Sergey Matveev [Sat, 2 Jun 2018 07:33:13 +0000 (10:33 +0300)]
drone.io из-за GDPR закрывает форум
https://discourse.drone.io/t/shutting-down-forum-gdpr/2297/13
Про сам сайт вообще никогда не слышал, но сама ситуация интересна.
Open-source (не знаю free software ли) проект где форум администрируется
одним человеком вынужден закрыться из-за бремени GDPR. Ведь и у нас до
такого дойдёт запросто. У нас уже есть конечно "законы о блоггерах", но
таких как я он не затрагивает. Но запросто появятся (что, с одной
стороны и хорошо) и аналогичные GDPR более жёсткие.
Sergey Matveev [Fri, 1 Jun 2018 21:31:30 +0000 (00:31 +0300)]
Network tuning and performance guide for FreeBSD
https://calomel.org/network_performance.html
https://calomel.org/freebsd_network_tuning.html
Отличнейшая статья актуальная не только для FreeBSD/OpenBSD систем!
* Дерьмовое дешёвое железо => фиговая производительность, не зависимо от
используемой ОС. Поэтому мой дешёвые Celeron встроенный на мать: так
не в состоянии выжать гигабит
* FreeBSD любит память. Она очень хорошо и активно её использует. В
отличии от Linux ядра, где полно памяти может постоянно простаивать. И
речь даже не о ZFS
* Там написано что OpenBSD не увидит памяти больше чем 3.1 GB. Не
разбирался почему, но, видимо ядро больше этого сегмента (из-за
ограничений/особенностей x86-архитектуры) не увидит. Это кстати прям
дико удручает в OpenBSD. Казалось бы замечательнейшая ОС, но...
вопросы SMP, вот памяти/производительности выглядят очень плачевно
* HyperThreading -- надо отрубать. Чего я делаю уже давно на всех
компьютерах
* OpenBSD, пишут, всё-равно себя ведёт как однопроцессорная система (в
сетевых задачах, firewall)
* Настройки ZFS могут в три (!!!) раза повысить скорость на чтение с
NVMe диска
Sergey Matveev [Fri, 1 Jun 2018 20:17:43 +0000 (23:17 +0300)]
Лавина UDP до моего BitTorrent tracker
Более двух суток на мой компьютер с BitTorrent tracker-ом идут тысячи
UDP пакетов/сек. Из-за этого (возможно потому-что оно ещё и поверх PPPoE
через netgraph mpd-ный) бооольшие проблемы со всем остальным трафиком.
ping до любых ресурсов занимает 7-8 сек!
Не знаю DoS ли это какой или внезапно кто-то стал активно использовать
мой трэкер, но пока проблему вроде решил просто traffic shaping-ом по
этому трафику.
Понравилось поведение NNCP при этом: из-за малого кол-ва round-trip-ов и
их малого размера, он быстро делает handshake и прокачивает пакеты.
Из-за колоссальных задержек связь (TCP) всё-равно обрывается, но после
переподсоединения успешно идёт докачка файлов/почты. monit генерировал
под сотни писем о том что всё плохо -- и сотни этих сообщений стабильно
проходили через NNCP по TCP. Хорошо он себя показал в действительно
паршивых условиях.
Sergey Matveev [Thu, 31 May 2018 04:24:21 +0000 (07:24 +0300)]
Умер гитарист Anal Cunt/Adolf Satan
http://www.hitkiller.com/byvshij-gitarist-anal-cunt-josh-martin-pogib-upav-s-eskalatora-torgovogo-centra.html
Как и недавно ушедший Сет Путнам -- фронтмен Anal Cunt:
http://www.hitkiller.com/umer-vokalist-anal-cunt-seth-putnam.html
Не скажу что это примерная классическая жизнь около-грайндкорных
последователей, но наверное нойзкорных.
Sergey Matveev [Tue, 29 May 2018 21:22:09 +0000 (00:22 +0300)]
Дурацкий hype с DNS over HTTPS
http://bitsup.blogspot.com/2018/05/the-benefits-of-https-for-dns.html
Я вот не понимаю нафига всё это использовать вместо DNSCrypt??? Как
минимум, DNSCrypt может работать поверх UDP -- никаких handshake-ов (ну,
кроме самого первого по согласованию эфемерных ключей). Криптография в
DNSCrypt -- ОЧЕНЬ простая и вполне себе грамотно сделанная (я не смог ни
к чему придраться, всё очень нравится). В DNS over TLS/HTTPS --
используется TLS: это ж сущий ад в плане сложности! DNS over DTLS -- ещё
куда не шло из-за UDP, но сложность... нет, не вариант. Единственный
вменяемый аргумент, на мой взгляд, который приводит статья: куча софта
умеет работать с HTTP. И... что? Из-за этого делать крайне не
эффективную реализацию? Неужели миру не надоели legacy протоколы из-за
которых дико просаживаются ресурсы? Неужели не надоела сложность?
Sergey Matveev [Mon, 28 May 2018 20:17:29 +0000 (23:17 +0300)]
Сходил на митап "Приватность и безопасность в Интернете"
https://te-st.ru/events/security-digital/
Материал конечно существенно отличается от того что даю я на криптопатях.
Про свободное ПО нет вообще ничего. Зато много screenshot-ов как настроить
одно или другое под Windows.
Sergey Matveev [Sun, 27 May 2018 20:11:33 +0000 (23:11 +0300)]
RetroAhoy -- Secret Of Monkey Island
https://www.youtube.com/watch?v=9F9ahZQ7oP0
Что-то типа документального фильма про историю adventure компьютерных
игр: от interactive fiction, до Monkey Island и Grim Fandango. Вовсю
включает реальные вставки настоящих игр (а не просто screenshot-ы). И,
после просмотра, я всё ж понимаю что ярый поклонник именно LucasArts
игр, а не Sierra. Ну а Monkey Island (1-2 части, хотя и 3-я мне нравится
очень)... лучшие квесты после Grim Fandango.
Под конец начали рассказывать про современных последователей
классических квестов. Я даже не подозревал что прям новые жанры, типа
"walking simulator" появились. Интересно звучит и выглядит.
Sergey Matveev [Sun, 27 May 2018 15:34:45 +0000 (18:34 +0300)]
Mutt: set hostname
Годами я мучился и страдал от того что в Mutt не выставил значение
hostname опции. Если она не выставлена, то Mutt при запуске делает
reverse DNS запрос чтобы узнать свой hostname предполагаемый. Если
DNS лежит/недоступен/медленный, то и запуск Mutt затягивается.
Sergey Matveev [Sun, 27 May 2018 14:54:53 +0000 (17:54 +0300)]
Тест: Как защитить себя в Сети?
https://te-st.ru/2018/05/18/test-digital-security/
Увидел тут вот такой тест. Я начал стараться не писать в свой блог
всякое негативное, но тут не сдержусь.
* Во-первых, тест запрашивает указать ссылку на профиль в ВК/FB. И это
обязательный пункт. Мне кажется, если человек его указал, значит
имеет, значит он уже не прошёл тест :-)
* На вопрос "что нужно сделать, чтобы защитить данные в сети?" есть
только один вариант который можно выбрать среди: "Подключить
двухфакторную для почты и соцсетей, использовать сложный разнообразный
пароль с помощью менеджера паролей", "Просто не вводите данные с
чужого компьютера". Видимо, намёк на первый пункт. Но а чем второй то
не угождает? По моему крайне актуален и правилен. Не порядок.
* "При покупке в Интернете на что стоит обратить внимание?". Вариант
который можно выбрать только один "На значок соединения слева от
адресной строки. Убедитесь, что работаете с сайтом по зашифрованному
соединению (HTTPS-протоколу)". Хм, и это всё??? Просто увидеть что
значок показывает что соединение по HTTPS?
* "Безопасно ли подключаться к бесплатному публичному wifi?". Среди
ответов есть "Безопасно, если просматривать только сайты по протоколу
HTTPS", "С VPN-сервисом можно просматривать любые сайты", "Ни в коем
случае нельзя подключаться". И можно выбрать несколько. Третий
очевидно не предполагается, поэтому среди правильных ответов первый и
второй. Я снова удручён что народ упорно считает что HTTPS это просто
безопасно и точка.
