I2P डेवलपर बैठक - 04 अक्टूबर, 2013

20:09:33 <str4d> मीटिंग का समय। कौन-कौन यहाँ है? 20:09:53 * psi यहाँ है 20:10:04 * dg यहाँ 20:11:34 * topiltzin . 20:11:51 <str4d> hottuna, zzz, welterde, kytv: पिंग 20:12:17 * orion यहाँ है 20:13:01 * str4d मीटिंग एजेंडा लोड करता है 20:14:01 <str4d> मैं zzz.i2p तक नहीं पहुँच पा रहा हूँ। क्या कोई और http://zzz.i2p/topics/1480 पर जा पा रहा है? 20:14:35 <str4d> मिल गया। 20:14:43 <str4d> 1) थ्रेट मॉडल 20:14:44 <str4d> 1a) DREAD वर्गीकरण योजना के गुणों पर चर्चा (और आवश्यकता होने पर दूसरी चुनें)। 20:14:44 <str4d> 1b) थ्रेट मॉडल पर चर्चा (और जरूरत हो तो अपडेट)। 20:14:44 <str4d> 1c) थ्रेट मॉडल के अटैक वेक्टर पर DREAD (या अन्य योजना) लागू करना। 20:14:44 <str4d> 2) वेबसाइट रिवैम्प - लॉन्च की तैयारी में जाँच-पड़ताल। 20:14:53 <str4d> 3) रोडमैपिंग। 20:15:22 <str4d> 4) दस्तावेज़ों पर चर्चा। 20:15:41 <str4d> हम पहले ही 0) कवर कर चुके: नमस्ते कहो ;-P 20:15:42 <str4d> 1) थ्रेट मॉडल 20:15:53 <str4d> 1a) DREAD वर्गीकरण योजना के गुणों पर चर्चा (और आवश्यकता होने पर दूसरी चुनें)। 20:17:07 <str4d> जैसा मैंने फ़ोरम पोस्ट में कहा, मुझे लगता है कि I2P के बारे में दूसरों की धारणा सुधारने के लिए हम जो कर सकते हैं, उनमें से एक है थ्रेट मॉडल को बेहतर और स्पष्ट करना। 20:17:29 <str4d> अभी यह एक "wall of text" है, और उपयोगकर्ताओं (और कम-प्रेरित डेवलपर्स) के लिए मुख्य चिंताएँ ढूँढना कठिन है। 20:17:45 <dg> इसे रैंक करना भी मुश्किल है। 20:17:47 <dg> तात्कालिकता आदि को समझना। 20:18:03 <str4d> और किसी सही जोखिम मॉडलिंग के बिना, हमें वास्तव में अंदाज़ा नहीं कि हम सही पहलुओं पर ध्यान दे रहे हैं या नहीं। 20:18:13 <psi> पहले थ्रेट मॉडल का एक संक्षिप्त संस्करण मिल जाए तो बहुत अच्छा होगा, और फिर उसी से आगे निर्माण करें 20:18:23 <str4d> dg: बिल्कुल। 20:18:59 <str4d> मैंने थोड़ा रिसर्च किया, और https://www.owasp.org/index.php/Threat_Risk_Modeling में एक अच्छा थ्रेट रिस्क मॉडलिंग "लेआउट" है, जिसे उदाहरण के लिए Cryptocat अपने थ्रेट मॉडल के लिए उपयोग करता है। 20:19:04 <iRelay> Title: Threat Risk Modeling - OWASP (at www.owasp.org) 20:19:53 <str4d> वे जिस DREAD योजना का वर्णन करते हैं, वह जोखिम की सही पहचान में पूरी तरह प्रभावी नहीं है, मॉडल के डिजाइनर की बाद की पोस्ट में दिए गए फीडबैक के अनुसार - https://blogs.msdn.com/b/david_leblanc/archive/2007/08/13/dreadful.aspx 20:20:49 <str4d> मेरा प्रस्ताव है कि हम ऊपर वाली पोस्ट में दिए गए संशोधित DREAD मॉडल का इस्तेमाल करें, ताकि हमारे अटैक वेक्टर की गंभीरता और प्राथमिकता को मॉडल किया जा सके। 20:20:50 <str4d> चर्चा करें! 20:21:13 <dg> मुझे मॉडल्स देखने के लिए थोड़ा समय दोगे? :) 20:21:40 <str4d> dg: तुम्हें तो पहले ही कर लेना चाहिए था, मैंने उसे फ़ोरम पोस्ट में लिंक किया था... 20:21:44 <str4d> :P 20:21:50 <dg> माफ़ करना 20:22:24 <str4d> (लेकिन मैंने वास्तव में लोगों से ऐसा करने को कहा नहीं, मेरी गलती) 20:23:08 <str4d> DREAD tl;dr - वे किसी थ्रेट को पाँच 1-10 स्केल्स पर रैंक करते हैं, परिणाम जोड़ते हैं और 5 से भाग देते हैं। 20:23:12 <str4d> Damage Potential 20:23:29 <str4d> Reproducibility 20:23:29 <str4d> Exploitability 20:23:29 <str4d> Affected Users 20:23:30 <str4d> Discoverability 20:24:12 <str4d> संशोधित DREAD tl;dr - वही पाँच पैरामीटर, लेकिन 1-3 (निम्न, मध्यम, उच्च) स्केल और "वेटेड" कैलकुलेशन। 20:25:09 <dg> मैं जल्दी-जल्दी पढ़ रहा हूँ; मुझे स्पष्ट रूप से सारे विवरण नहीं पता पर कोई भी संरचित प्रणाली बेहतर है। 20:25:18 <str4d> संशोधित DREAD मॉडल मुझे मूल से अधिक समझ आता है। 