IDEC identity @ idec.talks : Difrex(mobile) to All

== IDEC Identity

Я придумал несколько вариантов, как мы можем шарить юзеров. Думаю, что можно пообсуждать.
Общая тема этого - использование gpg для подтверждения и шифрования.

В чем приимущества gpg:
- есть везде
- прост, как полено
- сеть доверия
- можно передавать секреты без всяких ssl

Все будет рассматриваться на примере 3-х нод, операторы которых подняли некий абстрактный(реализации нет)
сервер авторизации, добавили и подписали ключи друг-друга.
Так же, мне кажется, что эта штука может служить генератором points.txt.

== Вариант № раз

Identity service предоставляет API, например, по ~POST /x/i/points~. Запрос поинтов с ноды должен быть в виде
plain text сообщения подписанного ключом запрашивающего и зашифрованного публичным ключом целевой ноды.

Структура сообщения мне предсталяется как-то так:

====
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

idec/ok
sync
-----BEGIN PGP SIGNATURE-----
SIGNATURE
-----END PGP SIGNATURE-----
====



Нода, получившая этот запрос, расшифровывает полученный запрос, проверяет валидность подписи и степень доверия
к ключу запрашивающего, после чего парсит запрос и отдает список поинтов в формате points.txt(подписынный и зашифрованный конечно же).

== Плюсы

1. Реализуется с минимумом усилий
2. Очень все просто

== Минусы

1. Все поинты со всех нод хранятся на каждой из нод
2. Если подламывают одну из нод, то утекают все поинты сети

== Вариант № два

Identity сервис предоставляет API для валидации и проталкивания(push) поинтов.

== Валидация

На ноду приходит запрос требующий authstring, но соответсвующего поинта на ноде не существует.
Итак, с этим authstring делаются запросы на ноды-соседи. Сообщение запроса примерно такое(шифрованное):

====
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

idec/ok
validate
authstring
-----BEGIN PGP SIGNATURE-----
SIGNATURE
-----END PGP SIGNATURE-----
====



Если поинт существует, то возвращается(подписано и шифровано) true, никнейм и адрес поинта. Нода открывает
сессию(например, на 12 часов) для этого поинта и хранит данные авторизации в памяти без записи в points.txt. Можно добавлять что-то в адрес, чтобы было видно, что это не родной поинт этой станции.

== Проталкивание

Отправляем строку поинта на станции-соседи. Принимающая сторона записывает поинта в points.txt. Все.

== Плюсы

- Безопасно, при подломе станции все поинты не утекут

== Минусы

- Чуть сложнее, чем вариант номер раз.


Мне видится предпочтительным второй вариант. PoC постараюсь выложить в ближайшее время.
Обсудим?

Re: Вопросы по /u/push @ idec.talks : Andrew Lobanov to vit01

AL>> И вот это тоже чревато, хотя подделку сообщений я не понял. Принимать только новые сообщения и всё. Таким образом замены не будет. Или об чём речь?
vit01> Подделка сообщений в том плане, что пушер может писать что угодно от имени любых поинтов. То есть он может закинуть в сообщения любые метаданные и любой текст, который захочет.

Так не только пушер. Любой даунлинк. Пушить имеет смысл узлу, а поинту это нафиг не сдалось. А если я принимаю сообщения с узла, то могу от него и фетчем получить что попало. Раздавать же доступ на пуш поинту вообще не нужно. Это я уже понял =)

vit01> Поведение при уже присутствующих сообщениях в базе - это уже совсем другая история. Это должно настраиваться в конфиге ноды. Либо разрешать перезаписывать, либо только на добавление. Какое поведение сейчас стоит на моей ноде, уже не помню (это дано на откуп транспорту БД).

Я придерживаюсь игнорирования дублей. Никакой перезаписи, только тоталитаризм =)

AL>> Пока склоняюсь к мнению, что есть отдельный список пользователей, которым можно пушить. Вообще отдельно от поинтов и только для пуша чтоб. Тогда можно будет прописать даунлинка и он сможет слать сообщения со своего узла даже без белого ойпи.
vit01> Почему бы и нет. Только поаккуратнее с теми, кому доступ даёшь. Либо пуш-рассылку с подконтрольной себе станции делаешь, либо только от тех, кому доверяешь.

Ну я пока только умозрительно, но зато с пушем можно будет держать полноценный узел на телефоне даже =)

Re: Вопросы по /u/push @ idec.talks : vit01 to Andrew Lobanov

vit01>> Пользователям пушить нельзя, потому что так они могут подделывать сообщения в базе.
AL> И вот это тоже чревато, хотя подделку сообщений я не понял. Принимать только новые сообщения и всё. Таким образом замены не будет. Или об чём речь?

