phd: Programmers don't die, they just GOSUB without RETURN.

Браузеры в Linux не поддерживают passkeys, только с аппаратным ключом. А отдавать свои ключи Гуглю в Андроиде я не хочу.

Нашёлся, однако, менеджер паролей, который умеет пароли, OTP, passkeys, и интегрируется с браузерами через установку в них расширения. Программа KeePassXC, расширение KeePassXC-Browser. Программа и расширение свободные, не облачные, всё локально.

Для работы с passkeys требуется версия KeePassXC 2.7.7, а в Debian sta(b)le только 2.7.4. Пришлось скачать AppImage версия 2.7.9, он хорошо работает. До обновления Debian буду пользоваться AppImage.

Для работы надо включить в настройках программы и расширения поддержку passkeys, и выключить в расширении fallback — аппаратных ключей у меня не предвидится.

Зашёл на GitHub по OTP, завёл passkey. Ключ сохранился в KeePassXC. Вышел, зашёл по passkey. Работает.

Единственно, чего я не понимаю — чем OTP лучше или хуже passkeys. С точки зрения (не)удобства совершенно одинаково. А с точки зрения безопасности — я пока не понял.

X-Post в ЖЖ.

https://www.cnews.ru/news/top/2022-09-23_chrome_i_firefox_zabrakovali_sberbank

Приближается необходимость купить недорогой телефон.

https://www.gosuslugi.ru/crt

Отдельный, для ГосУслуг и СберОнлайна.

X-Post в ЖЖ.

Три девицы под окном
Пряли поздно вечерком…

Только не три девицы, а мы с женой; не под Окнами, а под Линуксом; жена не пряла, а вязала. А сели мы посмотреть серию сериала на моём ноутбуке. А я беру телефон и включаю OpenVPN в сторону моего нового сервера. А он не включается! Пришлось смотреть кено. :-D

После кина сел посмотреть, чего не донастроил. Вылезло много мелочей. Все поправил, всё работает.

Потом вспомнил, что у меня ещё был VPN посредством ssh -w. Протестировал — клиентская часть работает, серверная нет. Но там всё просто — передать на сервер открытый ключ, чтобы разрешить ssh root@.

Ну и поскольку приближается время тотальных блокировок VPN РосКомЦензурой, нужно будет ещё парочку разных VPN настроить. OpenVPN легко блокируется, ssh -w не работает на Андроиде. Нужно будет настроить WireGuard и Outline.

X-Post в ЖЖ.

Upd 26.03.2022. Не удалось запустить WireGuard. Всё поставил, настроил — а пакетики не ходят. Попробую Outline, а потом вернусь к WireGuard.

Upd 27.03.2022. Нашёл ошибку в скриптах создания конфигурации для WG. Результат неисправленной копипасты. Вместо того, чтобы вносить мелкие правки, задумал большой рефакторинг, при чём не только скриптов WG, но и OpenVPN. Это займёт некоторое время…

Upd 28.03.2022. Рефакторинг занял на удивление мало времени. Потом я нашёл ещё одну ошибку в скриптах создания конфигурации. И в конце концов всё заработало, даже на андроеде. Андроидное приложение вполне прилично.

Американские СМИ рассекретили документ о том, какой доступ и к каким мессенджерам имеет ФБР почти в реальном времени. Это: Signal, Telegram, Viber, iMessage, Whatsapp, Line, Threema, Weechat и Wickr.

https://habr.com/ru/news/t/592515/

Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся;

Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма;

Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил);

iMessage: содержание сообщений предоставляет «ограничено» (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register — это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте;

Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) — сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил;

Line: содержание сообщений предоставляет «ограничено», данные по пользователям, информация о соединениях;

Threema: содержания сообщений не предоставляет, хэш телефона и эл. почты, публичный ключ, дату регистрации и дату последнего логина;

Weechat: содержания сообщений не предоставляет, для пользователей не из Китая предоставляет о них общую информацию (имя, номер телефона, IP);

Wickr: содержания сообщений не предоставляет, частично предоставляет информацию о пользователях, включая дату создания аккаунта, количество сообщений, аватарку, некоторые последние записи пользователя.

Сломался DKIM. Потому что в exim 4.94 $domain теперь tainted data, и надо думать, как его очистить.

{нехорошее слово} Временно отключил DKIM совсем.

Некоторое время назад обнаружил, что мой новенький телефон не делает backup. Залез в настройки, открыл раздел "Гуголь", команда "Резервное копирование" — а там кнопка "Начать копирование" заблокирована, и все резервные копии висят в ожидании.

Я и так, и сяк, проверил аккаунт, пароль, зашёл в Бубль.Диск — всё настроено и работает. А резервных копий нет.

Полез в… ну да, в него же, в поиск. Нашёл. Оказывается, известная проблема с известным решением (1, 2, 3, и т.д.)

Чтобы разблокировать кнопку бэкапа, нужно отключить защиту экрана. Убрать отпечатки пальцев, отменить PIN-код, переключить защиту в "Провести по экрану". Мне непонятно, какая связь, тем не менее, я уже приспособился снимать защиту, делать бэкап, ставить обратно жест или PIN-код. В моём телефоне работает даже без перезагрузки

От пальчиков пришлось отказаться. Убирать и пересканировать пальчики раз в неделю муторно, а на моём телефоне ещё и проблематично — низкая чувствительность сенсора, я это ещё перед покупкой знал, во всех отзывах отмечают. Перешёл на жест с точечками, а при поездке в Москву буду ставить PIN-код.

http://www.cnews.ru/news/top/2019-09-13_google_vsled_za_mozilla_vnedrit

Поддержка DNS-over-HTTPS появится в браузере Chrome версии 78.

Upd. Хромиум объявил о том же: https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html

Upd2. Все браузеры: https://habr.com/ru/post/478012/

https://www.techrepublic.com/article/the-3-least-secure-programming-languages/

7 языков программирования, производящих наименее безопасные программы: C, PHP, Java, JavaScript, Python на 5-ом месте, C++, Ruby.

https://hitech.newsru.com/article/28aug2018/tg_terror

Telegram будет раскрывать властям IP-адреса и номера телефонов подозреваемых в терроризме на основании судебного решения.

Информацию об этом обещают публиковать в отчётах на канале transparency.

GitHub и Twitter ВНЕЗАПНО обнаружили, что небольшое количество паролей они хранят незашифрованными. И всем на всякий случай предлагают сменить пароль. :-D

Как это они так одновременно? Нет ли здесь связи с подготовкой к GDPR? ;-)

GitHub и Twitter хотя бы в какой-то степени честны. А что делать с бандитами, которые продолжают утверждать, что хранят только зашифрованные пароли?