20:26:06 <dg> मुझे OWASP के प्रति भी बहुत सम्मान है। :P 20:26:10 <str4d> "अगर हम पाँच घटकों को देखें, तो पता चलता है कि इनमें से कोई भी अत्यधिक सह-संबद्ध नहीं है - एक दूसरे का अर्थ नहीं करता। इसका मतलब है कि हमारे पास स्वतंत्र कारक हैं, जो एक सुदृढ़ मॉडल के लिए सबसे मजबूत मानदंडों में से एक है। अतः हमारा काम इन इनपुट्स को उचित वेटिंग देना सीखना है। WSC में, हमने आपसे कहा था कि उन्हें 1-10 रेट करें, जोड़ें, और 5 से भाग दें। अगर हम कुछ स्पष्ट परीक्षण लागू करें, तो पाते हैं कि damage 1 हो, और अन्य सभी कारक 10 (एक सर्वविदित उपद्रव 20:26:10 <str4d> , जैसे कि पॉप-अप्स) का वज़न उतना ही हो जाता है जितना discoverability 1 और बाकी सब 10 (समझना कठिन, पर ब्रह्मांड का हीट-डेथ करा देता है)। यह स्पष्ट तौर पर खराबी है।" 20:27:10 <str4d> dg: मैं भी। वहाँ और भी कई संभावित उपयोगी मॉडल्स और दस्तावेज़ हैं। 20:27:31 <str4d> किसी और की कोई टिप्पणी? 20:29:50 <str4d> अगर अभी किसी और की टिप्पणी नहीं है, तो आप सोचते रहें, हम अगले विषय पर चलते हैं। 20:30:05 <psi> कोई टिप्पणी नहीं 20:31:03 <str4d> 1b) थ्रेट मॉडल पर चर्चा (और जरूरत हो तो अपडेट)। 20:31:17 <str4d> http://vekw35szhzysfq7cwsly37coegsnb4rrsggy5k4wtasa6c34gy5a.b32.i2p/en/docs/how/threat-model 20:31:18 * psi थ्रेट मॉडल को स्किम करना शुरू करता है 20:31:39 <iRelay> Title: I2P's Threat Model - I2P (at vekw35szhzysfq7cwsly37coegsnb4rrsggy5k4wtasa6c34gy5a.b32.i2p) 20:31:47 <dg> मैं एक रेटिंग देख रहा हूँ? 20:31:50 <dg> क्या यह नया है? 20:32:04 <str4d> dg: मैंने संशोधित DREAD सिस्टम जोड़ा है। 20:32:12 <str4d> (यह उम्मीद करते हुए कि किसी को आपत्ति नहीं होगी) 20:32:31 <str4d> (पर यह उम्मीद नहीं थी कि कोई टिप्पणी ही नहीं होगी :-P ) 20:32:53 <str4d> ये रेटिंग्स वैध नहीं हैं। 20:33:03 <dg> यह मेल नहीं खाता लगता— 20:33:05 <dg> हाँ 20:33:09 <str4d> (यही मैं इस मीटिंग में बदलना चाहता हूँ) 20:33:25 <str4d> जब हम थ्रेट मॉडल पर ही चर्चा कर रहे हैं, तो कृपया संभावित रेटिंग्स के बारे में सोचें (अगले विषय के लिए) 20:33:28 <dg> डिज़ाइन अच्छा दिखता है, तो वास्तविक मानों के साथ, मुझे यह पसंद आएगा। हमें गंभीरता के मूल्य के अनुसार क्रम भी करना चाहिए। 20:34:48 <str4d> हमारा थ्रेट मॉडल पेज "स्टैंडर्ड" थ्रेट मॉडल लेआउट (जैसे OWASP पेज) का अनुसरण नहीं करता 20:35:04 <str4d> सुरक्षा उद्देश्यों की पहचान करें 20:35:05 <str4d> एप्लिकेशन का सर्वे करें 20:35:05 <str4d> इसे डी-कंपोज़ करें 20:35:05 <str4d> थ्रेट्स की पहचान करें 20:35:05 <str4d> कमजोरियों की पहचान करें 20:35:08 <psi> क्या हम इन रेटिंग्स के मान अभी... या बाद में चर्चा करने वाले हैं? 20:35:50 <str4d> psi: अगला विषय। अभी हम थ्रेट मॉडल पर ही चर्चा कर रहे हैं - अगर ये पुराने हैं तो हम थ्रेट्स को रेट नहीं कर सकते। 20:35:58 <psi> ठीक 20:36:17 <str4d> (और FYI मीटिंग 10PM UTC पर समाप्त होगी) 20:36:29 <str4d> (कम से कम, मैं तब जा रहा हूँ) 20:37:18 <str4d> थ्रेट मॉडल पेज हमारे सुरक्षा उद्देश्यों को स्पष्ट रूप से नहीं बताता। 20:37:21 <dg> सब लोग कहाँ हैं? 20:37:29 <dg> हम 3 लोगों के साथ काम नहीं कर सकते। 20:37:54 <str4d> topiltzin, hottuna, zzz, welterde, kytv: पिंग 20:37:55 <zzz> मॉडल को "औपचारिक रूप" देने में केवल हर तत्व को रेट करना ही सब कुछ नहीं है 20:37:56 <equinox> मुझे लगता है आज के Guardian लेखों में बताई विधियों पर विचार करना चाहिए। NSA ने dev प्रक्रिया को लक्ष्य बनाया 20:38:16 <str4d> zzz: मुझे पता है, पर हमें कहीं से शुरू करना होगा। 20:38:18 <zzz> खास तौर पर, हमारे मॉडल पर बड़ा आपत्ति यह है कि हम स्पष्ट रूप से नहीं बताते कि क्या शामिल है और क्या नहीं 20:38:40 <dg> क्या हमें प्रभावित करता है और क्या नहीं? 20:38:43 <zzz> जो एक ऐसा कदम है जो रेटिंग से पहले होना चाहिए, यदि हम आलोचकों का सामना करना चाहते हैं 20:39:23 <str4d> zzz: यही हम अभी कर रहे हैं। 20:39:23 <str4d> <str4d> थ्रेट मॉडल पेज हमारे सुरक्षा उद्देश्यों को स्पष्ट रूप से नहीं बताता। 