Подделка сообщений в том плане, что пушер может писать что угодно от имени любых поинтов. То есть он может закинуть в сообщения любые метаданные и любой текст, который захочет.

Поведение при уже присутствующих сообщениях в базе - это уже совсем другая история. Это должно настраиваться в конфиге ноды. Либо разрешать перезаписывать, либо только на добавление. Какое поведение сейчас стоит на моей ноде, уже не помню (это дано на откуп транспорту БД).

AL> Пока склоняюсь к мнению, что есть отдельный список пользователей, которым можно пушить. Вообще отдельно от поинтов и только для пуша чтоб. Тогда можно будет прописать даунлинка и он сможет слать сообщения со своего узла даже без белого ойпи.

Почему бы и нет. Только поаккуратнее с теми, кому доступ даёшь. Либо пуш-рассылку с подконтрольной себе станции делаешь, либо только от тех, кому доверяешь.

Re: Вопросы по /u/push @ idec.talks : Andrew Lobanov to vit01

AL>> 1. Бандл в сабжевой теме принимается в формате msgid:base64?
vit01> Да, и, как помню, многострочный. Смотри в доки и в мои исходники

Ну да. Такой чисто наш бандл. Понял =)

AL>> 2. Лучше делать отдельную авторизацию для принятия сообщений или разрешить доступ на пуш тупо всем пользователям?
vit01> В PHP-ноде пуш доступен по админскому паролю. То есть только сам сисоп может пушить.

Вот в таком виде я бы не хотел, наверное, делать.

vit01> Пользователям пушить нельзя, потому что так они могут подделывать сообщения в базе.

И вот это тоже чревато, хотя подделку сообщений я не понял. Принимать только новые сообщения и всё. Таким образом замены не будет. Или об чём речь?

vit01> Эта фича была создана для наших собственных служебных скриптов. Например, если на сервере отсутствует Cron или мало белых айпишников.

Да я вот задумался над работой ноды чисто "на исходящих". Такой не критичный юзкейс, но хрен его знает что от наших доблестных законотворцев и судей ждать дальше. Нужно подготовиться заранее =)

Пока склоняюсь к мнению, что есть отдельный список пользователей, которым можно пушить. Вообще отдельно от поинтов и только для пуша чтоб. Тогда можно будет прописать даунлинка и он сможет слать сообщения со своего узла даже без белого ойпи.

Re: Вопросы по /u/push @ idec.talks : vit01 to Andrew Lobanov

AL> 1. Бандл в сабжевой теме принимается в формате msgid:base64?

Да, и, как помню, многострочный. Смотри в доки и в мои исходники

AL> 2. Лучше делать отдельную авторизацию для принятия сообщений или разрешить доступ на пуш тупо всем пользователям?

В PHP-ноде пуш доступен по админскому паролю. То есть только сам сисоп может пушить.

Пользователям пушить нельзя, потому что так они могут подделывать сообщения в базе.

Эта фича была создана для наших собственных служебных скриптов. Например, если на сервере отсутствует Cron или мало белых айпишников.

Вопросы по /u/push @ idec.talks : Andrew Lobanov to All

Возникло два сабжа.

1. Бандл в сабжевой теме принимается в формате msgid:base64?
2. Лучше делать отдельную авторизацию для принятия сообщений или разрешить доступ на пуш тупо всем пользователям?

Re: OpenBSD на FAT @ openbsd.talk : gk11 to Sergey_vl

нет. и в loopback файл тоже нельзя

установить можно только строго в primary-раздел, раздел должен иметь тип A6, и раздел типа A6 должен быть только один на жёстком диске. это и будет диск a:

вероятно, как-то можно засунуть всю систему в ramdisk, но как это надо детально разбираться, я так и не понял, как это делается - но это уже live система

OpenBSD на FAT @ openbsd.talk : Sergey_vl to All

А возможно ли установить и использовать OpenBSD на FAT с использованием UMSDOS или WUBI? Не хочется ломать имеющийся раздел... Возможно как Frugal установка PuppyLinux`а.

Re: idec нода @ idec.talks : Andrew Lobanov to 1i8r4

>> Выглядит как будто эхи есть в конфиге, но отсутствуют в базе. Они у тебя точно сфетчены?
1i8r4> Да сфетчены, постоянно фетчер работает...

Тогда очень странно. А клиентом они забираются?

1i8r4> Или надо его запускать с какими-то параметрами, чтобы сделать что-то вроде первого инит?

