Comments 108
Мессенджеры — это не сами клиенты, а их аудитория.
И если у вас все кореспонденты в ваззапе, то проще прогнуться под них, чем прогнуть толпу под себя.
Удобство и безопасность довольно часто являются взаимоисключающими. Поэтому всегда надо отдавать себе отчет: "тебе ехать или шашечки". Если действительно нужна безопасность, то все участники настроят у себя то, что требуется. А если не хотят заморачиваться, значит и безопасность им не нужна.
«Нормальность» же — это то, что принято среди большинства.
Массовость является не причиной, а следствием удачности той или иной технологии для потребностей. Если до масс дойдет цена приватности, то jami станет популярнее телеги.
В любом случае ориентироваться на толпу означает жертвовать своими интересами. Поэтому я и пишу — если конкретно вам нужна безопасность, то вам должно быть наплевать на "нормальность".
«Нормальность» же — это то, что принято среди большинства.
"Сто миллионов леммингов не могут быть неправы!" (с)
Jami. Лишен всех перечисленных недостатков, да ещё и децентрализованный
А разве p2p позволит мне отправить файл когда абонент оффлайн (в зоне глушилок, или просто кабель перерубили) чтобы он его получил позже?
Ну и говорить про приложение на третьей строке поиска по названию, с клиентом только дляандроида как о "лишенном недостатков" это сильный комплимент.
Боюсь что удобного общения в нем не получится, уж лучше почтой пользоваться — вот уж децентрализованно дальше некуда.
Ну, формально вы никогда не можете обеспечить получение файла абонентом, "которому перерезан кабель". Так что этот аргумент не имеет смысла.
А во-вторых я ни разу не утверждал, что jami удобнее перечисленных месенджеров или достаточно массовый. Однако, если вас действительно интересует безопасность, то выбор для вас не велик (если вообще можно назвать выбором приложения, которые нарушают вашу приватность по самой своей природе), и вы сами обеспечите себя и своих контрагентов безопасными средствами связи, не дожидаясь, пока они станут достаточно популярными сами по себе.
Что касается вашего фырканья на отсутствие вашей любимой яблочной инфраструктуры, то не надо приплетать собственные вкусовые предпочтения к вопросам безопасности. Безопасный месенджер не может соответствовать всем требованиям цифрового концлагеря Apple как раз потому, что хозяева этой платформы навязывают свои представления об удобстве (и, кстати, о безопасности) каких бы взглядов на этот вопрос вы бы не придерживались. Повторяю — если безопасность для вас на первом месте, то удобство на нем быть не сможет. Такова природа безопасности (как бы нам с вами не мечталось об обратном). Остальные же платформы этим месенджером охвачены в полной мере.
Ваше фырканье про ОС можете оставить при себе. Я пользуюсь андроидом и убунтой, но вот мне пишут с разных устройств. Лучше бы проверили меня и написали что нет, jami таки доступен и с айось и с винды и из веба.
Лишен всех перечисленных недостатков
Я ни разу не утверждал, что jami удобнее...
Ок, не утверждали так не утверждали. И ладно.
Про кабель — я написал про "после" появления интернета хорошо бы таки получить сообщение. Сейчас я вижу что написать можно только человеку онлайн.
В общем пока "три относительно нормальных варианта связи: Tox, Matrix и IRC" реально "лишены всех перечисленных недостатков" а jami хорошее начало, может быть что-то получится, но пока ещё не очень.
Ещё Keybase. Не смотря на покупку зумом, он (пока) всё ещё вполне безопасный и юзабельный, в отличие от некоторых из перечисленных Вами.
Если вы считаете, что вам нечего скрывать, то подумайте над тем, что подобное возможно лишь в ситуации, когда вы действительно ничего ценного собой не представляете. Хотя обычно даже с самого заурядного нищеброда мошенникам есть что "состричь", например загнав в долги. А если вы считаете, что утратив приватность вы не даете им такого шанса, то вы очень сильно ошибаетесь.
Но если у пользователю известен ваш номер, то телеграм отдаст ваш контакт. Так работает сервис.Вот вы откуда это берёте, что так безапелляционно утверждаете? Что тогда, по-вашему, делает эта настройка?
Я не путаю. Я никогда не называл телегу приватным и анонимным месенджером. Более того, там есть всё для того, чтобы вас прослушивать.
1. Коммуникация через сервер. А это значит, что они имеют возможность хранить удаленные вами сообщения, даже из секретных чатов
2. персональные ключи шифрования доступны программе, которая и так постоянно передает данные на свои серверы. Опять же нет технических препятствий для того, чтобы ваши ключи утекли в любой момент.
3. с протоколом шифрования тоже не чисто. Вместо того, чтобы использовать что-то из открытых и хорошо проверенных стандартов, они написали что-то своё и пытаются защитить его при помощи obscurity. Любой специалист в криптографии вам скажет, что это само по себе очень тревожный звоночек. (В криптографии нет места доверию на слово)
Окей, я не прав. На этот момент протокол открыли… И нашли в нем кучу «болезней роста», которых давно нет у стандартных алгоритмов.
> А «нет препятствий чтобы ключи утекли» это просто не основанная ни на чём спекуляция, до тех пор пока вы не покажете конкретную строчку кода в исходнике, которая утекает ключи.