20:39:29 <zzz> थ्रेट मॉडल का मुख्य बिंदु यह बताना है कि इसमें क्या नहीं है, जैसे कि NSA। प्रोजेक्ट्स इसका उपयोग हाथ झाड़ने के लिए करते हैं और कहते हैं "यह हमारी समस्या नहीं, हमारे थ्रेट मॉडल में नहीं" 20:39:44 <zzz> हमने ऐसा नहीं किया है। 20:40:07 <idog98@freenode> . 20:40:10 <str4d> सही। तो चलिए ऐसा करते हैं। 20:40:29 <zzz> अगर हम एक औपचारिक मॉडल बनाते हैं और NSA को छोड़ते हैं, तो हम फिर प्रोटोकॉल ऑबफ़स्केशन पर काम करना बंद कर सकते हैं, और शायद और मजबूत क्रिप्टो पर भी। 20:40:42 <zzz> या, हम उसे बहाना कह सकते हैं। 20:41:18 <dg> शुरुआत से ही यह स्पष्ट है कि Tor तुम्हें GPA से नहीं बचा सकता। क्या हम यह और अन्य चेतावनियाँ स्पष्ट करते हैं? 20:41:26 <dg> और क्या हम NSA से सुरक्षा देते हैं? 20:41:59 <str4d> Global adversaries (जो पूरे इंटरनेट की निगरानी कर सकते हैं) प्याज़-रूटिंग डिज़ाइन की प्रकृति के कारण दायरे से बाहर हैं। 20:42:18 <str4d> NSA, जितना भी बड़ा हो, एक वैश्विक adversary नहीं है। 20:42:37 <psi> वर्तमान रूप में NSA की पहुँच काफ़ी व्यापक है 20:42:38 <zzz> वर्तमान मॉडल का काफी हिस्सा आकांक्षात्मक है, क्योंकि हम अभी कई बिंदुओं का यथार्थवादी ढंग से मुकाबला करने के लिए बहुत छोटे हैं 20:42:50 <dg> क्या हम अपने रोडमैप की कुछ चीज़ों से GPA के खिलाफ सुरक्षा देंगे? ;) 20:42:52 <equinox> str4d: शायद, पर वे दूसरों के साथ काम करते हैं 20:43:01 <zzz> पारंपरिक शब्दावली "state-level" adversary है, जैसे NSA 20:43:03 <orion> GPA? 20:43:11 <str4d> equinox: संभवतः। 20:43:13 <str4d> zzz: धन्यवाद। 20:43:18 <dg> Global Passive Adversary (वैश्विक निष्क्रिय प्रतिद्वंद्वी) 20:43:56 <zzz> तो अगर आप सख्त मॉडल बनाना चाहते हैं और state-level को बाहर करना, और उसका उपयोग dev को मार्गदर्शित करने के लिए करना, तो वह हमें उदाहरण के लिए ऑबफ़स्केशन पर काम न करने को बताएगा 20:44:47 <orion> गोपनीयता बनाए रखना ही काफ़ी कठिन काम है, ऑबफ़स्केशन तो छोड़ ही दें। 20:45:43 <zzz> आलोचकों को औपचारिक थ्रेट मॉडल्स बहुत पसंद हैं... क्या एक बनाना सिर्फ़ ट्रोल्स को सक्षम करेगा, या यह वास्तव में हमें प्रमोशन और dev में मदद करेगा? 20:45:53 <str4d> हमने हमेशा कहा है कि I2P ऑबफ़स्केशन नहीं करता (पर थ्रेट मॉडल में इसे स्पष्ट रूप से नहीं) 20:46:19 <str4d> यह उचित बात है। 20:46:28 <Mathiasdm> एक थ्रेट मॉडल फोकस के लिए अच्छा है 20:46:34 <dg> ट्रोल्स के पास ट्रोल करने के लिए काफी कुछ है। भाड़ में जाए। 20:46:41 <Mathiasdm> ट्रोल्स हमेशा रहते हैं, मैं उन्हें ध्यान में नहीं रखता 20:46:43 <Mathiasdm> (बीच में बोलने के लिए माफ़ी) 20:46:51 <str4d> इस मीटिंग का मेरा लक्ष्य कोई ऐसा सख्त थ्रेट मॉडल नहीं था जिसे हमें अक्षरशः मानना पड़े। 20:47:02 <str4d> अगर हम ऐसा चाहते भी, तो एक मीटिंग में संभव नहीं होता। 20:47:25 <dg> कोई बात नहीं। आपसे मिलकर अच्छा लगा, Mathiasdm। 20:47:28 <dg> एक औपचारिक थ्रेट मॉडल हमें परिभाषित करने में मदद करता है कि हम किससे सुरक्षा देने की कोशिश कर रहे हैं 20:47:37 <dg> मुझे लगभग एक साल हो गया है और मैं अभी भी पूरी तरह निश्चित नहीं हूँ। 20:47:40 <str4d> वेबसाइट पर जिसे हम "थ्रेट मॉडल" पेज कहते हैं वह एक विशाल WoT है और grep करना कठिन है। यही मैं सुधारना चाहता हूँ। 20:48:20 <str4d> मैं चाहता हूँ कि उपयोगकर्ता उसे देखें और जल्दी से समझें कि हम क्या करने की कोशिश कर रहे हैं। 20:48:50 <equinox> हमें पता है कि राज्य एजेंसियाँ और राज्य की ओर से कार्य करने वाले समय के साथ (यदि उन्हें रोका न गया) अपना दायरा बढ़ाएँगे। मेरा मानना है कि प्रतिक्रियात्मक होने से बेहतर है उस संभावना के लिए योजना बनाना। 20:49:16 <str4d> क्योंकि गलत जानकारी और गलतफहमियाँ I2P के साथ लंबे समय से समस्या रही हैं। 20:50:28 <zzz> मुझे लगता है पेज काफी अच्छा है। हालांकि शायद एक और पेज चाहिए जो सार-संक्षेप हो। 20:51:12 <str4d> थ्रेट रिस्क मॉडलिंग (DREAD के साथ) ऐसी चीज है जो करना आसान है, और यदि हमें लगे कि यह वैध जानकारी नहीं देता तो हटाना भी आसान है। 