Программирование[10]

madvlaydin написал 7 минут назад:

Grohuf написал 15 минут назад:

Что-то я почитал я TLS и не понял, как протокол защищает от MITM. То есть подключается злоумышленник и отсылает сертификат сервера (хули, общедоступная информация), затем вырабатывается ключ шифрования, где закрытый ключ подписи сертификата тоже не участвует. Как блять проверяется, что это реальный сервер?

ну ты же идёшь по урлу, а в серте зашит урл

именно поэтому надо открытыми вайфаями пользоваться через впн - чтобы они не могли фишить тебя, подменяя днс ответ и перенаправляя на свой айпишник вместо реального

Я понимаю, что зашит хост и проверяется, что сертификат от этого хоста. Я как раз про случай с вайфаями и прочей лабудой. Например, провайдер мне вместо продоты сунет какую-нибудь хуйню, где слова матерного прочитать нельзя. Есть вариант отсылки ключа шифрования путем шифрования его открытым ключом подписи сертификата, но он не используется, как не рекомендованный. А как защищает TLS от MITM я что-то не догнал. Какой-нибудь фидлер же не просто так просит сунуть свой сертификат в список доверенных.

тлс сам никак от митма не защищает, это просто протокол ассиметричного шифрования

а сертификаты как раз только от митма и защищают, тк подписывают всё в обратную сторону на основе заранее находящегося у тебя общего секрета - корневого сертификата

Grohuf написал 1 минуту назад:

madvlaydin написал 9 минут назад:

Grohuf написал 17 минут назад:

Что-то я почитал я TLS и не понял, как протокол защищает от MITM. То есть подключается злоумышленник и отсылает сертификат сервера (хули, общедоступная информация), затем вырабатывается ключ шифрования, где закрытый ключ подписи сертификата тоже не участвует. Как блять проверяется, что это реальный сервер?

ну ты же идёшь по урлу, а в серте зашит урл

именно поэтому надо открытыми вайфаями пользоваться через впн - чтобы они не могли фишить тебя, подменяя днс ответ и перенаправляя на свой айпишник вместо реального

Я понимаю, что зашит хост и проверяется, что сертификат от этого хоста. Я как раз про случай с вайфаями и прочей лабудой. Например, провайдер мне вместо продоты сунет какую-нибудь хуйню, где слова матерного прочитать нельзя. Есть вариант отсылки ключа шифрования путем шифрования его открытым ключом подписи сертификата, но он не используется, как не рекомендованный. А как защищает TLS от MITM я что-то не догнал. Какой-нибудь фидлер же не просто так просит сунуть свой сертификат в список доверенных.

 

фидлер же какраз и есть митм, и потому надо его серт пихать в доверенные, чтоб браузер не ругался и трафик расшифровывать

madvlaydin написал 3 минуты назад:

фидлер же какраз и есть митм, и потому надо его серт пихать в доверенные, чтоб браузер не ругался и трафик расшифровывать

Он мог бы просто отдавать сертификат сервера, который подписан по нормальному центрами сертификации. Смысл генерации своего сертификата есть только в том случае, если фидлеру нужно знать какой-то секрет, который нельзя скачать вместе с сертификатом с настоящего сайта.

твоё сообщение о генерации ассиметричного ключа, который используется для генерации симметричного ключа, подписывается приватным ключом сертификата сервера

и если у тебя на компе валидный публичный ключ, ты можешь проверить эту подпись и быть уверенным, что разговариваешь с тем, с кем собирался

митм может прочитать генерацию ассиметричного ключа и подменить на свой ключ, но он не может подписать ответ приватным ключом сервера, тк его не знает, а твой браузер это заметит и пошлет нахуй

а можешь проигнорировать это нажав в браузере кнопочку и продолжить

Kant написал 2 минуты назад:

митм может прочитать генерацию ассиметричного ключа и подменить на свой ключ, но он не может подписать ответ приватным ключом сервера, тк его не знает, а твой браузер это заметит и пошлет нахуй

Не увидел в протоколе шага подписи какого-то сообщения публичным ключом. В том-то и дело. Используется https://ru.wikipedia.org/wiki/Протокол_Диффи_—_Хеллмана для которого нет шифрования передаваемых данных.

