Comments 149
А аудит телеграмма проводился на предмет дырок? Или он закрыт от всех и вся?
API/протокол открыты, десктопный клиент то-же https://github.com/telegramdesktop/tdesktop (за мобильный не знаю).
А вот серверная часть конечно не опенсорс и конкретно никто не знает что там.
А вот серверная часть конечно не опенсорс и конкретно никто не знает что там.
А если бы сервер и был опенсорс, то нет гарантии, что именно тот самый код.
Поэтому и написано "конечно не опенсорс", нет никакого смысла его открывать.
Защищённым должен быть протокол и его конкретная реализация, а не среда передачи.
Ну так и с клиентом никаких гарантий если вы сами не собирали его из исходников. Можно открыть исходники программы, а собирать бинарники ее модифицированной версии.
Зато можно было-бы свой поднять приватный :)
Все их официальные клиенты — и в первую очередь это мобильные клиенты — открыты.
Не могли бы вы показать код версии 4.1?
Есть актуальные (коммиты от 30 июня) десктопные исходники, хотя ни они, ни сам десктопный клиент не маркированы 4.1.
Я не про декстопный. У него совсем другая нумерация.
ElegantBoomerang утверждает, что официальный мобильные клиенты открыты, я не смог найти ничего подобного. Все утверждают, что код открыт и его просто проверить, но по-моему, это не так.
Хотел потыкать в репозиторий на GitHub, но там оказались только сильно устаревшие данные. Написал в поддержку запрос на исходники. Если ответят, кину сюда ссылку.
А в какую репу вы хотели потыкать? Я не нашёл даже устаревшего официального клиента.
Есть android клиент DrKLO, но это не официальный, я давно за ним слежу, это параллельная разработка. Есть ещё много всяких клиентов на этом же MTProto, которые даже не называются телеграмом, некоторые кстати даже удобнее и с более широким функционалом. Но актуальных исходников и у них не найти.
Прошу прощения, последний раз когда читал — они выкладывали вовремя. Присоединился и написал им вопрос на эту тему.
Они раньше выкладывали чаще, но это всё равно не открытый код, так как собранный из выложенных исходников билд, отличался от официального билда той же версии и по функционалу и по поведению одинаковых функций, не говоря уж о бинарной схожести.
Есть проекты, где лежит и код и тут же собранные билды и если ты соберёшь сам, то получишь то же самое. А тут кто знает что там в официальном клиенте, не реверсить же его.
Можно говорить, что исходный код клиента и протокол открыты, но не официальный клиент.
Чтобы и собралось всё одинаково ещё и пишут как и чем и какой версии собирать. Это порядочные проекты так делают.
То есть, собрать из исходников рабочий клиент телеграмм невозможно?
Я не пробовал собирать. Я говорил о том, что порядочные проекты не просто выкладывают исходники, но и пишут как собирать проект (среда, версия, ос), чтобы получился бинарик как у них и ты мог проверить, что действительно их бинарик собран из этого кода.
То есть, те кто собирали клиент самостоятельно, получали разные бинарники(разный хэш) по сравнению с официальным клиентом? И какие добавки есть в офф версии неизвестно.
Разный хеш вы получите в любом случае, так как собрать официальный клиент не получится. Вы обязаны получить собственные api_id and api_hash, которые попадут в apk и изменят его хеш.
Ну и много ещё чего влияет на собранный apk, поэтому на хеш смысла смотреть вообще нет.
Кстати, что-то с открытым кодом у них странно: в репозиториях с официальной странички клиентов какие-то старые версии, коммиты в которые очень редки, ветка одна, релизов нет вовсе…
Я читал в обсуждении андроидного клиента на ГитХабе, разраб ведёт разработку в своём приватном репозитории и периодически (по пинку, можно сказать) вручную копипастит из него в публичный, вырезая руками приватные ключи, подписи и прочие приватные данные. См. тут.
Зачем? Если есть требование обеспечить секретность, проверять надо не отдельное приложение, а весь программно-аппаратный комплекс.
Например, сервисы Google Play кто-нибудь проверит, какую телеметрию они шлют? А операционную систему радиомодема, которая сидит над прикладной ОС, и вообще является идеальным местом для установки бекдоров?
