Записки не очём

Спустя немногим меньше трёх месяцев с прошлой значительной версии состоялся очередной выпуск qtchan — настольного клиента для имиджборда 4chan, рассчитанного на управление с клавиатуры, полностью написанного на C++ с использованием графического инструментария Qt.

Функциональность и внешний вид программы на данный момент далеки от идеала, но уже сейчас она позволяет просматривать и отвечать на записи в разделах, автоматически обновлять нить дискуссии, сохранять и открывать прикреплённые файлы с помощью системных программ, отображать дерево открытых записей и сохранять их в виде сессии.

В этой версии, помимо исправлений ошибок и оптимизаций, реализована функциональность поиска и фильтрации сообщений по регулярным выражениям, а также сохранение записей в локальный архив и добавление официального AppImage-пакета. Следующий выпуск намечен как первый стабильный, сосредоточенный на исправление шероховатостей интерфейса.

 4chan, qt

К вопросу о страшной уязвимости в GnuPG из-за которой, будто бы, надо немедленно от отказаться от шифрования писем и начать использовать мессенджер «Signal» [00], о чем уже успела растрезвонить даже «Медуза» [01].

--
Zmicier

[00] www.linux.org.ru/news/security/14212323
[01] https://meduza.io/feature/2018/05/14/v-sistemah-shifrovaniya-elektronnoy-poch...
_____

(Это заявление касается лишь вопросов уязвимости OpenPGP, GnuPG и GPG4Win. Мы ничего не говорим здесь про S/MIME.)

Только что отдельные исследователи безопасности обнародовали статью, озаглавленную «Efail: Взлом шифрования S/MIME и OpenPGP с использованием приемов эксфильтрации». Фонд электронных рубежей (EFF) воспринял это настолько серьезно, что посоветовал незамедлительно удалить Enigmail [0][1].

Мы же по этому поводу сначала заявим три вещи, а затем и постараемся показать, почему мы правы:

1. Статья озаглавлена неверно.
   
2. Атака направлена на забагованные почтовые клиенты.
   
3. Авторы составили список таковых клиентов.
   

В 1999 году мы осознали, что в симметричном шифровании OpenPGP (который представляет собою разновидность режима обратной связи по шифровке, сокр. CFB) имеется слабость: в ряде случаев злоумышленник может изменить текст. По словам основателя GnuPG Вернера Коха дело была так: «[Фил Циммерман] и Йон Каллас пригласили меня в Рим на конференцию по AES, чтобы обсудить проблемы со внедрением CFB. Это было в марте 1999-го, и спустя месяц и в PGP, и в GnuPG была воплощена первая версия [защитных мер]. Как напоминает нам файл NEWS, в тираж она вышла летом 2000-го».

Упомянутые Вернером меры называются «код обнаружения изменений» или сокращенно MDC. Они остаются базовой частью GnuPG вот уже на протяжении 18-и лет. Почти все это время любое письмо, к которому не прикреплен MDC, порождает при расшифровке крупное и заметное предупреждение, наподобие такого:

    gpg: encrypted with 256-bit ECDH key, ID 7F3B7ED4319BCCA8, created
2017-01-01
          "Werner Koch <wk at gnupg.org>"
    [GNUPG:] BEGIN_DECRYPTION
    [GNUPG:] DECRYPTION_INFO 0 7
    [GNUPG:] PLAINTEXT 62 1526109594
    [GNUPG:] PLAINTEXT_LENGTH 69
    There is more to life than increasing its speed.
                    -- Mahatma Gandhi
    gpg: WARNING: message was not integrity protected
    [GNUPG:] DECRYPTION_FAILED
    [GNUPG:] END_DECRYPTION

Точно так же GnuPG выдает предупреждение и в случае, если MDC указывает на то, что письмо было изменено. В обоих случаях, если ваш почтовый клиент принимает это предупреждение во внимание и поступает сообразно — а именно, не показывает вам письма — вы полностью защищены от атаки Efail, ибо она есть не более, чем очередной виток в эксплуатации уязвимости, с которой мы начали бороться еще 20 лет назад.

Если вас обеспокоила Efail, обновитесь до последней версии GnuPG и убедитесь, что ваше дополнение к почтовому клиенту понимает ошибки MDC. Большинство понимает их корректно.

Однако уязвимость все-таки может вас касаться, если вы пользуетесь древними версиями GnuPG (еще из 1.0-й серии, когда нынешняя — это 2.2-я), или же если ваш почтовый клиент неадекватно воспринимает полученные от GnuPG предупреждения. Проблема также могла затрагивать вас ранее, когда вы еще пользовались версиями GnuPG старше 2000 года или невосприимчивыми к предупреждениям почтовыми клиентами.

В начале этого заявления мы озвучили три пункта насчет атаки Efail. Теперь можно их несколько развернуть:

1. Статья озаглавлена некорректно. Это не атака на OpenPGP. Это атака на почтовые клиенты, что не придают значения предупреждениям GnuPG и ведут себя глупо.
   
2. Эта атака направлена на забагованные почтовые клиенты. Правильное применение MDC полностью исключает уязвимость. GnuPG поддерживает MDC еще с лета 2000 года.
   
3. Авторы статьи составили список забагованных клиентов. Стоит пролистать этот список (в самом конце статьи), чтобы узнать, касается ли это вас. Однако не будьте слишком доверчивы, так, к примеру, разработчики Mailpile утверждают, что у них все в порядке, но в статье сказано, что какая-то уязвимость там есть.
   