так диффи хеллман дальше идут, там вопрос прослушки решается, но не перехвата

хуй знает почему на вики не написано по-русски, а просто "server provides identification",  но суть то в том, чтобы шифрованием это проверить, а это делается дефолтной подписью

тебе дают подписанное сообщение и путь сертификации, браузер ищет у себя такой же сертификат и смотрит, чтобы подпись совпала, если совпала, уже переходим к диффихеллману, тк мы убедились, что сообщения не перехвачены

плюс я предполагаю до получения клиентом PreMasterSecret для диффихеллмана каждый шаг хендшейка должен проверяться, а то это лишено смысла

Kant написал 14 минут назад:

хуй знает почему на вики не написано по-русски, а просто "server provides identification",  но суть то в том, чтобы шифрованием это проверить, а это делается дефолтной подписью

Ну то есть это на вики не полностью прописано? Ну хорошо. А что если злоумышленник дает серверу с клиентом пообщаться. Клиент послал зашифрованное сообщение, получил его в ответ. Все ок, далее формируют ключ шифрования, как понять, что в этот момент злоумышленник не вклинивается и не отсылает клиенту свои данные?

ДиффиХеллман не защищен от MITM, как его защищают в TLS?

я хуй знает почему в вики так написано, я это помню с универа еще, мб меня и наебали конечно или я запомнил плохо

но мне не понятно какая нахуй может быть защита от митма во фразе "сервер предоставляет публичную часть сертификата и браузер её проверяет"

что нахуй можно тут проверить, я что угодно могу тебе публичное послать

подпись же этого сообщения приватной частью сервера и проверка подписи публичной частью на клиенте как раз вопрос решает

если вы уже обменялись ключом, при попытке подмены сообщения другая сторона просто ведь прочитать ничего не может

тлс сертификатами и защищает, это единственная их задача, всё остальное можно делать без них

остается проблема как убедиться, что на клиенте сертификаты не паленые, а тут уже никак, нехуй сборки от васяна322 качать

Короче, понятно, что дело темное. Надо либо подробную литературу искать (а по шифрованию это ад), либо спросить коллег, занимающихся этими сертификатами.

Grohuf написал 3 минуты назад:

Короче, понятно, что дело темное. Надо либо подробную литературу искать (а по шифрованию это ад), либо спросить коллег, занимающихся этими сертификатами.

Так пизда все расписал как есть

ты публичным ключом из хранилища можешь провалидировать правильность подписи приватным

GoldRobot написал 09.01.2022 в 15:53:

Пользуя моментом, объясните, а нахуя они это делают?

  Показать содержимое

Вот я тут пиццу недавно заказывал. Как обычно хотел заказать в "chikki", и выяснил что теперь они пицеррия "чик-чик" с новым сайтом.

Один в один меню тоже самое, по вкусу так же готовят. Но зачем? Зачем терять устоявшееся название с хорошей репутацией?

я подобное видел при уходе от отчислений франшизе

ural1qqq написал 16 часов назад:

В принципе, как и было ранее видно, все движется в сторону low-code и в скором времени ваши иде будут заменены на камунда моделер, будете рисовать бп схемы

нет

у нас кстати текущая система - аналог камунды в каком-то смысле. от камунды отказывались сознательно. многих нужных паттернов там нет, но есть куча разных паттернов и разных данных/абстракций, которые нам не нужны

визуальное программирование, это конеш прикольно. но подходит далеко не для всех задач. это примерно как word и latex, или сайт конструктор вс сайт сделаный фронтендером (иногда конеш макаки на фронтах творят такое, что лучше бы блять в конструкторе накидали)

madvlaydin написал 13 часов назад:

мне плохо стало с того, что по сути нету никакого механизма по одному нажатию кнопки перенести изменения с одной среды на другую

а как это связано с самим виз программированием?)

это просто не реализованно на какой-то конкретной платформе X (1с, camunda, etc)

мне интересно, а где такой механизм есть из коробки, ты с чем сравниваешь?

Plants vs Zombies написал 8 часов назад:

Plants vs Zombies написал 11.02.2021 в 13:38:

в некст раз напишу сюда либо когда понадобится помощь сообщества как ты сказал

либо когда первый лям накоплю

Приветствую смотрящих и тех кто меня помнит! за 2021 год я заРАБотал чистыми ~760к рублей и ~3k usd cо своего дела что довольно мало, но самое главное что меня не тошнит от этого в отличии от завода на котором просто проебываешь время. 

Доработаю до марта приблизительно чтобы все бонусы забрать и уволюсь. Шел я туда изначально из-за денег и вначале платили 40 (щас по среднему 63к выходит). Год назад это казалось мне деньгами. Сейчас я понимаю что лям это хуйня полнейшая и для нормальной жизни мне в месяц нужно лутать МИНИМУМ 150 с такой работы. За меньшие деньги так проебывать время бездарно = себя не уважать.