20:51:57 <str4d> zzz: जो इसे पढ़ने के लिए समय देने को तैयार है, उसके लिए यह अच्छा है। स्किम करने वालों के लिए अच्छा नहीं। 20:52:36 <str4d> जैसा कि ऊपर लिंक की गई पोस्ट कहती है: "चेतावनी! इस सिस्टम को, या किसी और सिस्टम को, बिना सोचे-समझे लागू न करें। यह सिस्टम आपको सही निष्कर्ष तक पहुँचने में मदद कर भी सकता है या नहीं भी, और यदि नहीं करता, तो इसे उसी क़ीमत के लायक समझें जो आपने इसके लिए दी है, जो कि शून्य है।" 20:53:26 <zzz> मेरी राय में आपके एक पेज पर 3 परस्पर-लंबवत लक्ष्य हैं: 1) आम लोगों के लिए सरल बनाना, 2) औपचारिक बनाना, और 3) रिस्क मॉडलिंग 20:54:38 <str4d> 1) और 3) जुड़े हुए हैं - रेटिंग्स होने से आम लोग स्किम कर सकते हैं, अपने लिए "महत्वपूर्ण" वाले ढूँढ सकते हैं, और पढ़ सकते हैं। 20:54:49 <str4d> लेकिन मैं सहमत हूँ कि 2) ऑर्थोगोनल है (और 3) से भी जुड़ा है) 20:56:04 <str4d> यदि एक औपचारिक थ्रेट मॉडल होना अन्य चीज़ों में बाधा बनता है, तो हमें इसे आगे बढ़ाना होगा। लेकिन जब मैंने मूल रूप से "formalize" कहा, मुझे "clarify" कहना चाहिए था। 20:57:43 <str4d> छोटा सा पोल: क्या यहाँ किसी को लगता है कि हमारे "थ्रेट मॉडल" पेज पर अटैक वेक्टर पर DREAD लागू करना उपयोगी या अच्छा विचार है? 20:58:28 <str4d> अगर हाँ, तो अगले विषय पर चलते हैं और ऐसा करते हैं, फिर हम परिणाम पर चर्चा करेंगे। अगर नहीं, तो इसे भूलकर आगे बढ़ते हैं। 20:58:44 <topiltzin> हाँ-जब-तक-इसे-कोई-और-कर-रहा-है 20:58:46 <dg> विकल्प क्या है? 20:59:09 <dg> हाहाहा 20:59:21 <topiltzin> ईमानदार हो रहा हूँ :) 20:59:37 <dg> या उदास करने वाला। :) 21:02:00 <hottuna> यह बुरा विचार नहीं है पर, मुझे यक़ीन नहीं कि यह थ्रेट मॉडल के लिए सब-कुछ-समाधान है। 21:02:06 <psi> hmm <str4d> hottuna: मेरा इरादा इसे अंतिम समाधान मानने का नहीं है, पर मुझे लगता है यह एक उपयोगी क़दम है। और कोई और कुछ सुझाव या काम कर भी नहीं रहा था :-P <psi> यह निर्भर करता है कि मदद करने वाले लोग अधिक हैं या नहीं <psi> अगर सिर्फ़ 1 व्यक्ति है तो नहीं चलेगा <psi> यदि सहयोगी हैं, संभव है <str4d> psi: मैं इसे अभी मीटिंग में करना चाहता था, जब हमारे पास एक से अधिक लोग हैं। <zzz> "formalizing" कुछ लोगों के लिए महत्वपूर्ण है - OpenITP, आलोचक, समीक्षक, ऑडिटर, फंडर, हमारे क्षेत्र के अन्य लोग, आदि। <hottuna> क्या यह अभी इस मीटिंग में ही करना काफ़ी और पर्याप्त रूप से संरचित होगा? <hottuna> मैं पूरे DREAD प्रोसेस से बहुत परिचित नहीं हूँ। <str4d> hottuna: हम हर अटैक वेक्टर से गुजरते हैं, और पाँच श्रेणियों को निम्न, मध्यम या उच्च रेट करते हैं। बस इतना ही। <psi> मैं भी DREAD से परिचित नहीं हूँ <str4d> मैंने इसे इसलिए चुना क्योंकि इसे लागू करना बहुत सरल था। <psi> आह <str4d> (वे पाँच श्रेणियाँ जिन्हें मैंने थ्रेट मॉडल पेज के इंडेक्स के ठीक ऊपर बताया) <psi> चलिए एक उदाहरण ट्राई करते हैं <hottuna> हर ज्ञात अटैक वेक्टर? <hottuna> psi, ज़रूर <str4d> मैंने जानबूझकर पहले से सब कुछ कर रखा ताकि इसे सरल बनाया जा सके क्योंकि मुझे पता था कि यहाँ किसी को यह करने के लिए राज़ी करना मुश्किल होगा :P <str4d> ठीक है, "timing attacks" <hottuna> ठीक। <str4d> Damage Potential: अगर थ्रेट एक्स्प्लॉइट होता है, तो कितना नुकसान होगा? <str4d> अगर इसका उपयोग किसी उपयोगकर्ता की पहचान के लिए किया जाए, तो वह उपयोगकर्ता deanonymize हो जाता है -> उच्च? <hottuna> समय और पैकेट आकारों पर आधारित सांख्यिकीय एक्स्प्लॉइट्स Tor के खिलाफ उपयोग किए गए हैं ताकि यह सफलतापूर्वक पता लगाया जा सके कि कौन सी साइट देखी जा रही थी <hottuna> बहुत उच्च सफलता अनुपात के साथ (~90% अगर मुझे सही याद है) <str4d> (जैसे https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD का उपयोग करें स्केल्स का अंदाज़ा लगाने के लिए - इसमें पहले से तीन स्तर वर्णित हैं) <str4d> Reliability: यह अटैक कितना भरोसेमंद है? - निम्न? मध्यम? यह आम तौर पर नेटवर्क-लोड-निर्भर है। 21:12:28 <psi> किस चीज़ का टाइम करना होगा, ठीक-ठीक? 21:13:26 <hottuna> सामान्य रूप से कुछ भी? 