Нашёл ошибку в скриптах создания конфигурации для WG. Результат неисправленной копипасты. Вместо того, чтобы вносить мелкие правки, задумал большой рефакторинг, при чём не только скриптов WG, но и OpenVPN. Это займёт некоторое время…

Upd 28.03.2022. Рефакторинг занял на удивление мало времени. Потом я нашёл ещё одну ошибку в скриптах создания конфигурации. И в конце концов всё заработало, даже на андроеде. Андроидное приложение вполне прилично.

Увидел утром в Твиттере статью об обходе блокировок Tor с помощью мостов.

Днём её уже нету. Оперативненько.

«Утром в газете — вечером в клозете.» Сукины дети.

Upd. torproject.org заблокирован, пользуйтесь зеркалом tor.eff.org/ru/ Найдено в https://roskomsvoboda.org/post/torproject-vykatil-zerkalo/

Upd2. Статья вернулась в мою ленту. То ли подковёрная борьба, то ли алгоритмы Твиттера. Не знаю, что хуже.

This entry was originally posted at https://phd-ru.dreamwidth.org/353504.html. You can comment here or there. There are comments.

Американские СМИ рассекретили документ о том, какой доступ и к каким мессенджерам имеет ФБР почти в реальном времени. Это: Signal, Telegram, Viber, iMessage, Whatsapp, Line, Threema, Weechat и Wickr.

https://habr.com/ru/news/t/592515/

Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся;

Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма;

Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил);

iMessage: содержание сообщений предоставляет «ограничено» (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register — это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте;

Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) — сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил;

Line: содержание сообщений предоставляет «ограничено», данные по пользователям, информация о соединениях;

Threema: содержания сообщений не предоставляет, хэш телефона и эл. почты, публичный ключ, дату регистрации и дату последнего логина;

Weechat: содержания сообщений не предоставляет, для пользователей не из Китая предоставляет о них общую информацию (имя, номер телефона, IP);

Wickr: содержания сообщений не предоставляет, частично предоставляет информацию о пользователях, включая дату создания аккаунта, количество сообщений, аватарку, некоторые последние записи пользователя.

This entry was originally posted at https://phd-ru.dreamwidth.org/353247.html. You can comment here or there. There are comments.

Сломался DKIM. Потому что в exim 4.94 $domain теперь tainted data, и надо думать, как его очистить.

{нехорошее слово} Временно отключил DKIM совсем.

This entry was originally posted at https://phd-ru.dreamwidth.org/349291.html. You can comment here or there. There are comments.

https://www.cnews.ru/news/top/2021-09-06_sozdan_sverhzashchishchennyj_smartfon

Немецкий производитель Nitrokey создал смартфон NitroPhone 1 с развитой системой безопасности. NitroPhone 1 работает на ОС Google Android с прошивкой GrapheneOS без дополнительных системных приложений. В смартфоне реализована система шифрования и установлен чип безопасности Titan M. Также, со слов создателей смартфона, абсолютно любой установленный пользователем сторонний софт будет запускаться в изолированном пространстве (в «песочнице»). Автоматическое обновление такого ПО в телефоне отключено для дополнительной безопасности – пользователь сможет подтверждать (или блокировать) установку обновлений для каждой из программ.

PS. Офтопик. Забавно, что в нитрофорсаже главным элементом является кислород, а не азот. :-)

This entry was originally posted at https://phd-ru.dreamwidth.org/347547.html. You can comment here or there. There are comments.