f570.n5020.z2.binkp.net

Nil A написал(а) к Cheslav Osanadze в Apr 23 10:36:02 по местному времени:

Нello, Cheslav!

Sunday April 23 2023 08:07, from Cheslav Osanadze -> Stas Mishchenkov:

SM>> Внутри запрос files, заметь, на адрес 460/0. Обзвонка по
SM>> нодлисту.
CO> Значит, запрещать надо не обработку непарольного мыла, а вообще всего
CO> непарольного?

Дык, сеть друзей, а как узнать друг или враг? Раньше как секта реально было, личное знакомство с боссом, выпить рюмку чая, прособеседоваться, паспорт не показывали, но деталей обсуждались чуть больше, чем данных в профайле соцсетей всех взятых. В дальше только парольные линки, а не парольные, там кто угодно будет. Надо в нодлисте хешь ключа публиковать, а до тех пор никому низя доверять.

Best Regards, Nil
--- GoldED+/LNX 1.1.5

Alexander Kruglikov написал(а) к Stas Mishchenkov в Apr 23 19:55:09 по местному времени:

Привет, Stas!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

22 апр 23 09:36, Stas Mishchenkov писал(а) к Alexander Kruglikov:

AK>> Если сисоп не обрабатывает unprotected, то у меня для него плохие
AK>> новости. В одно прекрасное утро он может проснуться
AK>> экскоммуницированным, так и не узнав, что у него там лежала АДРОЧЕ
AK>> АЯ предКоньплейновая. Не надо так.
SM> Что интересно, в Z1 именно так. Непарольный нетмейл может месяцами
SM> лежать непрочитаным. Например, заявка на узел у NC. Ну, проавда, там
SM> многое так... ;)

Z1 нам не указ и не пример =) Ну или пример. Того, как не надо делать =)

С наилучшими пожеланиями, Alexander.
--- "GoldED+/LNX 1.1.5-b20230304" ---

Michael Dukelsky написал(а) к Nil A в Apr 23 20:33:08 по местному времени:

Привет, Nil!

23 April 2023 10:36, Nil A послал(а) письмо к Cheslav Osanadze:

SM>>> Внутри запрос files, заметь, на адрес 460/0. Обзвонка по
SM>>> нодлисту.
CO>> Значит, запрещать надо не обработку непарольного мыла, а вообще
CO>> всего непарольного?

NA> Дык, сеть друзей, а как узнать друг или враг? Раньше как секта реально
NA> было, личное знакомство с боссом, выпить рюмку чая, прособеседоваться,
NA> паспорт не показывали, но деталей обсуждались чуть больше, чем данных
NA> в профайле соцсетей всех взятых. В дальше только парольные линки, а не
NA> парольные, там кто угодно будет. Надо в нодлисте хешь ключа
NA> публиковать, а до тех пор никому низя доверять.

В принципе, наверно, можно по предъявляемому фидо адресу взять из нодлиста IP адрес (или IP определить из взятого из нодлиста доменного имени) и сравнить с IP адресом, с которого произошло соединение. Если адреса нет в нодлисте или IP не совпали, - оборвать сессию.

Желаю успехов, Nil!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20230221

Valentin Kuznetsov написал(а) к Michael Dukelsky в Apr 23 22:05:28 по местному времени:

Пpивет, Michael!
Отвечаю на письмо от 23 Apr 23 20:33:08 (AREA:RU.FIDONET.TODAY)

NA>> Дык, сеть дpузей, а как узнать дpуг или вpаг? Раньше как секта pеально
NA>> было, личное знакомство с боссом, выпить pюмку чая, пpособеседоваться,
NA>> паспоpт не показывали, но деталей обсуждались чуть больше, чем данных
NA>> в пpофайле соцсетей всех взятых. В дальше только паpольные линки, а не
NA>> паpольные, там кто угодно будет. Надо в нодлисте хешь ключа
NA>> публиковать, а до тех поp никому низя довеpять.

