• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    LITTLEBOYAnonymita na internetu :: TOR - FREENET - FREEPROXY - ...
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    VYHULENY_UFO: a otazka je, jak kvalitni budou forky TC, kdyz defakto nevime jak kvalitni je puvodni TC.. zejo.
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    ZAPPO: ano je, jak vidis, navic to bude stat peknej balik. kolik lidi v cechach by bylo schopny se zapojit do auditu takovy aplikace, ja rozhodne ne. na to nemam.
    ZAPPO
    ZAPPO --- ---
    VYHULENY_UFO: To bylo jen na tu pasáž o tom, že analyzu kodu je malokdo schopen dělat.
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    ZAPPO: ano, co se tyce truecryptu, tak audit jeste neskoncil tudiz nemame vysledek a nelze udelat rozhodnuti o bezpecnosti ci nebezpecnosti tc...

    viz nedavno probehl clanek
    Bezpečnostní audit TrueCryptu bude pokračovat - Root.cz
    http://www.root.cz/zpravicky/bezpecnostni-audit-truecryptu-bude-pokracovat/
    23. 2. 2015 9:33 Petr Krčmář
    //Krcmare bych nezpochybnoval
    V říjnu 2013 spustili profesor Matthew Green a bezpečnostní analytik Kenneth White projekt bezpečnostního auditu programu TrueCrypt. První fáze auditu proběhla a nebyly odhaleny vážné nedostatky. Poté ovšem došlo k něčemu nepředvídatelnému – projekt TrueCrypt byl z neznámých důvodů ukončen, což vyvolalo paniku a vedlo k vytvoření několika klonů.

    Neproběhla ovšem druhá fáze auditu, která měla za úkol kontrolu kódu a především implementace šifrovacích funkcí. Cílem bylo samozřejmě najít potenciální bezpečnostní díry, které by mohly být hrozbou pro uživatele. Po roce se audit vrací na scénu a provede ho tým expertů ze společností iSEC Partners, Matasano, Intrepidus Group a NCC Group. Cena auditu je odhadována na 70 000 dolarů, peníze byly už dříve vybrány pomocí několika crowdfundingových kampaní. Zkoumána bude nejnovější vydaná verze 7.1a.


    panika, klony to duvere neprida, da se verit klonum?
    ZAPPO
    ZAPPO --- ---
    VYHULENY_UFO: Source code analysis se samozřejmě úplně normálně dělá - i komerčně. Když zkombinuješ automatizovaný nástroj s slušným člověkem, tak dostáváš dobrý výsledky ve velmi efektivním poměru k ceně a času
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    PEPAK: source from scratch. zadnej fork + znamej vyvojar: https://github.com/bwalex

    OVERDRIVE: vzdyt zadnej audit snad nedobehl do konce a pokud jo, tak nebyl podrobnej. navic byl truecrypt vyvijen defakto neznamou skupinou lidi a ja osobne pochybuju, ze malokdo je schopen udelat analyzu kodu, tedy kroma NSA ci Cinanu, kteri maji neomezeny zdroje lidi a penez.
    OVERDRIVE
    OVERDRIVE --- ---
    Ad VeraCrypt a sec audit: https://veracrypt.codeplex.com/discussions/576521 - tedy v planu to je, pokud jsem to dobre pochopil... zdrojaky jsou samozrejme na jejich webu,...
    PEPAK
    PEPAK --- ---
    VYHULENY_UFO: Musím říct, že taky nevidím, z čeho vyvozuješ tu důvěryhodnost tcplay.
    OVERDRIVE
    OVERDRIVE --- ---
    VYHULENY_UFO: pockej jak nikdo nevi, jak je to naprogramovany.... https://www.grc.com/misc/truecrypt/TrueCrypt%207.1a%20Source.tar.gz

    jinak zbytek argumentu mi nepripadne jako smysluplna odpoved na otazku, proc je neco duveryhodne ;]
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    OVERDRIVE: protoze je vyvijenej nejdyl, neni to zadnej fork cehosi o cem vlastne nikdo presne nevi jak je naprogramovany a navic ma celkem vyhodnou licenci..
    ale to se da pres ten odkaz normalne dohledat.
    OVERDRIVE
    OVERDRIVE --- ---
    VYHULENY_UFO: duveryhodnej proc?
    SAYUZ: jsem taky pro VeraCrypt, je to vcelku fcni TrueCrypt, pokud to nepotrebujes proti vladam nebo fizlum, staci... pokud bys potrebova poradit, ptej se, jinak hledej navody na TrueCrypt, bude to obdobny [mozna je tam backdoor, takze bacha, ale to plati obecne]