21:14:11 <psi> ठीक 21:14:27 <hottuna> मुझे नहीं पता। 21:14:47 <hottuna> पर विवरण संदेश-उन्मुख लगते हैं। 21:14:52 <str4d> (जैसे https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD का उपयोग करें स्केल्स का अंदाज़ा लगाने के लिए - इसमें पहले से तीन स्तर वर्णित हैं) 21:14:54 <iRelay> Title: Threat Risk Modeling - OWASP (at www.owasp.org) 21:14:56 <str4d> Reliability: यह अटैक कितना भरोसेमंद है? - निम्न? मध्यम? यह आम तौर पर नेटवर्क-लोड-निर्भर है। 21:15:33 <str4d> psi: यह अच्छा बिंदु है - "Timing attacks" सेक्शन को शायद संदेश-डिलीवरी अटैक्स और संदेश-कंटेंट अटैक्स में बाँटना चाहिए 21:15:36 <hottuna> damage potential: 5? 21:15:51 <str4d> अभी संदेश-डिलीवरी मान लें। 21:15:55 <psi> " Complete system or data destruction " का मतलब बॉक्स फट जाता है मेरा अनुमान है? 21:16:08 <hottuna> जहां तक reliability का सवाल है, Tor के मामले में सांख्यिकीय मॉडल्स भरोसेमंद सिद्ध हुए हैं.. 21:18:00 <str4d> hottuna: हम 1-3 स्केल उपयोग कर रहे हैं 21:19:08 <str4d> OWASP में वर्णित 1-10 स्केल को उचित ठहराना कठिन है। 21:19:08 <str4d> "discoverability 6 और 7 में क्या अंतर है? किसे पता?" 21:19:08 <str4d> OWASP स्केल का उपयोग निम्न/मध्यम/उच्च असाइन करने के संकेतक के रूप में करें 21:19:11 <str4d> psi: हमारे केस में, मैं कहूँगा "उच्च" वह है जब किसी विशिष्ट उपयोगकर्ता और उसकी गतिविधि के बीच पूर्ण सहसंबंध हो। 21:19:13 <psi> timing मैं कहूँगा 5 या 6 21:19:13 <psi> (dammage के लिए) 21:19:14 <str4d> (Damage के लिए) 21:19:17 <str4d> https://blogs.msdn.com/b/david_leblanc/archive/2007/08/13/dreadful.aspx श्रेणियों को संभवतः बेहतर समझाता है। 21:20:00 <psi> समझ गया 21:20:16 <hottuna> पर नुकसान कुछ जानकारी का खुलासा होना होगा, जो बुरा हो सकता है.. सैद्धांतिक रूप से यह बता सकता है कि मैं कोई विशेष एप्लिकेशन चला रहा हूँ या किसी विशेष डेस्टिनेशन से बात कर रहा हूँ 21:20:20 <hottuna> क्या वह 5-6 है? 21:20:34 <str4d> Exploitability: इस थ्रेट का फायदा उठाने के लिए क्या चाहिए? - मध्यम? अटैकर को संभावित पथ के कई स्थानों की निगरानी करनी होगी। 21:20:36 <str4d> निम्न? 21:20:49 <psi> यह अटैकर पर निर्भर करता है 21:20:55 <psi> और यह नेटवर्क के आकार पर भी निर्भर करता है 21:21:34 <str4d> Exploitability वह है जो अटैक लॉन्च करने से पहले की आवश्यकताएँ हैं। Reliability वह है कि एक बार ट्रिगर होने के बाद यह कितना अच्छा काम करता है। 21:21:48 <psi> आह 21:21:49 <str4d> psi: हाँ, इसलिए ये रेटिंग्स समय के साथ बदलेंगी। 21:22:05 <str4d> (और यह मॉडल की एक सीमा का उदाहरण है, और मूल DREAD की बड़ी खामी भी) 21:22:06 <psi> exploitability मध्यम होगा 21:22:18 <str4d> Exploitability केवल प्राथमिकता की गणना के लिए उपयोग होता है, गंभीरता के लिए नहीं। 21:22:25 <psi> सिर्फ़ एक स्टॉक i2p router चलाना पर्याप्त नहीं होगा 21:22:54 <str4d> psi: सही, तो उच्च नहीं। 21:23:15 <str4d> पर निम्न भी नहीं क्योंकि इसमें उन्नत कंप्यूटिंग पावर आदि नहीं चाहिए। 21:23:20 <str4d> Affected Users: कितने उपयोगकर्ता प्रभावित होंगे? 21:23:27 <hottuna> आपको किसी tunnel का हिस्सा होना पड़ेगा, और फिर बस संदेश प्रोफ़ाइल पर नज़र डालनी होगी। अगर आप किसी सेवा के ibgw हैं, तो आप शायद कुछ उपयोगकर्ताओं को बाकी से अलग कर पाओगे। या कम से कम उन्हें अलग-अलग उपयोगकर्ता समूहों में क्लस्टर कर पाओगे 21:23:40 <hottuna> into* 21:24:23 <psi> exploitability के लिए mid थोड़ा ज़्यादा हो सकता है 21:24:29 <psi> bit* 21:24:36 <psi> mid-low 21:24:40 <hottuna> ibg केस में, मैं कहूँगा यह काफ़ी आसान है, पर आपको ढेर सारी जानकारी नहीं मिलेगी 21:24:45 <hottuna> ibgw* 21:25:06 <str4d> psi: मध्यम या निम्न। यह केवल प्राथमिकता स्कोर को प्रभावित करेगा। 21:25:48 <hottuna> Exploitability के तौर पर, मुझे लगता है यह बहुत संभव है। खासकर अन्य एक्स्प्लॉइट्स की तुलना में। 