I2P Geliştirici Toplantısı - 04 Ekim 2013

20:09:33 <str4d> Toplantı zamanı. Kim burada? 20:09:53 * psi burada 20:10:04 * dg burada 20:11:34 * topiltzin . 20:11:51 <str4d> hottuna, zzz, welterde, kytv: ping 20:12:17 * orion burada 20:13:01 * str4d toplantı gündemini yüklüyor 20:14:01 <str4d> zzz.i2p'ye ulaşamıyorum. Başka biri http://zzz.i2p/topics/1480 adresine girebiliyor mu? 20:14:35 <str4d> Açıldı. 20:14:43 <str4d> 1) Tehdit modeli 20:14:44 <str4d> 1a) DREAD sınıflandırma şemasının değerlerini tartışın (ve gerekirse başka birini seçin). 20:14:44 <str4d> 1b) Tehdit modelini tartışın (ve gerekirse güncelleyin). 20:14:44 <str4d> 1c) Tehdit modelindeki saldırı vektörlerine DREAD (veya başka bir şema) uygulayın. 20:14:44 <str4d> 2) Web sitesi yenilemesi - yayına hazırlık için kontrol edin. 20:14:53 <str4d> 3) Yol haritası. 20:15:22 <str4d> 4) Dokümanlar tartışması. 20:15:41 <str4d> Zaten 0) konusunu yaptık Selam deyin ;-P 20:15:42 <str4d> 1) Tehdit modeli 20:15:53 <str4d> 1a) DREAD sınıflandırma şemasının değerlerini tartışın (ve gerekirse başka birini seçin). 20:17:07 <str4d> Forum gönderisinde söylediğim gibi, başkalarının I2P'yi nasıl algıladığını iyileştirmek için yapabileceğimiz şeylerden birinin tehdit modelini geliştirmek ve netleştirmek olduğunu düşünüyorum. 20:17:29 <str4d> Şu anda koca bir yazı yığını ve kullanıcıların (ve motivasyonu düşük geliştiricilerin) ana kaygıları bulması zor. 20:17:45 <dg> Sıralamak da zor. 20:17:47 <dg> Aciliyeti anlamak vs. 20:18:03 <str4d> Ve düzgün bir risk modellemesi olmadan, gerçekten doğru yönlere odaklanıp odaklanmadığımızı bilmiyoruz. 20:18:13 <psi> Tehdit modelinin önce kısa bir sürümünü elde edip onun üzerine inşa etmek harika olurdu 20:18:23 <str4d> dg: aynen. 20:18:59 <str4d> Biraz araştırma yaptım ve https://www.owasp.org/index.php/Threat_Risk_Modeling iyi bir tehdit risk modelleme "yerleşimi"ne sahip, örneğin Cryptocat tehdit modeli için bunu kullanıyor. 20:19:04 <iRelay> Title: Threat Risk Modeling - OWASP (at www.owasp.org) 20:19:53 <str4d> Orada anlattıkları DREAD şemasının, modelin tasarımcısının sonraki bir yazısında belirttiği geri bildirimlere göre, riski doğru tanımlamada tamamen etkili olmadığı söyleniyor - https://blogs.msdn.com/b/david_leblanc/archive/2007/08/13/dreadful.aspx 20:20:49 <str4d> Yukarıdaki yazıda verdiği değiştirilmiş DREAD modelini, saldırı vektörlerimizin şiddetini ve önceliğini modellemek için kullanmayı öneriyorum. 20:20:50 <str4d> Tartışalım! 20:21:13 <dg> Modelleri gözden geçirmek için bana biraz zaman verin? :) 20:21:40 <str4d> dg: Bunu zaten yapmış olman gerekiyordu, bunu forum gönderisinde bağlantılamıştım... 20:21:44 <str4d> :P 20:21:50 <dg> üzgünüm 20:22:24 <str4d> (ama aslında insanlardan bunu istemedim, benim hatam) 20:23:08 <str4d> DREAD tl;dr - bir tehdidi beş adet 1-10 ölçeğinde derecelendirirler, sonuçları toplar ve 5'e bölerler. 20:23:12 <str4d> Zarar Potansiyeli (Damage Potential) 20:23:29 <str4d> Yeniden Üretilebilirlik (Reproducibility) 20:23:29 <str4d> İstismar Edilebilirlik (Exploitability) 20:23:29 <str4d> Etkilenen Kullanıcılar (Affected Users) 20:23:30 <str4d> Keşfedilebilirlik (Discoverability) 20:24:12 <str4d> değiştirilmiş DREAD tl;dr - aynı beş parametre, ama 1-3 (düşük, orta, yüksek) ölçeği ve "ağırlıklı" bir hesaplama. 20:25:09 <dg> Kısaca okudum; tüm ayrıntıları bilmiyorum ama yapılandırılmış herhangi bir sistem daha iyidir. 20:25:18 <str4d> Değiştirilmiş DREAD modeli bana orijinalinden daha mantıklı geliyor. 