* "Как защитить данные, если ваш ноутбук окажется в чужих руках?".
Несколько вариантов ответов которые можно выбрать: "Установить пароль
на вход в BIOS", "Шифровать компьютер и делать регулярные бэкапы в
облако", "Не хранить данные на компьютере, только в облаке". Последний
вариант очевидно не правильный. Первый... вообще ни о чём, ни капли не
поможет. Остаётся похоже только вариант с бэкапом в облако... ужас,
просто ужас что хотят от людей и считают это безопасным.
Впрочем меня это всё радует тем, что если бы грамотность людей в плане
безопасности была хороша, то у таких как я было бы меньше работы, когда
речь о серьёзной безопасности, например государственных секретов. Но
люди не то, что не знают о безопасности, так они банально
дезинформированы, снова предоставляя почву для работы и зарабатывания
денег.
Sergey Matveev [Sun, 27 May 2018 14:48:06 +0000 (17:48 +0300)]
Обновил сертификат для DNSCrypt
К сожалению, не поставил в monitoring проверку на время протухания и
dnscrypt.cypherpunks.ru пролежал больше суток. DNS запись с обновлённым
сертификатом, скорее всего, прососётся только на следующий день.
Sergey Matveev [Sun, 27 May 2018 12:31:25 +0000 (15:31 +0300)]
Зарелизил NNCP 3.1
https://lists.cypherpunks.ru/pipermail/nncp-devel/2018-May/000066.html
Всего-лишь одна фича: через "-via -" можно сказать чтобы при посылке
пакета вообще не делался relay. Раньше, к сожалению, можно было разве
что закомментировать "via:" в конфигурационном файле, что неудобно.
Sergey Matveev [Sun, 27 May 2018 11:54:04 +0000 (14:54 +0300)]
Indigo2/Indy машины -- мой идеал как должен выглядеть компьютер
https://en.wikipedia.org/wiki/File:SGI_Indigo2_High_Impact_workstation,_next_to_an_SGI_Espressigo.jpg
На фотографии Indigo2, его родная клавиатура, мышь и... кофе-машина (Espressigo).
Всякие брэндовые компьютеры типа HP, IBM -- ничего не вызвают, не
цепляют глаз. Apple техника... среди неё наверное только PowerMac G5
хоть как-то был приятен глазу. А SGI... Indy, Indigo, Tezro -- даже
просто такая коробочка хороша на столе. Открывающая крышка для доступа к
оптическим или ленточным накопителям тоже хороша.
Только сейчас обратил внимание что для Sun Microsystems и SGI
компьютеров даются нормальные PC-совместимые механические клавиатуры. Не
как адский ублюжеский отстой в виде Apple-клавиатур: несовместимость и
полное унижение пользователей заставляя такое использовать для работы.
Для тех кто тыкает мышкой -- пойдёт любое говно (даже Apple). Но когда
речь именно о работе с клавиатурой, то SGI и Sun делали достойно,
потому-что действительно для работы. Плюс трёхкнопочные мышки, какие с
самого начала подразумевались к использованию в X11-системах (2-х
кнопочные в Windows, однокнопочные в Apple).
Sergey Matveev [Sat, 26 May 2018 14:28:34 +0000 (17:28 +0300)]
Зарелизил PyDERASN 3.8
https://lists.cypherpunks.ru/pipermail/pyderasn-devel/2018-May/000013.html
В 3.7 релизе я добавил полную поддержку декодирования BER. Но pprint для
BER заключался в метке "BER" для структур закодированных не в DER и в
вычитании длины из-за EOC-ов сопутствующих indefinite длинам (LENINDEF,
как я это везде в коде обзываю). Но например dumpasn1 и openssl asn1parse
явно выводят EOC тэги и явно показывают что длина была indefinite. Мне
эта идея понравилась и в текущем релизе я начал делать так же.
То что раньше pprint-илось вот так:
15-2 [0,0,1576]-4 . content: [0] EXPLICIT [UNIV 16] ANY
[...]
стало теперь таким:
15-2∞ [0,0,1576]∞ . content: [0] EXPLICIT [UNIV 16] ANY
[...]
1587 [1,1, 0] . content: BER EOC
1589 [1,1, 0] . content: EXPLICIT BER EOC
Sergey Matveev [Wed, 23 May 2018 12:09:49 +0000 (15:09 +0300)]
Можно ли соблюсти полную анонимность мобильного телефона: инструкция
https://piratemedia.net/mozhno-li-soblyusti-polnuyu-anonimnost-mobilnogo-telefona-instrukciya
Статья мне в принципе понравилась. Особо придраться ни к чему не могу.
Понравилось ещё:
Настоящие хакеры, чья свобода, а быть может, и жизнь, зависит от
анонимности, не пользуются мобильными телефонами в повседневной
жизни. Вообще не пользуются. Только одноразовые звонки, скайп и т. п.
Да и жизни "повседневной" у них нет. Вечная мгла, небытие. Нет
друзей, нет родных, нет привычек и "любимых" мест. Вот что такое
анонимность.
Про Skype и "хакеров" промолчу, но неплохо сказано про то, что такое
анонимность.
Sergey Matveev [Mon, 21 May 2018 07:46:04 +0000 (10:46 +0300)]
Как отучить Firefox самостоятельно лазить в Интернет
https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections
Огромная документация как отключить то одно, то другое. По факту
современный Firefox просто напичкан сливом данных. Особенно "радует"
телеметрия отправляемая на их сервера при запуске броузера.
Sergey Matveev [Mon, 21 May 2018 05:20:27 +0000 (08:20 +0300)]
На новом PyPI нельзя скачать .sig подпись пакета
https://pypi.org/project/pyderasn/
А раньше было можно. В какое же полнейшее говно превращается мир пакетов
Python. С переездом на CDN скачивать стало, мягко говоря, проблематично:
оно постоянно лежит. Потом они добавили хэши к URL-ам и просто так
ссылочку для скачивания уже не сделаешь. Сейчас вот ещё и .sig файлы
отсутствуют (не хочу сказать что я сильно жаждил их, но регрессия же
произошла).
Sergey Matveev [Sun, 20 May 2018 08:01:37 +0000 (11:01 +0300)]
Git протокол второй версии
http://www.opennet.ru/opennews/art.shtml?num=48622
Ну лично мне все эти фишки не интересны, но очевидно что огромным
репозиториям будут приятны. А вот в комментариях народ замечает что
докачки прерванного клонирования в Git нет. Действительно нет. Но вот
Linux красиво решает эту проблему через недельные bundle-ы репозитория:
https://www.kernel.org/cloning-linux-from-a-bundle.html
Так как bundle это обычный атомарный файл, то его можно с докачкой
осилить через HTTP транспорт. После распаковки уже используя родной
git-протокол докачать дельту.
Sergey Matveev [Sun, 20 May 2018 07:51:34 +0000 (10:51 +0300)]
Только недавно обратил внимание на clean команду GnuPG ключей
Я знал про minimize -- когда из ключа вычищаются все подписи и куча
метаинформации. Остаётся только самое необходимое чтобы передать ключ.
Когда я выкладываю свой публичный ключ на домашнюю страницу, то не хочу
такого вырезания. Однако есть ещё clean опция:
Compact (by removing all signatures except the selfsig)
any user ID that is no longer usable (e.g. revoked, or
expired). Then, remove any signatures that are not usable
by the trust calculations. Specifically, this removes
any signature that does not validate, any signature that
is superseded by a later signature, revoked signatures,
and signatures issued by keys that are not present on the
keyring.
И вот она уже полезна! Во-первых, когда меняются предпочтения в
шифровании, то добавляется новый подписанный блок. Можно проследить
изменение предпочтений владельца ключа со временем. Но вряд ли это кому
интересно. Во-вторых, когда UID отзывается, то кроме самого блока
отзыва, все остальные остаются, что тоже не много кому нужно. clean
как-раз позволяет их зачистить.
