первоисточник: habrahabr.ru/blogs/infosecurity/59142/

| Сообщение посчитали полезным:

ntldr пишет:
А вы прямо сейчас собрались менять винду на ros?
Думаю, года через два
По скриншотам очень даже не плохо. ща поставлю посмотрю, что за чудо

v0id2k пишет:
бытует мнение что это фэйк
очень уж на него смахивает, особенно первый скрин

| Сообщение посчитали полезным:

Приятный роадмап у РОС
www.reactos.org/wiki/index.php/Roadmap
в плане, каждый месяц что-то новенькое, дай Бог, чтобы у них все получилось, что они планируют. Если кто поюзает - расскажите о впечатлениях, интересно.

ntldr
А вы случаем в разработке сего чуда не учавствуете?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick пишет:
в плане, каждый месяц что-то новенькое, дай Бог, чтобы у них все получилось, что они планируют. Если кто поюзает - расскажите о впечатлениях, интересно.
Юзать пока что рано, максимум - поставить на вм. Советую не качать устаревшие релизы, а сразу собирать последнюю версию из svn.

4kusNick пишет:
А вы случаем в разработке сего чуда не учавствуете?
Пока не участвую, за отсутствием времени, но общаюсь с разработчиками и готовлю свой DiskCryptor к возможности встраивания в ros как стандартного средства шифрования дисков. Как будет первая юзабельная версия, займусь адаптацией ОС под свои потребности.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr если как нить появится время, то накатай статью по урезке всего гавна в ОСи, т.к. думаю многим интересно, а велосипед нет желания выдумывать.

| Сообщение посчитали полезным:

Если нет желания выдумывать велосипед, то юзаем www.nliteos.com/
В этой тулзе можно выполнить первичную чистку, после чего надо лишь немного допилить напильником.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

v0id2k пишет:
Johnson Finger пишет:
Хм, инциден номер два:

Дефейс Квипа 1
Дефейс Квипа 2
бытует мнение что это фэйк
даже если такого и не писали, всё равно это правда

| Сообщение посчитали полезным:

Граждане модеры, а вы можете как-нить выцепить из этой ветви все посты про РОС и перекинуть их в новую тему в оффтопе? А то оффтоп в оффтопе получается какой-то, заодно отдельная тема привлечет больше посетителей, кому интересно что такое ReactOS.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Перекинуть посты из одного топика в другой на текущем движке нельзя.

| Сообщение посчитали полезным:

LIZARD
Я реактос последний доступный на данный момент билд ставил на виртуалку. В принципе, если даже сравнивать с билдом конца прошлого года, то прогресс на лицо. Чисто по ощущениям реактось стала явно пошустрее и стабильнее. Конечно не мешало бы либо дописать, либо переписать експлорер, а так пока лично мне то русло в котором реактос развивается мне нравится, ждем с нетерпением ReactOS v0.5 ))

| Сообщение посчитали полезным:

По поводу РОС давайте лучше тут постить:
http://exelab.ru/f/action=vthread&forum=3&topic=9931&page= 1

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

а вот еще дефейс, походу, самый последний. Сегодня на варнете увидел
warnet.ws/img4/60/def.jpg

| Сообщение посчитали полезным:

SER[G]ANT пишет:
а вот еще дефейс, походу, самый последний. Сегодня на варнете увидел
Это всё то же самое. Ничего нового.

| Сообщение посчитали полезным:

Наверное в первых постах неполный скрин выложен.

| Сообщение посчитали полезным:

locker_fx пишет:
Это пока 2-й недостаток, больше я так от вас и не услышал.
А как там дела с паролями в памяти?

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack пишет:
А как там дела с паролями в памяти?
С паролями в памяти чего?

Если о паролях, которые храняться на сервере, т.к. это ТОЛЬКО у Infium, а мы вели дискусию именно о старом(!!!) кипе.
А если на компе пароли, так не надо сохранять их и проблем-то?


Или я не правильно понял суть высказывания?

-----
моя подпись!

| Сообщение посчитали полезным:

locker_fx
Вопрос был правильный задан. Необязательно хранить пароли на винте, достаточно иметь запущенный клиент

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Необязательно хранить пароли на винте, достаточно иметь запущенный клиент
Если брать ситуацию с троем, то это уе совсем другой разговор, стырить пароль можно будет и из друго-го клиента. Я считаю, что это ситуация, которая должна рассматриваться отдельно.