Очень сильно заебали люди и социум, у меня сейчас только одно желание это запереться нахуй в квартире отключить телефон себя едой обеспечить недели на 2 и срать ссать под себя никак не контактируя с людьми. Уволюсь, грамотно (как я думаю) раскидаю накопленные деньги займусь делом что по ожиданиям будет давать мне 60-80к в мес и наверное реально устрою себе мини-отпуск недели на 2 исчезну в квартире буду играть в какое-нибудь пое.

За этот год я абсолютно точно устоялся в своих убеждениях что если работать по чужому расписанию и на чужих условиях длительное время это будет постепенно тебя убивать как личность. Я смотрю на окружающих меня людей и охуеваю порой с их мыслей и поведения.

Работа, в классическом ее понимании как 5/2 это худшее что я испытывал в своей жизни. Мне кажется меня даже школа так не заебывала. Там хотяб братья по разуму были() а тут просто непонятные мне люди с непонятными мыслями и мотивацией.

Ну не суть.

Я же заочно еще учусь на программиста ща (цель поступления можете тоже найти в постах годичной давности (иду учиться - родители покупают квартиру))

Щас мне похуй на эту хату как таковую если я хоть как-то буду зависеть от родителей и они будут пытаться иметь какие-то рычаги влияния на меня. 

Но бросать учебу не планирую, потому что:

1) это не особо много времени отнимает

2) мне очень понравился си шарп и в целом работать на нем, это лучший и единственный наверное язык который удобно читать!!

3) это не особо тяжело. Бывает конечно что преподы ставят обязательным условием сделать задание на определенном языке типа паскаля/си которые я ненавижу но я просто нахожу готовое в интернете как правило.

4) это может мне пригодиться в дальнейшем

Работать куда-то по диплому я потом вряд ли пойду и на джуна/трейни думаю вряд ли залечу ну потому что кто захочет обучать человека который к тому же нихуя почти не знает и требует удаленку к тому же.

Нет, если сущетвует конечно такая работа куда меня возьмут с моими начальными знаниями и где ну максимум раз в неделю нужно будет куда-то приехать в офис а на удаленке чтобы за тобой не следили что ты делаешь в рабочее время тогда пожалуйста, я пойду. Но я думаю такого не существует.

Собственно нонстоп своим хобби я заниматься не планирую и у меня будет свободное время и вижуал студио которые я бы хотел конвентировать в деньги.

Что в таком случае можете посоветовать? Какие перспективы? Фриланс думаю не очень, там мне кажется довольно часто нужно будет прогибаться под заказчика, да и вначале надрачивать репутацию и работать за копейки тоже не прельщает. @Neuronal Nightmares сказал что на шарпе можно ботов различных писать и продавать. Что думаете?

Имхо хоть я и мало разбираюсь в шарпе но это единственный язык который мне зашел у него перспективы пиздец думаю неплохие. Можно и игру написать и бота под любые нужды будь то десктоп или веб и мобильное чето даже на ксамарине высрать прости господи

 

по поводу языков. если ты прогером хочешь стать - язык вообще похуй. они все одинаковые сейчас (почти)

если ты карьеру прогера не хочешь иметь - то язык выбирай под задачи, для которых он хорошо подходит.

рассуждения "на этом языке можно и рыбку съесть и косточкой не подавитсья" недалеки. потому что тебе не нужен универсальный язык для качественного решения задач, а нужен "подходящий". утверждение спорное, но практика показывает что "на языке можно и то и это" означает что хорошо можно делать "то", а вот второе уже не очень  и есть гораздо более подходящие инструменты.

С# отличный язык. но зависит от задач насколько использование его как платформы будет тебе удобным. но если он тебе прям заходит - то лучше не найти. лучше в кайфо что-то освоить что нравится, потом легко свичнешь язык если что.

PS: рассуждения по поводу независимости, самостоятельности, не способности к организованной деятельности - пиздец конечно инфантильные и убогие

надеюсь ты скоро это перерастешь

Grohuf написал 3 часа назад:

Ну то есть это на вики не полностью прописано?

для начала всем рекомендую сначала читать английскую википедию. там зачастую ккуда боеле качественные статьи

Just.Doit написал 33 минуты назад:

мне интересно, а где такой механизм есть из коробки, ты с чем сравниваешь?

