有些保險、或各種業務,會加使用者Line,以Line傳證件的方式填寫申請書的證件影本
除了資安疑慮外,因為這種影本都是使用者自己拍攝或掃描,沒有加註「限申請OO用它專用」,業務如果偷拿使用者影本做其他用它,使用者也不知道證件影本被冒用
民間企業我就管不著了,我不是他們的股東。我只管政府,因為要寫論文
這種銀行跟使用者私下往來我覺得嚴重程度不小於政府機構,但總歸就是使用方式不正確的問題(攤手)
但是,通訊軟體取代傳統電話、E-mail…的現在,要注意的事情確實多更多
所以把 keybase 買下來後有沒有改善安全性問題啊(後續沒在關注
我不知道他怎麼有辦法把github上都有的東西拼起來還能搞成這樣
zoom直接突然沒聲音,然後也不重連甚至沒告訴你斷線了
skype和discord甚至google meet都比它正常運作
Zoom最大的問題不是幫助言論審查嗎?
特定人士的會議是直接被關閉的
是說 google meet 的視訊會議跟以前個人用的 google hangout 差在哪?看起來介面功能一模一樣啊?
就我的觀察,不論是在台灣和中國,公務員的軟體使用習慣和一般使用者沒有太大差距。在中國也不會因為你是黨員,就棄蘋果該用華為,好啦也許學習強國還看了不少(大誤
台灣就,,,(溜煙
所以公務人員若還在使用聲名狼籍的通訊軟體,也就絲毫不令人意外了
因為聽說,但就是聽說Zoom去年封鎖了一些支持六四民運人士的帳號,加上那家公司的老闆過去是中國人,所以就越描越黑了
也不是說公家機關愛用,他們就長官指示用什麼就用什麼,啊能用的就是得標的廠商提出的方案,不然怎麼辦?
就我所知,公部門大部分都移轉到webex跟其他的視訊會議軟體,很少還在用zoom。
政府機關已經禁用zoom,不太可能發生公家機關很愛用的狀況。
比較常見是外國主辦方本身是用zoom,只是與會角色,才有可能配合使用zoom。
香港是學生在家上課也用 Zoom,我母校的學生還試過反映要求撤掉……
+1
我目前認為比較好的方式就是Discord,群組聊天也能視訊,只是不知道跟clubhouse比如何?
比方說,營運方是某個公家機關,就直接用公家機關的伺服器自己開視訊
個人比較難這樣,但政府機關,照理說應該完全自己host甚至中華電信開發的服務
如果真的要擔心伺服器在中國,那政府機關自己設伺服器上很合理的做法
不過自己host可能逆風了(不搞資料中心,自蓋機房)
不同海外或國際開源組織多用Big Blue Button 或 Jitsi 開源視頻軟體
想問問在 Ubuntu 或 Linux 上,Teams 有沒有程式?表現如何?
好用安全的群組交換密鑰的方式,這種東西真的有人搞定嗎
如果要考慮 client 本身就不一定可信,問題就更複雜了
傳統電話是線路交換,除非越洋否則不會突然轉到共產黨機房裡去。怎麼聽都是在國內,風險相對小。
但是voip跟視訊都是網路分封交換,你沒法控制供應商的路由怎麼跑。
我個人是不太希望 m$ google 買通訊軟體就是
你也很難確定供應商背景到底有沒有共產黨影子,server到底有沒有偷轉資料
discord 本来定位就很尴尬呀,一直冲不出小圈子
如果开源+e2e 基本不用理会服务器怎样了,除非从证书上做手脚
所以E2EE才會越來越受重視,因為服務提供者不再可信。
問題就在於,你還是要經過服務器交換證書,除非你有另外的 communication channel
存一份在伺服器上嗎?但那就沒 e2ee 的意義了啊?
理想上,服務器交換的是public key,金鑰只在你手上。
然後你怎麼知道伺服器是不是偷偷混了路人的pub key 進去?
跳出 dialog 問這隻 pub ke y你認不認識?