20:26:06 <dg> OWASP'a da çok saygı duyuyorum. :P 20:26:10 <str4d> "Beş bileşene bakarsak, bunların hiçbirinin yüksek korelasyona sahip olmadığını görürüz - biri diğerini ima etmez. Bu da bağımsız faktörlerimiz olduğu anlamına gelir, ki bu sağlam bir model için en güçlü ölçütlerden biridir. Dolayısıyla görevimiz girdileri nasıl düzgünce ağırlıklandıracağımızı bulmaktır. WSC'de, bunları 1-10 arasında derecelendirmenizi, toplayıp 5'e bölmenizi söylemiştik. Bazı bariz testler uyguladığımızda, 1'lik bir zarar ve diğer tüm faktörlerin 10 olması (iyi bilinen bir baş belası 20:26:10 <str4d> , örn., pop-up'lar) ile 1'lik bir keşfedilebilirlik ve diğer her şeyin 10 olması (ayıklaması zor ama evrenin ısısal ölümüne yol açıyor) aynı ağırlığı alıyor. Bu bariz bir arıza." 20:27:10 <str4d> dg: ben de öyle. Orada potansiyel olarak faydalı başka model ve dokümanlar da var. 20:27:31 <str4d> Başka yorum yapan var mı? 20:29:50 <str4d> Henüz başka yorum yoksa, siz düşünürken sıradaki konuya geçeceğiz. 20:30:05 <psi> yorum yok 20:31:03 <str4d> 1b) Tehdit modelini tartışın (ve gerekirse güncelleyin). 20:31:17 <str4d> http://vekw35szhzysfq7cwsly37coegsnb4rrsggy5k4wtasa6c34gy5a.b32.i2p/en/docs/how/threat-model 20:31:18 * psi tehdit modelini hızlıca gözden geçirmeye başlar 20:31:39 <iRelay> Title: I2P's Threat Model - I2P (at vekw35szhzysfq7cwsly37coegsnb4rrsggy5k4wtasa6c34gy5a.b32.i2p) 20:31:47 <dg> Bir derecelendirme görüyorum? 20:31:50 <dg> Bu yeni mi? 20:32:04 <str4d> dg: Değiştirilmiş DREAD sistemini ekledim. 20:32:12 <str4d> (itirazı olan olmaz diye düşünerek) 20:32:31 <str4d> (ama hiç yorum olmaz diye düşünmemiştim :-P ) 20:32:53 <str4d> Derecelendirmeler geçersiz. 20:33:03 <dg> Eşleşiyor gibi görünmüyor- 20:33:05 <dg> evet 20:33:09 <str4d> (toplantıda değiştirmek istediğim şey bu) 20:33:25 <str4d> Tehdit modelini tartışırken, lütfen olası derecelendirmeleri düşünün (bir sonraki konu için) 20:33:28 <dg> Tasarım iyi görünüyor, bu yüzden gerçek değerlerle beğenirim. Şiddet değerine göre de sıralamalıyız. 20:34:48 <str4d> Tehdit modeli sayfamız "standart" tehdit modeli yerleşimini (örn. OWASP sayfası) takip etmiyor 20:35:04 <str4d> Güvenlik Hedeflerini Belirle 20:35:05 <str4d> Uygulamayı İncele 20:35:05 <str4d> Ayrıştır 20:35:05 <str4d> Tehditleri Belirle 20:35:05 <str4d> Açıkları Belirle 20:35:08 <psi> bu derecelere vereceğimiz değerleri şimdi mi... yoksa sonra mı tartışacağız? 20:35:50 <str4d> psi: bir sonraki konu. Şu anda tehdit modelinin kendisini tartışıyoruz - güncel değillerse tehditleri derecelendiremeyiz. 20:35:58 <psi> doğru 20:36:17 <str4d> (Ve bilginize toplantı 22:00 UTC'de bitecek) 20:36:29 <str4d> (En azından ben o zaman ayrılacağım) 20:37:18 <str4d> Tehdit modeli sayfası güvenlik hedeflerimizi net şekilde belirtmiyor. 20:37:21 <dg> Herkes nerede? 20:37:29 <dg> 3 kişiyle çalışamayız. 20:37:54 <str4d> topiltzin, hottuna, zzz, welterde, kytv: ping 20:37:55 <zzz> modeli "resmileştirmek" her bir unsuru derecelendirmekten fazlasını içerir 20:37:56 <equinox> Bugünkü Guardian yazılarında özetlenen yöntemleri dikkate almak değerli bence. NSA geliştirici sürecini hedef almaya çalıştı 20:38:16 <str4d> zzz: biliyorum, ama bir yerden başlamalıyız. 20:38:18 <zzz> özellikle, modelimize yönelik ana itiraz, neyin içinde neyin dışında olduğunu açıkça belirtmememiz 20:38:40 <dg> Bizi ne etkiler, ne etkilemez? 20:38:43 <zzz> bu, eleştirileri dikkate almak istersek derecelendirmeden önce olması gereken bir adımdır 20:39:23 <str4d> zzz: şimdi yaptığımız şey bu. 20:39:23 <str4d> <str4d> Tehdit modeli sayfası güvenlik hedeflerimizi net şekilde belirtmiyor. 