| 0 |
|
Signal нарешті вмовили, що в нього є проблема з безпекою. Я стежу за розвитком ситуації, яка почалася з того, що одному з дослідників вдалося клонувати сесію десктопного застосунку на Mac OS, і вона успішно піднялася на іншій машині (у віртуалці). Причому сам Signal не показував ніде новий пристрій із сесією, хоча справно посилав на нього повідомлення.
Виявилося, що ключ, яким зашифрована локальна база даних, генерується Signal самостійно (тобто це не пароль, який вводить користувач, і не якісь похідні від нього) і зберігається в plain-text на цій же машині. Таким чином за наявності фізичного або програмного доступу до системи шифрування бази стає нікчемним.
Загалом, там і Маск під'єднався, і президентка Signal Мередіт Вітейкер багато відповідала, що, мовляв, раз у зловмисника є повний доступ до системи, то вони й не зможуть нічого захистити й ніколи не збиралися. Але в підсумку погодилася, що цим треба зайнятися. Тим більше, що рішення практично вже існує. Створене незалежним розробником, яке використовує safeStorage API в Electron (так, десктопні застосунки Signal на ньому написані) для зберігання ключів у системних сховищах типу keychain.
Уся ця історія доводить просту істину – безпечних месенджерів узагалі не існує, і найвразливіше місце в будь-якій системі – це прокладка між кріслом і клавіатурою.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