Нет. Он сам всё сделает при первом запуске.

1i8r4> Вот кусок лога фетчера...

Ну толку от него мало. Понятно только что он не нашёл новых сообщений =)

У тебя фетчер без ключа -o запускается? Если так, то попробуй запустить руками с этим ключом. Только базу сбекапь, так как там навалит все сообщения с аплинков.

Re: чудны дела твориться начали @ openbsd.talk : gk11 to gk11

> - choocolate-doom обновился до 3.0.

и требует хардварного ускорения. здрасьте, приехали. нафиг он такой тогда вообще нужен, и чем он от портов отличается?

Re: idec нода @ idec.talks : 1i8r4 to Andrew Lobanov

>Выглядит как будто эхи есть в конфиге, но отсутствуют в базе. Они у тебя точно сфетчены?
Да сфетчены, постоянно фетчер работает...

Или надо его запускать с какими-то параметрами, чтобы сделать что-то вроде первого инит?

Вот кусок лога фетчера...
======

./fetch-idec.sh
Работа с ii-net.tk/ii/ii-point.php?q=/
Получение списка возможностей ноды...
Получение количества сообщений в конференциях...
Получение индекса от ноды...
Построение разностного индекса...
Новых сообщений не обнаружено.
Получение индекса файлэх.
Построение разностного индекса.
Работа с idec.spline-online.tk/
Получение списка возможностей ноды...
Получение количества сообщений в конференциях...
Получение индекса от ноды...
Построение разностного индекса...
Новых сообщений не обнаружено.
Получение индекса файлэх.
Построение разностного индекса.
Работа с ii.club.syscall.ru/
Получение списка возможностей ноды...
Получение количества сообщений в конференциях...
Получение индекса от ноды...
Построение разностного индекса...
Новых сообщений не обнаружено.
Получение индекса файлэх.
Построение разностного индекса.
======

Re: 6.2 и 6.3 @ openbsd.talk : Peter to igor

> Релиз таки состоялся. Инфа на openbsd.org
Супер! Обновляемся... Рад, что есть новый firefox и по vmd прогресс.

Re: 6.2 и 6.3 @ openbsd.talk : igor to gk11

Релиз таки состоялся. Инфа на openbsd.org

Re: idec нода @ idec.talks : Andrew Lobanov to 1i8r4

1i8r4> AL, Сабж, видимо голова последнее время стала туго соображать, почему нода через веб морду не показывает количество сообщений? И когда запрыгиваешь в какую-нибудь эху показывает пусто, мол давай напишем новое сообщение...
1i8r4> Куда они могли пропасть? Где что глянуть, чтобы всё норм было. Есть какие идеи?

Выглядит как будто эхи есть в конфиге, но отсутствуют в базе. Они у тебя точно сфетчены?

idec нода @ idec.talks : 1i8r4 to All

AL, Сабж, видимо голова последнее время стала туго соображать, почему нода через веб морду не показывает количество сообщений? И когда запрыгиваешь в какую-нибудь эху показывает пусто, мол давай напишем новое сообщение...

Куда они могли пропасть? Где что глянуть, чтобы всё норм было. Есть какие идеи?

Re: хабработ @ idec.talks : vit01 to Difrex(mobile)

> Кстати, хочу пушить хабр куда-нибудь не к себе. ii 0.3 течет и виснет(!!!). Кто готов принять траффик?

Присылай ко мне, если хочешь. У тебя же есть authstr. Только проверь, чтобы дубли не возникли

Re: Нодлист @ idec.talks : Difrex(mobile) to vit01

vit01> На моём сегменте ничего не поменялось. За исключением того, что теперь ii.difrex.ru не гейтуется (она сейчас недоступна)
Кстати, хочу пушить хабр куда-нибудь не к себе. ii 0.3 течет и виснет(!!!). Кто готов принять траффик?

Re: 6.2 и 6.3 @ openbsd.talk : gk11 to gk11

в CVS появилась ветка 6.3

наверное, релиз будет на днях

Re: Нодлист @ idec.talks : vit01 to Andrew Lobanov

AL> Собираюсь актуализировать сабж и схему сети. Просьба выслать свои актуальные сегменты.

На моём сегменте ничего не поменялось. За исключением того, что теперь ii.difrex.ru не гейтуется (она сейчас недоступна)

Re: idec-mobile @ idec.talks : btimofeev to vit01

vit01> В клиент добавлено "умное цитирование" по образцу фидошного клиента HotDogEd

Попробовал только сегодня, все руки не доходили собрать приложение. Фича крутая, очень удобно теперь! Спасибо!