в 1с есть выгрузка в файлы, из которых потом можно потом обратно конфигурацию восстановить, соответственно можно ввести версионирование не только в хранилище 1с, но и в гите, и дальше накручивать тесты и прочие пайплайны

я про это написал к тому, что уралик, будучи ужаленным 1с, как будто не понимает, почему есть кучи разных разработчиков, и что рисование линий в некоем редакторе бизнес процессов в обозримой перспективе не лишит этих самых разработчиков работы

Kant написал 3 часа назад:

что нахуй можно тут проверить, я что угодно могу тебе публичное послать

неа. сертификат выпускается более высокоуровневым сертификатом (или рутом), и внутри себя содержит подпись от части своих данных, сделанная родителем

тоесть ты не можешь составить свой придуманный/кастомный сертификат который пройдет проверку, если он НЕ выпускался/подписывался родителем/рутом который у тебя в доверенных

madvlaydin написал 8 минут назад:

в 1с есть выгрузка в файлы, из которых потом можно потом обратно конфигурацию восстановить, соответственно можно ввести версионирование не только в хранилище 1с, но и в гите, и дальше накручивать тесты и прочие пайплайны

 

я про это написал к тому, что уралик, будучи ужаленным 1с, как будто не понимает, почему есть кучи разных разработчиков, и что рисование линий в некоем редакторе бизнес процессов в обозримой перспективе не лишит этих самых разработчиков работы

а что мешает версионировать очередную версию "графического процесса" ? это в конечном счете просто такой же код/текст, просто генерится из визуального редактора

оно становится не поддерживаемым с т.з. исходного кода, тк там генерится куча всего и с этим нельзя работать как с исходниками. но саму версию не сложно зафиксировать и поверх накрутить тесты

собственно ничто не мешает им выкатывать на прод "на горячую" через гитопс даже. просто чел редачит в WYSIWYG, копирует файл в гит, коммитит, и эта версия катится на прод

чет я себе по другому представлял работу программистом 

Just.Doit написал 11 минут назад:

Kant написал 3 часа назад:

что нахуй можно тут проверить, я что угодно могу тебе публичное послать

неа. сертификат выпускается более высокоуровневым сертификатом (или рутом), и внутри себя содержит подпись от части своих данных, сделанная родителем

тоесть ты не можешь составить свой придуманный/кастомный сертификат который пройдет проверку, если он НЕ выпускался/подписывался родителем/рутом который у тебя в доверенных

madvlaydin написал 15 минут назад:

в 1с есть выгрузка в файлы, из которых потом можно потом обратно конфигурацию восстановить, соответственно можно ввести версионирование не только в хранилище 1с, но и в гите, и дальше накручивать тесты и прочие пайплайны

 

я про это написал к тому, что уралик, будучи ужаленным 1с, как будто не понимает, почему есть кучи разных разработчиков, и что рисование линий в некоем редакторе бизнес процессов в обозримой перспективе не лишит этих самых разработчиков работы

а что мешает версионировать очередную версию "графического процесса" ? это в конечном счете просто такой же код/текст, просто генерится из визуального редактора

оно становится не поддерживаемым с т.з. исходного кода, тк там генерится куча всего и с этим нельзя работать как с исходниками. но саму версию не сложно зафиксировать и поверх накрутить тесты

 

собственно ничто не мешает им выкатывать на прод "на горячую" через гитопс даже. просто чел редачит в WYSIWYG, копирует файл в гит, коммитит, и эта версия катится на прод

 

ничто не мешает версионировать, если всё, что ты рисуешь, хранится в рисунке и экспортируется\импортируется единообразно

проблема в том, что помимо просто рисования бизнес процессов надо ещё где-то хранить кучу мета информации типо всяких настроечных списков, констант и прочего дерьма

опять же, я пишу на опыте тестирования решений, построенных на базе SharePoint + nintex, где как раз заявляется, что кто хочет, тот будет рисовать рабочие процессы, логику, циклы и так далее

только почему-то появляется целый отдел внутренней автоматизации, где сидят куча шарепоинт девелоперов, которым надо всем этим заниматься + писать кучу кода на шарпе + делать какой-то свой ui фреймворк, ибо дефолтный рассчитан по ie и стыдно такое отдавать пользователям (но ie надо поддерживать и термин полифил становится ругательством)

Just.Doit написал 15 минут назад:

Kant написал 3 часа назад:

что нахуй можно тут проверить, я что угодно могу тебе публичное послать

неа. сертификат выпускается более высокоуровневым сертификатом (или рутом), и внутри себя содержит подпись от части своих данных, сделанная родителем

тоесть ты не можешь составить свой придуманный/кастомный сертификат который пройдет проверку, если он НЕ выпускался/подписывался родителем/рутом который у тебя в доверенных

и что?

