Interesting article. But PGP is security benchmark despite some issues.Yes, PGP is bad. what will you use PGP for?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Был ли в Tox exploit ? Делаем защиту,конкурс
- Автор темы lefroggy
- Дата начала
Security benchmark for what? It is only useful for message/email signing.
to transfer files - wormhole client
for chat - signal (double ratchet protocol)
to encrypt backup/files - AES or ChaCha cipher
where else you use PGP?
Еще бы ватсап предложил) Тот факт, что самые разыскиваемые локеры, за которых обьявлена награда в мил $, еще не пойманы, говорит о том, что протокол безопасный.
Ангел беззакония желает возраждения токса. Со своей стороны готов пожертвовать 2000$. И того уже 13k$.
Последнее редактирование:
Прошу админов реально закрепить тему как конкурс и собрать с желающих деньги в банк с которого потом будет выплачено вознограждение исполнителю. В теме указать кто скинулся и кто взялся исполнять. Думаю может если подходить к этому так серьезно кто-то и возьметься.
большинство известны просто из рф не выезжают
причем тут секурити токса
што там ломать если эти самые разыскиваемые особо и не прячутся
Последнее редактирование:
very often to encrypt files, sometimes for instant messaging, and extremely rare for emails.
most complaints are about PGP usability.
yes, I do confirm that it is diffiult to use PGP, but average hacker usually has IQ above average. ...or not
what about NOT using your real e-mail in PGP key? and changing PGP key nickname every year (or your preferred expiration time)
this single advice ruins the whole good article.
Последнее редактирование:
ne videl etogo posta, no dura tochno byla e est, est edee, moget napishy pozge
токс щас можно юзать или тупо сносить его с сервака и переходить на жабу + отр онли? вот это вот волнует всех
tipo tupo snose, sovet cheloveka katoryi neznaet nichego, ybei ego
Самое простое решение, как мне кажется, которое я посоветовал использовать и партнерам, и использую сам.
Публичный qTox на отдельной машине на Linux. Добавляется туда человек, ты проверяешь его на предмет того, что он не еблан, и что вы с ним будете работать. Далее запрашиваешь уже токс у НЕГО, и добавляешь его самостоятельно с другого клиента в контакты.
Как он использует токс - это уже его дело.
Лопатить код, и что-то переписывать, это утопия. Ибо любой кто перепишет код, может добавить туда что-то свое, и так будет до бесконечности.
Публичный qTox на отдельной машине на Linux. Добавляется туда человек, ты проверяешь его на предмет того, что он не еблан, и что вы с ним будете работать. Далее запрашиваешь уже токс у НЕГО, и добавляешь его самостоятельно с другого клиента в контакты.
Как он использует токс - это уже его дело.
Лопатить код, и что-то переписывать, это утопия. Ибо любой кто перепишет код, может добавить туда что-то свое, и так будет до бесконечности.
Пока не будет хотя бы минимально заинтересованных исполнителей, не вижу смысла собирать деньги. Минимально заинтересованных заказчиков мы видим =) Собирать деньги под "ничего" - это был бы обычный разводняк с моей стороны.
Да вы с жиру беситься уже начинаете ) какие 100к ) даже 12 что собрали а-ля уже за глаза )
Последнее редактирование:
Все что ты сказал, безусловно нужно делать, но не отменяет и то, что сам токс должен быть безопасен. Инициатива хорошая, еще бы добавить к этому сапорт и аудит кода и будет все как надо. Кто если не мы? А разработчики должны быть анонимны, думаю это не проблема.
how can we join the development
Можно просто использовать jabber и не страдать фигнёй.
ТС же писал, насколько я помню, что уязвимость была только в одной версии qTox. Используйте другую версию, какие проблемы.
1. Определить версию продукта по отношению к которой будет осуществляться тестирование (сделать форк, вырезать ненужную функциональность, если требуется).
2. Определить политику цен за каждый баг
3. Принимать репорты с однозначным PoC для избежания двусмысленностей, чтобы ТС или кто-то другой мог подтвердить наличие уязвимости.
4. Проводить оплату с определенным прайсом.
5. Дать огласку, питухи из твиттеров сами распространят.
Это то, что касается только обнаружения, но не исправлений.
Как определить, что tox стал идеально безопасным? Полагаю, что разработчики любого ПО хотят, чтобы их продукт был идеально безопасным, но на практике уязвимости как находили даже в самых зрелых продуктах/протоколах, так и находят. По-моему нужно сформулировать более реалистичные требования или пойти по простому пути багбаунти и выплачивать за каждую уязвимость фиксированные $.
1. Определить версию продукта по отношению к которой будет осуществляться тестирование (сделать форк, вырезать ненужную функциональность, если требуется).
2. Определить политику цен за каждый баг
3. Принимать репорты с однозначным PoC для избежания двусмысленностей, чтобы ТС или кто-то другой мог подтвердить наличие уязвимости.
4. Проводить оплату с определенным прайсом.
5. Дать огласку, питухи из твиттеров сами распространят.
Это то, что касается только обнаружения, но не исправлений.
https://cwtch.im/ https://news.ycombinator.com/item?id=27643171 looks same as tox. use this?
Remind me when Pythagoras theorem was updated?
hint: not everything should be updated