Reunião de Desenvolvedores do I2P - 06 de agosto de 2013

20:00:08 <zzz> 0) oi 20:00:23 <zzz> 1) Verificações de RI desativadas em uma versão pontual? 20:00:30 <zzz> 2) tópicos diversos conduzidos pelo Meeh 20:00:33 <zzz> 3) baffer pelo Meeh 20:00:36 <zzz> ------------- 20:00:36 <zzz> 0) oi 20:00:51 <zzz> 1) Verificações de RI desativadas em uma versão pontual? 20:01:02 <zzz> welterde levantou isso outro dia 20:01:33 <zzz> se eu for fazer, tem que ser nos próximos dias, pois estarei AFK ~ 13 a 29 20:01:53 <zzz> echelon está viajando, mas por enquanto vamos supor que conseguimos contatá‑lo e que ele pode cuidar das notícias 20:02:14 <zzz> então, welterde, por favor apresente seus argumentos sobre por que deveríamos fazer isso 20:03:08 <welterde> o ataque descrito no artigo é bastante sério para destinos pouco utilizados, já que as estatísticas necessárias não são muito grandes 20:04:14 <zzz> ele ataca os destinos de servidor ou os usuários (cliente) que se conectam a eles? 20:04:21 <welterde> e para destinos de longa duração é ainda mais perigoso, pois você pode manter o ataque pelo tempo que for necessário para obter estatísticas suficientes 20:05:08 <welterde> zzz: o cliente que se conecta a algum destino... digamos, tunnels de link de IRC sobre um destino dedicado seriam um alvo principal (se você de alguma forma obtiver controle do destino) 20:06:29 <welterde> zzz: no entanto... há uma opção para desativar as verificações de RI nas opções avançadas... talvez uma atualização nas notícias para que os usuários a desativem? 20:06:29 <zzz> você sempre considerou isso sério ou mudou de ideia recentemente? 20:06:56 <zzz> achei que eu tinha acabado de adicionar essa opção na semana passada? 20:07:15 <welterde> ah 20:07:18 <dg> você adicionou, eu cometi o mesmo erro. 20:07:34 <welterde> pensei que você só tinha mudado o valor padrão dessa opção... ok... então não é uma opção 20:07:57 <zzz> talvez eu não tenha explicado bem em algum post... 20:08:59 <welterde> zzz: e no artigo eles também não levaram a temporização em conta... acho que isso pode ser usado para melhorar ainda mais o ataque 20:09:02 <zzz> Nós temos uma pré‑impressão do artigo deles há quase 5 meses, desde 10 de março. Se isso é um problema que exige largar tudo, fizemos um trabalho incrivelmente ruim ao responder. 20:09:33 <zzz> Então estou me perguntando se você sempre achou isso crítico ou mudou de ideia recentemente e, se mudou, por quê? 20:10:33 <welterde> bem... eu estava sob bastante estresse até recentemente... então na verdade só fui olhar agora 20:11:30 <welterde> zzz: mas é realmente difícil dizer, já que não temos tantos dados sobre essas coisas... 20:11:48 <zzz> o que aconteceu com aquela página no trac com nossas respostas do openitp e nossa falta de critérios de segurança... 20:12:11 <dg> Se é um problema que exige largar tudo, esperar mais 1 mês e meio também é um problema. 20:12:30 <zzz> claro 20:12:40 <zzz> mas é? 20:13:12 <zzz> o problema são as verificações de RI ou é Sybil? Se for Sybil então não temos correções no curto prazo 20:13:27 <welterde> zzz: são as verificações de RI 20:13:46 <zzz> isto é, existe uma grande classe de ataques de ff hostis 20:14:16 <welterde> zzz: e uma variante do ataque pode ser possível com consulta de RI e então esperando por uma conexão também... mas esse ataque seria ordens de grandeza mais difícil... então eu não me preocuparia com esse por enquanto 20:14:35 <zzz> se um atacante assume o controle de uma parte do espaço de chaves, não há uma série de coisas que ele poderia fazer? 20:15:20 <welterde> zzz: com tempo suficiente o atacante não precisa ocupar uma grande parte do espaço de chaves 20:15:23 <zzz> acho que sempre vi isso como um problema de Sybil. Não quer dizer que eu estava certo. 20:15:30 <zzz> *digo 20:16:07 <welterde> ele só precisa ocupar o espaço ao redor do LS alvo 20:16:53 <welterde> zzz: hmm... algo que seria legal para o stats.i2p ou similar seria uma visualização do ff ao longo do espaço de chaves... (se ainda não houver algo assim) 20:18:50 <zzz> ok, obrigado por apresentar o caso, welterde. Agora vou pedir que outros entrem aqui com suas opiniões 20:18:53 <welterde> ataques não sutis poderiam ser visíveis lá então 20:19:00 * welterde procura a página do openitp que você mencionou 20:19:22 <zzz> str4d configurou isso, mas não vejo mais o link na página inicial 20:19:35 <dg> p: Alguém conseguiria realizar o ataque de RI sem um Sybil de espaço de chaves completo? 20:19:45 <dg> Acho que sim, mas ??? 