Sergey Matveev [Sun, 20 May 2018 07:28:01 +0000 (10:28 +0300)]
Выбор форматов для скачивания обычно не велик. Приходится перекодировать
Вот когда качаешь какой-нибудь видеоматериал, то частенько бывает выбор
не велик. Особенно фильмов. Или небольшого размера но в доисторическом
кодеке типа XviD что-нибудь, или в современном H.264 но огромного
размера потому-что кодируется 1920x1080. Лично мне места жалко на такое
качество, зачастую абсолютно ненужное. Но и небольшие 700-1.4GB файлы
не очень хорошо скомпрессированные тоже удручают.
Приходится качать "большую" версию и самостоятельно перегонять в форматы
получше. Во-первых, сбавлять разрешение. Во-вторых, делать нормализацию
звука. Уже как-то писал в 3762a9ca8cedd2862854584b7f182dfecfabb1e9 о том
какой скрипт для использую для переконвертирования. Для каждого контента
там бывают свои небольшие правки, но суть его уже не первый год остаётся
без изменений.
Sergey Matveev [Sun, 20 May 2018 07:09:22 +0000 (10:09 +0300)]
EFAIL postmortem
https://medium.com/@cipherpunk/efail-a-postmortem-4bef2cea4c08
Хорошая статья о EFAIL-е, OpenPGP мире. Всё написано очень хорошо и по
существу. А то надоела вся эта журналистская информация вводящая людей
в заблуждение.
Sergey Matveev [Sat, 19 May 2018 19:46:07 +0000 (22:46 +0300)]
PyDERASN экспериментальная поддержка BER
Обнаружилось что CMS сообщения создаваемые gpgsm (утилита для S/MIME из
состава GnuPG) делаются в BER кодировке и поэтому мой PyDERASN вообще не
в состоянии их отпарсить. Я вообще видел в стандарте что CMS это BER, но
вот в упор не замечал что там явно сказано почему это BER, что то, что
подписывается всё-равно в DER, и BER это не просто опечатка или
устаревший документ. Каждый раз читая эти стандарты обнаруживаешь что-то
новое.
В итоге решил попробовать добавить BER поддержку в процесс декодирования
PyDERASN-ом. Примерно один рабочий день, даже кое какие тесты есть, и
CMS-ки я могу полностью отпарсить без проблем. Похоже что завтра уже
будет релиз с BER поддержкой. Но укажу что экспериментальная -- не шибко
она будет протестирована пока. Кодировать в BER будет нельзя -- впрочем
DER является BER-ом, поэтому оно как-бы всё же в BER закодировано.
Sergey Matveev [Sat, 19 May 2018 15:16:30 +0000 (18:16 +0300)]
ZFS TRIM на Linux
https://habr.com/post/351932/
В комментариях говорят что TRIM в марте в Linux не работает для ZFS.
Лично я сам не проверял, но не удивлюсь. Нет, нет, в Linux мир я не
вернусь -- ну это ужас.
Sergey Matveev [Sat, 19 May 2018 09:37:53 +0000 (12:37 +0300)]
Работа с новобранцами -- испытание
Чуть больше месяца проработал и был что-то типа наставника у Python
junior-ов. Был бы выбор, то теперь предпочту не сталкиваться с таким
снова.
Во-первых, это отнимает очень много времени и я больше месяца толком
работой (своей) не занимался вообще и мы уже официально начали выходить
за все допустимые сроки -- хотя нас честно спрашивали осилим ли обучение
людей или нет. Во-вторых, отношение junior-ов под конец стало
удручающим: например то, что я в ревью писал больше месяца назад было
посчитано не нужным -- спустя месяц задают вопрос а не сделать ли нам
вот так, именно как я давно предлагал и что было отвергнуто. Если
малейшее недовольство проявляю, то сразу "я злой" и реально просто
вообще уходят, бросая сессию в которой работаем, позже обращаясь за
помощью уже к другому коллеги. *Любое* моё ревью интерпретируется как
сплошные придирки. Мол если делают коммит для ревью, то понимают что
"придёт Серёжа" и напридирается к их с душой сделанному коду.
Вот у коллеги получилось с ними работать, но он и сам говорил что имеет
опыт обучения людей. Я же только пока понял что людьми нельзя по
хорошему и по доброму -- обернётся стороной. Поэтому понимаю что когда
говорят что в армии по-хорошему не бывает: там надо сурово, не жалея --
так действительно будет работать, особенно когда задача обязана быть
сделана в нужные сроки. Безусловно это мой косяк что если они что-то не
понимают, то значит плохо донёс, раз у других при этом получается.
Скорее всего, потому-что я нетерпелив и мне проще сделать самому или
сразу сказать решение. В общем, не завидую учителям.
Sergey Matveev [Sat, 19 May 2018 09:25:25 +0000 (12:25 +0300)]
Вышел Vim 8.1
https://www.vim.org/vim-8.1-released.php
Обновился. Заметил только одно изменение: подсвечивает слова которые я
ищу сразу же. Ну и, похоже, это уже традиция: netrw плагин снова сломан,
так как проверка версии Vim написана некорректно.
https://github.com/vim/vim/releases/tag/v8.1.0001
Я вот удивляюсь: неужели его так мало кто использует что проверку
работоспособности не проводят?
Sergey Matveev [Thu, 17 May 2018 05:26:19 +0000 (08:26 +0300)]
Уязвимые EFAIL почтовые клиенты
Судя по этой таблице (конечно не полной), Mutt идеален и Claws. Я на
Mutt сижу уже больше десяти лет. А вот Claws меня порадовал тем, что
среди всех GUI клиентов которые я видел -- именно он мне нравился больше
всего. По-настоящему его никогда не использовал (GUI для почты? смеётесь?),
но я чуял что с ним всё хорошо!
TABLE OF VULNERABLE MAIL CLIENTS
| OS | Client | S/MIME | PGP |
| | | | -MDC | +MDC | SE |
|---------+-----------------+--------+------+------+-----|
| Windows | Outlook 2007 | yes | yes | yes | no |
| | Outlook 2010 | yes | no | no | no |
| | Outlook 2013 | user | no | no | no |
| | Outlook 2016 | user | no | no | no |
| | Win. 10 Mail | yes | – | – | – |
| | Win. Live Mail | yes | – | – | – |
| | The Bat! | user | no | no | no |
| | Postbox | yes | yes | yes | yes |
| | eM Client | yes | no | yes | no |
| | IBM Notes | yes | – | – | – |
| Linux | Thunderbird | yes | yes | yes | yes |
| | Evolution | yes | no | no | no |
| | Trojitá | yes | no | no | no |
| | KMail | user | no | no | no |
| | Claws | no | no | no | no |
| | Mutt | no | no | no | no |
| macOS | Apple Mail | yes | yes | yes | yes |
| | MailMate | yes | no | no | no |
| | Airmail | yes | yes | yes | yes |
| iOS | Mail App | yes | – | – | – |
| | Canary Mail | – | no | no | no |
| Android | K-9 Mail | – | no | no | no |
| | R2Mail2 | yes | no | yes | no |
| | MailDroid | yes | no | yes | no |
| | Nine | yes | – | – | – |
| Webmail | United Internet | – | no | no | no |
| | Mailbox.org | – | no | no | no |
| | ProtonMail | – | no | no | no |
| | Mailfence | – | no | no | no |
| | GMail | yes | – | – | – |
| Webapp | Roundcube | – | no | no | yes |
| | Horde IMP | user | no | yes | yes |
| | AfterLogic | – | no | no | no |
| | Rainloop | – | no | no | no |
| | Mailpile | – | no | no | no |
- = Encryption not supported
no = Not vulnerable
yes = Vulnerable
user = Vulnerable after user consent
-MDC = with stripped MDC, +MDC = with wrong MDC, SE = SE packets
Sergey Matveev [Tue, 15 May 2018 19:35:32 +0000 (22:35 +0300)]
Почему end-to-end шифрование невозможно в броузере (как и вся криптография)
https://secushare.org/end2end
https://rdist.root.org/2010/11/29/final-post-on-javascript-crypto/
Отличная подборка коротких фактов о попытке использовать криптографию в
броузере на JS. Решил полностью сюда скопировать:
Why don't you try end-to-end encryption in the web browser?
Because it is impossible to achieve, by design of the web, without
trusting your server or installing something on your machine.
