Re: [ml] Post Conclusivo (Xorro Chat)

MultiTaskinG wrote:

> Io ero in una lan aziendale strablindata

Una lan che lascia navigare sulla 80 lascia tipicamente usare qualsiasi
altro protocollo a chi sia sufficientemente esperto da saperlo fare.

I.E. HTTPtunnel http://www.nocrew.org/software/httptunnel.html

Ma non pretendo che la gente googli prima di reinventare la ruota...

>  acl CONNECT method CONNECT
>  acl All_ports port 1-65535
>  http_access deny CONNECT All_ports

Leggere il manuale aiuterebbe, la configurazione ha un errore che lascio
come esercizio al lettore :)

> E' errato dire "Xorro è una ciofeca" perchè se vai su bugtraq escono
> tante di quelle vulnerabilità se scrivi "http server" ....

Guarda, io non saro' capace di spiegarmi, pero' te l'han gia' detto
talmente in tanti che a questo punto ci rinuncio a farti capire perche'
usare un protocollo sopra un protocollo enorme e complicato sia male.

> girare dei php. Non sono previste/consentite connessioni dirette tra un
> client e l'altro.

E questo e' male.

> 3) Volevamo procedere nel modo più semplice possibile 

ROTFL !

> 4) Perchè non abbiamo usato JABBER con SSL ?

Veramente vi e' stato suggerito GAIM con GAIM-Encryption, ma forse la
distinzione e' troppo sottile per essere vista...

> b) perchè JABBER non consente una cifratura END-2-END.

Come sopra.

> Qui c'è la prova (per chi è abituato a fidarsi dei bei curriculum  ;-)

ironia fuori luogo, ma lassem perd...

> (si certo si può ovviare,a tutto si può ovviare, ma mi pare di capire
> che le soluzioni a questo problema siano a pagamento)

Ma figuriamoci...

> irc non consente neanche la ricezione di messaggi offline a dirla
> tutta...  non si mette nel systray,

... qualche OS che non sia windows, qualche rete che non sia ircnet, e
qualche client che non sia mIRC ?

> non consente avatar, suoni e cose
> carine

Deo gratias...

Dunque, riassumiamo i punti sopra.

Il vostro problema si risolveva usando GAIM + GaimEnc + eventualmente
HTTPtunnel.

> Io immagino che anche queste persone all'inizio credevano di reinventare
> costantemente la ruota eppure.... 

Parti dal presupposto che le abbiano "inventate" dal nulla.

Per "inventare" qualcosa di crittografia bisogna CONOSCERE lo stato
dell'arte, che avete dimostrato ad ogni pie' sospinto di non conoscere.

> nei
> pacchetti TCP c'è scritta la provenienza dell'app ? (es. xorro.exe ?)

Aggiungi alla lista di libri da leggere: "Internetworking with TCP/IP"

> considera anche che "|OK" è la prima cosa che domani cambieremo  nelle
> risposte del php ;-)

Qualunque cosa fissa e computabile tu ci metta, soffrira' dello stesso
problema (HINT: cerca "steganografia" su google)

> fatto che Xorro potrebbe essere riconosciuto come un "esercizio di stile".

Oh, si'... esattamente !!!

> bestemmie e maledizioni che mi pare brutto metterli online :-) , inoltre
> spesso e volentieri modifico i sorgenti più volte al giorno...

Pensa te che cretini quelli che sviluppano il kernel e lo fanno :)

Mai sentito parlare nemmeno di CVS, Subversion....

Bha !

> Una macchina da 350 euro ci mette un bel po' per craccare un hash MD5 di
> una password di oltre 20 caratteri. 

Hint: esiste un trade off tra spazio su disco, semplicita' delle
password e tempo di forcing.

Hint: "rainbow tables" su google

Hint: file di password senza un salt non si vedevano dal 1980 credo.

> HTTP. Troviamo insieme tutti i punti bloccabili e riflettiamoci per
> aggirarli no ? Ogni aiuto è ben accetto !!!

Questo e' l'approccio sbagliato.

L'approccio giusto sta nell'usare google e cercare informazioni
sull'anonimizzazione steganografica dei protocolli. Se proprio uno vuol
fare una cosa del genere. Che, beninteso, non serve assolutamente a
nulla, perche' e' l'approccio che e' sbagliato dalle fondamenta.

> Nell'output del server ci sarà quindi un hash md5 nella forma STR1 (che
> è segreta da pagina https quindi con SSL) + testo inviato + str2 (appena
> generata dal server). 

C'e' un errore, ma visto che il mio curriculum ti da' tanta noia lo
lascio come esercizio al lettore.

HINT: str2 il client come la riceve ?

> Questa è una mutua autenticazione ;-)

No, e' l'ennesimo errore.

> 4) Non essendo attualmente un vero Vernam, aggiungeremo a breve la

READ - MY - LIPS:

non diventera' mai un cifrario di Vernam.

Gli interlocutori dovrebbero PRE SCAMBIARSI, FUORI LINEA, un blocco di
dati casuali da usare come chiave grande QUANTO i messaggi da trasmettere.

L'entropia NON c'entra nulla, e comq evidentemente non hai chiaro cosa sia.

> Ma il problema di
> fondo è che se uno ha SSL potrebbe non avere bisogno di usare Xorro.

E meno male che ogni tanto le illuminazioni colpiscono la gente :)

-- 
Cordiali saluti,
Ing. Stefano Zanero
---------------------------
Secure Network S.r.l.
www.securenetwork.it