Odbieranie wiadomości na mikrokontrolerze

1. XMPP/Jabber,8. Coś działającego w oparciu o protokół MQTT.

Dlaczego akuratnie serwis społecznościowy to musi być? Chcesz w ten sposób obejść problem posiadania lokalizacji urządzenia?

A czemu mcu ma odbierać wiadomości przez komunikator, czemu ten kanał?

Atlantis snipped-for-privacy@wp.pl napisał(a):

Po pierwsze, dlaczego społecznościówka? Skąd w ogóle taki pomysł? Kto ma czytać te komunikaty oprócz mikrokontrolera? Czy może chcesz dać dostęp wielu osobom do swojego urządzenia? Dla mnie problem nieprecyzyjnie opisany lub nie do końca przemyślany.

Niech mikrokontroler ma swój dedykowany kanał, choćby wspomniany e-mail. Nie wiem jakim problemem jest spam. Jeśli maila nikomu nie podasz, to spam nie będzie przychodził. Chyba, że założysz konto na jakimś bezpłatnym serwerze, ale przecież i tak odfiltrowanie własnych komunikatów od spamu jest trywialne.

CBŚ, CBA, FBI, CIA, KGB, MOSAD...

Ja myślę, że kiedyś nie spuścimy nawet wody w kiblu bez zalogowania się do FB. ;)

Sorry, NMSP.

Np Slack

na Whatsapp tez sie da wysłać ale nie za darmo.

W dniu niedziela, 19 maja 2019 09:00:54 UTC-5 użytkownik Atlantis napisał:

Prosty, wrecz trywialny polling http. esp8266 daje to w standardzie. Jak ustawisz polling na 5sek to uzytek bedzie prawie jakbys mial komunikacje bezposrednia.

Stronke wypichcisz w jakims trywialnym php.

Alternatywnie tak jak pisze mrvtkijv cos oparte o mqtt

Zainteresuj się mqtt Jacek Poźniak

W dniu 2019-05-19 o 23:31, Mirek pisze:

Drogi użytkowniku naszego publicznego kibla!

Aby dokonać spuszczenia wody zaloguj się do naszego kiblowego serwisu przez Facebook! Na pewno będzie to dla Ciebie niespodzianka, ale spuszczanie wody jest i będzie bezpłatne!

Za Twoimi plecami w ramkach znajduje się 10 stron formatu A3 wypełnionych drobnym tekstem. Musisz zaakceptować tę umowę, nawet jeśli jej nie przeczytasz. Ogólnie przetwarzamy wszystkie dane dla Twojego dobra, a opcjonalna aplikacja dająca zniżki w pięciu hipermarketach może powiadomić się o ewentualnym zaparciu i zasugerować właściwe leki, które możesz nabyć w najbliższej współpracującej z nami aptece.

(nie mogłem się powstrzymać) L.

Apropos prywatności, czy tam jest jakiś SSL?

Czy musi to lecieć po czystym http, a user musi sobie zaimplementować jakieś szyfrowanie?

L.

A po co? Prawdopodobieństwo, że Atlantis będzie celem MiM jest mniejsze niż wygrana w totka. SSL to prawie synonim paranoi.

W dniu 22.05.2019 o 07:40, Luke pisze:

Wystarczy zajrzeć do repo z softem:

Masz tam 2 implementacje SSL do wyboru.

W dniu 2019-05-22 o 07:39, Luke pisze:

Musieliby jeszcze zrobić jakąś blokadę drzwi bo ja nie mając Fecebooka musiałbym zostawić nie spuszczone :) P.G.

W dniu 2019-05-22 o 07:40, Luke pisze:

Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.

Jak się loguję do banku po SSL to:

- ja ufam, że to jest właściwa strona dzięki mojemu zaufaniu do 'strony trzeciej' potwierdzającej certyfikat banku. Daje to duży poziom zaufania, że po drugiej stronie jest faktycznie mój bank pod warunkiem, że ktoś mi nie podrzucił wcześniej na komputer certyfikatu jakiejś innej trzeciej strony tak, że mój komputer uznał go za zaufany (nie jest łatwe, ale czy wykluczone).

- dużo gorzej jest w drugą stronę. Jedynym potwierdzeniem dla banku, że ja to ja jest hasło. Hasło 10 znakowe ma podobno siłę rzędu 55 bitów (występujące korelacje między znakami powodują, że jeden znak typowo wnosi (o ile się nie mylę) coś między 5 a 6 bitów). Podczas, gdy obecnie algorytmy o sile poniżej

128 bitów uważane są za słabe. Hasło powinno być wydłużane (ale nie wiem czy w SSL jest i czy to wynika z samego SSL, czy zależy od implementacji). Kilka lat temu na moim poprzednim komputerze sprawdzałem

- wydłużenie hasła o 20 bitów zajmowało mi około 1s. Tyle user może jeszcze poczekać i prawie nie zauważyć. Ale to i tak dopiero 75 bitów (10^15 razy mniej niż 128 bitów).

Tymczasem zaimplementowane szyfrowanie przez usera bez problemu może oprzeć się na AES256 (klucze 256 bitowe).

