Spotify non abbandona Windows Phone

Io decritto
Mah, io decritto il database whatsapp da almeno 3 anni.Devi avere il file key a cui accedere rootando il terminale, ma poi se ti copi periodicamente i file cryptx ti leggi anche le conversazioni eliminate da una settimana.Io non credo a queste scemenze che il governo USA chiede a questo o quel vendor.Facebook e Whatsapp che ora fanno parte della stessa famiglia sono già piegati a 90° alla NSA.

Re: Io decritto
C'è una cosa che non mi è chiara: il brute force (per quanto riguarda iOS) potrebbe anche fallire, giusto? Il brute force va eseguito per forza sul proXXXXXre dell'iPhone e non su quello esterno (quindi niente mega server farm), in caso di password di 11 caratteri il brute force impiegherebbe oltre 100 anni se ho ben capito, quindi il brute force non è una garanzia di acXXXXX ai dati ...

Re: Io decritto
- Scritto da: an0nim0> C'è una cosa che non mi è chiara: il brute force> (per quanto riguarda iOS) potrebbe anche fallire,> giusto?No perché nel caso di Apple si parla del PIN.E il PIN aveva 9999 combinazioni possibili fino a poco fa, portate poi a 999999.Entrambi i numeri sono ampiamente insufficienti di fronte a qualsiasi attacco automatizzato che non abbia vincoli

Re: Io decritto
Soprattutto quando hai una versione fw ad hoc ...

Re: Io decritto
- Scritto da: .o0O0o.> - Scritto da: an0nim0> > C'è una cosa che non mi è chiara: il brute> force> > (per quanto riguarda iOS) potrebbe anche> fallire,> > giusto?> > No perché nel caso di Apple si parla del PIN.> E il PIN aveva 9999 combinazioni possibili fino a> poco fa, portate poi a> 999999.> Entrambi i numeri sono ampiamente insufficienti> di fronte a qualsiasi attacco automatizzato che> non abbia> vincoliBeh, sei cifre qualcosa sono già. Ma non è tanto il numero di cifre che mi interessa, ovvero di 10^n tentativi (dove n è il numero di cifre, con tentativi eseguibili da computer esterno con output connesso all'input keyboard del dispositivo), quanto il riconoscmento del sucXXXXX della violazione: finchè digito key invalide ottengo una trascodifica errata, ma è solo l'interpretazione umana a capire se i dati trascodificati hanno senso o meno. Oppure non è così, e la key digitata funziona come un pin anzichè come una chiave di trascodifica? perchè se funziona come un pin è una protezione abbastanza debole: se ti lascia entrare sei sicuro di trascodifica corretta, non hai bisogno di verifiche "umane".Per inciso, il "brute force" non può fallire, caso mai puoi decidere di rinunciare se richiede troppo tempo in rapporto alla potenza di intervento che hai. Nella letteratura sull'argomento viene evidenziato il tempo massimo, come se solo l'ultimo tentativo andasse a buon fine, ma se casualmente sei fortunato te la puoi cavare in tempi ragionevoli. Oltretutto, nella riduzione a numero di digit fisso (6 nel nostro caso piuttosto che 4), malgrado tecniche di numeri primi ed altro, necessariamente avrai dei "ghost pin", dei sinonimi di pin, che anche se non "legittimi" corrispondono comunque allo sblocco del dispositivo...-----------------------------------------------------------Modificato dall' autore il 15 marzo 2016 02.37-----------------------------------------------------------

fumo negli occhi
ma non crederete davvero al gioco del "poliziotto cattivo" contro lo "strenuo difensore dei diritti civili" vero?

Re: fumo negli occhi
- Scritto da: ...> ma non crederete davvero al gioco del "poliziotto> cattivo" contro lo "strenuo difensore dei diritti> civili"> vero?Non ci crede nessuno ed in nessun livello in nessuna cosa.Le persone vengono comprate con il denaro e la visibilità.Una cosa a cui ci si può aggrappare (ci proviamo) è la legge, nel senso se sia legale o meno rivelare i dati degli utenti.

dipende...
End-to-end, ma la chiave dov'è?

Re: dipende...
chi verifica? il sorgente è aperto o chiuso e proprietario?

Re: dipende...
- Scritto da: Novoboni> End-to-end, ma la chiave dov'è?La chiave privata dovrebbe essere solo nel terminale ma evidentemente può essere aspirata ed usata in qualsiasi momento da WhatsApp.E la prova piu semplice è WhatsApp Web.

Re: dipende...
- Scritto da: Jack> - Scritto da: Novoboni> > End-to-end, ma la chiave dov'è?> La chiave privata dovrebbe essere solo nel> terminale ma evidentemente può essere aspirata ed> usata in qualsiasi momento da> WhatsApp.> E la prova piu semplice è WhatsApp Web.E non potrebbe darsi invece che il ponte tra il device ed il browser web utilizzi una chiate tipo https e che non c'entri nulla la chiave privata che poi utilizzerà il device per instradare i dati?alla fine whatsapp web non è altro che un "prolungamento" per poer digitare senza avere per forza il device in mano.

Re: dipende...
- Scritto da: SalvatoreGX> E non potrebbe darsi invece che il ponte tra il> device ed il browser web utilizzi una chiate tipo> https e che non c'entri nulla la chiave privata> che poi utilizzerà il device per instradare i> dati?No.Non c'è alcun ponte diretto browser-device ma browser-whatsapp-device.Poco importa se usano la chiave privata usata per decifrare i messaggi provenienti dagli altri utenti o qualche altro meccanismo, sta di fatto checiò che vedi nel browser arriva dai server whatsapp il che significa che hanno pieno acXXXXX ai messaggi scambiati.

Re: dipende...
CUT> alla fine whatsapp web non è altro che un> "prolungamento" per poer digitare senza avere per> forza il device in mano.Infatti è un emerito accrocchio inutile.