Например, сервисы Google Play кто-нибудь проверит, какую телеметрию они шлют? А операционную систему радиомодема, которая сидит над прикладной ОС, и вообще является идеальным местом для установки бекдоров?
Отличный рекламный ход. Поздравляю с первым местом.
даже в консервативном Иране, где заблокированы Facebook и Twitter и где у Telegram более 40 миллионов активных пользователей, правительство не получило от нас ни байта личных данных пользователей
Ну это, мягко сказать, лукавство.
SMS-ки же не святым духом попадают на аппараты клиентов, так что составить список пользователей (телефонных номеров) не проблема. Более того, в переписке ты видишь номер собеседника, а значит можно провести попытку идентификации собеседника.
Как вообще мессенджер может считаться «безопасным», если он светит телефонный номер?
UFO just landed and posted this here
Вся информация помогающая найти человека, или его родственников является чувствительной.
это вопрос к вашему телефонному провайдеру. увы получить не виртуальный номер с каким-либо уровнем приватности уже почти невозможно.
тем не менее телеграм пока не был замечен в сливании базы номеров третьим лицам, но когда-то и вайбер этим не грешил, а теперь это их основная бизнес-модель.
но думается пока Паша у руля и пока «никто его не менял»(с) торговать данными телеграм не будет.
тем не менее телеграм пока не был замечен в сливании базы номеров третьим лицам, но когда-то и вайбер этим не грешил, а теперь это их основная бизнес-модель.
но думается пока Паша у руля и пока «никто его не менял»(с) торговать данными телеграм не будет.
Телеграм без спроса сливает твой аккаунт всем у кого есть твой телефон в контактах.
Он как-то странно это делает. У меня регулярно в нем появляются люди, которых я давным-давно из телефона удалил. И появляются под тем именем, под которым были в телефоне. Видимо каждый раз сливает телефонную книгу и не удаляет удаленные, а только добавляет в коллекцию новые.
Тоже сложилось такое впечатление. И удалить их насовсем невозможно.
сливает при первом запуске хэш каждого телефона из книги, создаёт тригер когда кто-то из этих номеров подключится и сольёт хэш с вашим номером, если будет совпадение добавит вас друг другу в контакты. полагаю тригеры не удаляются потому что для этого серверу придётся реально отслеживать изменения в вашей книге, а это против официальной политики телеграм.
Телефонный номер не является секретной чувствительной информацией
Будьте последовательны. Если простому человеку номер телефона ничего не скажет (особенно, если он постесняется даже просто позвонить по этому номеру и услышать голос), то компетентным органам по номеру телефона можно идентифицировать человека, идентифицировать устройство, которое использовалось с номером, раскрутить другие номера и другую информацию до нужной степени, что бы быть готовым собирать уже чувствительную информацию.
И это справедливо не только для РФ, но и других стран, в т.ч. США.
Не знаю, как в США, но, к примеру, в Ирландии сим-карты продают без паспорта, можно за наличные. Телефон за наличные тоже можно купить. Конечно, можно найти человека по записям камер наблюдения в магазине, где продали телефон или симку, но это уже не так просто, как просто потребовать данные от оператора мобильной связи.
В случае с телеграмом это еще и логин, через который можно получить доступ к переписке. IP-адрес тоже не является чувствительной информацией, однако его достаточно чтобы отправить человека в заключение. Пока я не буду чувствовать себя в безопасности, все что связано со мной — чувствительная информация.
Metadata absolutely tells you everything about somebody's life
— Stewart Baker, former General Counsel of the NSA
We kill people based on metadata
— Michael Hayden, former Director of the NSA
— Stewart Baker, former General Counsel of the NSA
We kill people based on metadata
— Michael Hayden, former Director of the NSA
Так он и не светит, при переписке светится ник. Да и номер не обязательно должен быть реальным. Есть много сервисов предоставляющие номера.
Так он же показывает номер, только если тот и так уже известен (есть в адресной книге телефона). А если ты не знаешь номер телефона, то и Telegram его не покажет.
В этой связи призываю вас убедиться, что у вас установлена последняя версия Telegram (4.1)
Только сегодня он обновился до 1.1.9 (десктопная версия под винду).