你可以實際用看看element,看matrix怎麼實作這一段。
目前Mozilla跟Element官方都有提供現成的服務,可以去體驗看看,不然一言難盡。
邮件PGP 系统就是通过服务器发布和获取pub key的,被认为是安全的。
有兩種模式,好用跟嚴謹,你可以自由選擇。他把選擇權交到你手上
你要理想上的E2EE那就是嚴謹偏執模式 :D,server不會保有任何金鑰,你的金鑰自己保管備份,遺失所有訊息就爆掉。
現實情況 opt-in 就是沒有
Line 也說可以 opt-in
裝Edge用Edge開就好了啦,裝個東西整人沒比較好
如果想要好用一點,你就要讓server幫你備份金鑰(金鑰透過你的密碼加密不是直接放server,那太蠢。)當你裝置遺失,或要移轉的時候,可以直接還原。
那就有了另一個問題,密碼問了怎麼辦?要允許若密碼嗎?恢復方式呢?
github recovery code沒抄怎麼辦?
github 基本都還有 mail reset,反正資料對 github 本來就公開的
user 的錯誤,不該由server這邊來承擔後果啊
安全是很重要,但是為了安全做得難用會直接 out,那個服務可能沒辦法做大道有機會被這樣拿來討論
所以剛剛討論的是,安全跟方便的一個平衡,看你想要方便多一點,還是安全多一點。
但群組加密的另一個問題是,只要有一人 opt out,其他人做得再嚴謹都沒意義了
不是硬要拿一個很安全卻超難用的東西出來,要叫大家用。重點是,你有得選擇。
有辦法允許部分人 opt out 要不 compromise 其他人的安全性嗎?
所以 Line 選擇 opt-in 這樣沒問題吧?
如果指element/matrix的話,會議室有分加密與未加密,你加入加密聊天室,所有訊息就得加密。
密碼安全也是類似的問題就是
要人抄 recovery code
二階段密碼也是類似的問題就是
強制二階段密碼的話
要人抄 recovery code 會有人忘了抄
不設密碼規則會有人射超弱密碼
設了密碼規則會有人忘了新密碼
要求硬體加密會有人把 ubikey 洗衣機
不設密碼規則有人設超弱密碼
設密碼規則每次都重設密碼
這就是目前密碼制度的問題啊!還不用2FA喔!
一體兩面,安全跟方便的天平看你比較想往那一邊靠一點。重點是提供你選擇,而不是只能超安全或超方便。
但2FA則是
忘記抄恢復碼
手機使用Google Auth,換手機就GG
選之前,先看懂遊戲規則,知道自己在幹麻。出事就自己換門換鎖。
這就像,怕小偷所以大門裝鎖,結果自己忘記帶鑰匙,你會幹爆鎖還是幹爆自己?
兩種並存或許是最好的主意,寧願丟掉也不想讓路人知道的就 private room,丟掉本身就是最大的問題的就 public room
話說啊 那個 ubikey 有沒有自己來的版本?之前有找過類似方案,想要弄一些出來做測試,結果發現開源的都是要改電路...0rz
我自己還沒裝 ubikey ,但真的裝的話我也想找非強制,起碼ubikey那一天鏽蝕了還能用Auth
我是希望Yubico能在台灣賣(不透過蝦皮,代理還是啥都好)
你可以買solo key hack edition回去自己改
我的想法就是不需要用特殊的硬體 ,看有沒有什麼方式可以用軟體把一般隨身碟變成可以符合FIDO規範的
這種東西如果講求嚴謹一點的話,最好還是原廠直購,你不知道代購來的是啥東西。
嗯,我也是希望他直接來台灣賣,代購無法確定它是否給的是原廠的
如果是商用key,且要過FIPS-3的話,一定要能防實體攻擊。所以通常硬體也是需要被處理的
所以yubikey之所以包成那樣,就是除了軟體以外,硬體防護也要處理。隨便找一隻隨身碟,你的key要存在那都是問題。
是說如果要自幹的話,可以看Google openSK
Yubikey 5的功能很多並不在fido2/u2f的要求中
弄一隻這個開發板,再塞個openSK就可以開始玩了。至少不用自己洗板子,黑手最愛
Yubikey 5超前佈署 fido2/u2f只是他的小小小小功能之一而已
如果只是要fido2他有一個單純fido2版本,便宜多了。
我的Google Play Services好像有bug
剛上面有人說solokey,靠腰solo v2終於要出,望穿秋水。
我想過自己來,不用那麼嚴謹,用量產工具,把一串hash 寫到隨身碟上,然後認證的時候去讀取隨身碟的資訊..
已經在集資了,我這隻yubikey4終於可以準備丟了。
那樣應該就沒辦法相容標準驗證協定喔,只能在自己設計的系統用。
我是覺得如果這種極端注重隱私的用戶夠多平台方就會想要做全都要的方案了啦,自選平台託管或者直接自己留Key這樣
Protonmail是Inbox Password爆炸就爆炸
trezor 是支持 PGP 的,所以如果是炒币的,可以直接拿来用