?

Log in

No account? Create an account
Безопасные коммуникации с точки зрения потребительской психологии - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Безопасные коммуникации с точки зрения потребительской психологии [May. 13th, 2016|02:34 pm]
ArkanoiD
[Tags|]

интересно, материала накопилось уже, наверное, на приличную монографию.

Почему не было реального спроса до Сноудена, хотя "ничего нового не рассказали".
Почему "андерграундные" сообщества до поры до времени предпочитали какое-то колхозное говнище типа "супершифрованной аски от хакира Васи, которого мы все знаем, а в этом вашем OTR сплошные бэкдоры от АНБ", а потом как-то бодрячком переключились на Tox или Threema.
Почему после Сноудена не взлетела популярность ни одного из существующих решений, Adium/Pidgin продолжал проваливаться в старперское небытие, зато внезапно оказался востребованным Telegram.
Почему то же самое продолжается с PGP, причем существующие плагины постепенно теряют совместимость с актуальными версиями клиентов, а замены нет вообще, то есть юзабилити не улучшается, а портится.
Почему ничего лучше PGP так и не придумали, несмотря на его очевидные недостатки.
Почему s/mime это такой кошмар и ничего не сделано, чтобы это исправить и хотя бы сделать его пригодным для использования вне корпоративной среды.
Почему по-прежнему так все плохо с голосом.
Почему когда я пришел на конференцию опенсорсных мобильных разработчиков и сказал "чуваки, вы тут все равно пилите всякое считай за спасибо, сделайте нормальный zRTP на платформе, где уже все есть, ЗА ДЕНЬГИ, есть спонсор, результат отдам в паблик", никто даже не почесался.
Почему рынок "защищенных телефонов за большие деньги" есть, причем по-прежнему очень сомнительный с точки зрения доверия к производителю и способности покупателя удержаться "ниже радара", а рынка "удобного и безопасного voip для народа" нет, при том что все продолжают ныть про прослушку.
Ну и так далее.

Неужели никто до сих пор не написал? Я -- не буду, хочется, чтобы автор не был дилетантом как в инженерной психологии, так и в социальной.
linkReply

Comments:
Page 1 of 2
<<[1] [2] >>
From: pustota1
2016-05-13 11:53 am (UTC)
Это дайджест по не техническим произведениям Шнайера что ли ?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 11:55 am (UTC)
Шнайер по верхам пробежался, но в эту конкретику копал мало.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: yoksel_moksel
2016-05-13 12:25 pm (UTC)
Возьми соавтора, сведущего в психологиях.
(Reply) (Thread)
[User Picture]From: sleeping_death
2016-05-13 12:29 pm (UTC)
не увидел вопроса про трукрипт. на него уже есть 100% достоверный ответ?
(Reply) (Thread)
[User Picture]From: black_eric
2016-05-13 12:35 pm (UTC)
Очень хороший вопрос. И не менее интересно чем его можно заменить.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: black_eric
2016-05-13 12:32 pm (UTC)
Очень интересный список вопросов. Но вот возможность дать на них однозначные исчерпывающие ответы весьма не очевидна.

"Почему после Сноудена не взлетела популярность ни одного из существующих решений, Adium/Pidgin продолжал проваливаться в старперское небытие, зато внезапно оказался востребованным Telegram."
Как вариант, потому что их, в отличие от телеграма, никто нигде не рекламировал.
(Reply) (Thread)
[User Picture]From: sleeping_death
2016-05-13 12:45 pm (UTC)
видимо по той же причине, по какой не взлетело 100500 электромобилей, а тесла - взлетела. потому что пиар для хомячков - главное.
(Reply) (Thread)
[User Picture]From: webface
2016-05-13 12:48 pm (UTC)
Какие были до Тесли электромобили со схожими характеристиками?
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: webface
2016-05-13 12:47 pm (UTC)
Почему после Сноудена не взлетела популярность ни одного из существующих решений

Потому-что это все — тормознутое говно с костылями и хреновым UI. А Телеграм - нет.
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 02:16 pm (UTC)
что такое "хороший ui"? я вот думал, например, что хороший ui -- это когда ты вообще не видишь такой псевдосущности, как "приложение". Миллиарды людей со мной не согласны.
(Reply) (Parent) (Thread) (Expand)
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
[User Picture]From: yoksel_moksel
2016-05-13 12:52 pm (UTC)
Возьми соавтора, сведущего в психологиях.
(Reply) (Thread)
From: oopk
2016-05-13 01:05 pm (UTC)
(Я не дилетант в лени!)
Люди привыкли, что за ними следят, причин скрывать что-то у большинства особо нет, лень париться, а бесплатные работающие решения без не очень нужных функций безопасности прут изо всех щелей (Скайп вот как обновление Окон и т.п.).
А Сноуден — хороший повод ныть и ощущать себя жертвой, чтобы продолжать лениться.

Что уж там, если Tor броузер используется не для анонимизации и т.п., а для скачивания с rutracker-а, потому что в два щелчка устанавливается и дальше как броузер и работает.

В вопросах, связанных с зарабатыванием денег, обычной электронной почты с PGP (хоть не RC4) или TrueCrypt-а (хоть не zip под паролем) вроде бы пользователей встречал, а зачем нужны многие другие перечисленные технологии — не понял.