Мне еще пару лет подождать до нужного обновления? Или всё-таки у автора косяк в статье?
это относится к мобильным приложениям.
На настольном эта функциональность есть давно
На настольном эта функциональность есть давно
UFO just landed and posted this here
У десктопа давно есть настройки прокси, а на телефон SOCKS5 завезли только на днях.
UFO just landed and posted this here
Так это наоборот, прекрасно. Нет официальной точки, которую можно заблокировать.
Осталось хакерам наладить продажу списков проксей по 100 штук за $5, чтобы не тратить время на поиски тем, кто не умеет.
Осталось хакерам наладить продажу списков проксей по 100 штук за $5, чтобы не тратить время на поиски тем, кто не умеет.
У десктопного приложения другая система версионирования. 1.1.9 содержит все последние фишки, включая функционал для администраторов. А SOCKS5-прокси там есть уже года 3.
Это не косяк, Павел Дуров говорил про мобильную версию. (Telegram Messanger 4.1)
У Desktop версии уже всё это есть в версии 1.1.9.
Это end-to-end шифрование с применением алгоритма AES-256 в режиме IGE
Откуда информация что разработчики работают над end-to-end?
P.S. end-to-end для секретных чатов был наверное с момента появления (что-то изменилось?), вопрос в "обычных"
Таким образом, Telegram не может выполнить требования закона РФ
Мне кажется государство в первую очередь будут интересовать публичные телеграм каналы (в смысле пропаганды и т.п.), у телеграма данные о тех кто ведет каналы есть и от дурова эти данные потребуют, а потом если он не отдаст заблокируют под предлогом, что ктото там призывает вступать в игил и все такое.
Лучше бы вместо socks5-прокси запилили секретные чаты в desktop-версии клиента.
Насколько я знаю они это не делают потому что на десктопе гораздо больше возможностей перехватить такой чат. Я про случаи когда за компьютером обычный пользователь а не продвинутый гик.
Скорее, тогда будет видно отсутствие синхронизации десктопа и мобильного устройства: чаты-то должны быть разные.
Я бы сказал что наоборот, на смартфоне недостаточно средств для вычисления вредоноса продвинутым гиком, к которому пойдет «чиниться» обычный пользователь =)
А наловить вредоносов одинаково легко и на винде, и на андроиде.
А наловить вредоносов одинаково легко и на винде, и на андроиде.
Да, только в десктопной версии под macOS этот функционал есть уже, наверное, года два...
создатель мессенджера Telegram отлично понимает
Вот оно, чтение мыслей в действии! Спасибо alizar, рассказавшему, о чем думает владелец другой компании!
А если серьезно, то и до внесения в реестр было понятно, к чему все клонится: либо и дальше по пунктам закон выполнять (что, логично, сводится к «сотрудничеству»), либо, хоть как вноси себя в Реестр, мессанджер заблокируют, не сегодня, так завтра. Выбор трудный: рынок жестокий, платформу, которая не развивается и не прирастает числом юзеров, затопчут, чего уж говорить…
И самое неприятное в том, что поддержка прокси, конечно, поможет, но, после удаления приложения из магазинов приложений, пользоваться мессанжером смогут куда меньшее число пользоваталей.
Конечно, можно кивать на то, что от множества мессанджеров (Америка, Индия, Китай, да мало ли? Это не говоря уже про старый добрый Jabber!) никто не озаботился потребовать предоставить все те же данные и согласиться «дружить домами», но ситуация с «большим Т» не особо радует: сначала кое-кто кричал, что «никогда», потом данные в Реестр отправили, что дальше — можно ожидать крика «мы метаданные не отдадим», и тихого согласия «иногда» так делать?
Да, обновление клиента — это хорошо. Но, на фоне ситуации, я бы задумался, нет ли в нем теперь (отдельно включаемого) механизма для тихого сливания логов общения? Ну так, на будущее, мало ли когда придется ловить «международного преступника Карлоса Шакала», который внезапно, по оперативным данным, пользуется для общения именно программой на букву Т?
Возможно что телеграмм только планирует включить настоящую защиту от Роскомнадзора и им нужно было выиграть время. Через пару месяцев добавят специального бота, который будет автоматически раздавать прокси сервера или что-то в этом духе, а пока надо просто набирать базу пользователей.