20:39:29 <zzz> bir tehdit modelinin ana noktası, içinde OLMAYAN şeyleri belirtmektir, örn. NSA. Projeler bunu ellerini sallamak ve "bizim sorunumuz değil, tehdit modelimizde yok" demek için kullanır 20:39:44 <zzz> biz bunu yapmadık. 20:40:07 <idog98@freenode> . 20:40:10 <str4d> Doğru. Hadi bunu yapalım. 20:40:29 <zzz> Resmi bir model yapar ve NSA'i çıkarırsak, o zaman protokol obfuscation (protokol gizleme/kamuflaj) üzerinde çalışmayı ve belki daha güçlü şifrelemeyi bırakabiliriz. 20:40:42 <zzz> ya da bunu kaçamaklık olarak adlandırabiliriz. 20:41:18 <dg> Başından beri, Tor'un bir GPA'den kurtaramayacağı açıktı. Bunu ve diğer uyarıları net olarak belirtiyor muyuz? 20:41:26 <dg> ve NSA'ya karşı korunuyor muyuz? 20:41:59 <str4d> Küresel düşmanlar (tüm interneti izleyebilenler) soğan yönlendirme tasarımının doğası gereği kapsam dışı. 20:42:18 <str4d> NSA, ne kadar büyük olsa da, küresel bir düşman değil. 20:42:37 <psi> NSA mevcut haliyle oldukça geniş bir kapsama sahip 20:42:38 <zzz> Mevcut modelin çoğu arzu edilen seviyede, çünkü şu anda öğelerin birçoğuna gerçekçi olarak karşı koymak için çok küçüğüz 20:42:50 <dg> Yol haritamızdaki bazı şeylerle GPA'ye karşı korunabilir miyiz? ;) 20:42:52 <equinox> str4d: belki ama başkalarıyla birlikte çalışıyorlar 20:43:01 <zzz> geleneksel terminoloji "devlet düzeyinde" saldırgan, örn. NSA 20:43:03 <orion> GPA? 20:43:11 <str4d> equinox: muhtemel. 20:43:13 <str4d> zzz: teşekkürler. 20:43:18 <dg> Global Passive Adversary 20:43:56 <zzz> dolayısıyla katı bir model yapmak ve devlet düzeyini hariç tutmak, ve bunu geliştirmeyi yönlendirmek için kullanmak, örn. bize obfuscation üzerinde çalışmamayı söyleyecektir 20:44:47 <orion> Obfuscation bir yana, anonimliğin sürdürülmesi bile yeterince zor bir iş. 20:45:43 <zzz> eleştirmenler resmi tehdit modellerini sever... bir tane olması sadece trolleri mi cesaretlendirir, yoksa gerçekten tanıtım ve geliştirmemize yardım eder mi? 20:45:53 <str4d> I2P'nin obfuscation yapmadığını her zaman belirttik (ama tehdit modelinde açıkça değil) 20:46:19 <str4d> Bu makul bir nokta. 20:46:28 <Mathiasdm> bir tehdit modeli odak için iyidir 20:46:34 <dg> Troller istiyorsa yeterince şeye sahipler. Siktir et. 20:46:41 <Mathiasdm> troller her zaman var, onları dikkate almazdım 20:46:43 <Mathiasdm> (araya girdiğim için özür) 20:46:51 <str4d> Bu toplantıdaki amacım, harfi harfine uymamız gereken katı bir tehdit modeline sahip olmak değildi. 20:47:02 <str4d> Bunu istesek bile, tek bir toplantıda mümkün olmazdı. 20:47:25 <dg> Sorun değil. Seni görmek güzel, Mathiasdm. 20:47:28 <dg> Resmi bir tehdit modeli neye karşı korumaya çalıştığımızı tanımlamamıza yardımcı olur 20:47:37 <dg> Neredeyse bir yıldır buradayım ve hâlâ tam olarak neden emin değilim. 20:47:40 <str4d> "tehdit modeli" dediğimiz web sitesi sayfası kocaman bir WoT ve grep ile ayıklaması zor. Aslında düzeltmek istediğim bu. 20:48:20 <str4d> Kullanıcıların ona bakıp ne yapmaya çalıştığımızı hızlıca anlamalarını istiyorum. 20:48:50 <equinox> Devlet kurumlarının ve devlet adına hareket eden aktörlerin kapsamlarını zamanla (engel olunmadığı sürece) sadece artıracaklarını biliyoruz. Reaksiyon vermektense bu olasılığa göre plan yapmanın en iyisi olduğunu düşünüyorum. 20:49:16 <str4d> Çünkü yanlış bilgi ve yanlış anlama I2P için uzun süredir sorun oldu. 20:50:28 <zzz> Bence sayfa oldukça iyi. Yine de belki bir özet sayfasına daha ihtiyaç var. 20:51:12 <str4d> Tehdit risk modellemesi (DREAD ile) yapılması kolay bir şey ve geçerli bilgi vermediğine karar verirsek kaldırması da kolay. 