Еще на тему
Полиамория и дакимакуры
Популярные geek
 | it-юморРейтинг: 98,247.0 |
 | программированиеРейтинг: 16,318.6 |
 | geek pornРейтинг: 2,854.0 |
 | матанРейтинг: 2,576.4 |
 | Приколы для математиковРейтинг: 1,741.6 |
Сейчас на сайте
Всего пользователей на сайте: 1760
Такоэ... setuid это одна сплошная уязвимость, т.к. оно изначально костылём было.
> телега хранит сообщения в не зашифрованом виде.
Если кулхацкер добрался до винта, то там шифруй не шифруй уже похуй -- прочитает и так.
Абсолютно любой клиент при доступе к физическому устройству "уязвим", т.к. ему надо расшифровывать сообщения чтобы показать их пользователю, и в этот момент они на изичку уводятся злоумышленником. Вопрос устойчивости мессенджеров - это вопрос насколько они безопасны при передаче, чтобы соглядатаи без доступа к устройству не могли подлгядеть - тут телеграм пока чист.
Локальное шифрование в любом случае бесполезно, при наличии клиента на устройстве, который всё равно всё расшифровывает. Шифрование эффективно только тогда, когда ключи можно попрятать, из клиента ключ ты не спрячешь.
> У меня такое ощущение, что с компьютерной безопасностью ты знаком только с интернет статей, я прав?
Категорически неправ. У меня есть опыт разработки и ревью безопасности серверных инфраструктур для IT-компаний.
> Для меня поразительно тут не то, что кто-то таким образом может похитить мои данные, а то, что такой очевидный и необходимый паттерн не был реализован.
Как уже говорилось, его необходимость сомнительна. Шифрование сообщений на конечном устройстве - это как запирание двери на метлу. Оно служит для спокойствия, но не очень много делает для безопасности. Если кто-то получил доступ к конечному устройству, то он получит доступ к сообщениям ЛЮБОГО мессенджера, зашифрованы они или нет, по причине того, что для любого мессенджера их нужно расшифровать чтобы показать клиенту, что, в случае наличия базовых понятий о шифровании, даёт нам ответ, что никаких методов защитить ключи, если они находятся локально на устройстве - нет.