21:25:55 <str4d> Discoverability: इस थ्रेट को ढूँढना कितना आसान है? - मध्यम? इसके लिए कम से कम I2P कैसे काम करता है इसका कुछ ज्ञान चाहिए। 21:25:59 <psi> hottuna: सहमत 21:26:10 <str4d> "जो चीज़ बहुत discoverable है वह सार्वजनिक रूप से ज्ञात है, या किसी ऐसी चीज़ के बहुत समान है जो सार्वजनिक रूप से ज्ञात है। निम्न discoverability का मतलब है कि आपके ऐप के आंतरिक कामकाज का गहन ज्ञान चाहिए।" 21:26:22 <psi> मध्यम 21:26:51 <hottuna> हमें इस अटैक के बारे में कभी पता नहीं चलेगा क्योंकि यह पैसिव है 21:26:55 <str4d> hottuna: ठीक यही। वर्गीकरण आंशिक रूप से इस पर निर्भर करता है कि अन्य अटैक्स के लिए क्या चुना जाता है। यह सब सापेक्ष है। 21:27:26 <hottuna> str4d, क्या आप कही जा रही बातों के आधार पर कोई मान नोट कर रहे हैं? 21:27:44 <str4d> hottuna: हाँ। 21:29:02 <hottuna> अच्छा। 21:29:02 <hottuna> D: निम्न 21:29:19 <psi> hmm 21:29:29 <hottuna> Affected users: उच्च (जो भी वास्तव में कुछ कर रहे हैं वे) 21:29:37 <str4d> यह है जो मुझे लगता है हम सहमत हुए, और यह क्या कैलकुलेट करता है: 21:29:37 <str4d> Damage Potential: मध्यम 21:29:37 <str4d> Reliability: मध्यम 21:29:37 <str4d> Exploitability: मध्यम 21:29:51 <str4d> Affected Users: उच्च 21:29:52 <str4d> Discoverability: मध्यम 21:29:53 <str4d> Severity: 4/5 21:29:54 <str4d> Priority: 5/9 21:30:23 <psi> timing attacks काफ़ी बुरे हैं पर वे व्यावहारिक नहीं लगते 21:30:29 <psi> कम से कम, अभी के लिए 21:30:41 <str4d> क्या यह समझदारी भरा परिणाम लगता है? जो स्तर मैंने सेट किए हैं, क्या हम वास्तव में उन पर सहमत हुए? 21:30:58 <hottuna> मैं discoverability से सहमत नहीं हूँ। 21:31:01 <str4d> और हमें कम से कम एक और अटैक वेक्टर करना चाहिए, ताकि पता चले यह तुलना में कैसा बैठता है। 21:31:09 <hottuna> एक पैसिवली लॉगिंग नोड कभी खोज में नहीं आएगा। 21:31:17 <str4d> hottuna: तुम्हें लगता है यह उच्च होना चाहिए? 21:31:17 <hottuna> हाँ। 21:31:29 <str4d> hottuna: गलत "discoverability"। 21:31:47 <hottuna> जो भी "undiscoverable" में अनुवाद होता है 21:31:53 <str4d> यह एक डिफेंसिव मॉडल है। यह हमले की खोजयोग्यता नहीं, बल्कि अटैकर द्वारा vulnerability की खोजयोग्यता है। 21:32:00 <psi> अटैक लॉन्च करने में लगने वाले संसाधन काफ़ी स्पष्ट होंगे जब तक कि उन्होंने सारे बॉक्स pwnd न कर लिए हों 21:32:12 <hottuna> ओह। समझ गया। 21:32:18 <dg> Timing attacks विशिष्ट हैं और शायद हमारे लिए उतने लागू नहीं.. 21:32:25 <hottuna> ओह, उस केस में मैं सहमत हूँ। 21:33:28 <psi> timing attack करने के लिए या तो bird's eye view चाहिए होगा या बहुत से नोड्स का स्वामित्व (कितने? idk) 21:33:38 <str4d> Severity यह है कि हम सोचते हैं अटैक कितना बुरा है, Priority वह क्रम है जिसमें यह सोचता है कि हमें फोकस करना चाहिए। 21:33:55 <dg> ओह। 21:33:55 <psi> यकीन नहीं कि सिर्फ़ bird's eye view काफ़ी होगा 21:33:57 <dg> हाँ, 4/5। 21:34:10 <str4d> चलिए अभी के लिए इस वर्गीकरण को यहीं छोड़ते हैं, और तुलना के लिए एक और करते हैं। 21:34:30 <psi> 4/5 पर विचार करते हुए IF वे timing attacks कर सकते हैं तो लगभग सब कुछ जो low latency है प्रभावित है 21:34:33 <psi> affected* 21:34:54 <psi> प्राथमिकता... पक्का नहीं 5/9 उपयुक्त है 21:35:15 <str4d> "Tagging attacks" को वर्गीकृत करना आसान होना चाहिए। 21:35:32 <str4d> psi: जब तक हम और वर्गीकृत नहीं कर लेते, हमें नहीं पता कि प्राथमिकता का क्या अर्थ है। वर्गीकरण एक आवर्ती प्रक्रिया है। 21:35:38 <psi> ठीक है 21:35:48 <str4d> तो, tagging attacks। 21:36:15 <psi> संदेशों को टैग करना? routers को टैग करना? 21:36:48 <str4d> संदेश 21:36:59 <str4d> (कुछ-कुछ) 21:37:07 <str4d> यह निर्धारित करना कि कोई संदेश किस पथ से गुज़रता है। 