Let's say your encryption application comes from your server. If you
have to trust your server anyway, why make a huge effort to try to
put it into the web browser?
You can't tell your web server, as it controls what you see in your
web browser, won't just make the web page transmit an unencrypted
version of whatever message you are reading or authoring, somewhere
you wouldn't want it to go. So the browser silently allows the
server administrator to watch over your messaging. You MUST trust
your server. It's inevitable.
The entire architecture of HTML and Javascript is intended to be so
flexible, that you cannot ensure the safety of crypto operations.
The existence of plenty of dedicated crypto APIs and libraries does
not solve this chicken/egg issue of trust: A web server can make it
look like everything is fine and you can't tell something is going
on behind your back.
Even the developers of Javascript crypto solutions admit it
themselves, that their tools are only useful if the server is
trustworthy: "A person getting access to your server can modify
Javascript code and public key of the receiver."
There's also the possibility for a man in the middle to insert
malicious Javascript designed to redirect copies of your unencrypted
messages elsewhere. Maybe even your passwords and private keys, so
he only needs to do this once. Thanks to the complete unreliability
of the X.509 certification infrastructure it is only a question of
money for a man in the middle to view or modify anything you send or
receive over HTTPS.
A web browser just isn't suited for 100% private communications as
it is built to do what the web server tells it to.
What if my website isn't coming from a server?
Then it can be okay. If the website you are using is actually
entirely installed on your device and all communication to the web
server is exclusively done via something like secushare, or in the
case of traditional web servers, via AJAX-like technologies over
encrypted HTTP, the way hellais does it for GlobaLeaks. Most
smartphone apps are somehow implemented that way: in the form of
"static" web applications that get downloaded to your phone and stay
there.
Unfortunately, for end users installing a serverless web interface
on the local computer is just as complicated as installing an actual
software package, so there is no advantage in choosing a work-around
if you could have a dedicated and properly designed end-to-end
communication tool without unnecessary drawbacks.
What about an add-on to my web browser?
One thing that is slightly easier to install than custom software is
a browser plugin like Cipherbox. Still, Cipherbox provides for a
quite simple attack vector: Once the message has been decrypted and
inserted into the HTML document, a drive-by Javascript can steal the
decrypted message and send it wherever you don't want it to be.
The only solution to truly provide end-to-end encryption in that
case is to have unencrypted data only appear in the custom user
interface of the add-on, never in the web page. That usually
destroys any intended usability and you can no longer say your
application is actually web-based. It is quite impractical and makes
it pointless to not use a dedicated and secure software package from
the very start. That's why there apparently doesn't exist any such
add-on.
In the case of secushare you of course get a lot more than just what
a browser add-on could offer, since a web browser wouldn't be able
to do sybil-attack resistant cryptographic routing, or other of the
magic described on this website, to dramatically improve your
privacy in communications.
The End-to-End-Encrypted Web is a myth.
It's a logical fallacy. A technical impossibility. A bad idea. A
very bad idea. But there's nothing as strong as a bad idea whose
time has come, so you will hear of this a while longer until
somebody hits their nose bleeding on it.
Sergey Matveev [Tue, 15 May 2018 04:30:51 +0000 (07:30 +0300)]
Как и ожидалось, пошли призывы отключать PGP
https://habr.com/company/pt/blog/358570/
https://tproger.ru/news/pgp-flaw/
И, опять же, как я и ожидал, ссылки при этом ведут постоянно на EFF.
Короче EFF -- уроды, подорвавшие безопасность и приватность
пользователей, от которых я такого не ожидал. Как вот в комментарии к
статье кто-то и написал:
А не вброс ли это, чтобы напугать хардкор-шифрующихся граждан и
заставить их отказаться от шифрования с помощью PGP?
PGP вообще с нами уже как четверть века, но люди понятия не имеют что
это и про что они вообще пишут. Где уязвимость и вообще что нужно
отключать. Оказывается шифрование почты, оказывается уязвимость в PGP,
оказывается его надо отключать.
Sergey Matveev [Mon, 14 May 2018 11:26:42 +0000 (14:26 +0300)]
EFF катастрофически подрывает моё доверие и уважение к ним
https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
Фактически они яростно орут что есть проблемы с "PGP", срочно переходите
на Signal. Меня терзают смутнейшие сомнения что не подкупили ли их
очернять достойные работающие решения. Эту организацию слушают очень
многие! И эта организация призывает отказаться от *единственного*
промышленного надёжнейшего решения по криптографической безопасности
(хоть оно и не идеально). Я прям даже не знаю, не знаю... крайне
разочаровывают...
Sergey Matveev [Sun, 13 May 2018 19:21:34 +0000 (22:21 +0300)]
Rowhammer просто через Ethernet
http://www.opennet.ru/opennews/art.shtml?num=48591
Атака впечатляет! Изначально впечатляло что просто через JS в броузере
можно было поменять значение любого элемента памяти. Теперь вот то, что
на практике просто посылая Ethernet трафик! Типа присланный Ethernet
пакет это уже что-то, что ваш компьютер вынужден обрабатывать как вы
того захотели.
Sergey Matveev [Sun, 13 May 2018 08:01:34 +0000 (11:01 +0300)]
Кто пишет про обходы блокировок -- удручает безграмотностью
https://habr.com/sandbox/115384/
Статью за статьёй вот на Хабре/Geektimes смотрю и вот следующая после
curl | sh -- говорит что L2TP это IPsec + IKE. Лучше бы промолчал автор,
так как... я мягко говоря дальше бы просто даже не стал бы читать раз у
него такой подход к объяснению терминов. L2TP, мягко говоря, вообще не
IPsec, ни IKE, ни рядом с ним лежал. То, что его часто используют поверх
-- верно, но это так же сказать как Интернет это Ethernet + PPPoE.
Sergey Matveev [Sun, 13 May 2018 07:54:48 +0000 (10:54 +0300)]
Пользователи GNU/Linux ведут себя как Windows/macOS онные
https://habr.com/sandbox/115296/
Когда-то я считал что тащить какой-то исполняемый файл из сети и сразу
на него тыкать, в надежде что он сделает что надо -- прерогатива
пользователей проприетарных систем. Именно из-за этого у них постоянно
вирусы и прочие проблемы.
Но вот на фоне блокировок народ статью за статьёй публиковать где
предлагают делать curl | sh. А раз пишут, то, видимо, пипл хавает и
делает так. https://curlpipesh.tumblr.com/
А самое фиговое, я считаю, что разработчики какого-нибудь Rust поступают
аналогично и, видимо, даже считают правильным, мол их пользователи
полные простаки с которыми можно поступать как заблагорассудится.
Sergey Matveev [Wed, 9 May 2018 18:10:57 +0000 (21:10 +0300)]
Пока слушал Cranberries альбомы, зацепили сольные Dolores O'Riordan
Решил посмотреть есть ли у Cranberries ещё чего-нибудь здоровского типа
Zombie. Быстро по-диагонали оценивал трэк за трэком, пока не попались
под руку сольные альбомы Dolores O'Riordan. И вот они то зацепили ещё как!
Это конечно не Zombie, вообще совсем по другому, но очень здорово!
Sergey Matveev [Wed, 9 May 2018 17:11:06 +0000 (20:11 +0300)]
Прошёл с Бессмертным полком
http://www.stargrave.org/photoes/9may.jpg
Прошёл вот от Белорусской до самой Красной площади и чуть дальше с отцом
и дедом. Очень много радостного народу! Хорошая организация.
Sergey Matveev [Sun, 6 May 2018 17:38:18 +0000 (20:38 +0300)]
Дао изоленты
https://serkov.su/blog/?page_id=2573
Простой путеводитель по электроматериалам. Безумно интересная книга!
Сам я в электричестве мало разбираюсь -- но тут всё простым понятным
языком и очень интересно!
Sergey Matveev [Sun, 6 May 2018 09:26:09 +0000 (12:26 +0300)]
Начался спор о формате документации NNCP в FreeBSD
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=227859
Или я чего-то совсем не догоняю или человек так и не может объяснить
зачем же ему HTML. man pages, сразу говорю, пока нельзя будет сделать
простым texi2man, то делать не буду ибо огромный труд, который лично мне
будет бесполезен.