Так же я не понимаю в чем проблема скачать их клиент из американского раздела магазина, если его запретят у нас?
Так же я не понимаю в чем проблема скачать их клиент из американского раздела магазина, если его запретят у нас?
Для похода в американский магазин обычно нужен аккаунт, который привязан к Америке. Т.е. это лишние действия для юзера, и аудитория просто уменьшится до небольшого числа гиков.
Если я не прав, и российским аккаунтом можно качать из Америки — скажите, как. Последний раз я сталкивался именно что нельзя было (причем, и у Гугла, и у Apple). Они не со зла, но идея сегментации аудитории очень важна для них, это же копирайтинг.
Если я не прав, и российским аккаунтом можно качать из Америки — скажите, как. Последний раз я сталкивался именно что нельзя было (причем, и у Гугла, и у Apple). Они не со зла, но идея сегментации аудитории очень важна для них, это же копирайтинг.
Сегментация аудитории для них очень важна из-за особенностей законодательства в разных сегментах, помимо различной платёжеспособности.
Да, и это тоже. И по этой же причине создавать вариант, чтобы на одном девайсе юзер легко ставил приложения из разных маркетов, им совсем не на руку.
Так что ставить приложение из американского, бразильского, европейского маркета, думаю, может быть и костылем, но костыль может однажды и отказать. В любом случае, этот финт ушами проделают далеко не все сегодняшние пользователи.
Так что ставить приложение из американского, бразильского, европейского маркета, думаю, может быть и костылем, но костыль может однажды и отказать. В любом случае, этот финт ушами проделают далеко не все сегодняшние пользователи.
Да, нужен аккаунт, самое сложное в его регистрации — это выйти собственно на американскую версию приложения, так как поиском через русский магазин она не находится.
На практике вам просто присылают прямую ссылку на бесплатную программу (тот же телеграмм в будущем), вы соглашаетесь что аккаунта и вас нет и тут же его регистрируете без привязки карты. То есть нужен только отдельный email и почтовый адрес в США.
Я думаю когда дойдёт до блокировок, инструкции появятся повсюду, делов там на 5 минут.
На практике вам просто присылают прямую ссылку на бесплатную программу (тот же телеграмм в будущем), вы соглашаетесь что аккаунта и вас нет и тут же его регистрируете без привязки карты. То есть нужен только отдельный email и почтовый адрес в США.
Я думаю когда дойдёт до блокировок, инструкции появятся повсюду, делов там на 5 минут.
Как вариант, да. А Вы про какую платформу пишете, что ссылку открываю, и регается аккаунт? Что-то мне кажется, что не везде такое будет.
И, повторюсь, ссылки для обхода интересны тем, кто будет обходить и вообще пделать это все. По факту получим отток народа из Телеграмма процентов на 90 на определенной географической зоне, для мессанджера такое вполне себе неприятно.
И, повторюсь, ссылки для обхода интересны тем, кто будет обходить и вообще пделать это все. По факту получим отток народа из Телеграмма процентов на 90 на определенной географической зоне, для мессанджера такое вполне себе неприятно.
Я писал про iOS и iTunes store, насчет Андройда не знаю, но там вроде с установкой программ меньше проблем, я так понимаю можно прямо с сайта телеграмма ставить.
Под itunes такое кстати тоже возможно, либо через регистрацию своего магазина приложений, который на айфоны подключается через сертификат (Enterprise магазин, так многие китайские пираты распространяют софт), либо через неофициальные пути, наподобие того как ставится jailbreak (таким образом на айфон можно установить Popcorn Time, к примеру. Скачивается софт на мак/винду и он ставит нужно приложение на подключенный по кабелю телефон).
Под itunes такое кстати тоже возможно, либо через регистрацию своего магазина приложений, который на айфоны подключается через сертификат (Enterprise магазин, так многие китайские пираты распространяют софт), либо через неофициальные пути, наподобие того как ставится jailbreak (таким образом на айфон можно установить Popcorn Time, к примеру. Скачивается софт на мак/винду и он ставит нужно приложение на подключенный по кабелю телефон).
Спасибо за ответ, про IOS не знал такого (я про ссылку и предложение зарегаться в американском апсторе), раньше было не так.