Безопасность на смартфоне? Встречал наклеивание защитной плёнки, чтобы сбоку экран видно не было (потому что подглядеть мог бы кто не должен, а стоит рядом), а всякие там программные технологии — смысл?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 01:39 pm (UTC)
насчет ныть это очень важное наблюдение

я давно когда-то писал небольшое эссе об административных проблемах ИБ

где специально выделил тот факт, что декларативные цели отличаются от реальных! и у людей и у организаций! и пока мы не научимся выявлять и обслуживать реальные, отличные от декларируемых, потребности, при этом честно их сформулировав для начала, будет невнятная херня!
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: bormotov
2016-05-13 01:48 pm (UTC)
А что такого сложного с zRTP на платформе где уже всё есть?
Можешь тут в двух словах свою версию высказать. почему никто не почесался?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 02:12 pm (UTC)
ну это утомительная, нудная задача по заточке интероперабельности компонентов. красноглазым неинетересно, даже за деньги.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
From: silly_sad
2016-05-14 07:21 am (UTC)
(1) Net ne slushajet i ne chitajet -- zajebjoshsja vsex chitatj.
(2) "scandal" na 100% postanovka chtoby ubeditj poljzovatelej chto i apple i FBR na sluzhbe rodine.
(Reply) (Parent) (Thread)
(Deleted comment)
(Deleted comment)
[User Picture]From: vit_r
2016-05-13 02:43 pm (UTC)
Первым делом, людям деловым некогда заморачиваться. Вторым, молодёжь склонна к Интернет-эксгибиционизму. (Причём, в этом повинны как твиттер с фесбуком, так и то, как их учат в школе.)

Чтобы что-то защищать, надо иметь что-то ценное. У основной массы кроме котиков ничего нет.

Плюс разрушительные взломы заменились сейчас паразитическими. Профессионалам не надо показывать, что они круты и пугать пользователя, если можно использовать его ресурсы или тихо качать информацию.
(Reply) (Thread)
[User Picture]From: Iliya Krasnokutskiy
2016-05-25 06:59 pm (UTC)
... ага ага чего собака с кузни стащит ... согласен!
(Reply) (Parent) (Thread)
[User Picture]From: mik
2016-05-13 02:49 pm (UTC)
4 года назад с коллегой сконструировали zRTP+OTR (OpenFire на сервере и Jitsi клиентом), но не нашли бюджета для ява-программера для доведения всего этого уёбищного UI до ума.

За это время Jitsi стал чуть менее уёбищным и глючным, пользуюсь комплектом до сих пор. Как это коммерциализировать - непонятно.
(Reply) (Thread)
[User Picture]From: redreptiloid
2016-05-13 04:15 pm (UTC)
а тем временем whatsapp? который facebook и palantir :) запустил end2end шифрование между клиентами. сделав упомянутый безопасный voip для народа.
подложив тем самым огромную свинью любителям крипто и анонимности через пару забавных косвенных эффектов.

ну а вопросы все риторические на самом деле и ответ очень краток:
шифропанки шифровали байтики, тогда как людям нужны безопасные коммуникации в человеческом смысле этого слова а не передачу невскрываемых пакетов по сети.

(Reply) (Thread)
[User Picture]From: arkanoid
2016-05-13 04:21 pm (UTC)
задачу operations security тоже нужно решать в понятном идиоту виде.
(Reply) (Parent) (Thread) (Expand)
(no subject) - (Anonymous) Expand
[User Picture]From: tzirechnoy
2016-05-13 06:47 pm (UTC)
Да ладно, не прибедняйся -- остальные тожэ нифига не понимают и в технической и в соцыальной области.

А ты мог бы себе какой-нибудь грант выбить на написание научного труда. А потом ещё phd защитить по итогам.
(Reply) (Thread)
(Deleted comment)
From: anonim_legion
2016-05-13 11:02 pm (UTC)
Этот самый zRTP требует от пользователя читать вслух своему собеседнику некие буковки, сверяя ключ:

- Алё, Вася! Тут мне пишут чегой-то - а, эн как русская и наоборот, эс как доллар, три, шесть, восемь, бздно. Чего? Ну буква эта такая, 𝔹, видимо функциональщики писали, они любят непонятными буковками повыделываться перед простыми смертными, которые теорию категорий не знают.

Я делал защищенную корпоративную телефонию на Freeswitch, c SSL и SDES. Ни один из опенсорцных бесплатных клиентов не заработал нормально, голос просто не шел или был чрезвычайно искажен, пока я явным образом не ограничил разнообразие методов шифрования в самом FS. После этого, нормально стали работать Jitsi и Linphone, а также мобильный Zoiper. Причем, кодеки тоже пришлось ограничить до uLaw, иначе через некоторое время голос становился совершенно неразборчивым.

Что характерно, сам Freeswitch без специальных настроек идеально стыкуется с провайдером Twilio по SSL, то есть - в серверной части все готово, проблема только в клиентах (типичные опенсорцопроблемы).

Существует два софтфона, использующих FS как библиотеку, один на QT (совсем плохой), другой на С# WPF (он хотя бы запускается). Они оба чрезвычайно кривые и почти непригодны к использованию, но - само их ядро, FS - почти безупречно, там внутри все же sip-stack от Nokia, SofiaSip. У меня есть желание сделать нормальный софтфон на этой основе, осталось только найти на это денег, инвестора.

Нытье: на меня еще и наезжают, что я-де долго все это поднимал и во всем этом разбирался. Существует контора 3CX с соответствующим телефонным сервером и клиентами для защищенных разговоров, они просят по 1000$ за инсталляцию, пригодную для мелкой компании из 8 человек. Я так считаю, что если некий продукт продается за весьма немаленькие деньги, стало быть, эта область не имеет нормальных бесплатных решений, и это вам не апач с похапе и почтовиком поднять, а нечто более сложное. Зла не хватает...
(Reply) (Thread)
Page 1 of 2
<<[1] [2] >>