Názor k článku Postřehy z bezpečnosti: zlé, zlé USB od Jenda - > Což vyžaduje kooperaci userlandu. Takže zase nějaká...

> Což vyžaduje kooperaci userlandu. Takže zase nějaká komunikace přes dbus. A když budeš v krizové situaci, klient ti nepoběží nebo dbus spadne, tak klávesnici nepřipojíš.
> Umí. Ale přidává to dalších x points of failure a klávesnice je natolik klíčová věc, že potřebuješ, aby fungovala i v největších krizovkách.

Na desktopu se mi tohle nestává (že bych připojil klávesnici až *potom*, co se něco rozbilo), na serveru to, jak už jsem psal, neřeším.

> Nebo do ssh session, otevřené v terminálu na tom tvým desktopu.

Asi jsem to špatně napsal. Mluvil jsem o připojování zařízení lokálně k tomu serveru.

> Připojovat zařízení, která *někomu půjčuješ* a zároveň požadovat, aby u nich šlo přeprogramovat usb stack je *neobvykly* use case.
> Pokud to zařízení nikomu nepůjčuješ, je riziko jeho zavirování výrazně menší. Navíc ani jedno z těch zařízení nutně nemusí mít flashnutelný usb stack.

Co ten mobil s OTG, tedy snad každý smartphone?

(1) Ten má softwarově libovolně upravitelný stack tak nějak z definice a bez toho by to asi nefungovalo.

(2) Většina jich je snadno kompromitovatelná ze sítě mobilního operátora.

(3) I když vyloučíme kompromitaci ze sítě operátora, je debilní, aby se prostě viry mohly jen tak šířit.

Suma sumárum připojuju nedůvěryhodné zařízení, i když jsem ho nikomu nepůjčil, a nemám moc na výběr.

> Anebo se vrátit ke staré dobré metodě: chci flashovat, přepojím nějaký jumper. Bez toho to prostě nejde.

Takže půjčím kamarádovi/úřed­nici, aby mi něco nahrála/zákaz­níkovi/whatever, on ten jumper přehodí a vyhackuje mě. Super.