21:37:17 <str4d> Damage potential: मध्यम? 21:37:30 <psi> मध्यम सहमत 21:37:38 <psi> एक अर्थ में निम्न 21:37:43 <hottuna> Damage potential: निम्न 21:37:47 <hottuna> निम्न-मध्यम 21:37:58 <str4d> टैगिंग (यदि संभव) केवल किसी विशेष tunnel के भीतर जानकारी ही उजागर करेगा 21:37:58 <psi> यह स्थिति पर निर्भर करता है 21:38:01 <str4d> Reliability: निम्न। 21:38:01 <psi> हाँ 21:38:08 <str4d> या... 21:38:10 <str4d> ह्म्म। 21:38:41 <psi> किस दायरे पर टैगिंग को मापा जाएगा? 21:38:58 <hottuna> यदि उनका उपयोग ऐसी स्थिति में किया गया जहाँ वे tunnel participants की पहचान कर सकें, तो वे हर बार काम करेंगे, सही? 21:39:00 <str4d> Exploitability और discoverability निम्न हैं - संदेशों को खुद टैग करना असंभव होना चाहिए, और मिलीभगत के लिए routers की सटीक प्लेसमेंट चाहिए। 21:39:20 <hottuna> E: निम्न 21:39:21 <str4d> psi: दो endpoints (किसी client या server) के बीच जाने वाला संदेश। 21:39:23 <hottuna> D: निम्न 21:39:39 <psi> मैं सहमत हूँ निम्न 21:39:45 <psi> E और D 21:39:50 <str4d> hottuna: ठीक। अगर एक tagging attack खोज लिया जाए, तो वह हर बार काम करेगा। 21:40:13 <hottuna> तो, R: उच्च? 21:40:21 <str4d> पर ऐसी खोज असंभव होनी चाहिए क्योंकि सब कुछ साइन किया हुआ है। 21:40:51 <str4d> पर यह टैगिंग अटैक पर निर्भर करता है। 21:40:56 <str4d> संदेश टैगिंग: उच्च। 21:40:57 <psi> अगर उनके पास तुम्हारी keys हैं तो वे भी साइन कर सकते हैं 21:41:06 <str4d> मिलीभगत वाली टैगिंग: मध्यम। 21:41:07 <hottuna> str4d, सही, पर discoverability एक अलग मीट्रिक है 21:41:13 * str4d अभी के लिए उच्च कहता है। 21:41:28 * hottuna संतुष्ट है 21:41:44 <str4d> Affected users: केवल वे उपयोगकर्ता प्रभावित होते हैं जिनके tunnels में malicious नोड्स हैं। 21:42:02 <psi> निम्न 21:42:16 <hottuna> A: सबसे अधिक संभावना निम्न 21:42:26 <str4d> ठीक है: 21:42:26 <str4d> Damage Potential: निम्न 21:42:27 <str4d> Reliability: उच्च 21:42:27 <str4d> Exploitability: निम्न 21:42:27 <str4d> Affected Users: निम्न 21:42:27 <str4d> Discoverability: निम्न 21:42:28 <str4d> Severity: 2/5 21:42:29 <str4d> Priority: 2/9 21:42:52 <hottuna> अच्छा लग रहा है 21:42:59 <psi> ठीक लगता है 21:43:22 <str4d> अच्छा महसूस हो रहा है 21:43:57 <hottuna> किसी वास्तविक थ्रेट पर चलें? 21:44:28 <str4d> क्या हम जल्दी से बाकी मीटिंग विषयों से गुजर लें, और फिर वापस इस पर आएँ? 21:44:37 <hottuna> ठीक 21:44:56 * str4d 4) दस्तावेज़ों पर चर्चा को हटा देता है, इसमें बहुत समय लगेगा। 21:45:12 <str4d> 2) वेबसाइट रिवैम्प - लॉन्च की तैयारी में जाँच-पड़ताल। 21:45:35 <psi> साइट रिवैम्प बेहतर CSS लागू कर रहा है या और भी कुछ है? 21:45:48 <str4d> इस वर्गीकरण प्रक्रिया (या वर्गीकरण हटाने) के अलावा, और क्या करना बाकी है इससे पहले कि welterde साइट रिवैम्प "लॉन्च" करे? 21:46:12 <hottuna> मुझे नहीं पता। 21:46:21 <str4d> psi: "बेहतर" CSS, पर संरचना और लेआउट में बहुत बदलाव। 21:46:32 <str4d> मुझे लगता है संरचनात्मक रूप से सब तैयार है। 21:46:50 <hottuna> अनुवाद अपडेट प्रक्रिया कितनी स्वत: है? 21:46:50 <str4d> पूरी तरह। 21:47:06 <hottuna> यह कितनी बार होती है? 21:47:28 <str4d> जब भी मैं इसे अपडेट करता हूँ। 21:47:45 <hottuna> ठीक। 21:47:48 <str4d> अब तक, जब भी मैंने स्ट्रिंग बदलाव देखे हैं, मैं स्क्रिप्ट्स चलाकर अनुवाद स्ट्रिंग्स निकालता और अपडेट करता रहा हूँ। 21:47:50 <psi> मुझे जाना है, मैं 30 मिनट में वापस आता हूँ 21:47:56 <hottuna> मुझे लगता है यह काफ़ी अच्छा है। 21:48:01 * str4d तब तक जा चुका होगा। 21:48:30 <str4d> psi: तब DREAD चर्चा जारी रखने के लिए स्वागत है :) 21:48:44 <hottuna> ओह, str4d: फ्रंट पेज पर विशाल डाउनलोड बटन लगता है नवीनतम संस्करण पर ऑटो अपडेट नहीं होता 21:48:45 <str4d> IE 7 और 8 में ज्ञात CSS समस्याएँ हैं, IIRC 21:49:00 <str4d> hottuna: यह एक और बग है जिसके बारे में मुझे welterde से बात करनी है। 