В том и дело, что никакой «строчки в исходнике» для этого не нужно. Вы ведь не из исходников собираете свою программу каждый раз, когда приходят обновления. Кроме того, подобные механизмы чаще всего встраивают в виде «незамеченной ошибки переполнения». Мы с вами при всём желании не сможем доказать, что конкретная «ошибка» злонамеренно предназначена для исполнения кода, которого нет в исходниках. Именно поэтому я говорю про ВОЗМОЖНОСТЬ, которая у владельцев сервиса несомненно существует, поскольку под контролем находится и шифрование и транспорт. Да ещё и аутентификация по номеру телефона создает уязвимости, эксплуатируемые теми, кто имеет доступ к телефонной инфраструктуре (и не важно — как сотрудник оператора, следак с санкцией или как оператор СОРМ). Телеграм — это иллюзия безопасности. Неплохо задуманная иллюзия, но главное — у вас нет настоящего контроля над ситуацией.
Кроме того, подобные механизмы чаще всего встраивают в виде «незамеченной ошибки переполнения»В этом можно обвинить абсолютно любой программный продукт, телеграм тут ровно ничем не выделяется.
Я написал, что возможность такая в случае телеги естьМеня слегка напрягает то, что подобные спекуляции раздуваются только в контексте обсуждения Телеграма. Мол, есть «инструмент», значит — потенциальный насильник. Как регулярно обсираются остальные мессенджеры, в том числе и закрытые, в том числе и по поводу откровенных DoS/RCE, это почему-то заслуживает в разы меньше хайпа и повода поумничать.
А вы точно понимаете смысл сквозного шифрования в секретных чатах? (Сервер в сквозном шифровании считается скомпрометированным по-умолчанию.)
По поводу остального: core.telegram.org/reproducible-builds
core.telegram.org/api/end-to-end
Про F-Droid уже написали.
Такая же новость, как и новость про взлом WhatsApp и прочих мессенджеров, где жертва сначала должна была установить софт от злоумышленников.
Потому что это вовсе не
Кроме телефонного номера, эта база может включать и другую информацию, которую пользователь указал о себе и открыл для всеобщего обозрения. Какие именно сведения попадут в базу — зависит от настроек приватности.Это определяет именно — попадёт ли номер в базу вообще.
И вот это утверждение просто банально не соответствует действительности:
Полностью блокировать такую атаку сервисы не в состоянии, поскольку у пользователей должна быть возможность запрашивать с сервера информацию о контактах
А чуть ниже та самая фича «Кто может найти меня по моему номеру телефона», для которой нет возможности задать параметр «Никто».
В идеале (чего никогда не будет), должна быть возможность регистрации без номера телефона.
для которой нет возможности задать параметр «Никто».Есть возможность не сохранять людей в контакты, вот вам и «никто». Контакты — это как «друзья» в соцсетях. Аккаунты, которым вы даёте больше прав, чем другим.
То, что их называют «контактами» не означает, что все, с кем вы общаетесь, должны в мессенджере быть занесены в этот список. Так же, как все ваши друзья не обязательно должны быть вашими «друзьями» в FB/VK.
В идеале (чего никогда не будет), должна быть возможность регистрации без номера телефона.Пример Токса вас не вдохновляет? Как говорится, никогда не говори «никогда»…
Tox, к сожалению, скорее мертв, чем жив.
Я бы отметил следующие возможные мессенджеры/протоколы: Jami, XMPP, Matrix.
Сам перевел все нужные мне контакты на использование Matrix.
Полностью блокировать такую атаку сервисы не в состоянии, поскольку у пользователей должна быть возможность запрашивать с сервера информацию о контактах
Как же было бы хорошо, если бы клиент мог пометить «мой статус, информацию можно пихать на сервер» и мог пометить «а вот статус этого и этого мне интересен. попробую поискать напрямую или на сервере, или так и быть отправляете мне с сервера» и спрашивать на прямую или пихать на сервер или читать с него…
Нужен сервис, позволяющий навечно зарегистрировать симку, с оплатой через крипту.
Впрочем возможно такие сервисы есть, но у них малый срок симки.
Или возможность отвязать телефон после регистрации, что может случиться после интеграции WhatsApp в FB.
Но в случае с Telegram или Whatsapp любой левый человек может получить ваш номер телефона.
Судя по этой статье утверждается, что любой левый человек также может получить номер телефона в Signal, но не описан механизм как это работает.
в случае с Telegram или Whatsapp любой левый человек может получить ваш номер телефона.Только если вы не отключите в настройках приватности доступ к вашему номеру.
Думаете, вам sms-спам приходит потому, что известен именно ваш аккаунт?
Впрочем это лирика. Жестокая правда в том, что многие приложения имеют доступ, к телефонным книгам, в которых ваш номер записан вместе с дополнительной информацией. Вы бы и рады ограничить доступ со своей стороны, да только ваши друзья и родственники уже слили вас с потрохами.
В том и дело, что точно не номер, где множество легко предсказуемо. Мне нравится идея с SSID, хотя даже обычный формат xmpp/email адресов уже сам по себе неплохо препятствует предсказанию содержимого базы. Что же до удобств, то я не устаю повторять, что эта гребаная гонка за удобствами и разрушает приватность сильнее всего остального.
WhatsApp, Telegram и Signal выдают телефонные номера всех пользователей