Re: Таверна недоступна @ idec.talks : Andrew Lobanov to Andrew Lobanov

AL> По независящим от меня причинам сегодня сабж как минимум до 13:00 MSK. Приношу свои извинения.

Энергетики подали питание раньше.

Таверна недоступна @ idec.talks : Andrew Lobanov to All

По независящим от меня причинам сегодня сабж как минимум до 13:00 MSK. Приношу свои извинения.

Re: Нодлист @ idec.talks : Difrex(mobile) to Andrew Lobanov

Свой нодлист актуализировал, забирать тут: dynamic.lessmore.pw/nodelist.json

Нодлист @ idec.talks : Andrew Lobanov to All

Собираюсь актуализировать сабж и схему сети. Просьба выслать свои актуальные сегменты. Текущий нодлист можно взять на фреках таверны. Файл nodelist.json.

6.2 и 6.3 @ openbsd.talk : gk11 to All

15 апреля выходит 6.3

а песня по 6.2 так и не вышла... до сих пор висит coming in december... уже второй декабрь ждём

Re: Сказки про INSTEAD: зачем он нужен? @ std.club : Andrew Lobanov to Peter

>> Может быть подойти к вопросу не только творчески, но и любительски-научно? :) Исследования, можно сказать, уже осуществляются здесь на уровне бесед в свободной форме.
Peter> Имхо, это опасная тенденция. Так ведь и в секту чего доброго превратиться можно. ;)

Хорошая шутка! Прям поднял настроением %)

Re: Сказки про INSTEAD: зачем он нужен? @ std.club : Peter to Anotheroneuser

> Может быть подойти к вопросу не только творчески, но и любительски-научно? :) Исследования, можно сказать, уже осуществляются здесь на уровне бесед в свободной форме.

Имхо, это опасная тенденция. Так ведь и в секту чего доброго превратиться можно. ;)

Re: Сказки про INSTEAD: зачем он нужен? @ std.club : Anotheroneuser to Peter

В одной из эх читал рассказ парня студента об обычной студенческой жизни.
Он отмечал, что «затягивает рутина», теряешь много времени и сильно утомляешься (читай — рассеиваешься), пользуясь современными узлами массовой информации (youtube и проч). В результате, как он отметил далее, чувствуешь упадок сил, расстройство, общее угнетённое состояние.

То же самое переживает сейчас большинство населения России и, пожалуй, всего мира. Но в России это чувствуется намного серьёзнее, поскольку, как отмечают некоторые умные люди, у нас сохраняется ощущение необходимости искать смысл жизни.

Поэтому,
> наше творчество помогло
имеет сейчас весьма немалое значение.
Может быть подойти к вопросу не только творчески, но и любительски-научно? :) Исследования, можно сказать, уже осуществляются здесь на уровне бесед в свободной форме.

Re: idec-mobile @ idec.talks : l1br4 to Andrew Lobanov

Нормально. Тоже мне баг ;?

... перевел авалон на https @ idec.talks : l1br4 to All

И сегодня упало такое электрописьмо в почту... ребята из EFF, Let'sEncrypt и разрабы Certbot, я с вами.

======
>Dear Supporter of Digital Freedom,

>I want to thank you for using the Electronic Frontier Foundation’s Certbot to enable HTTPS on your webserver. Each cert brings us closer to our goal of encrypting the entire Internet and defending user privacy and free expression. I also want to thank you for signing up to learn more about EFF and the fight for your rights!

>If you did not subscribe, or did so by accident, please click here to unsubscribe.

>Certbot is part of a growing number of EFF technology projects designed to protect your online freedom. EFF helped develop Let’s Encrypt, the free SSL certificate authority expanding the availability of encryption and taking the web by storm. We created HTTPS Everywhere to help ensure that users connect to websites securely. We also maintain Privacy Badger, a free browser tool that helps hundreds of thousands of Internet users block third-party scripts and cookies that track users across the web. EFF works on the side of ordinary users and advanced developers alike because together, we can build a safer, more privacy-friendly web.

>This is just a taste of what thousands of EFF members have accomplished over the last 26 years. Here is what you will see on the EFF mailing list:

>EFFector: our bimonthly newsletter about technology, law, and your rights.

>Action Alerts: high-priority alerts when a breaking issue needs your attention.

>Special invitations to events in your area and opportunities to support EFF.

>You can also follow EFF's work on Facebook, Twitter, and Google+!

>If you like Certbot, please consider donating to EFF or becoming a member to support projects like these and help widen the path to a better digital future. Thanks!

>Fighting for your online rights,

>Aaron Jue
>EFF Development Director

======

Лента сообщений