Про остальное (да и про работу с американским апстором, тоже) Вы и сами понимаете, что все эти методы не для основной массы юзеров, так что присутствие Телеграмма на IOS резко поползет вниз.
P.S. Я, правда, не понял, если Телеграмм заблокируют, то программы на телефонах сами собой удаляться, что ли, даже если их (по решению суда, полагаю?) уберут из магазинов приложений Apple и Google? Это будет эпик штука со стороны этих компаний, антипиар на весь мир, так что удаление будет вряд ли, а вот обновления уже явно не поставить будет.
Про остальное (да и про работу с американским апстором, тоже) Вы и сами понимаете, что все эти методы не для основной массы юзеров, так что присутствие Телеграмма на IOS резко поползет вниз.
P.S. Я, правда, не понял, если Телеграмм заблокируют, то программы на телефонах сами собой удаляться, что ли, даже если их (по решению суда, полагаю?) уберут из магазинов приложений Apple и Google? Это будет эпик штука со стороны этих компаний, антипиар на весь мир, так что удаление будет вряд ли, а вот обновления уже явно не поставить будет.
Раньше для скачивания залоченных на северную Америку приложений мне хватало зайти на гугл-плей из-под американской прокси на ПК и нажать кнопку «Install». После этого приложение стягивалось на телефон, находящийся в РФ безо всяких проксей.
Сейчас что-то поменялось?
Сейчас что-то поменялось?
Думаю, вы забываете, что не у всех Android?
И таки да, не все этот фокус будут делать. Более того, в Android можно и свой бинарник поставить, так что эта платформа не так пострадает. Пострадает IOS, где свое никак не поставить (я про массово понятные пути).
Но, как ни крути, аудиторию блокировка уменьшит существенно, вот об этом и разговор. Процентов на 90-95, как думается, для Android, и на 100% для IOS.
И таки да, не все этот фокус будут делать. Более того, в Android можно и свой бинарник поставить, так что эта платформа не так пострадает. Пострадает IOS, где свое никак не поставить (я про массово понятные пути).
Но, как ни крути, аудиторию блокировка уменьшит существенно, вот об этом и разговор. Процентов на 90-95, как думается, для Android, и на 100% для IOS.
Да, сейчас не так, уже лет 5 как.
Сейчас, Google Play экаунт привязывается к стране происхождения сим-карты.
Созданный много лет назад американский экаунт прекрасно работал указанным способом, но однажды залогинившись им на телефоне с российской симкой, он мгновенно обрусел. И обратно никак не хотел. Не помогают ни прокси, ни американские платежные реквизиты с действующей картой американского банка.
Дело в том, что теперь при скачивании проги надо еще выбрать устройство. Если есть устройство с американской симкой — то прогу из американского стора можно поставить только в него.
Например, в виртуальный планшет я ее поставить могу, а в телефон с российской симкой — нет.
Что касается iTunes App Store, там все лучше в этом плане.
Созданный много лет назад там экаунт, когда стор был только один, прекрасно работает до сих пор везде и с любыми карточками. Пополнение через gift cards.
Единственная проблема может возникнуть, если покупать там музыку или видео с не-US IP. Были случаи, когда после купленного в Европе фильма приходило письмо с просьбой выслать скан паспорта.
Сейчас, Google Play экаунт привязывается к стране происхождения сим-карты.
Созданный много лет назад американский экаунт прекрасно работал указанным способом, но однажды залогинившись им на телефоне с российской симкой, он мгновенно обрусел. И обратно никак не хотел. Не помогают ни прокси, ни американские платежные реквизиты с действующей картой американского банка.
Дело в том, что теперь при скачивании проги надо еще выбрать устройство. Если есть устройство с американской симкой — то прогу из американского стора можно поставить только в него.
Например, в виртуальный планшет я ее поставить могу, а в телефон с российской симкой — нет.
Что касается iTunes App Store, там все лучше в этом плане.
Созданный много лет назад там экаунт, когда стор был только один, прекрасно работает до сих пор везде и с любыми карточками. Пополнение через gift cards.
Единственная проблема может возникнуть, если покупать там музыку или видео с не-US IP. Были случаи, когда после купленного в Европе фильма приходило письмо с просьбой выслать скан паспорта.
