1.2, Gustavo (?), 12:17, 18/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
прошу прощения... один я сверяю контрольную сумму после загрузки архива?
| |
|
2.3, koblin (ok), 12:29, 18/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
так понимаю это автоматическое обновление по воздуху (ota)
| |
2.16, Аноним (-), 16:16, 18/02/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
А контрольную сумму ты получаешь по специальному отдельному защищенному каналу связи?
| |
2.26, rshadow (ok), 00:19, 19/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Да один. Нормальные люди пользуются репами и пакетными менеджерами.
| |
|
|
2.11, Аноним (-), 14:33, 18/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Контрольная сумма — это некоторое значение, вычисленное по определённому алгоритму по входным данным, используется что бы обнаружить повреждение данных при передаче, от MITM не защищает, о чём и указано в новости.
| |
|
3.13, pavlinux (ok), 15:22, 18/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Кэп, если прилетит файло не совпадающие по CRC, это уже повод для паники, в том числе MITM
| |
|
4.20, BratSinot (ok), 18:19, 18/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Если вы умеете читать, то в новости сказано что хэш суммы тоже по HTTP кидаются, что означает, что их тоже можно подменить.
| |
|
|
|
1.19, Xasd (ok), 17:29, 18/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Cyanogemod уже обеспечили возможность ручной загрузки обновлений через HTTPS,...
нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата
| |
|
2.22, Anonim (??), 22:59, 18/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> а ещё и нужно чтобы проверялся бы отпечатак
пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не загружается ли обновление под чьим-то давлением)
| |
|
3.25, Perain (?), 00:16, 19/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> а ещё и нужно чтобы проверялся бы отпечатак
> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не
> загружается ли обновление под чьим-то давлением)
Количество спирта в крови
| |
|
4.27, rshadow (ok), 00:20, 19/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи...
Конкретно здесь нужно проверять на наркотики
| |
4.28, Anonim (??), 00:54, 19/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Количество спирта в крови
детектор лжи выявит - достаточно спросить не пил ли юзер перед обновлением.
| |
|
|
2.24, Аноним (-), 23:52, 18/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата
Ё, ну уже давно придумали нормальные схемы. Например, проверка подписей как у пакетных менеджеров. Не, все-равно некоторым надо влопаться в какое-то г-но.
| |
|
1.29, Нанобот (ok), 10:54, 19/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Исследователи безопасности обратили внимание
хорошо хоть, что не назвали их "эксперты по безопасности". а то нынче модно...
| |
|