MD> В пpинципе, навеpно, можно по пpедъявляемому фидо адpесу
MD> взять из нодлиста IP адpес (или IP опpеделить из взятого из
MD> нодлиста доменного имени) и сpавнить с IP адpесом, с
MD> котоpого пpоизошло соединение. Если адpеса нет в нодлисте
MD> или IP не совпали, - обоpвать сессию.

Очень пpавильное pешение, однако для подобных случаев есть pежим "только пpиём", если pвать, "пpотивник что-то заподозpит" Ж+)

РЗ: я там написал пpо фэхи, опять с опечатками Ж+)

--- WebFIDO/OS2 V0.16530km

Michael Dukelsky написал(а) к Valentin Kuznetsov в Apr 23 21:13:00 по местному времени:

Привет, Valentin!

23 April 2023 22:05, Valentin Kuznetsov послал(а) письмо к Michael Dukelsky:

NA>>> Дык, сеть дpузей, а как узнать дpуг или вpаг? Раньше как секта
NA>>> pеально было, личное знакомство с боссом, выпить pюмку чая,
NA>>> пpособеседоваться, паспоpт не показывали, но деталей обсуждались
NA>>> чуть больше, чем данных в пpофайле соцсетей всех взятых. В
NA>>> дальше только паpольные линки, а не паpольные, там кто угодно
NA>>> будет. Надо в нодлисте хешь ключа публиковать, а до тех поp
NA>>> никому низя довеpять.

MD>> В пpинципе, навеpно, можно по пpедъявляемому фидо адpесу
MD>> взять из нодлиста IP адpес (или IP опpеделить из взятого из
MD>> нодлиста доменного имени) и сpавнить с IP адpесом, с
MD>> котоpого пpоизошло соединение. Если адpеса нет в нодлисте
MD>> или IP не совпали, - обоpвать сессию.

VK> Очень пpавильное pешение, однако для подобных случаев есть pежим
VK> "только пpиём", если pвать, "пpотивник что-то заподозpит" Ж+)

Да, так ещё лучше. Можно принять в отдельный каталог (что-нибудь типа "jail") и себе послать нетмейл с уведомлением, что враг ломится с такого-то адреса.

To Stas: сделаешь?

VK> РЗ: я там написал пpо фэхи, опять с опечатками Ж+)

Где "там"?

Желаю успехов, Valentin!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20230221

Nil A написал(а) к Michael Dukelsky в Apr 23 21:18:28 по местному времени:

Нello, Michael!

Sunday April 23 2023 20:33, from Michael Dukelsky -> Nil A:

NA>> А дальше только парольные линки, а не парольные, там кто угодно
NA>> будет. Надо в нодлисте хешь ключа публиковать, а до тех пор никому
NA>> низя доверять.

MD> В принципе, наверно, можно по предъявляемому фидо адресу взять из
MD> нодлиста IP адрес (или IP определить из взятого из нодлиста доменного
MD> имени) и сравнить с IP адресом, с которого произошло соединение. Если
MD> адреса нет в нодлисте или IP не совпали, - оборвать сессию.

Вообще идея имеет право на жизнь. Можно запилить как опцию в бинкд. Но есть проблема - вдруг кто-то не сможет коньплейновую залить, ведь ни в полисях, ни в ftsc ничего не сказано, что надо заходить с IP, который в нодлисте. Это как поставить АОН Русь, и требовать звонить с номеров из нодлиста.

Так то в фидо много security flows так сказать by design. Например, разделять всех на парольный инбаунд и непарольный. Хорошо добавили пароль на pkt, а иначе security flow. Наверное, можно даже на текущем софте сконфигурировать мейлбоксы, и для каждого линка иметь свой инбаунд, и как-то учитывать при тоссинге.

Best Regards, Nil
--- GoldED+/LNX 1.1.5

Alexey Khromov написал(а) к Michael Dukelsky в Apr 23 21:22:06 по местному времени:

Здраствуйте, Michael!

23 апр 23 20:33, Michael Dukelsky -> Nil A:

MD> адреса нет в нодлисте или IP не совпали, - оборвать сессию.

Все это уже было в IP - закончилось ассиметричными ключами (PGP, X509, whatever)
и алгоритмом Диффи-Хелмана.
А подмену IP тоже можно организовать MITM-ом, если сильно припечет)))

Но, учитывая высокий интерес к фидо, дело каждого фильтровать свой инбаунд по тем
правилам, по которым он хочет, не выходя за рамки разумного)))



Alexey Khromov
--- GoldED+/LNX 1.1.5-b20230304

Michael Dukelsky написал(а) к Nil A в Apr 23 21:30:44 по местному времени:

Привет, Nil!

23 April 2023 21:18, Nil A послал(а) письмо к Michael Dukelsky:

NA>>> А дальше только парольные линки, а не парольные, там кто угодно
NA>>> будет. Надо в нодлисте хешь ключа публиковать, а до тех пор
NA>>> никому низя доверять.

MD>> В принципе, наверно, можно по предъявляемому фидо адресу взять из
MD>> нодлиста IP адрес (или IP определить из взятого из нодлиста
MD>> доменного имени) и сравнить с IP адресом, с которого произошло
MD>> соединение. Если адреса нет в нодлисте или IP не совпали, -
MD>> оборвать сессию.

NA> Вообще идея имеет право на жизнь. Можно запилить как опцию в бинкд.

Не, как опция в бинкд не получится, потому что штатный бинкд не знает про нодлист. Зато это можно сделать через Perl hook.

NA> Но
NA> есть проблема - вдруг кто-то не сможет коньплейновую залить, ведь ни в
NA> полисях, ни в ftsc ничего не сказано, что надо заходить с IP, который
NA> в нодлисте. Это как поставить АОН Русь, и требовать звонить с номеров
NA> из нодлиста.

Если вместо обрыва сессии класть pkt в отдельный каталог и посылать себе уведомление, то комплейн не пропадёт.

Желаю успехов, Nil!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20230221

Michael Dukelsky написал(а) к Alexey Khromov в Apr 23 22:00:48 по местному времени:

Привет, Alexey!

23 April 2023 21:22, Alexey Khromov послал(а) письмо к Michael Dukelsky:

MD>> адреса нет в нодлисте или IP не совпали, - оборвать сессию.

AK> Все это уже было в IP - закончилось ассиметричными ключами (PGP, X509,
AK> whatever) и алгоритмом Диффи-Хелмана. А подмену IP тоже можно
AK> организовать MITM-ом, если сильно припечет)))

Это понятно. Просто для применения ключей надо a) менять binkd, б) ключи должны быть у всех сисопов, присутствующих в нодлисте, чего не будет никогда. А проверку IP можно засандалить в Perl и только у себя. Ничего требовать от линка при этом не надо.

Желаю успехов, Alexey!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20230221

Valentin Kuznetsov написал(а) к Michael Dukelsky в Apr 23 23:09:10 по местному времени:

Пpивет, Michael!
Отвечаю на письмо от 23 Apr 23 21:13:00 (AREA:RU.FIDONET.TODAY)

VK>> Очень пpавильное pешение, однако для подобных случаев есть pежим
VK>> "только пpиём", если pвать, "пpотивник что-то заподозpит" Ж+)

MD> Да, так ещё лучше. Можно пpинять в отдельный каталог
MD> (что-нибудь типа "jail") и себе послать нетмейл с
MD> уведомлением, что вpаг ломится с такого-то адpеса.

Над этим надо поpазмыслить
Теоpия секъюpности ФИДО была сделана ещё во вpемена, когда пpотоколы ФТП и почты использовали без защиты массово
С тех поp появились новые методы внедpения, взлома и пеpехвата, но и набpался опыт пpотиводействия
Надо бы "свести на одно поле" пpинятые в ФИДО сценаpии, способы атак и пpотиводействия и очень поpазмыслить. Что бы было и удобно, и тpадиции соблюдены, и безопасно...

MD> To Stas: сделаешь?

VK>> РЗ: я там написал пpо фэхи, опять с опечатками Ж+)

MD> Где "там"?

Нетмэйлом на адpес 5020/1042.3
На .0 пpодублиpовать?

--- WebFIDO/OS2 V0.16530km