20:51:57 <str4d> zzz: okumaya zaman ayırmaya hazır olan biri için iyi. Hızlıca göz atanlar için iyi değil. 20:52:36 <str4d> Yukarıda bağlantısını verdiğim yazıda dendiği gibi: "Uyarı! Bu sistemi veya herhangi bir sistemi DÜŞÜNMEDEN uygulamayın. Bu sistem sizi doğru sonuca götürebilir de götürmeyebilir de, ve eğer götürmezse, bunun için ödediğiniz değeri düşünün; yani sıfır." 20:53:26 <zzz> Kanımca tek bir sayfa için 3 ortogonal hedefin var: 1) kitleler için basitleştirme, 2) resmileştirme ve 3) risk modelleme 20:54:38 <str4d> 1) ve 3) bağlantılı - derecelendirmelere sahip olmak kitlelerin hızlıca göz atmasını, kendileri için "önemli" olanları bulup okumasını sağlar. 20:54:49 <str4d> Ama 2)'nin ortogonal olduğunu kabul ediyorum (ve 3) ile de bağlantılı) 20:56:04 <str4d> Resmi bir tehdit modeli olması başka şeylerin önünü tıkayan bir unsur olursa, o zaman bunun peşine düşmemiz gerekecek. Ama başta "resmileştirin" dediğimde, "netleştirin" demeliydim. 20:57:43 <str4d> Hızlı anket: Burada olanlardan DREAD'i "tehdit modeli" sayfamızdaki saldırı vektörlerine uygulamayı faydalı ya da iyi bir fikir olarak düşünen var mı? 20:58:28 <str4d> Eğer evetse, bir sonraki konuya geçip bunu yapalım, sonra sonucu tartışırız. Hayırsa, unutalım gitsin ve devam edelim. 20:58:44 <topiltzin> evet-ama-bir-başkası-yaparsa 20:58:46 <dg> Alternatif ne? 20:59:09 <dg> hahahaha 20:59:21 <topiltzin> dürüst olayım :) 20:59:37 <dg> ya da moral bozucu. :) 21:02:00 <hottuna> Kötü bir fikir değil ama bunun tehdit modelinin her şeyi ve sonunu çözeceğinden emin değilim. 21:02:06 <psi> hmm <str4d> hottuna: Ben de öyle düşünmüyorum, ama faydalı bir adım olduğunu düşünüyorum. Ve başka kimse bir şey önermiyordu veya yapmıyordu :-P <psi> yardımı olacak daha fazla kişi olup olmamasına bağlı <psi> tek bir kişi ise asla olmaz <psi> işbirlikçiler varsa, olabilir <str4d> psi: Bunu şu anda toplantıda, birden fazla kişi varken yapmak istedim. <zzz> "resmileştirme" bazıları için önemli - OpenITP, eleştirmenler, değerlendiriciler, denetçiler, fon sağlayıcılar, alanımızdaki diğerleri vb. <hottuna> bunu şimdi bu toplantıda yapmak gerçekten yeterli ve iyi yapılandırılmış olur mu? <hottuna> DREAD sürecinin tamamına pek aşina değilim bu arada. <str4d> hottuna: her saldırı vektöründen geçeriz ve beş kategoriyi düşük, orta veya yüksek olarak derecelendiririz. Hepsi bu. <psi> ben de DREAD'e aşina değilim <str4d> Basit uygulanabilir olduğu için onu seçtim. <psi> ah <str4d> (Beş kategoriyi tehdit modeli sayfasındaki dizinin hemen üstünde özetledim) <psi> bir örnekle deneyelim <hottuna> bilinen her saldırı vektörü? <hottuna> psi, tabii <str4d> Bunu basit olsun diye bilerek önceden hazırladım çünkü burada birilerini bunu yapmaya ikna etmenin zor olacağını biliyordum :P <str4d> Tamam, "zamanlama saldırıları" <hottuna> olur. <str4d> Zarar Potansiyeli: Bir tehdit istismar edilirse, ne kadar zarar verilir? <str4d> Bir kullanıcıyı belirlemek için kullanılırsa, o kullanıcı deanonymize olur -> yüksek? <hottuna> zamanlama ve paket boyutlarına dayalı istatistiksel istismarlar Tor'a karşı hangi sitenin ziyaret edildiğini bulmada başarıyla kullanıldı <hottuna> çok yüksek başarı oranlarıyla (~%90 yanlış hatırlamıyorsam) <str4d> (ölçeklerle ilgili bir fikir edinmek için örn. https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD kullanın - zaten üç seviye açıklanmış) <str4d> Güvenilirlik: Saldırı ne kadar güvenilir? - düşük? orta? Genellikle ağ yüküne bağlıdır. 21:12:28 <psi> tam olarak neyin zamanlamasını yapabilmek? 