Sergey Matveev [Sun, 6 May 2018 09:18:36 +0000 (12:18 +0300)]
Blockchain is not only crappy technology but a bad vision for the future
https://medium.com/@kaistinchcombe/decentralized-and-trustless-crypto-paradise-is-actually-a-medieval-hellhole-c1ca122efdec
https://jl.ly/Money/bccrud.html
Статью по первой ссылке я встречал и раньше, начинал читать, но что-то
забрасывал, мол фигня какая-то. Сегодня я всё-таки решил (может с той
ноги встал?) прочитал её и не пожалел. Я уже писал статью почему "я не
могу спать спокойно с blockchain-ом": http://www.stargrave.org/Sleep-blockchain.html
Так вот наши мнения с автором в целом сходятся.
Всё крутится вокруг доверия. Это брехня когда говорят что в PoW
blockchain-е решает всё математика: так говорят только те, кто не
понимает как оно работает. В blockchain-ах всё решают люди,
взаимоотношения людей, их поведение. В любом случае всё сводится к
доверию к людям. В своей статье я говорил что не хочу blockchain
потому-что снова всё сводится к доверию к людям: для меня эта задача уже
решена и поэтому нет никакого смысла и пользы от blockchain. Статья по
ссылке говорит похожее: людям нужно доверие, всё должно сводится к
доверию, trustless системы не нужны и всё-равно blockchain сводится к
доверию к программистам. Именно поэтому он не решает ни одной настоящей
(а не выдуманной) проблемы и именно поэтому, особенно smart-контракты,
никто и не использует.
А статья по второй ссылке говорит что blockchain это как-раз таки
мировоззрение либертарианцев может выдать эту технологию за что-то
полезное и решающее проблемы. Либертариацны, как я уже убедился не раз,
живут в абсолютно вымышленном мире, полностью не осознавая как же люди
взаимодействуют и общаются между собой.
Sergey Matveev [Sat, 5 May 2018 08:32:42 +0000 (11:32 +0300)]
Впервые заметил блокировку Amazon сети. Про LLVM CoC
Пытаясь посмотреть нашумевшее письмо одного из главных разработчиков
LLVM: http://lists.llvm.org/pipermail/llvm-dev/2018-May/122922.html
Сразу получаю TCP-отлуп при попытке соединения с ним.
А вообще в последнее время уже надоедает слышать про все эти Code Of
Conduct. Раньше такого не было -- люди просто работали и никому не важно
было зигует ли он когда пишет код или нет, особенно когда связь с
человеком в основном электронная. И каждый каждый раз всё это связано с
пидарасами или женщинами -- их затронуть и ты лишаешься работы, и пофиг
на твои профессиональные достижения, пофиг на судьбу проекта (благо если
ты не был такой важной шишкой в нём).
Возможно я не учитываю что все эти CoC появляются когда людей становится
слишком много и, так как количество перерастает в качество, то это
вынужденная мера, иначе люди пересрутся и передерутся? И из-за CoC
как-раз уходят такие буяны?
Sergey Matveev [Sat, 5 May 2018 08:00:30 +0000 (11:00 +0300)]
IPv6 и IPsec удобства
Понадобилось мне с моей VDS-ки проксировать DNS запросы/ответы. Чтобы
было ещё один сервер постоянно доступный.
Первая часть задачи выполняется легко: поднимаю Unbound и вот уже
имеется кэширующий DNS. Но, на VDS-ке один IPv4 адрес на котором 53-ий
порт уже занят authoritative DNS сервером. Сразу мысль о том чтобы
поднять на другом порту, но потом вспоминаю: ведь у меня целых 2*64
адресов IPv6 из которых только один занят! Просто выбранный наугад в
качестве alias-а к своему сетевому интерфейсу:
Крайне непривычно осознавать что каждое действие, каждое желание можно
выразить на отдельном IPv6 адресе, коих практически бесконечно.
Но теперь хотелось бы чтобы домашний провайдер не видел эти DNS запросы.
Первая мысль -- DNSCrypt. Но останавливает меня вся эта возня с
генерированием ключей на стороне сервера -- лень. Опять же, моё старое
классическое мышление тут подводит: ведь есть же IPsec специально
созданный для того, чтобы можно было по любому поводу создавать
безопасные соединения.
Racoon демон, предлагаемый handbook-ом FreeBSD, хоть и устаревший, стоит
у меня на всех системах. У всех общие базовые настройки, которые просто
копирую:
Мне надо сказать что связь между ...:dd4 адресом и мной должна
шифроваться (никаких туннелей, просто транспортный режим):
# cat >> setkey.conf <<EOF
spdadd 2a03:5a00:17:123:50c2:1bff:fea8:dd4 2001:470:1f12:aa9::2 any -P out
ipsec esp/transport//require;
spdadd 2001:470:1f12:aa9::2 2a03:5a00:17:123:50c2:1bff:fea8:dd4 any -P in
ipsec esp/transport//require;
EOF
и аналогичная симметричная настройка на противоположной машине.
И, объяснить racoon.conf как подключаться к машине с которой можно было
бы установить SA при срабатывании SP указанных выше (это copy-paste в
которой изменены только адреса и identifier-ы):
Всё! Теперь прозрачно IPsec будет устанавливаться при связи между ::2 и
...:dd4 машинами. Так как IPsec работает на сетевом уровне, то сказать
ему шифровать только определённые UDP/TCP порты не получится, но у нас
адресов хоть отбавляй, поэтому это и не нужно. И, опять же, не нужно
никаких классических полноценных VPN, туннелей или проксирования через
stunnel -- из коробки все современные ОС умеют IPsec рассчитанный на
использование в транспортном режиме, когда надо просто сказать что с
этим IP-шником по такому-то протоколу надо делать безопасно.
Sergey Matveev [Thu, 3 May 2018 20:16:22 +0000 (23:16 +0300)]
Мировое эхо
https://ru.wikipedia.org/wiki/%D0%9C%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%B5_%D1%8D%D1%85%D0%BE
Оказывается с нами уже как век пытаются связаться внеземные цивилизации!
Sergey Matveev [Tue, 1 May 2018 10:22:58 +0000 (13:22 +0300)]
Познакомился с творчеством группы Emperor
И взялся исключительно потому-что в ней играет Ihsahn. Не ожидал, но
понравилась очень и очень сильно! Не думал что почти black так зацепит.
Обычно всё же нравится что-то на грани с death-ом типа Marduk.
Sergey Matveev [Tue, 1 May 2018 10:21:37 +0000 (13:21 +0300)]
Посмотрел "Каникулы президента"
Очень понравился! Простоватый, но забавный фильм, выглядящий достаточно
реалистично. Актёр играющий самого Путина выглядит и играет очень
правдоподобно.
Зеркалирование PyPI -- крайне неприятная процедура
PyPI заявляет что с переездом на CDN, всё стало значительно лучше и
стабильнее. Вот на моей практике за все эти годы стало как-раз наоборот.
Если коротко, то как-раз стало крайне нестабильно: постоянные обрывы
соединений, хотя канал точно не загружен и параллельные соединения живут
отлично до них. Впечатление что там случайным образом решают кому и как
оборвать скачку. Не знаю сейчас как с консистентностью состояния, но
года 2-3 назад bandersnatch регулярно приходил в состояние когда ничего
не докачивает и ему приходится удалять state-файл.
http://pygost.cypherpunks.ru/News.html
Кроме небольших некритичных исправлений, появился PBKDF2 для 34.11-2012.
По факту заключающийся в небольшом рефакторинге, так как PBKDF2 без
изменений со всеми хэшами работает.
https://lists.cypherpunks.ru/pipermail/pyderasn-devel/2018-April/000011.html
Долгожданная для многих фича: возможность устанавливать значения
Sequence/Set прямо во время их инициализации, без обязательного setitem.