Это лучший косвенный пиар в истории :)
Socks5-прокси нельзя назвать надежным средством обхода цензуры. Раньше у меня был провайдер с DPI, который отслеживал трафик на любом порту, и заблокированные сайты не открывались даже через HTTP-прокси на произвольных портах. Добавить поддержку Socks-прокси в такие DPI не составляет проблемы.
Лучше бы сделали поддержку Secure Web Proxy — это обычный HTTP-прокси, но с TLS поверх него. Используется в Opera VPN (который на деле не VPN, а прокси), и антизапрете.
Лучше бы сделали поддержку Secure Web Proxy — это обычный HTTP-прокси, но с TLS поверх него. Используется в Opera VPN (который на деле не VPN, а прокси), и антизапрете.
А что за провайдер у тебя был?
Провайдеры, у которых был замечен Full DPI, т.е. которые блокировали открытие ссылок из реестра через HTTP-прокси на порту 3128:
Скрытый текст
2kom/ 2ком
Annet Ltd/ Аннет ООО
ArtCommunications/ Энфорта
avers-telecom/ AXIOMA (Аверс-телеком)
Bashinformsvyaz Company/ Bashtel
Bezheckaya Internet Company ltd/ Бежецкая Интернет Компа...
Bikent Ltd. Network/ Bikent Ltd. Network
bscom/ BSCOM
Business-Svyaz LTD/ Business-Svyaz LTD
CJSC TSI Service/ ТСИ
CJSC Uralcomseti/ Convex-Тагил
Closed joint-stock company AVIEL/ AVIEL
Closed Joint Stock Company TransTeleCom/ Транстелеком
COMCOR/ КОМКОР (Торговая марка ...
COMPANY Skala Ltd/ G-Service
Company Techno-R ltd/ ТЕХНО-Р ООО
Courier Plus Ltd/ Курьер Плюс
Credolink ISP/ MNS.ru (ООО "Кредолинк"...
CRIMEACOM LTD/ CRIMEACOM LTD
/ Crimea-IX
Dagomys Telecom Ltd./ DAGOTEL
Demos Datacom/ Эт Хоум (NNZ Home)
Effortel Samara/ МВ-Самара
Elitel ISP/ Elitel
ER-Telecom/ Дом.ru
Extrim IT/ Планета
Federal state unitary enterprise of the Order of Red Banner of L/ «Российские сети вещан...
Firm BALTTELECOM/ Balttelecom
Flex ISP/ Flex
GLOBUS-TELECOM LTD/ GLOBUS-TELECOM LTD
goodline/ Good Line
GOU VPO Tomskiy politechnicheskiy universitet/ Томский политехнический...
Infoline/ Инфолада
INTERCOMTEL Limited Company/ Интеркомтел
Internet Center/ Чебнет
Intersvyaz-2 JSC Route/ Интерсвязь
IP Agabalov Rafael Grigoryevich/ ТЦ "Электрон"
Irkutsk Computing Center/ ЗАО Деловая Сеть ИРКУТС...
ISP CARAVAN/ ISP CARAVAN
JSC Beeline-Samara/ Билайн
JSC Cybercom/ JSC Cybercom
JSC Internet-Cosmos/ Интернет-Космос
JSC Kolomna-Sviaz TV/ Коломна-Связь TV
JSC KVANT-TELEKOM/ Квант-Телеком ЗАО
JSC Mastertel/ Mastertel
JSC Nord-West Telecommunication and/ Мегафон (СЗКТИ)
JSC Relax/ Relax
JSC V.I.P. Service/ JSC V.I.P. Service
JSC V-LAN/ JSC V-LAN
JSK TransVostokTelecom/ Транс Восток Телеком
KaspiyTelekom/ KaspiyTelekom
KaspNet Ltd./ KaspNet Ltd.
Kemerovo Regional Telegraph, branch of Kuzbass Pub/ Ростелеком МРФ "Сибирь"
khabnet/ Ё-Телеком (Khabnet.ru)
Koltushsky Internet Ltd/ Колтушский Интернет
Kraftsviaz-Novosibirsk JSC/ Крафтсвязь
KrasLan/ Красноярская сеть (Крас...
