wizzard

> сегодня выяснилось, что ведробраузер при клике на инпут делает его копию, которая к тому же не скроллится
> https://code.google.com/p/android/issues/detail?id=30964 я блядь устал
> "в нашем доме при открывании двери на первом этаже почему-то открывается дверь на пятом, причем в обратную сторону, выламывая проём. Можно перед этим звонить в 15-ю квартиру, тогда норм, но лифт начинает ездить только на крышу"

(дебажили долго, потому что ну кому в голову может такое прийти?)

В общем, вот люди нашли еще одно (возможное) отверстие в криптолибах, на сей раз в Андроиде - просто так взяли и закоммитили другой список дефолтных параметров шифрования, на который есть известные атаки. Или неизвестные ;)

Open Source, да. Три года коммиту.

tl;dr

Android is using the combination of horribly broken RC4 and MD5 as the first default cipher on all SSL connections. This impacts all apps that did not care enough to change the list of enabled ciphers (i.e. almost all existing apps). This post investigates why RC4-MD5 is the default cipher, and why it replaced better ciphers which were in use prior to the Android 2.3 release in December 2010.

read more: http://op-co.de/blog/posts/android_ssl_downgrade/
10x @hedin

This vulnerability makes it possible to change an application’s code without affecting the cryptographic signature of the application – essentially allowing a malicious author to trick Android into believing the app is unchanged even if it has been.

Details of Android security bug 8219321 were responsibly disclosed through Bluebox Security’s close relationship with Google in February 2013. It’s up to device manufacturers to produce and release firmware updates for mobile devices (and furthermore for users to install these updates). The availability of these updates will widely vary depending upon the manufacturer and model in question.

The screenshot below demonstrates that Bluebox Security has been able to modify an Android device manufacturer’s application to the level that we now have access to any (and all) permissions on the device.

http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

все-таки я не верю, что они его допилят до юзабельного состояния. security надо-строить-снизу, а не сверху...

плюс, по описанию это вообще на бэкдор похоже, уж очень чисто работает.

и да, вы представляете, люди из liberationtech mailing list (ну там обсуждают всякие gentoo, tor, i2p и т.д.) примерно одновременно внезапно поняли, зачем же нужен UEFI/Secure Boot! он конечно упирается в доверие юзера к вендору, но, блин, проблема выбора вендора - это уже другой вопрос...

как, вот как такое - http://habrahabr.ru/post/180985/ могло вообще пролезть в продакшен для *мобильных* устройств?

короче, +1 пункт в копилку костылей, потихоньку всплывающих.

интересно, к какой-нибудь 10 версии его допилят до ума, или нет?

продал Motorola Xoom (32g+CDMA 3G), купил Dell Venue Pro (16G+UMTS/HSPA)

первые впечатления:

1. Оба девайса красивые. Слайдер делла слегка хлипкий, но в остальном корпус и клавиатура отличные.

2. Оно не тормозит. Приятно, черт побери. И неожиданно. 

3. Маркет пустой. От слова "вообще". Зато есть OneNote и Remember the Milk, оба работают отлично.

4. Zune а) не тормозит б) синхронизирует музыку по wifi в) управляется без мышки (не спрашивайте, зачем мне понадобилось). 
Я думал, будет хуже.

5. Да, оно действительно не тормозит. Мобильный IE тоже. Удивительно. И пока ничего не сыпет диалогами "приложение блабла скрешилось", что меня вконец задолбало в Андроиде.

6. Gtalk'a нет, imo.im нет, Скайпа нет. Хныыы. Самому написать, штоле...

7. Блютус отлично работает с аудио, и не работает с видео. Говорят, known issue. Ололо.