21:49:09 <hottuna> ठीक। अच्छा। 21:49:25 <str4d> जब भी कोई .py फ़ाइल बदलती है, एक स्क्रिप्ट को सर्वर रीस्टार्ट करना चाहिए (और जब भी अनुवाद बदलते हैं, यह उन्हें रीकम्पाइल करता है) 21:49:49 <str4d> पर किसी कारण से, welterde के सर्वर पर .py फ़ाइलों में बदलाव का पता नहीं चल रहा... 21:49:49 <str4d> (पहले चल रहा था) 21:50:24 <str4d> ठीक है, अगर और कुछ नहीं है, तो मैं 21:50:43 <str4d> 'm रिवैम्प से खुश हूँ और .py बग ठीक होते ही, इसे लाइव किया जा सकता है। 21:50:52 <hottuna> बढ़िया! 21:51:11 <str4d> (IE 7/8 CSS को मैं मौका मिलने पर कम कर दूँगा, पर मैं इसे ब्लॉकर नहीं मानता) 21:51:23 <hottuna> उचित लगता है। 21:51:42 <str4d> "live" == welterde इसे https://geti2p.net पर लाइव करेगा (URL जिसका हमने कई मीटिंग पहले फैसला किया था), पर www.i2p2.de को जैसा है वैसा छोड़ देगा। 21:51:52 <iRelay> Title: I2P Anonymous Network - I2P (at geti2p.net) 21:52:00 <hottuna> i2p2.de को जैसा है वैसा क्यों छोड़ा जाएगा? 21:52:03 <str4d> फिर मैं परीक्षण चलाऊँगा, देखूँगा Google आदि इससे खुश हैं। 21:52:30 <str4d> hottuna: ताकि अगर कुछ विनाशकारी हो जाए और हमें वापस लौटना पड़े तो। 21:52:42 <hottuna> ठीक, तो यह सिर्फ़ अस्थायी है 21:52:51 <str4d> तभी जब सब कुछ पूरी तरह जाँचकर तैयार हो जाएगा, हम i2p2.de को geti2p.net पर 301 रीडायरेक्ट करेंगे 21:53:15 <hottuna> वह समझ में आता है 21:53:23 <str4d> क्योंकि 301 स्थायी मूव है, और सर्च इंजन अपने लिंक अपडेट कर देंगे। 21:54:08 <str4d> लेगेसी रीडायरेक्शन कोड अभी 302 रीडायरेक्ट्स उपयोग करता है, पर सब सेट हो जाने पर 301 में बदला जाएगा (ताकि पुराने लिंक से PageRank न खोएँ) 21:54:28 <str4d> ठीक है, आगे बढ़ते हैं: 21:54:28 <str4d> 3) रोडमैपिंग। 21:54:42 <str4d> hottuna: अब आपकी बारी। 21:55:44 <str4d> मेरे पास आपके लिए लगभग दस मिनट हैं (शायद औरों के लिए ज़्यादा समय हो जो अभी यहाँ हैं) 21:55:45 <hottuna> रोडमैप? मुझे इतना पता है कि हाल में मेरे पास थोड़ा अधिक समय है, और मैं DHT कोड पर फिर से नज़र डाल रहा हूँ। खासकर reply handling कोड पर। 21:56:08 <hottuna> मेरे पास वास्तव में और कुछ जोड़ने को नहीं है। 21:56:48 <str4d> 0.9 के लिए वर्तमान रोडमैप: 21:56:48 <str4d> डिस्ट्रीब्यूशन में कुछ seed data शामिल करें ताकि केंद्रीय reseed लोकेशन की ज़रूरत न हो? 21:56:48 <str4d> पहुँच-योग्यता मैपिंग / आंशिक रूप से पहुँच-योग्य peers को हैंडल करें / उन्नत restricted routes 21:56:49 <str4d> हेल्प पेजेज और वेबसाइट में सुधार 21:56:49 <str4d> और अनुवाद 21:56:56 <str4d> SSU disconnect संदेश 21:56:57 <str4d> Iterative floodfill lookups 21:57:13 <str4d> इनमें से कुछ पर हम कहाँ हैं, या आखिरी बार कब अपडेट हुआ था, मुझे पता नहीं। 21:57:54 <hottuna> जहाँ तक मैं समझता हूँ floodfill lookups iterative हैं। 21:57:59 <str4d> 1.0 - 3.0 आख़िरी बार 2008 में अपडेट हुए थे। 21:58:14 <str4d> 0.9 2010 में जोड़ा गया था। 21:58:14 <dg> restricted routes असंभावित है 21:58:37 <hottuna> मुझे एक-दो मिनट में जाना होगा 21:58:42 <str4d> मुझे लगता है रोडमैप का उचित मूल्यांकन एक और मीटिंग चाहता है, अधिक उपस्थिति के साथ। 21:59:01 <hottuna> सहमत। 21:59:14 <str4d> hottuna: यह सुनकर अच्छा लगा कि आप DHT कोड में वापस आ रहे हैं। 21:59:29 <str4d> बाद के लिए स्थगित। 21:59:33 <hottuna> और वास्तविक थ्रेट मॉडल पर ध्यान दिया जाना चाहिए। 21:59:43 <str4d> ठीक है। 21:59:47 <hottuna> क्या हम अगली बार इसके लिए एक लंबी मीटिंग कर सकते हैं? 22:00:35 <str4d> hottuna: मैंने उम्मीद की थी 2 घंटे काफी होंगे, पर हमने कम से कम एक घंटा इस पर बहस में बिताया कि इसे करना भी चाहिए या नहीं >_< 22:00:36 <hottuna> मुझे जाना है, पर मीटिंग के लिए धन्यवाद str4d। आप में नैसर्गिक गुण है! 22:01:19 <str4d> हमारे पास 1c) पर लौटने का समय नहीं, तो: 22:01:23 <str4d> str4d *baf*s के साथ मीटिंग बंद करता है