20:20:05 <zzz> http://trac.i2p2.i2p/wiki/OpenITPReview/Criteria 20:20:35 <zzz> Maturidade e transparência do processo de resposta a vulnerabilidades 20:21:20 <zzz> não estamos falando aqui de um Sybil em todo o espaço de chaves. Você está mirando um segmento específico 20:21:31 <welterde> dg: ele só precisa capturar a maioria das consultas de LS... e o máximo possível de consultas de RI; esta última parte só depende de quanto tempo ele tem para o ataque 20:22:17 <dg> "maioria"? Da rede toda? 20:22:20 <zzz> só está me irritando muito que poderíamos ter feito isso meses atrás sem esforço. 20:22:39 <dg> certo. fica uma droga se fizermos agora, sério. 20:22:49 <zzz> mas acho que isso é irrelevante 20:23:14 <zzz> quem mais tem opinião, por favor se manifeste 20:23:43 <topiltzin> dd if=/dev/null of=opinion.txt 20:24:13 <zzz> última chamada. vamos fazer isso? 20:24:27 <welterde> claro, se alguém estivesse entediado poderia bolar uma simulação... isso certamente ajudaria ;) 20:25:09 <zzz> talvez eu só esteja irritado comigo mesmo por não ter pensado em simplesmente desativar as verificações. 20:25:32 <dg> zzz: não se preocupe com isso. não se espera que você cubra tudo sempre. 20:25:43 <zzz> ok, todos com uma opinião, por favor digitem yes para fazermos um release esta semana ou no para não 20:26:06 <welterde> (ou eu estou aqui se tanto faz para você...) 20:26:58 <zzz> Se eu não vir nenhum voto, não vamos fazer isso 20:27:21 <topiltzin> o release conterá *apenas* a desativação das verificações de RI? 20:27:32 <topiltzin> vs. o que quer que esteja no trunk agora? 20:27:35 <welterde> talvez não devêssemos ter pulado a fase de quem está aqui da reunião 20:27:54 <dg> eu só não sou qualificado o suficiente. 20:27:57 <zzz> não me importa quem está aqui. me importa quem tem opinião. 20:28:24 <welterde> zzz: bem... quem não está aqui não tem opinião ;) 20:28:46 <welterde> zzz: acho que estamos falando mais de um release pequeno, certo? 20:28:59 <dg> welterde: o que você quer dizer 20:29:02 <zzz> seria só verificações de RI + qualquer outra coisa pequena que decidirmos puxar do trunk 20:29:17 <zzz> e provavelmente chamada 0.9.7.1? 20:29:28 <welterde> sim... era isso que eu tinha em mente também 20:29:39 <kytv> sem conhecimento deste tópico, portanto sem opinião; se fizermos, claro que posso fazer os uploads para os diversos lugares, etc. 20:29:58 <zzz> pelo amor de Deus, alguém vote. welterde, pelo menos 20:30:13 <zzz> quem mais leu o artigo da UCSB? 20:30:16 <welterde> ah, eu sou a favor, se isso não ficou claro ;) 20:30:41 <dg> eu li... 20:31:16 <topiltzin> estou ansioso para testar as outras coisas no trunk, então quanto mais decidirmos puxar, mais "Yes" meu voto se torna. Sem opinião estritamente sobre a verificação de RI. 20:31:54 <welterde> str4d: sua opinião? você esteve bastante ativo na discussão no fórum ;) 20:33:56 <welterde> zzz: talvez devêssemos fazer a votação no tópico do artigo... assim o str4d e o tuna (e os outros no tópico que não estão aqui) também podem opinar... 20:33:56 <zzz> eu gostaria de manter a lista de "outras coisas" bem curta, pois eu faria isso muito rápido e depois viajaria, sem conseguir corrigir problemas 20:33:59 <zzz> tuna está quase completamente AFK por mais um tempo 20:34:51 <dg> um no seria melhor do que silêncio 20:35:03 <welterde> zzz: bem... ou o kytv poderia fazer o build... 20:35:10 <zzz> em teoria o kytv também pode fazer releases, ele é o outro com chaves de assinatura, sim 20:36:35 <zzz> ok então vamos fazer. Vou abrir um tópico no zzz.i2p se vocês quiserem propor outras coisas para entrar, decisão final em cerca de 24 horas, e eu faço o build talvez na quinta‑feira. Alguém pode contatar o echelon? 20:36:53 <zzz> algo mais sobre este tópico? 20:37:37 <dg> acho que não. 20:38:23 <zzz> http://zzz.i2p/topics/1443 20:38:40 <zzz> por favor, revisem o diff de 17 mil linhas a partir do 0.9.7 e o history.txt para outros candidatos a puxar 20:38:47 <zzz> 2) tópicos do Meeh 20:38:50 <zzz> assuma, Meeh 20:54:33 <topiltzin> zzz: a tag é "i2p-0.9.7" 20:54:36 <topiltzin> não "0.9.7" 20:54:47 * topiltzin preparando sua plucklist 20:55:26 <welterde> aqui também 20:55:32 <zzz> valeu 20:55:47 <dg> zzz: pm ok? 20:57:06 <zzz> só se não tiver nenhum interesse para mais ninguém 20:58:51 <dg> rascunho de email para o zooko 20:58:55 <dg> http://pastethis.i2p/show/0bZ3iFeE9uABCORkfXV6/ 20:58:58 <iRelay> Título: Paste #0bZ3iFeE9uABCORkfXV6 | LodgeIt! (em pastethis.i2p) 20:59:10 <dg> eu não incluí status nem nada ainda. Posso estar completamente fora. Feedback é bem‑vindo. 21:01:00 <zzz> 3) /me *baf*s the meeting closed for Meeh 21:03:29 <zzz> dg, isso é um começo realmente ótimo.