-----
моя подпись!

| Сообщение посчитали полезным:

Стырить можно всё, что существует, с этим я не спорю. Просто если пароль светится в открытом виде в памяти, а получить к нему доступ - это как два пальца об асфальт - это странная ситуация. Каждый может сравнительный анализ провести и убедиться в том, что квип - это дыра на дыре. Можно легко получить учётку, если активен процесс квипа, который выполняется под любым пользователем, и тут никакая аргументация не поможет.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler
напишите тутор как вытаскивать пароли из памяти кипы, я дуумаю что кипоюзер материал будет полезен для ознакомления ))

| Сообщение посчитали полезным:

...из под ограниченной учётки, когда квип запущен админом на висте с UAC

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV пишет:
...из под ограниченной учётки, когда квип запущен админом на висте с UAC
а эта виста установлена на вмваре на компе, не подключенном к интернету

| Сообщение посчитали полезным:

Ara пишет:
SLV пишет:
...из под ограниченной учётки, когда квип запущен админом на висте с UAC
а эта виста установлена на вмваре на компе, не подключенном к интернету

... который замурован в бетонн, и к которому есть доступ только с Java мобилы по BlueTooth ))

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Crawler,g-l-u-k,SLV,Ara,GPcH

Проверил и вправду лежит, бери не хочу

Кстати, интересно, а как в миранде пароль хранится? Ведь хранить-то его надо, на случай разрыва связи.

add: С другой стороны как ни крути, всё-равно получишь Х**! Даже если закриптить его, можно реверснуть алго шифрования его и потом спокойно его также вытаскивать и расшифровывать. Что поменяется? Как ни крути клиент в случае разрыва должен будет отправлять пасс заново и как бы он его не прятал/шифровал, достать его можно, притом без особых усилий. Вешать дрова/антиотладку и тд - паранойя, если какждую хрень, на подобии ИМ-клиента обвешивать такой амуницией, то этож ужас...

-----
моя подпись!

| Сообщение посчитали полезным:

ИМХО хранение пароля в памяти может считаться уязвимостью лишь в очень специфичных случаях. Даже для криптографических приложений, к которым предъявляются наиболее жесткие требования, хранение пароля в памяти недопустимо только тогда, когда он уже не нужен.
В построении модели угроз для любого криптографического ПО предполагается, что защититься от атакующего имеющего доступ к памяти невозможно, а значит это не проблема приложения.
Безопасность памяти должна быть обеспечена ОС на программном уровне, и крепкими замками на аппаратном, если же таковая безопасность отсутствует, то приложение ничего не может сделать. Варианты "хитро поксорить чтоб враг не догадался" сразу отбрасываем как ненаучные.
Я думаю что к IM предъявляются менее строгие требования, и ожидать выполнения невыполнимого не стоит.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
ИМХО хранение пароля в памяти может считаться уязвимостью лишь в очень специфичных случаях. Даже для криптографических приложений, к которым предъявляются наиболее жесткие требования, хранение пароля в памяти недопустимо только тогда, когда он уже не нужен.
В построении модели угроз для любого криптографического ПО предполагается, что защититься от атакующего имеющего доступ к памяти невозможно, а значит это не проблема приложения.
Абсолютно согласен, как говорится +1 ;)


ntldr пишет:
Варианты "хитро поксорить чтоб враг не догадался" сразу отбрасываем как ненаучные.
Да даже если бы были научные, как не ксорь/прячь, всё-равно можно разксорить и разпрятать, по определению, т.к. проге самой нужны эти данные, значит восстановление их первоначального вида 100% возможно.

ntldr пишет:
Я думаю что к IM предъявляются менее строгие требования, и ожидать выполнения невыполнимого не стоит.
Приблизительно эту мысль пытаюсь донести на протяжении всего топика.

-----
моя подпись!

| Сообщение посчитали полезным:

locker_fx пишет:
Да даже если бы были научные, как не ксорь/прячь, всё-равно можно разксорить и разпрятать, по определению, т.к. проге самой нужны эти данные, значит восстановление их первоначального вида 100% возможно.
Научно обоснованные способы - это те способы, для которых есть доказательство безопасности в рамках определенной модели угроз. Научно-обоснованными способами защиты от атак на память являются защита на уровне ОС и защита от несанкционированного физического доступа.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
Научно обоснованные способы - это те способы, для которых есть доказательство безопасности в рамках определенной модели угроз. Научно-обоснованными способами защиты от атак на память являются защита на уровне ОС и защита от несанкционированного физического доступа.
Согласен, вы правы.

Главное что мы с вами поняли друг друга и даже более того, разделяем одну точку зрения в данном, конкретном вопросе.

-----
моя подпись!

| Сообщение посчитали полезным:

теперь http://www.asechka.ru/ похэкали



-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Похоже это не хек,а просто их прикрыли,читаем pdf'ки

| Сообщение посчитали полезным:

ага, тоже самое хотел написать

| Сообщение посчитали полезным: