NYC -> SFBA при этом не умереть со скуки

[АццкоМото]

Фактически задизайнить секстинг аппу - типа месседжинг где тинейджеры шлют друг другу сиськи-письки, которые без следа исчезают через несколько секунд. Ну, т.е. интервьюер несколько краснея придумывал сценарии типа "Тарантино прислал сценарий своего девятого фильма и не хочет, чтобы он куда-то утек", но мы же таки понимаем.

Интересная задача. Я её мусолил несколько лет назад, как идею для стартапа. Но передумал
Апа которая такое будет уметь долго не протянет, потому как реальными пользователями будут не подростки, а различные экстримистские организации и криминальные элементы. Власть попросит предоставить backdoor к истории сообщений за последние 3 года .
Причем попросят все власти, не зависисмо от страны регистрации и хостинга.
А в случае отказа, владельцу ресурса даже посольство эквадора не поможет.

Не, экстремистам-террористам такое особо и не надо. Им вполне достаточно сквозного шифрования типа Телеграм. Т.е. та ситуация, когда власти могут щитбрикать сколько угодно, а сделать ничего не могут: Дуров даже если захочет никакого бэкдора предоставить не может, на то оно и сквозное шифрование плюс опенсорсный код клиента и открытый протокол.

[АццкоМото]

Все так, но только не относительно Гугла. Их интервью специфично, ни на что не похоже, и подготовиться к нему нельзя.

С чего бы это вдруг нельзя было бы подготовиться?
Прочитываешь собрание сочинений Кнута и Стивенса и идешь на интервью. Следующий год перечитываешь избранные главы, на которых провалился и делаешь новый заход. И т.д.

Потому что задачи в целом несложные (при первом заходе, как минимум) в Гугле и совсем не из Кнута/Стивенса. Все дело в волшебных пузырьках.

[oshibka_residenta]

Не, экстремистам-террористам такое особо и не надо. Им вполне достаточно сквозного шифрования типа Телеграм. Т.е. та ситуация, когда власти могут щитбрикать сколько угодно, а сделать ничего не могут: Дуров даже если захочет никакого бэкдора предоставить не может, на то оно и сквозное шифрование плюс опенсорсный код клиента и открытый протокол.

Ради интереса почитал про шифрование в телеграмме. Ну да, пост фактум Дуров ничего расшифровать не может, но ничего не мешает Дурову сделать man in the middle attack если власти попросят заранее

[АццкоМото]

Не, экстремистам-террористам такое особо и не надо. Им вполне достаточно сквозного шифрования типа Телеграм. Т.е. та ситуация, когда власти могут щитбрикать сколько угодно, а сделать ничего не могут: Дуров даже если захочет никакого бэкдора предоставить не может, на то оно и сквозное шифрование плюс опенсорсный код клиента и открытый протокол.

Ради интереса почитал про шифрование в телеграмме. Ну да, пост фактум Дуров ничего расшифровать не может, но ничего не мешает Дурову сделать man in the middle attack если власти попросят заранее

это да. и я не могу понять, почему никто об этом не пишет, ведь это же очевидно

некоторое время назад хотел сбацать мессенджер (и даже сделал, просто не отполировал) с самым тривиальным принципом - ключами обмениваемся либо при личном контакте девайсов (ну там NFC/BT/QRCode), либо передаем их, скажем, бумажной почтой одну половину, вторую - по телефону голосом и тупо вводим в каждый девайс руками. ну это же просто, очевидно и надежно. но после того, как сквозное шифрование ввел УотсАпп и никто даже словом не обмолвился, что MiM запрошенный властями заранее убивает всю секьюрность, понял, что бестолку и забросил нах.

[Boriskin]

Если надо с кем-то чатиться, Diffie-Hellman, получили shared secret, и вперёд.
Вас же не удивляет SSL

Если оба клиента за непробивным файрволлом, то все равно будет нужен некий прокси для первоначального обмена ключами до того, как содержимое соединения через этот прокси будет зашифровано. Соответственно владелец сервака/прокси всегда может подсмотреть и дешифровать. М?

[uncle_Pasha]

Все так, но только не относительно Гугла. Их интервью специфично, ни на что не похоже, и подготовиться к нему нельзя.

С чего бы это вдруг нельзя было бы подготовиться?
Прочитываешь собрание сочинений Кнута и Стивенса и идешь на интервью. Следующий год перечитываешь избранные главы, на которых провалился и делаешь новый заход. И т.д.

Потому что задачи в целом несложные (при первом заходе, как минимум) в Гугле и совсем не из Кнута/Стивенса. Все дело в волшебных пузырьках.

Видимо, зависит от позиции.

[uncle_Pasha]

Если оба клиента за непробивным файрволлом, то все равно будет нужен некий прокси для первоначального обмена ключами до того, как содержимое соединения через этот прокси будет зашифровано. Соответственно владелец сервака/прокси всегда может подсмотреть и дешифровать. М?

shared ключ может формироваться на основе несиммитричного шифрования, так же как в SSL/TLS.
Если вы ходите куда-то через SSL прокси это не значит же, что ваш трафик просматривается.

[АццкоМото]

Видимо, зависит от позиции.

угу. и чем выше позиция тем проще задачи. и тем больше оценивается не только само решение и тем больше "вторых и третьих слоев"
имхо, конечно

[АццкоМото]

Если оба клиента за непробивным файрволлом, то все равно будет нужен некий прокси для первоначального обмена ключами до того, как содержимое соединения через этот прокси будет зашифровано. Соответственно владелец сервака/прокси всегда может подсмотреть и дешифровать. М?

shared ключ может формироваться на основе несиммитричного шифрования, так же как в SSL/TLS.
Если вы ходите куда-то через SSL прокси это не значит же, что ваш трафик просматривается.

Это все верно. Только все эти несимметричные шифрования и прочие SSL/TLS в своей секурности все равно опираются на то, что есть некий СА, до которого не добрались вражьи рожи. Типа "мы верим Verisign". В случае, если я заказываю пиццу онлайн это работает. А если мной заинтересуется государство - сильно сомневаюсь.

[Boriskin]

Если оба клиента за непробивным файрволлом, то все равно будет нужен некий прокси для первоначального обмена ключами до того, как содержимое соединения через этот прокси будет зашифровано. Соответственно владелец сервака/прокси всегда может подсмотреть и дешифровать. М?

shared ключ может формироваться на основе несиммитричного шифрования, так же как в SSL/TLS.
Если вы ходите куда-то через SSL прокси это не значит же, что ваш трафик просматривается.

Разница в том, что то, куда я иду через SSL прокси, имеет свою точку входа (слушающий порт). Когда точек входа нет ни у одной из сторон - нужен "двусторонний" прокси, к которому присоединяются оба клиента. И такой прокси может (пусть и не обязан) знать о соединении все.

[uncle_Pasha]

Разница в том, что то, куда я иду через SSL прокси, имеет свою точку входа (слушающий порт). Когда точек входа нет ни у одной из сторон - нужен "двусторонний" прокси, к которому присоединяются оба клиента. И такой прокси может (пусть и не обязан) знать о соединении все.

Совсем не обязательно, если используется сторонний certificate authority или если обмен публичными ключами произошел заранее, минуя посредника.
Соединились оба с сервером и стартовали encrypted tunnel.

[oshibka_residenta]

Если оба клиента за непробивным файрволлом, то все равно будет нужен некий прокси для первоначального обмена ключами до того, как содержимое соединения через этот прокси будет зашифровано. Соответственно владелец сервака/прокси всегда может подсмотреть и дешифровать. М?

shared ключ может формироваться на основе несиммитричного шифрования, так же как в SSL/TLS.
Если вы ходите куда-то через SSL прокси это не значит же, что ваш трафик просматривается.

Разница в том, что то, куда я иду через SSL прокси, имеет свою точку входа (слушающий порт). Когда точек входа нет ни у одной из сторон - нужен "двусторонний" прокси, к которому присоединяются оба клиента. И такой прокси может (пусть и не обязан) знать о соединении все.

Прелесть Diffie-Hellman в том, что это не важно
https://en.wikipedia.org/wiki/Diffie%E2 ... y_exchange" onclick="window.open(this.href);return false;

[Boriskin]

Прелесть Diffie-Hellman в том, что это не важно
https://en.wikipedia.org/wiki/Diffie%E2 ... y_exchange" onclick="window.open(this.href);return false;

Действительно красиво.

[anarchist]

Базовая зарплата таки 150-200 для senior. 350 - это, видимо, когда опции завестились и стоки поднялись.

А опции что каждый год дают?

$350К каждый год в америке инженерам не платят, как ни крути. Даже $200К очень редко, если с бонусом разве что.

[Krys-Krys]

Базовая зарплата таки 150-200 для senior. 350 - это, видимо, когда опции завестились и стоки поднялись.

А опции что каждый год дают?

$350К каждый год в америке инженерам не платят, как ни крути. Даже $200К очень редко, если с бонусом разве что.

Обычно через год после начала можно уже за весь год их забрать, а потом поквартально дают. Самое главное продержатся этот год, иначе если уволят или сам уйдёшь даже за день до, ничего не получишь.