    PEPAK:
    TUHO: rad bych varoval, ze audit TrueCryptu neni ani v pulce. Ted se nejak dela na crypto casti, procez vysledky hrube analyzy kodu zatim nebyly zverejneny... pokud se nepletu, tak cilem je aktualne pouzit audit jako best-practices pro forky, jen aby bylo jasno, jestli je nekde dira, to zadnej audit neuvidi.

    VYHULENY_UFO: no nic jak nic, ze... https://www.browserleaks.com/canvas aneb WebGL fingerprinting treba...
    QWWERTY
    QWWERTY --- ---
    VYHULENY_UFO: no .. je vidět, že NoScript dělá dost
    akorát většina webů bez něho dneska nefunguje :X

    existuje nějaká širší statistika těhle výsledků? z těch nejnápadnějších mi vypadlo
    User Agent 8.36
    Browser Plugin Details 22.28+
    (třeba "Screen Size and Color Depth" moc za fingerprint nepovažuju)
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    VYHULENY_UFO:
    Panopticlick tests your browser to see how unique it is based on the information it will share with sites it visits. Click below and you will be given a uniqueness score, letting you see how easily identifiable you might be as you surf the web.
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    NYX:
    nic co bys nevyresil ve firefoxu NoScriptem a Ghostery...

    Panopticlick
    https://panopticlick.eff.org/
    NYX
    NYX --- ---
    VYHULENY_UFO: aha, diky :)
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    NYX:
    FAQS
    https://www.epicbrowser.com/FAQ.html

    How does Epic protect against browser fingerprinting?


    There is no agreed-upon way to prevent browser fingerprinting or device fingerprinting at this point. There are many fingerprinting techniques which a solution would need to protect against. While we are working on a more thorough solution, at present Epic provides good protection against known fingerprinting scripts by simply blocking those scripts.
    TUHO
    TUHO --- ---
    PEPAK: souhlasim, jenom mi prislo zbytecny oznacovat veracrypt jako "buhvico" :)
    PEPAK
    PEPAK --- ---
    TUHO: Apriori zatracovat VeraCrypt je blbost, ale na druhou stranu, TrueCrypt má něco, co VeraCrypt ne - několik různě detailních auditů, které vesměs dávaly výrok OK, byť třeba s jistými výhradami. VeraCrypt to nemá a dokud mít nebude, je z principu méně důvěryhodný než TrueCrypt, i kdyby se autoři stokrát zaklínali, že to je to samé, jen s opravenými chybami.

    Btw., "jen s opravenými chybami" - nebylo by to poprvé, co někdo opravením chyby zhoršíl bezpečnost produktu. Vzpomínáte ještě na RNG v Debianu?
    TUHO
    TUHO --- ---
    ISATAG: veracrypt je open-source fork truecryptu, kterej zacal bejt vyvijenej pote, co truecrypt vyvojari prestali vyvijet. mel by obsahovat i opraveny chyby, ktery byly odhaleny bezpecnostnim auditem truecryptu a byt teda vylepseny naslednik truecryptu, takze bych ho a priori nezatracoval.

    VeraCrypt a Worthy TrueCrypt Alternative - eSecurity Planet
    http://www.esecurityplanet.com/open-source-security/veracrypt-a-worthy-truecrypt-alternative.html

    Open Crypto Audit Project
    https://opencryptoaudit.org/
    SAYUZ
    SAYUZ --- ---
    Kliknutím sem můžete změnit nastavení reklam