Замечательнейшая и превосходнейшая книга! Ходжа очень впечатляет своей
мудростью и остроумием. Некоторые фразы уже какой день не выходят из
головы, как хорошо сказаны.
http://www.opennet.ru/opennews/art.shtml?num=48501
Вообще очень многие известные мне вещи в NetBSD появлялись раньше чем в
любой другой BSD -- например ZFS (ну, после Solaris, конечно же). Но в
этом релизе добавлена такая куча всего, что моя FreeBSD выглядит как
хипстерское линуксовое модное поделие: USB3, микширование звука, W^X,
ASLR, UEFI загрузчик, nvme, Intel 10G Ethernet. Штуки типа ASLR просто
стали работать по-умолчанию. Но вообще впечатляет проделанная работа в
NetBSD.
Взял эту книгу потому-что от автора "Видоизменённого углерода". Так себе
оказалась. Вначале не захватила, потом сделал большой перерыв, потом
дочитал. Лишь ближе к концу хоть как-то затягивать начала. Ничуть не
пожалел бы если бы не знал о её существовании. "Углерод" гораздо более
весом!
https://geektimes.com/post/300301/
Увидел сегодня эту статью на Хабре по поводу блокировок. Как надоело
всё это нытьё и удивления почему не так массово все переживают.
Заголовки: повсеместно используемые технологии зависят от ресурсов,
попавших в блокировку; подобные блокировки нарушают работоспособность
компьютерного оборудования. Лично для меня очевидно нарисовалась
проблема: мы повсеместно зависимы заграничных ресурсов. Очевидно что
надо решать эту проблему зависимости. Если мы сами можем повлиять на
работоспособность используемых технологий, значит и "они" (с той
стороны) смогут одним кликом нам навредить и принести урон. Сейчас мы
проверяем и понимаем насколько всё плохо или хорошо, чтобы удар по нам
не был внезапным.
По поводу нарушения работоспособности там описывают то, что
заблокировались CRL, OCSP для TLS PKI. Опять же, очевидно, что PKI
значит на практике очень уязвим против атак государственного масштаба.
Если кто-то строит серьёзную безопасность на PKI с использованием
зарубежных CA, то сам себе враг и сам своими действиями выбрал
зависимость от недружественных стран от которых и к которым можно
ожидать чего угодно.
https://habrahabr.ru/post/354044/
По большей части основан на Daala, от Xiph.org. Этот факт мне чисто
эстетически очень нравится. Объективно говорят что и технически он
покруче всех HEVC-ов уже. На прошлых выходных пытался перекодировать в
него один фильм. Но... не вышло, так как за 20 минут он закодировал
только 2 секунды видео, в которых только начальная заставка на тёмном
фоне. То есть пока вынужден ждать появление существенно
прооптимизированной по скорости кодирования реализации.
https://blog.cryptographyengineering.com/2018/04/21/wonk-post-chosen-ciphertext-security-in-public-key-encryption-part-1/
Ещё одна отличная статья (пока только первая часть) о chosen ciphertext
атаках и безопасности при использовании асимметричного шифрования. А
также то, как Apple плохо сделала iMessage.
https://www.youtube.com/watch?v=cgmdfpc-2KM
Идеальный бы получился музыкальный soundtrack к фильму Тетсуо --
Железный Человек! Жаль вышел он сильно раньше чем появились эти ребята.
https://www.chipdip.ru/product0/9000471985
Я бы прям сейчас на всё это постарался перейти, но вот только для ZFS
нужны 64-бит системы. А вообще очень круто что по такой доступной цене
продают, в отличии от Эльбруса!
Согласно решению рабочей группы МАС, топонимы Харона называются в
честь легендарных странников и путешественников (как настоящих, так
и вымышленных), их кораблей, этапов путешествий, а также визионеров.
К последним относят писателей, режиссеров, художников и иных людей
искусства, чье творчество было посвящено темам космоса и иных миров.
Благодаря этому теперь на карте Харона появились такие обозначения,
как впадина Арго, горы Кларка и Кубрика, а также кратеры Дороти,
Пиркс, Насреддин и Садко.
http://www.opennet.ru/opennews/art.shtml?num=48429
Похоже что надо мне переходить на этот кодек. Так получалось, что новые
кодеки я первее всех начинал использовать на практике: когда был XviD,
то я в него перегонял, хотя он мало кем поддерживался. Потом так же было
с Matroska контейнером, Opus-ом. Спустя лет 10 его наконец-то начали
использовать. Из-за Интернета и быстрого распространения софта AV1,
видимо, будет уже быстро где доступен.
Сам не мерил скорость кодирования. Возможно придётся подождать когда
выпустят сильно оптимизированный по производительности кодировщик.
Половина и больше песен -- Deep Purple. Теперь я могу честно сказать на
любое приглашение посетить концерт Deep Purple -- а чего я ихнего не
слышал в живую? Все свои хиты Rainbow исполнила. Очень понравился
ожидаемый Stargazer, а также DP-овский When The Blind Man Cries.
Вокалист и барабанщик очень понравились. А вот... гитарист, тот самый
Блэкмор -- никакой. Что есть гитара, что нет -- разницы особо не будет.
Ну или мне подавай гитару как Петруччи и Сатриани -- зажрался или не
понимаю всей сути. Но в целом доволен концертом!
Странные дела при записи лент появились, требуется шифрование
БОльшую часть данных которые я записываю составляют зашифрованные
архивы. Однако последнее время записываю много простых больших файлов.
Запись делаю командой tar cvf /dev/esa0 *. Ближе к концу (95% записанных
данных) у меня внезапно вылетает write error. Ok, подумал я, может быть
лента какая-то порченная или ещё чего, ведь на другую точно такая же
директория записалась. Поменял на другую -- тоже самое, вылетает в
конце, но всегда в чуть-чуть отличающемся месте. Взял третью --
аналогично. Три раза подряд "битая" лента -- не может быть.
Вообще я заметил что привод явно умеет понимать что ему подсовывают на
вход. Зачастую между файлами архива я прям слышу что он притормаживает,
видя что что-то в tar поменялось, пошла другая метаинформация. Поэтому
решил "обмануть" его и записывать полностью зашифрованные данные, где он
точно не сможет сделать ничего "умного" (как сейчас слово smart любят
применять ко всему чему не попади). Для скорости решил использовать свой
самописный https://git.cypherpunks.ru/cgit.cgi/gohpenc.git/tree/README
который на лету при записи на ленту может обеспечить даже дохлый Celeron.
Всё успешно записалось.
http://mpd.sourceforge.net/
Уже больше года у меня крутился родной ppp для PPPoE соединения с
провайдером. С ним сразу же появилась необъяснимая для меня проблема:
после какого-то времени он наглухо виснет. У меня буквально в crontab
был прописан: 37 */3 * * * /usr/bin/killall -9 ppp ; /usr/sbin/service ppp start
mpd5 пока работает стабильно, хотя нагрузка велика. Похоже что и CPU он
жрёт поменьше.
https://blog.cryptographyengineering.com/2018/04/07/hash-based-signatures-an-illustrated-primer/
Как всегда от этого автора! Всё поясняет ясно на пальцах.
Прежде у меня все SPD правила были жёстко прибиты между четырьмя моими
компьютерами. Научился вот racoon заставлять автоматически их вставлять
на центральном сервере. Научился быстро настраивать туннели между
ними и простой транспортный режим. Вообще он мне даже начинает нравится.
http://www.mts.ru/mobil_inet_and_tv/tarifu/internet_dly_odnogo/additionally_services_comp/ipv6/
Совсем неожиданная для меня новость! Нигде не слышал об этом. Но самый
отвратительный оператор предоставляет такую вкусняшку. Прям хоть меняй
Интернет на такой вот мобильный чтобы побыть человеком без туннельных
брокеров.
http://esr.ibiblio.org/?p=7934
В точку Немо сбрасывают уже более трёхсот космических аппаратов. Рядом с
ней находится домик Ктулху. Очевидно что все космические программы
делают сектанты пытающиеся разбудить Ктулху.