21:13:26 <hottuna> genel olarak herhangi bir şeyin? 21:14:11 <psi> tamam 21:14:27 <hottuna> Bilmiyorum. 21:14:47 <hottuna> Ama tanımlar mesaj odaklı görünüyor. 21:14:52 <str4d> (ölçeklerle ilgili bir fikir edinmek için örn. https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD kullanın - zaten üç seviye açıklanmış) 21:14:54 <iRelay> Title: Threat Risk Modeling - OWASP (at www.owasp.org) 21:14:56 <str4d> Güvenilirlik: Saldırı ne kadar güvenilir? - düşük? orta? Genellikle ağ yüküne bağlıdır. 21:15:33 <str4d> psi: bu iyi bir nokta - "Zamanlama saldırıları" bölümü muhtemelen mesaj iletimi saldırıları ve mesaj içeriği saldırıları olarak bölünmeli 21:15:36 <hottuna> zarar potansiyeli: 5? 21:15:51 <str4d> Şimdilik mesaj iletimini varsayın. 21:15:55 <psi> " Sistemin veya verilerin tamamen yok edilmesi " kutunun patlaması demek sanırım? 21:16:08 <hottuna> güvenilirlik açısından, istatistiksel modeller Tor örneğinde güvenilir olduklarını kanıtladı.. 21:18:00 <str4d> hottuna: 1-3 ölçek kullanıyoruz 21:19:08 <str4d> OWASP'te açıklanan 1-10 ölçek gerekçelendirmesi daha zor. 21:19:08 <str4d> "Keşfedilebilirlik 6 ile 7 arasındaki fark nedir? Kim bilir?" 21:19:08 <str4d> OWASP ölçeğini düşük/orta/yüksek atamalarına bir gösterge olarak kullanın 21:19:11 <str4d> psi: Bizim durumda "yüksek", belirli bir kullanıcı ile onun faaliyeti arasında tam korelasyondur derim. 21:19:13 <psi> zamanlama için 5 veya 6 derdim 21:19:13 <psi> (zarar için) 21:19:14 <str4d> (Zarar için) 21:19:17 <str4d> https://blogs.msdn.com/b/david_leblanc/archive/2007/08/13/dreadful.aspx kategorileri muhtemelen daha iyi açıklar. 21:20:00 <psi> anladım 21:20:16 <hottuna> ama zarar bir tür bilginin ortaya çıkması olurdu, bu kötü olabilir.. teorik olarak belirli bir uygulamayı çalıştırdığımı ya da belirli bir hedefle konuştuğumu ortaya çıkarabilir 21:20:20 <hottuna> bu 5-6 mı? 21:20:34 <str4d> İstismar Edilebilirlik: Bu tehditten yararlanmak için ne gerekir? - orta? Saldırganın olası yol boyunca birkaç noktayı izlemesi gerekir. 21:20:36 <str4d> düşük? 21:20:49 <psi> saldırgana bağlı 21:20:55 <psi> ve ağın boyutuna da bağlı 21:21:34 <str4d> İstismar Edilebilirlik, saldırıyı başlatmadan önceki gerekliliklerdir. Güvenilirlik, tetiklendikten sonra ne kadar iyi çalıştığıdır. 21:21:48 <psi> ah 21:21:49 <str4d> psi: evet, bu yüzden bu derecelendirmeler zamanla değişecek. 21:22:05 <str4d> (Ve bu modelin bir sınırlamasına ve orijinal DREAD'deki büyük bir kusura örnektir) 21:22:06 <psi> istismar edilebilirlik orta olurdu 21:22:18 <str4d> İstismar Edilebilirlik sadece önceliği hesaplamak için kullanılır, şiddeti değil. 21:22:25 <psi> sadece sade bir i2p router çalıştırmak yeterli olmaz 21:22:54 <str4d> psi: doğru, o halde yüksek değil. 21:23:15 <str4d> Ama düşük de değil çünkü ileri düzey hesaplama gücü vs. gerektirmiyor. 21:23:20 <str4d> Etkilenen Kullanıcılar: Kaç kullanıcı etkilenecek? 21:23:27 <hottuna> Bir tunnel'in parçası olmanız gerekir, sonra da mesaj profilini incelemeniz. Bir hizmet için ibgw iseniz, birkaç kullanıcıyı geri kalanından ayırabilirsiniz. Ya da en azından onları farklı kullanıcı gruplarına kümeleyebilirsiniz 21:23:40 <hottuna> gruplara* 21:24:23 <psi> istismar edilebilirlik için orta biraz fazla olabilir 21:24:29 <psi> biraz* 21:24:36 <psi> orta-düşük 21:24:40 <hottuna> ibg durumunda, oldukça kolay derdim, ama bir sürü bilgi elde edemezsiniz 21:24:45 <hottuna> ibgw* 21:25:06 <str4d> psi: orta ya da düşük. Bu sadece öncelik puanını etkileyecek. 21:25:48 <hottuna> İstismar edilebilirlik açısından, çok yapılabilir olduğunu düşünüyorum. Özellikle diğer istismarlarla kıyaslandığında. 