"Krasnoyarsk network" Ltd/ Красноярская сеть
KVIDEX-TELECOM/ Квидекс-телеком
Laboratoriya Universalnyh Communikaciy Ltd/ LinkLine
LANCOM/ SevStar
LAN-Optic-net/ Лан-Оптик
Limited Liability Company MVM Technology/ Тушино Телеком
Lipetskie Kabelnie Seti LTD/ Телемир
LLC InfoCentre/ Инфоцентр ООО
LLC SETEL/ FrankSar
LLC Synterra-Ug/ МегаФон (Synterra)
LLC Teledyne Systems Limited/ Teledyne Systems Limite...
MELT limited liability company/ MELT
Metro-Set/ Метросеть
Miranda-Media Ltd/ Миранда-медиа ООО
mk-net networks/ MK-NET
MLINE-NETWORK/ М-Лайн
Multiservice Networks Ltd./ KerchNET
Nadym Svyaz Servis Ltd/ Надым Связь Сервис ООО
nevalink/ Nevalink
New Reality Ltd/ ООО "Новая Реальность"
Nienschanz Telecom Ltd/ Домашние сети «Эт Хоум»...
Novaya Sibir Plus Ltd./ Новая Сибирь Плюс ООО
Novoe Kabelnoe Television Ltd./ НКТВ
Novosibirsk Scientific Center Network/ Novosibirsk Scientific ...
Novotelecom Ltd/ Электронный город (Ново...
OAO Chitatehenergo/ ZABLINE.RU
OJSC Infolink Technology/ Инфолинк
OJSC MegaFon/ МегаФон
OJSC North-West Telecom/ Ростелеком МРФ "Северо-...
OJSC RITC/ Рикт ОАО
OJSC Uralsvyazinform/ Ростелеком МРФ "Урал"
OJSC VolgaTelecom/ Ростелеком МРФ "Волга"
OJS Moscow city telephone network/ МГТС ОАО
Omskie kabelnye seti Ltd./ Омские Кабельные Сети
OngNet/ OngNet
Orbitel LLC/ ООО «Орбител»
Orion Telecom/ ООО "Орион телеком"
OskolTelecom OJSC/ OskolTelecom OJSC
Park-web Ltd/ Парк-Веб
PE Dyatlov Sergey Vladimirovich/ Мира-Телеком ООО
POIG Ltd./ Schelkovo-NET
protvino.net/ protvino.net
Pskovline Ltd./ Pskovline Ltd.
p-t-k/ П-Т-К
Radionet Co. Ltd/ Радионет
Regional Digital Telecommunication Company/ ЗАО "РЦТК"
RightSide/ Telecoma, мультисервисн...
RIPE Network Coordination Centre/ RIPE Network Coordinati...
Rostovskaya proizvoditelnaya kompaniya/ Ростовская производстве...
RU-KRYMTELEKOM/ Крымтелеком
Russian Central Telegraph/ Центральный Телеграф
Russian-Company/ Русская компания
Saint Petersburg state unitary enterprise "Automatic telephone e/ АТС Смольного
Saint Petersburg State University/ Saint Petersburg State ...
SCARTEL Ltd./ Yota
Sevsky network in Yalta and Chernomorsk/ Supersky
Sibirskaya set Ltd/ «Axioma» (ООО «Мульти-Н...
Sibirskie Seti Novokuznetsk Ltd./ Сибирские Сети
Skala Telecom/ Skala Telecom
SMART TELECOM/ Smart-telecom
Society with limited liability MagLAN/ MagLAN
SoftLayer Technologies/ MTS RU
SP Kazakov Viktor Aleksandrovich/ RealNet
State Institute of Information Technologies and Te/ Кибернет
SU-199034/ Peterhof Telecommunicat...
Success Ltd/ Успех ООО
svoyo/ SVOЁ (NETBYNET)
SVS-Telecom Ltd./ SVS-Telecom Ltd.
Svyaz-Holding Ltd./ Svyaz-Holding Ltd.
TCTR_CR/ ГУП Технический центр т...