"Позвольте мне быть максимально понятным: ed(1) это стандартный
текстовый редактор. Если вы не знаете ed, то вы не сисадмин. Вы
простой любитель. Дилетант. Дефектный."
https://github.com/curl/curl/pull/2444
Превосходный параметр упрощающий жизнь тем, кто делает
curl -qs ... | sudo sh -. Я вообще крайне косо смотрю на тех кто вообще
предлагает такой способ... установки ПО. Но этот параметр прям заставляет
пользователю явно подтвердить "вздрючьте меня! да!".
https://groups.google.com/forum/#!msg/comp.os.plan9/2PwnP0KfJ5A/IbYonTzS0B8J
К сожалению, для просмотра ссылки нужно скачать закрытый код с Google,
поэтому, на отдельном компьютере это сделав, помещаю сюда копию ветки в
plain-text.
Если коротко, то GNU/Linux это некачественное поделие, но кто-то его
использует. FreeBSD -- выбор хакеров типа Russ Cox. Но, безусловно на
всё это ставится Plan9 софт.
Russ Cox
The standard set up for a Plan 9 aficionado here seems to
be a Mac or Linux machine running Plan 9 from User Space
to get at sam, acme, and the other tools. Rob, Ken, Dave, and I
use Macs as our desktop machines, but we're a bit of an exception.
Most Google engineers use Linux machines, and I know of
quite a few ex-Bell Labs people who are happy to be using
sam or acme on those machines. My own setup is two
screens. The first is a standard Mac desktop with non-Plan 9
apps and a handful of 9terms, and the second is a full-screen
acme for getting work done. On Linux I do the same but the
first screen is a Linux desktop running rio (formerly dhog's 8½).
More broadly, every few months I tend to get an email from
someone who is happy to have just discovered that sam is still
maintained and available for modern systems. A lot of the time
these are people who only used sam on Unix, never on Plan 9.
The plan9port.tgz file was downloaded from 2,522 unique
IP addresses in 2009, which I suspect is many more than
Plan 9 itself. In that sense, it's really nice to see the tools
getting a much wider exposure than they used to.
I haven't logged into a real Plan 9 system in many years,
but I use 9vx occasionally when I want to remind myself how
a real Plan 9 tool worked. It's always nice to be back,
however briefly.
Philippe Anel
Thanks for this info Russ.
Can you briefly tell us why you (Russ, Rob, Ken and Dave) no longer use
Plan9 ?
Because of missing apps or because of missing driver for your hardware ?
And do you still use venti ?
Russ Cox
> Can you briefly tell us why you (Russ, Rob, Ken and Dave)
> no longer use Plan9 ?
> Because of missing apps or because of missing driver for your hardware ?
> And do you still use venti ?
Operating systems and programming languages have
strong network effects: it helps to use the same system
that everyone around you is using. In my group at MIT,
that meant FreeBSD and C++. I ran Plan 9 for the first
few years I was at MIT but gave up, because the lack of
a shared system made it too hard to collaborate.
When I switched to FreeBSD, I ported all the Plan 9 libraries
and tools so I could keep the rest of the user experience.
I still use venti, in that I still maintain the venti server that
takes care of backups for my old group at MIT. It uses
the plan9port venti, vbackup, and vnfs, all running on FreeBSD.
The venti server itself was my last real Plan 9 installation.
It's Coraid hardware, but I stripped the software and had installed
my own Plan 9 kernel to run venti on it directly. But before
I left MIT, the last thing I did was reinstall the machine using
FreeBSD so that others could help keep it up to date.
If I wasn't interacting with anyone else it'd be nice to keep
using Plan 9. But it's also nice to be able to use off the shelf
software instead of reinventing wheels (9fans runs on Linux)
and to have good hardware support done by other people
(I can shut my laptop and it goes to sleep, and even better,
when I open it again, it wakes up!). Being able to get those
things and still keep most of the Plan 9 user experience by
running Plan 9 from User Space is a compromise, but one
that works well for me.
David Leimbach
And as you said before, there's always the vx32 port :-). I find it's
often a lot more practical for me to run stuff in that or Inferno hosted
on Mac OS X as well. I used to keep a Plan 9 box at home, but it
released the magic smoke the other day, and I'm afraid that means it's
dead.
I've been kicking a few ideas around about replacing it, and maybe
trying to make it more useful to the community somehow that I run one,
but I've got to get buy in from the wife to invest. (Isn't there some
tax write-off for hobbies or something in the US?)
Rob Pike
What Russ says is true but for me it was simpler. I used Plan 9 as my
local operating system for a year or so after joining Google, but it
was just too inconvenient to live on a machine without a C++ compiler,
without good NFS and SSH support, and especially without a web
browser. I switched to Linux but found it very buggy (the main
problem was most likely a bad graphics board and/or driver, but still)
and my main collaborator (Robert Griesemer) had done the ground work
to get a Mac working as a primary machine inside Google, and Russ had
plan9port up, so I pushed plan9port onto the Mac and have been there
ever since, quite happily. Nowadays Apples are officially supported
so it's become easy, workwise.
I miss a lot of what Plan 9 did for me, but the concerns at work override that.
Brantley Coile
Thanks for all the responses. We us a lot of Macs as well. Everyone
has a Mac and use plan9ports, drawterm, 9vx, terminals running in
Parallels or Fusion, and hosted Inferno. We also, of course, have a
real Plan 9 network with a Ken file server using EtherDrive as both the
local cache and the worm drives, and a collection of cpu servers for
doing development driver work. We get the best of both worlds.
https://en.wikipedia.org/wiki/Fossil_(file_system)
Только сейчас обратил внимание что одна из главных фишек Fossil файловой
системы в Plan9 это возможность создания read-only снимков. И эта фича
очень ценится пользователями этой ОС. Очень рад факту что ZFS
наконец-то спустя десятилетия аналогичное привносит для простых
пользователей *NIX систем.
К сожалению, эксперимент с I2P-сайтами/зеркалами для своих ресурсов
считаю не успешным. Java версия I2P -- можно даже не пробовать: течёт и
требует постоянного перезапуска. i2pd переписанный на C++ по-началу
казалось работал хорошо. Но в итоге вынужден был в cron-е поставить
останов этого демона, так как через какое-то время eepsite-ы перестают
быть доступными и только перезагрузка хоть как-то помогает.
Стабильность, в общем, очень плачевная.
Sergey Matveev [Fri, 30 Mar 2018 04:50:28 +0000 (07:50 +0300)]
Музей Исламской Революции и Священной Обороны в Тегеране
https://sajjadi.livejournal.com/469997.html
Бывший посол Ирана рассказывает про Ирано-Иракскую войну, Исламскую
революцию и прилагает фотографии музея. В самом музее-здании не побывал,
но посмотрел на военную технику за пределами. И оказалось что флаг
Ирана, видный со всего Тегерана -- действительно, как и думал, самый
большой.
Sergey Matveev [Thu, 29 Mar 2018 19:00:37 +0000 (22:00 +0300)]
В :Defsplit плагине для Vim возможность выбора скобок
Недавно в https://git.stargrave.org/cgit.cgi/vim-dotfiles.git/commit/?id=6dc30a966fefec0ba30106cf0d83335aa42c4f8c
коммите :Defsplit стал бить не только по круглым скобочкам, но и по
квадратным и фигурным. Сегодня выяснилось что foo[bar] = baz(...) это не
тот случай когда хотелось бы бить по квадратным. Сделал вот такой коммит:
https://git.stargrave.org/cgit.cgi/vim-dotfiles.git/commit/?id=974281f53b050c1ff4c65bacbc4e697749e34ccf
в котором :Defsplit имеет старое поведение, а :Brsplit бьёт уже по всем
скобкам.
Sergey Matveev [Thu, 29 Mar 2018 07:12:48 +0000 (10:12 +0300)]
Тестируется vim8.org
Из-за постоянных сбоев Sourceforge.net, сайт Vim собирается переезжать
на OSDN. Пока для тестирования его уже разместили на vim8.org домене.
Если читать по-немецки, то будет "vim-acht", почти как "вермахт".
Sergey Matveev [Sun, 25 Mar 2018 10:03:55 +0000 (13:03 +0300)]
Void Linux -- Into The Void
https://michaelwashere.net/void/linux/culture/2017/09/18/into-the-void.html
Большая статья описывающая дистрибутив Void Linux. Сам я его не
использовал, но выглядит интересным, относительно всего что стало даже с
монстрами (когда-то в хорошем смысле) типа Debian. Сам я узнал про
дистрибутив когда увидел что кто-то туда добавил GoVPN в виде пакета.