21:25:55 <str4d> Keşfedilebilirlik: Bu tehdidi keşfetmek ne kadar kolay? - orta? En azından I2P'nin nasıl çalıştığına dair bir miktar bilgi gerektirir. 21:25:59 <psi> hottuna: katılıyorum 21:26:10 <str4d> "Yüksek keşfedilebilirlik, kamuya açık olarak biliniyor veya kamuya açık olarak bilinen bir şeye çok benzer. Düşük keşfedilebilirlik, bunu ayıklamak için uygulamanızın iç işleyişine dair derin bilgi gerektirir." 21:26:22 <psi> orta 21:26:51 <hottuna> Saldırı pasif olduğu için asla haberimiz olmaz 21:26:55 <str4d> hottuna: aynen. Sınıflandırma kısmen diğer saldırılar için seçilene bağlıdır. Hepsi göreceli. 21:27:26 <hottuna> str4d, söylenenlere göre bir tür değer not ediyor musun? 21:27:44 <str4d> hottuna: evet. 21:29:02 <hottuna> güzel. 21:29:02 <hottuna> K: düşük 21:29:19 <psi> hmm 21:29:29 <hottuna> Etkilenen kullanıcılar: Yüksek (gerçekten bir şeyler yapan herkes) 21:29:37 <str4d> İşte üzerinde anlaştığımızı düşündüğüm şey ve bunun hesapladığı sonuç: 21:29:37 <str4d> Zarar Potansiyeli: orta 21:29:37 <str4d> Güvenilirlik: orta 21:29:37 <str4d> İstismar Edilebilirlik: orta 21:29:51 <str4d> Etkilenen Kullanıcılar: yüksek 21:29:52 <str4d> Keşfedilebilirlik: orta 21:29:53 <str4d> Şiddet: 4/5 21:29:54 <str4d> Öncelik: 5/9 21:30:23 <psi> zamanlama saldırıları oldukça kötü ama pratik görünmüyor 21:30:29 <psi> en azından şu anda 21:30:41 <str4d> Bu makul bir sonuç gibi geliyor mu? Ayarladığım seviyeler gerçekten üzerinde anlaştıklarımız mı? 21:30:58 <hottuna> keşfedilebilirliğe katılmıyorum. 21:31:01 <str4d> Ve bunu nasıl karşılaştıracağını görmek için en az bir saldırı vektörünü daha yapmalıyız. 21:31:09 <hottuna> Pasif olarak kayıt tutan bir düğüm asla keşfedilmez. 21:31:17 <str4d> hottuna: yüksek mi olmalı diyorsun? 21:31:17 <hottuna> Elbette. 21:31:29 <str4d> hottuna: yanlış "keşfedilebilirlik". 21:31:47 <hottuna> keşfedilemez neye tekabül ediyorsa artık 21:31:53 <str4d> Bu savunmacı bir model. Bu, saldırgan tarafından açığın keşfedilebilirliği. 21:32:00 <psi> bir saldırı başlatmak için kullanılan kaynaklar epey bariz olurdu, tüm kutuları ele geçirmedilerse 21:32:12 <hottuna> oh. Anladım. 21:32:18 <dg> Zamanlama saldırıları spesifik ve belki bize o kadar uygulanabilir değil.. 21:32:25 <hottuna> Ah, o halde katılıyorum. 21:33:28 <psi> bir zamanlama saldırısı yapmak için ya kuş bakışı bir görüş ya da birçok düğüme sahip olma gerekir (kaç tane? bilmiyorum) 21:33:38 <str4d> Şiddet, saldırının ne kadar kötü olduğunu düşündüğümüz; Öncelik, odaklanmamız gereken sıradır. 21:33:55 <dg> Ah. 21:33:55 <psi> kuş bakışı bir görüş de yeterli olur mu emin değilim 21:33:57 <dg> Evet, 4/5. 21:34:10 <str4d> Bunu şimdilik bırakalım ve karşılaştırma için başka bir tane yapalım. 21:34:30 <psi> 4/5 üzerinde düşününce, zamanlama saldırısı yapabiliyorlarsa, düşük gecikmeli olan her şey etkilenir 21:34:33 <psi> etkilenir* 21:34:54 <psi> öncelik... 5/9 uygun mu emin değilim 21:35:15 <str4d> "Tagging attacks" sınıflandırması kolay olmalı. 21:35:32 <str4d> psi: daha fazla sınıflandırma yapmadan önceliğin ne anlama geldiğini bilemeyiz. Sınıflandırma yinelemeli bir süreçtir. 21:35:38 <psi> tamam 21:35:48 <str4d> O halde, tagging attacks. 21:36:15 <psi> mesajları etiketlemek? routerları etiketlemek? 21:36:48 <str4d> Mesajlar 21:36:59 <str4d> (bir nevi) 21:37:07 <str4d> Bir mesajın hangi yolu izlediğini belirleme. 