цепочка сертификатов нужна чтобы ты не имел на компе каждый сертификат на планете, чтобы мог работать. И получив публичную часть от сертификата + цепочку твой браузер лишь проверяет, что цепочка верная. Что сертификат верный, но не то, что ты этим сертификатом что-то подтверждаешь.

Отправка ПУБЛИЧНЫХ данных никак не обеспечивает безопасность, тк ничто не мешает митму эти публичные данные от сервера взять и подложить в свой запрос, и ты ничего не узнаешь. Пока ты что-то не подпишешь секретом, ты ничего никому не докажешь.

я могу ща с тобой протокол сделать где я тебе публично рассказываю, что мой сертификат содержит байты 1234 и тело сообщения 5678, а ты честно просишь митма сделать вид, что он этого не видел и не должен это запоминать и ретранслировать дальше только сертификат, отправив тебе 1234 и 9999?

??????

madvlaydin написал 1 минуту назад:

только почему-то появляется целый отдел внутренней автоматизации, где сидят куча шарепоинт девелоперов, которым надо всем этим заниматься + писать кучу кода на шарпе + делать какой-то свой ui фреймворк, ибо дефолтный рассчитан по ie и стыдно такое отдавать пользователям (но ie надо поддерживать и термин полифил становится ругательством)

если я все правилтно понял, то звучит как платформенная команда/отдел. условно у тебя есть 100500 людей который юзают платформу и 5-10-100 людей которые пилять платформу под лично твои нужды. это норм. и польза визуального программирования для этих 100500 не уходит

Kant написал 5 минут назад:

Just.Doit написал 25 минут назад:

Kant написал 3 часа назад:

что нахуй можно тут проверить, я что угодно могу тебе публичное послать

неа. сертификат выпускается более высокоуровневым сертификатом (или рутом), и внутри себя содержит подпись от части своих данных, сделанная родителем

тоесть ты не можешь составить свой придуманный/кастомный сертификат который пройдет проверку, если он НЕ выпускался/подписывался родителем/рутом который у тебя в доверенных

и что?

цепочка сертификатов нужна чтобы ты не имел на компе каждый сертификат на планете, чтобы мог работать. И получив публичную часть от сертификата + цепочку твой браузер лишь проверяет, что цепочка верная. Что сертификат верный, но не то, что ты этим сертификатом что-то подтверждаешь.

 

Отправка ПУБЛИЧНЫХ данных никак не обеспечивает безопасность, тк ничто не мешает митму эти публичные данные от сервера взять и подложить в свой запрос, и ты ничего не узнаешь. Пока ты что-то не подпишешь секретом, ты ничего никому не докажешь.

 

я могу ща с тобой протокол сделать где я тебе публично рассказываю, что мой сертификат содержит байты 1234 и тело сообщения 5678, а ты честно просишь митма сделать вид, что он этого не видел и не должен это запоминать и ретранслировать дальше только сертификат, отправив тебе 1234 и 9999?

??????

да я понял суть вопроса

ну как выше писали - в серт входит url, верификация соединения включает сверку url в серте и текущий

как выше писали, можно сделать атаку через DNS (url ведет на подставной сервер), но оказывается от этого тоже есть защита https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

Just.Doit написал 14 минут назад:

ну как выше писали - в серт входит url, верификация соединения включает сверку url в серте и текущий

UPD: везде чето не написано напрямую про сверку url, подозреваю что url не единственный способ идентификации сервера, по крайней мере в стандарте а не на практике

https://www.cloudflare.com/ru-ru/learning/ssl/what-happens-in-a-tls-handshake/

Аутентификация: Клиент проверяет SSL-сертификат сервера в центре сертификации, который его выдал. Он подтверждает, что сервер является тем, за кого себя выдает, и что клиент взаимодействует с реальным владельцем домена.

Цифровая подпись сервера: Сервер использует свой закрытый ключ для шифрования random'а клиента, random'а сервера и своего параметра DH*. Эти зашифрованные данные выполняют функцию цифровой подписи сервера, устанавливая, что сервер имеет закрытый ключ, совпадающий с открытым ключом из SSL-сертификата.

Подтверждение цифровой подписи: Клиент расшифровывает цифровую подпись сервера с помощью открытого ключа, проверяя, что сервер владеет закрытым ключом и является тем, за кого себя выдает. Параметр DH клиента: Клиент отправляет серверу свой параметр DH.

карочи каким-то образом с помощью открытого ключа клиент может понять, что сервер настоящий или нет