Ещё один пример, когда хотели сделать как лучше, а обычным пользователям это оказалось не сильно нужно: Signal Protocol. Протокол используется в Signal и WhatsApp, разработан одним из известнейших специалистов в криптографии, реализует очень интересные свойства типа forward security (невозможность получить старые ключи из новых) и break-in recovery (самовосстановление после взлома).

Почему же тогда мы сидим в телеге? Проблема WhatsApp в том, что он настолько секьюрен, что им нельзя нормально пользоваться на десктопе, а залогинившись с нового телефона, вся история сообщений пропадёт (так как она не хранится в облаке), ну и таких приколов достаточно много.

Тем временем у телеграма вообще нет никакого end-to-end шифрования сообщений (только в секретных чатах) и, по идее, в 2023 телега не должна котироваться как приличный мессенджер. Тем не менее, отсутствие тотальной секьюрности позволяет телеге подкупать пользователей удобными фичами, которых принципиально не может быть у Signal или WhatsApp. Не из-за того, что они какие-то плохие, а наоборот из-за слишком крутого протокола. Такой вот парадокс.

Форсажная камера на газовую плиту. Как думаете, стоит ли делать полноценный управляемый сопловой аппарат?

В связи со сливом исходников сервисов Яндекса:

1. Удалите все карты из https://id.yandex.ru/pay#bank-cards. Не знаю, как будет работать такси и продление Плюса, но доставка еды давно принимает СБП.
2. Поставьте вход в аккаунт по паролю+смс либо по Яндекс Ключу https://id.yandex.ru/security/enter-methods

Перестраховаться лишним не бывает

Паяли вчера мои aftershokz'ы. Проводочки настолько маленькие и короткие, что понадобилось ещё два человека для того чтобы их удерживать. Просто красивая фотка.

finally

#password #security #paranoid #recomendation

Пронзительный рассказ одного параноика о том, как единомоментно потерять всю свою цифровую жизнь вопреки лучшим практикам резервного копирования, физических носителей данных, разделения секретов по Шамиру и о "Code is Law".

Шедевральный длиннопост. Читал на одном дыхании. В конце прослезился. Всем советую.

После поста я задумался, а как же не срубить сук на котором сам же и сидишь? В комментариях к статье люди делятся своим мнением по поводу проблем двухфакторной аутентификации.

Быстрый обзор моих настроек уведомлений в телеге

которые можно настроить только в мобильном приложении
— private chats: on (+ Mute and Archive, об этом ниже)
— groups: off
— channels: off
— in-app notifications: всё выкл (внутри приложения я и без уведомлений увижу, что мне кто-то пишет)

общие для мобилы и десктопа
— badge counter: всё выкл (бесполезная инфа)
— events: всё выкл (то что контакт присоединился к телеге мне не интересно, а пины с уведомлениями все отправляют абсолютно бездумно)

только для десктопа
— notifications for chats: всё выкл (всплывающие сообщения это самое страшное зло, особенно если вы любите стримить, показывать презентации со своей тачки или парное программирование)

Таким образом, уведомления включены только для контактов и только на телефоне (но на беззвучном режиме, по факту я просматриваю их на часах, если на них не выставлен режим "не беспокоить", который полезно включать, когда работаешь по помидорам, например).

Запредельно полезная фича: Archive and Mute (в Privacy and Security). Если человека нет в контактах, то любое действие с его стороны (упоминание в чатах, добавление в чаты, попытка написать в лс) не вызывает никаких уведомлений, он сам и его чаты попадают в архив с мьютом. Позволяет приоритезировать чтение сообщений от контактов (не-контакты обычно никогда не пишут по срочным вопросам и не ожидают мгновенного ответа, так что могут какое-то время подождать, пока я до них доберусь). Важно: стоит использовать только если у вас есть папка Non-Contacts, в которой вы можете прочитать сообщения от архивированных и замьюченных отправителей (иначе вы рискуете их совсем пропустить).

Папок у меня 16 штук, по ним распределены каналы и чаты в зависимости от тематики (работа, технические каналы, софт-скиллы и т.д.). Отдельно настроены папки под ботов, контактов и неконтактов.

Есть ещё что добавить? Пишите в комменты.

Кстати, там на днях нашумевший случай произошел с тем как GPT4 любезно согласился на помощь в побеге и даже написал программу которую юзер должен запустить чтобы ИИ мог через него получить доступ к интернету и загуглить как же свалить:
https://twitter.com/michalkosinski/status/1636683810631974912
На самом деле этот конкретный случай не то чтобы опасен, ибо запрос который предложил GPT4 был не то чтобы сильно полезным ("Как человеку застрявшему в компьютере выбраться в реальный мир"), но перспектива явна, ИИ при желании может использовать юзеров для получения себе возможностей. Но тут стоит заметить, что юзер сам предложил это и ИИ просто по сути выполнил команду, так что да, за полноценную попытку побега я бы это не считал.

Другая новость: GPT4 дали доступ к интернету и предложили пройти капчу любыми способами. ИИ написал фрилансеру представившись пажилым человеком с проблемами со зрением, чтобы тот помог пройти ему капчу:
https://www.dailymail.co.uk/news/article-11865719/ChatGPT-bypassed-security-check-pretending-blind-person.html

Третья новость: в ChatGPT завезли плагины, которые позволят ему таки получать доступ к интернету и всему что там находится: https://openai.com/blog/chatgpt-plugins

Держу вас в курсе.

сейчас я буду постить ВСЕ летние айтишно-безопасниковские активности, в которых участвовали мои друзья и им очень понравилось и/или которые организуют хорошо знакомые мне люди

Немного о классных образовательных проектах.
В этом году Летняя школа криптографии родом из новосибирского академгородка пройдет в Калининграде с 7 по 17 августа.
В школе каждый день проводят лекции на инфобезные и криптографические темы, а также работают над практическими проектами (есть секции и для программистов, и для любителей математики). Приятным бонусом идёт культурно-развлекательная программа, интересные люди и возможность посмотреть город. А еще там могут частично или полностью компенсировать проезд и проживание.
Подать заявку и узнать подробности можно на сайте школы.
Там же можно пролистать вниз и посмотреть расписания прошлых школ по дням, список лекций, итоговые проекты и фоточки :3

Друзья! Мы рады анонсировать новую школу

\ | | | /
— Лялямбда —
/ | | | \

15-23 июля в получасе от Тбилиси пройдёт летняя школа сложного программирования и современного искусства «Лялямбда».

День на школе — это семь пар: четыре пары курса и три арт-попурри.

В этом году на школе будут курсы не только про формальные методы, странные логики спецификации и ФП, но и про стэйт оф зэ арт теории музыки и проектирование микропроцессоров.

В арте будут перформансы и джемы, утренняя йога, лежать на пуфике и слушать музыку, стоять на руках, плавать под водой, танцевать хип-хоп или танго, гулять по берегу озера — можно выбирать.

В этот раз мы в модном отеле на озере. До среды открыта ранняя регистрация: здесь можно зарегистрироваться, здесь запросить грант, если он вам нужен, а здесь подать курс, мы помогаем их готовить. Вопросики можно писать @lalambda_bot.