21:37:17 <str4d> Zarar potansiyeli: orta? 21:37:30 <psi> orta, katılıyorum 21:37:38 <psi> bir bakıma düşük 21:37:43 <hottuna> Zarar potansiyeli: dü 21:37:47 <hottuna> düşük-orta 21:37:58 <str4d> Tagging (mümkünse) yalnızca belirli bir tunnel içinde bilgi ortaya çıkarır 21:37:58 <psi> duruma bağlı 21:38:01 <str4d> Güvenilirlik: düşük. 21:38:01 <psi> evet 21:38:08 <str4d> Ya da... 21:38:10 <str4d> Hmm. 21:38:41 <psi> etiketleme hangi kapsamda ölçülecek? 21:38:58 <hottuna> eğer tunnel katılımcılarını belirleyebilecekleri bir durumda kullanıldılarsa, her seferinde işe yararlar, değil mi? 21:39:00 <str4d> İstismar edilebilirlik ve keşfedilebilirlik düşük - mesajların kendilerini etiketlemek imkansız olmalı ve işbirliği routerların tam konumlandırılmasını gerektirir. 21:39:20 <hottuna> İ:düşük 21:39:21 <str4d> psi: iki uç nokta arasında giden bir mesaj (bir istemci veya sunucu). 21:39:23 <hottuna> Z: düşük 21:39:39 <psi> katılıyorum DÜŞÜK 21:39:45 <psi> İ ve Z 21:39:50 <str4d> hottuna: aynen. Bir tagging attack keşfedilseydi, her seferinde çalışırdı. 21:40:13 <hottuna> o halde, G: yüksek? 21:40:21 <str4d> Ama böyle bir keşif imkansız olmalı çünkü her şey imzalı. 21:40:51 <str4d> Ama tagging attack türüne bağlı. 21:40:56 <str4d> Mesaj etiketleme: yüksek. 21:40:57 <psi> anahtarların ellerindeyse onlar da imzalayabilir 21:41:06 <str4d> İşbirliğiyle etiketleme: orta. 21:41:07 <hottuna> str4d, tabii, ama keşfedilebilirlik başka bir metrik 21:41:13 * str4d şimdilik yüksek diyor. 21:41:28 * hottuna tatmin oldu 21:41:44 <str4d> Etkilenen kullanıcılar: sadece tünellerinde kötü niyetli düğümler olan kullanıcılar etkilenir. 21:42:02 <psi> düşük 21:42:16 <hottuna> E: büyük olasılıkla düşük 21:42:26 <str4d> Tamam: 21:42:26 <str4d> Zarar Potansiyeli: düşük 21:42:27 <str4d> Güvenilirlik: yüksek 21:42:27 <str4d> İstismar Edilebilirlik: düşük 21:42:27 <str4d> Etkilenen Kullanıcılar: düşük 21:42:27 <str4d> Keşfedilebilirlik: düşük 21:42:28 <str4d> Şiddet: 2/5 21:42:29 <str4d> Öncelik: 2/9 21:42:52 <hottuna> iyi görünüyor 21:42:59 <psi> kulağa iyi geliyor 21:43:22 <str4d> iyi hissettiriyor 21:43:57 <hottuna> gerçek bir tehdide geçelim mi? 21:44:28 <str4d> Kalan toplantı konularını hızlıca geçip sonra buna geri dönelim mi? 21:44:37 <hottuna> tamam 21:44:56 * str4d 4) Dokümanlar tartışmasını kırpar, çok uzun sürecek. 21:45:12 <str4d> 2) Web sitesi yenilemesi - yayına hazırlık için kontrol edin. 21:45:35 <psi> site yenilemesi daha iyi CSS uygulamak mı yoksa daha fazlası var mı? 21:45:48 <str4d> Bu sınıflandırma süreci (ya da sınıflandırmaların kaldırılması) dışında, welterde site yenilemeyi "yayınlamadan" önce yapılması gereken başka ne var? 21:46:12 <hottuna> Bilmiyorum. 21:46:21 <str4d> psi: "daha iyi" CSS, ama birçok yapısal ve yerleşim değişikliği de var. 21:46:32 <str4d> Yapısal olarak her şey hazır diye düşünüyorum. 21:46:50 <hottuna> Çeviri güncelleme süreci ne kadar otomatik? 21:46:50 <str4d> Tamamen. 21:47:06 <hottuna> Ne sıklıkta? 21:47:28 <str4d> Ne zaman güncellersem. 21:47:45 <hottuna> Tamam. 21:47:48 <str4d> Şimdiye kadar, dize değişiklikleri gördüğümde, çeviri dizelerini çıkarmak ve güncellemek için betikleri çalıştırıyorum. 21:47:50 <psi> kaçmam lazım 30 dakika sonra dönerim 21:47:56 <hottuna> Sanırım bu yeterince iyi. 21:48:01 * str4d o zamana kadar gitmiş olacak. 21:48:30 <str4d> psi: o zaman DREAD tartışmasını sürdürmekte serbestsin :) 21:48:44 <hottuna> oh, str4d: ön sayfadaki kocaman indirme düğmesi en son sürüme otomatik güncellenmiyor gibi görünüyor 21:48:45 <str4d> IE 7 ve 8'de bilinen CSS sorunları var, IIRC 21:49:00 <str4d> hottuna: bu welterde ile konuşmam gereken başka bir hata. 21:49:09 <hottuna> tamam. güzel. 