Авторы сослужили людям добрую службу, систематизировав глючные почтовые клиенты. И мы благодарны им за это. В то же время, мы бы предпочли, чтобы дело было обставлено с меньшим ажиотажем. Куча людей оказалась напугана почем зря.

--

Вернер Кох, Андре Хайнеке, Роберт Хансен.

[0] https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities...

[1] https://www.eff.org/deeplinks/2018/05/disabling-pgp-thunderbird-enigmail

 efail, gnu, gnupg, openpgp, белки истерични

Авторитет по компьютерной безопасности Себастьян Шницель сообщил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы настолько серьезны, что позволяют полностью дешифровать текст писем, в том числе и отправленных ранее писем.

 email, решето

Skype — популярная программа голосового и текстового общения. Она проста в использовании, а с недавним обновлением от Microsoft приобрела ещё и более красивый вид. В этой статье рассмотрим, как установить Skype в Manjaro. Программа отсутствует в стандартных репозиториях и доступна в AUR. Можно инсталлировать двумя способами. Установка Skype в Manjaro через GUI В первую очередь необходимо убедиться, что поддержка AUR включена. Для этого откройте в меню Установка и удаление программ. В правом верхнем углу нажмите на кнопку с изображением «гамбургера» и выберите Настройки. Подтвердите действие вводом пароля. Выберите вкладку AUR и убедитесь, что тумблер его активации во включённом положении, поставьте галочку

Запись Установка Skype в Manjaro впервые появилась Losst.

Состоялся релиз набора дополнительных библиотек и аддонов для Qt5 - KDE Frameworks 5.46. Фреймворк включает в себя более 70 библиотек, часть которых может работать в качестве самодостаточных надстроек над Qt, а часть формируют программный стек KDE. В новом выпуске:

• Решены проблемы в работе KCompletionBox в Wayland;
  
• Различные улучшения в наборе значков Breeze: добавлен значок для virt-manager, значок неактивной видеокарты, а также трей-значки для компонента Plasma Browser, организующего интеграцию различных веб-браузеров с рабочим столом Plasma;
  
• Различные фиксы в KDeclarative для Nvidia;
  
• Многочисленные улучшения и исправления в KIO;
  
• Небольшие оптимизации движка семантического поиска Baloo;
  
• Добавлена подсветка синтаксиса для GDB и файлов gdbinit;
  
• Решены проблемы со сборкой с Qt 5.7 и 5.11 Beta во фреймворке Kirigami.

 kde, kf5, plasma5

SparkyLinux основан на «стабильной» и «тестовой» ветке Debian и использует цикл «roll-release-cycle» (только для тестирования). Он включает в себя набор инструментов и скриптов, которые помогают пользователям легко администрировать и настраивать систему.
Стандартная среда рабочего стола - LXDE, но пользователи могут загружать и устанавливать другие версии Sparky с Enlightenment, JWM, Openbox, KDE, LXQt, MATE или Xfce. Для продвинутых пользователей также существует версия CLI (консольная).
Sparky 4.8 armhf предлагает полнофункциональную операционную систему для одноплатных мини-компьютеров RaspberryPi с менеджером окон Openbox по умолчанию или минимальное текстовое окружение CLI

Основные нововведения:

• новые ISO-образы получили возможность выбора локализации при загрузке и в момент установки (в момент установки доступны бразильский, английский, немецкий, итальянский, польский и португальский);
  
• реализовано полное шифрование диска с помощью Calamares 3.1.12;
  
• APTus обновлен до версии 0.4.0, это позволило получить возможность установки многих популярных приложений;
  
• sparky-xterm обновлен до версии 0.2.0, и теперь использует прозрачность tilda или xterm, как и раньше, для всех инструментов;
  
• добавлены пакеты: xinit (обеспечивает команду startx) и bleachbit (для очистки системы);
  
• Ядро обновлено до версии 4.9.88 (PC) и Linux 4.14.34 (ARM);
  
• удаленные пакеты: gksu, gdebi, reportbug, sparky-fontset.

 sparky

кандидат на основную систему. пакетов не хватает, но из необходимого удалось собрать ranger (через одно место) и воткнуть аудио-конвертер с помощью setup.py. остальное [вроде] имеется. в общем, я хотел сказать только, что этот дистр явно следовало бы рекомендовать начинающим ->и русскоязычным] линуксоидам вместо mint-а или ubuntu. кстати, в системе нет qt4. совсем. pisi sr qt4

>>> Просмотр
(1600x900,
152 Kb)

 kde5, pisi

eiffel-iup — это обёртка для графического тулкита IUP, позволяющая использовать его с Liberty Eiffel — реализацией языка программирования Eiffel от GNU.

IUP — мультиплатформенный тулкит, позволяющий компилировать один и тот же код на разных системах без модификаций. Характерен высокой производительностью и простотой использования. Поддерживаются бэкенды GTK+ (для Linux/FreeBSD), Motif (для SunOS/IRIX/AIX) и Win32 API (для Microsoft Windows XP/2003/Vista/7).

В этой версии обёртки улучшено покрытие возможностей IUP, в том числе учтены некоторые нововведения и изменения в IUP 3.24, а также добавлены примеры и руководство.

Примеры нововведений:

( читать дальше... )

 eiffel, iup