Sergey Matveev [Sat, 24 Mar 2018 21:34:07 +0000 (00:34 +0300)]
Нажаловался на человека в debian-russian рассылке
Впервые написал письмо listmaster@ ибо в рассылке у одного человека
окончательно поехала крыша на политической теме:
https://lists.debian.org/debian-russian/2018/03/msg00233.html
Причём именно этот человек уже при личной переписке причислял меня ни с
того, ни с сего, после многочисленных часов помощи (потраченных на
написание писем) по ZFS, к тупому быдлу РФ. А теперь ещё и большинство
подписчиков рассылки поливает. Причём абсолютно никакого уважения ни к
людям, ни к просьбам: много кто попросил прекратить, а в ответ получал
ещё больше offtopic масла в огонь.
И ведь много кто отвечал на его письма, помогал -- в итоге ни
благодарности, а только проявление неуважения и оскорбления. Собственно
вот все либерально/демократически настроенные люди именно вот так себя
регулярно и ведут: их (слава богу!) мало, но остро воняют.
И ещё забавно аж выходит у этого человека вот тут:
https://lists.debian.org/debian-russian/2018/03/msg00311.html
Он удивляется что в РФ применяют одну из методик разработки ПО. Как
верно ему ответили: методика, как-бы, не зависит от государственных
границ. Но у этого человека (либерал/демократ/whatever?) похоже чёткий
устой что у нас, в принципе, ничего не может быть нормального и
вменяемого, чего-либо работающего и успешного. Впрочем, его фраза о том
что "тесты не всегда можно написать" (в одном из сообщений рассылки)
не говорит хоть как-то хорошо о профессионализме (или среде где он
крутится и поэтому считает что всё так плохо и уныло).
Sergey Matveev [Sat, 24 Mar 2018 16:13:10 +0000 (19:13 +0300)]
Вышел TLS 1.3 черновик
http://www.opennet.ru/opennews/art.shtml?num=48324
TLS 1.3 уже привлёк людей действительно хорошо разбирающихся в
криптографии. Все SSL, как и TLS 1.0 -- ужасны и безграмотны. TLS 1.2
на практике юзабелен. TLS 1.3 это state-of-art TLS, так сказать.
* Только AEAD режимы шифрования. Must-have, однозначно
* Фичи по уменьшению round-trip-ов. Вопросы безопасности конечно же, но
уменьшение однозначно überполезно
* ChaCha20/Poly1305, 25519, 448 -- наконец-то! Долой NIST с его не
самыми лучшими (как минимум, на сегодняшний день) алгоритмами. Это
возможно одно из самых вкусных что есть в TLS 1.3 с ходу
* А вот то, что убрана возможность использования не PFS, то это у меня
под большим вопросом. Собственно с ним больше всего тёрок и было
Sergey Matveev [Sat, 24 Mar 2018 15:07:58 +0000 (18:07 +0300)]
OTRv4
https://github.com/otrv4/otrv4/
Вышел черновик OTRv4 протокола. Лично мне очень понравилось всё что там
написано. Прошлый протокол имел нарекание в архаичности: RSA, SHA хэши и
тому прочее.
* Этот протокол может работать не только в online режиме, но и с заранее
загружаемыми ключами которые для первого round-trip используются. В
Signal это уже известная и популярная штука, позволяющая отсылать
зашифрованные сообщения пока человек ещё не вышел в online
* Используется ECC криптография: трафик и производительность. Ed448!
* Double ratchet -- уже считается де-факто
* SHAKE хэширование, XSalsa20 вместо AES -- хорошие примитивы
* Deniability для долгоживущих приватных ключей. Этого раньше не было
* Появился secure session ID -- короткая строка для аутентификации
сторонними каналами
* Небольшая защита от поломок ECC с использованием, так называемых,
brace ключей
* Heartbeating канала
* Пользовательские профили
* Дополнительная выработка ключей для сторонних нужд
В целом он гораздо более сложный чем OTRv3. Что, в общем-то, напрягает.
Sergey Matveev [Thu, 22 Mar 2018 19:07:01 +0000 (22:07 +0300)]
Defsplit поддерживает не только ()-скобки
https://git.stargrave.org/cgit.cgi/vim-dotfiles.git/commit/?id=6dc30a966fefec0ba30106cf0d83335aa42c4f8c
Сколько времени он поддерживал разбиение только ()-скобочных выражений!
Сегодня приделал поддержку и [] и {}.
Sergey Matveev [Thu, 22 Mar 2018 19:01:14 +0000 (22:01 +0300)]
Первая (серьёзная) бага в PyDERASN
https://git.cypherpunks.ru/cgit.cgi/pyderasn.git/commit/?id=eb67733960022e82168120c03b5c0e81272ddb2b
По чистой случайности на практике почти всегда BitString-и расположены в
конце Sequence-ов и поэтому оно столько времени работало. Но, проверка
на корректность padding в BitString смотрит не на значение TLV поля, а
просто на последний байт скормленного Sequence. Сегодня попалась
структура где BS в середине и вот она обнаружилась.
Sergey Matveev [Wed, 21 Mar 2018 08:40:52 +0000 (11:40 +0300)]
Новый dnscrypt-proxy
https://github.com/jedisct1/dnscrypt-proxy
Этот dnscrypt-proxy полностью переписан на Go и теперь уже совсем совсем
не выглядит архаично и ужасно неудобным в запуске. Одно удовольствие
было его настраивать и поднимать!
Sergey Matveev [Mon, 19 Mar 2018 08:20:37 +0000 (11:20 +0300)]
Два концертных дня и два новых места
Два дня подряд был на концертах.
Первый это G3 -- три гитариста: Uli Jon Roth, John Petrucci и Joe
Satriani. Проходил в Крокус Сити Холе. В первый раз там. Огромный зал,
уже совсем не клубный. Если стоять далеко -- видно плохо. Звук с
реверберацией, как в Олимпийском, но в целом сойдёт. Очень далеко
добираться, но зато очень удобно. Грубо говоря, сам концертный зал
напрямую соединён с метро. Везде стеклобетонный мрамор, чистые туалеты,
и вообще надо в пиджаках приходить, похоже.
Джон Рот играл первым. Ничего особого. Просто игра на гитаре. Не плохая,
но и восторга лично у меня не вызывающая. Очень медленная и спокойная,
мелодичная -- не моё. Вторым вышел Петруччи. И единственный эпитет
который применим к его игре после Рота -- агрессивно и жёстко. Петруччи
довольно мрачные штуки играет, особенно со своими рваными тактами. Но на
его выступлении уже подумал про себя что сходил не зря, даже только его
услышав (хотя на Dream Theater был раньше). Но это всё мелочи пока не
вышел Сатриани. Он рвал и метал и, по моему, было просто эталонное
гитарное выступление. Как есть награды за best guitar performance, так
вот это именно оно. Выделывал все фишки гитаристов, общался с залом ну и
музыка у него не такая агрессивная, но куда более плотная и активная
чему у Рота. Но, опять же, это всё фигня до того как начался jam из них
троих. На нём исполнили три песни: Highway Star (Deep Purple) и... две
композиции самого Джими Хендрикса! Джими я ни разу не слышал чтобы
кто-то исполнял. А тут второй композицией они исполнили Voodoo Child!
Неописуемо круто! Отходил я уже уйму концертов, но это было лучшее
гитарное выступление.
На следующий день был на концерте Diablo Swing Orchestra. С прошлых лет
их концерт запомнился как возможно лучший и самый позитивный из всех.
Ожидал многого. И они оправдали и переплюнули ожидания! Концерт был ещё
лучше чем прежде, особенно из-за песен с нового альбома, превосходно
подходящих для живого выступления. Всё идеально, всё супер, описывать
бесполезно -- надо там присутствовать. Проходил он в ZIL Arena -- был
там тоже впервые. Обычный, неплохой клуб, с удовлетворительным звуком (с
Volta конечно не сравнится, но нареканий нет), всё как я люблю, плюс
идти не далеко от метро. Ходил с отцом, который любит всякий glam rock и
хороший performance. Он был доволен и тоже согласился что всё супер.