W książce "Kryptografia w Praktyce" (polskie wydanie 2004) wyczytałem, że kryptografia asymetryczna ma sens wtedy, gdy komunikujący się ze sobą nie mogą się wcześniej ze sobą spotkać w celu wymiany wspólnej tajemnicy a mają wspólnego kogoś komu ufają.

Jeśli user implementujący komunikację między sobą a mikrokontrolerem jest w stanie spotkać się w tajemnicy z tym mikrokontrolerem i wymienić się kluczami to nie ma powodu opierać komunikacji z nim na zaufaniu do trzeciej strony. Tak przynajmniej mi się wydaje. P.G.

Piotr Gałka snipped-for-privacy@cutthismicromade.pl napisał(a):

Tak jest, ale nie musi. Bank jest przykładem powszechnym ale niemówiącym wszystkiego. Użytkownik jak najbardziej może się logować swoim certyfikatem. Po prostu jest to stosunkowo mało spotykane bo wymaga wydania użytkownikowi certyfikatu z kluczem.

Jak najbardziej.

Użytkownik "Piotr Gałka" napisał w wiadomości grup dyskusyjnych:qc31va$mve$1$ snipped-for-privacy@news.chmurka.net... W dniu 2019-05-22 o 07:40, Luke pisze:

SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ? Wydaje mi sie, ze nie sprawdza.

A tych stron jest chyba wiecej niz trzy - tzn przegladarka, a moze juz system ma zaszyte certyfikaty kilku organizacji, ktore moga sprawdzic nastepne organizacje, ktore dopiero certyfikuja bank, albo kolejna organizacje.

Ba - w takim Millenium sa 4 znaki plus pesel. Przy maskowanym hasle mozesz podajesz 4-5 znakow.

Ale czego sie obawiasz - ze ktos wykradnie z banku plik z zaszyfrowanymi haslami i zacznie rozkodowywac ? Czy, ze ktos zacznie sie logowac na losowe hasla ?

Tu sa kolejne zabezpieczenia - np trzy podania zlego hasla blokuja dostep. I mam nadzieje, ze ktos w banku monitoruje, ze np z tego adresu IP ktos probuje zgadnac haslo.

Tym niemniej ... majac opanowane tysiace komputerow w terenie (jakis wirus), mozna by probowac losowych hasel. Tylko - jesli szansa trafienia jest np 1:100 mln, to tysiace komputerow nie pomoga, trzeba by miliony, zeby bank sie nie zorientowal ... no chyba, ze haslo krotsze i mamy szanse np 1:100 tys ... w pare dni mozna cos trafic, bez wzbudzania podejrzen.

Ale haslo do banku podajesz juz przez SSL. Sama sesja SSL ma jakis klucz szyfrowania, losowy,

No i gdzies tam sa przewidziane pliki certyfikatow, rozsylane inna droga. Ale w wielu przypadkach dzialalnosci bankowej bedzie to nadmierne utrudnienie. A jak klient cos zgubi daleko od domu ?

No i zauwaz, ze teraz stawiaja na apki w telefonie - tu juz mozna identyfikowac konkretna instalacje/telefon. Pytanie tylko, czy tego sie nie da latwo wykrasc z telefonu.

J.

W dniu 2019-05-22 o 10:52, Grzegorz Niemirowski pisze:

Myślałem, że SSL narzuca wszystko w formie jakiej się domyślam na podstawie logowania do banku.

Mam w planie zapoznać się z SSL, tylko ta cholerna doba nie chce być dłuższa, a wręcz mam wrażenie, że robi się coraz krótsza. P.G.

J.F. <jfox snipped-for-privacy@poczta.onet.pl> napisał(a):

Od tego jest żeby sprawdzał. Chyba, że nie rozumiem pytania :) Serwer WWW można skonfigurować do uwierzytelniania klienta certyfkatem.

To są narzędzia, trudno nazwać je stronami. Stroną jest CA, które wydając certyfikat sprawdza tożsamość (dowód osobisty, dokumenty spółki. Lub też czy po prostu jesteś właścicielem domeny. Stąd są różne poziomy certyfikatów.

Piotr Gałka snipped-for-privacy@cutthismicromade.pl napisał(a):

SSL zajmuje się połączeniem: poufnością, integralnością i tożsamością. Sam w sobie zawiera mechanizmy wystarczające do zalogowania się. Jednak w praktyce używany jest tylko do potwierdzenia tożsamości serwera banku oraz zapewnienia poufności transmisji, użytkownik loguje się hasłem. Tak więc nie narzuca sposobu logowania. To jest trochę zaszłość historyczna. Kiedyś logowało się haslem i to hasło latało czystym tekstem. Czy to HTTP, czy telnet, czy POP3 czy FTP. Zeby to ucywilizować dodano w niektórych z tych protokołów warstwę SSL, działającą w sposob dosyć przezroczysty. Protokoły były bez zmian, hasło było nadal, ale już sam kanał transmisyjny był zaszyfrowany. W ten sposób powstał HTTPS, POP3S czy FTPS. Telnet miał inną historię, został zastąpiony przez nowy protokół SSH. Posiadał on przy okazji możliwość przesyłania plików, znaną jako SFTP, niemającą związku z FTPS.

Na pewno warto zapoznać się z tym tematem.