21:49:25 <str4d> Bir .py dosyası değiştiğinde, bir betik sunucuyu yeniden başlatmalı (ve çeviriler değiştiğinde onları derlemeli) 21:49:49 <str4d> Ama nedense, .py dosyalarındaki değişiklikler welterde'nin sunucusunda algılanmıyor... 21:49:49 <str4d> (Önceden algılanıyordu) 21:50:24 <str4d> Tamam, başka bir şey yoksa, o 21:50:43 <str4d> 'memnunum yenilemeden ve .py hatası düzeldiğinde canlıya alınabilir. 21:50:52 <hottuna> Harika! 21:51:11 <str4d> (IE 7/8 CSS sorunları fırsat bulduğumda hafifletilecek, ama bunu engelleyici görmüyorum) 21:51:23 <hottuna> Mantıklı. 21:51:42 <str4d> "canlı" == welterde bunu https://geti2p.net adresinde canlıya alacak (birkaç toplantı önce karar verdiğimiz URL), ama www.i2p2.de olduğu gibi kalacak. 21:51:52 <iRelay> Title: I2P Anonymous Network - I2P (at geti2p.net) 21:52:00 <hottuna> i2p2.de neden olduğu gibi bırakılacak? 21:52:03 <str4d> Sonra testler yapacağım, Google vb. memnun mu kontrol edeceğim. 21:52:30 <str4d> hottuna: felaket bir şey olması ve geri almamız gerekmesi ihtimaline karşı. 21:52:42 <hottuna> tamam, yani bu sadece geçici 21:52:51 <str4d> Her şey kesinlikle kontrol edilip hazır olduğunda, i2p2.de'yi geti2p.net'e 301 ile yönlendireceğiz 21:53:15 <hottuna> mantıklı 21:53:23 <str4d> Çünkü 301 kalıcı taşıma demektir ve arama motorlarının bağlantılarını güncellemesine neden olur. 21:54:08 <str4d> Eski yönlendirme kodu şimdilik 302 yönlendirmeleri kullanıyor, ama her şey ayarlandığında 301'e değiştirilecek (eski bağlantılardan PageRank kaybetmemek için) 21:54:28 <str4d> Tamam, devam edelim: 21:54:28 <str4d> 3) Yol haritası. 21:54:42 <str4d> hottuna: sıra sende. 21:55:44 <str4d> Benden yaklaşık on dakikanız var (belki burada kalan başkaları için daha fazla) 21:55:45 <hottuna> yol haritası? Bildiğim tek şey, son zamanlarda biraz daha vaktim olduğu ve DHT koduna tekrar bakmaya başladığım. Özellikle yanıt işleme koduna. 21:56:08 <hottuna> Ekleyebileceğim başka bir şey yok. 21:56:48 <str4d> 0.9 için mevcut yol haritası: 21:56:48 <str4d> Merkezi bir reseed konumuna ihtiyaç duyulmaması için dağıtıma bazı seed verileri eklemek? 21:56:48 <str4d> Erişilebilirlik Haritalama / kısmen erişilebilir eşleri ele alma / geliştirilmiş kısıtlı rotalar 21:56:49 <str4d> Yardım sayfalarını ve web sitesini geliştirme 21:56:49 <str4d> Daha fazla çeviri 21:56:56 <str4d> SSU disconnect mesajı 21:56:57 <str4d> Yinelemeli floodfill aramaları 21:57:13 <str4d> Bunların bazılarında neredeyiz ya da en son ne zaman güncellendi, hiçbir fikrim yok. 21:57:54 <hottuna> floodfill aramaları anladığım kadarıyla yinelemeli. 21:57:59 <str4d> 1.0 - 3.0 en son 2008'de güncellenmiş. 21:58:14 <str4d> 0.9, 2010'da eklendi. 21:58:14 <dg> kısıtlı rotalar olası değil 21:58:37 <hottuna> Bir veya iki dakika içinde gitmem gerekecek 21:58:42 <str4d> Yol haritasının düzgün değerlendirilmesi daha yüksek katılımlı başka bir toplantı gerektiriyor. 21:59:01 <hottuna> Katılıyorum. 21:59:14 <str4d> hottuna: DHT koduna geri dönmüş olmanı duymak güzel. 21:59:29 <str4d> Daha sonra erteliyoruz. 21:59:33 <hottuna> Ve gerçek tehdit modeli ele alınmalı. 21:59:43 <str4d> Tamam. 21:59:47 <hottuna> Bunun için bir dahaki sefere uzun bir toplantı yapabilir miyiz? 22:00:35 <str4d> hottuna: 2 saatin yeterli olacağını ummuştum, ama en az bir saatimizi bunun yapmaya değer olup olmadığını tartışarak harcadık >_< 22:00:36 <hottuna> Gitmem gerek, ama toplantı için teşekkürler str4d. Doğuştan yeteneklisin! 22:01:19 <str4d> 1c)'ye dönmeye zamanımız yok, o halde: 22:01:23 <str4d> str4d toplantıyı *baf* ile kapatır