Tele2/SWIPnet/ Tele2
Teleseti Plus/ Телесети плюс
Telesistemy LTD/ Telesistemy LTD
Teletime Ltd./ Инет ООО
Teneta Telekom Ltd/ Тенета Телеком ООО
The branch Rostovelectrosviaz of Public Joint Stoc/ Ростелеком МРФ "ЮГ"
timer/ Таймер
UGMK-Telecom LLC/ УГМК-Телеком
Ural Net/ Convex
usib.tv/ TeleNet Usolie-Sibirsko...
Vega Service, LLC/ Вега-Сервис ООО
Vidnoe/ Vidnoe.NET
VirginConnect/ Virgin Connect
VIST ON-LINE LTD/ ЗАО «Вист он-лайн»
ZAO Alexteleinform/ Алекстелеинформ ЗАО
Zhukovsky.net/ Zhukovsky.net
Сontact TV/ Контакт ТВSocks5 позволяет прицепиться к локальному серверу TOR и использовать его как прокси, что я и сделал. А DPI — это дорого, требует специального оборудования и ПО. И в Китае, насколько я знаю, не особо помогло. Тем более, что разработчики TOR и разнообразных протоколов VPN активно работают над вопросом необнаружимости соединений.
Помимо упомянутых Tor и shadowsocks, ещё
ssh -D N запускает локальный SOCKS-сервер.
ну так то это не инструменты обхода блокировок, а возможность настроить прокси в самом клиенте
Что вы думаете на счёт такой идеи?
Допустим, сделать мессенджер, в котором есть два типа аккаунтов.
Решит ли это хоть частично проблемы, с которыми правительство борется?
Допустим, сделать мессенджер, в котором есть два типа аккаунтов.
- В нём можно зарегаться с любым именем и в любом возрасте, но шифрование в нём будет такое, что сервер будет видеть сообщения пользователей и может (и будет) передавать эти сообщения спецслужбам.
- Будет доступен только тем, кто подтвердит свою личность и кому есть 18 лет. У таких аккаунтов будет полное шифрование и спецслужбы читать сообщения уже не смогут. Но если писать с таких аккаунтов на аккаунты первого типа, то сообщения также будут открыты.
Решит ли это хоть частично проблемы, с которыми правительство борется?
Нет, не решит, так как правительство занимается совсем не теми проблемами, про которые говорит. Это как обход блокировок Роскомнадзора или борьба в организации с использованием сотрудниками интернета не в рабочих целях: вы пытаетесь решить на техническом уровне проблему, которая решается на административном.
А кому они подтвердили свою личность? Телеграму? А зачем самому Телеграму вдруг понадобилось подтверждение личности?
Грубо говоря, к Телеграму поступает запрос — выдать переписку того-то и того-то за определенный период. Не отвечаете на запрос — блокировка. Какой в данной ситуации смысл от подтверждения личности?
Мне просто интересно как можно решить проблему на правительственном уровне более правильно, чем они сейчас это делают. Конечно же при условии, что они решают те проблемы, о которых говорят.
Ну, это если бы правительство закон выпустило работать всех по такому принципу. Понятно, что Телеграму это не надо.
А кому они подтвердили свою личность? Телеграму? А зачем самому Телеграму вдруг понадобилось подтверждение личности?
Ну, это если бы правительство закон выпустило работать всех по такому принципу. Понятно, что Телеграму это не надо.
А они не те проблемы решают.
Более того, нет прямой цели сделать всем плохо, судя по всему. Есть желание взять все в свои руки, коли уж возглавить не удалось. То, что такой подход только усиливает давление и загоняет часть аудитории в куда более мутные воды, увы, никого не беспокоит, по крайней мере, публично.
Это все начинает выглядеть как в инфх конторах по приказу рук-ва зажимали инет: админ ставил прокси, закрывал прямой выход в инет, рук-во потом читало, кто куда сходил. Через некоторое время оказывалось, что самые умные начинали пробрасывать трафик через прокси через connect, если рук-ву делать было нечего — оно дальше нагнетало, если было в разуме, решало, что пока люди работают, зажимать трафик себе дороже, потому общая картина все равно была ясна, кто «по делу», а кто «так».
А с Т ситуация еще веселее. В мире хватит способов общаться и помимо Т, где-то лучше. где-то хуже. Гики всегда найдут (ау, Сноуден!) способы не очень светиться, но основная масса юзеров «хавает, что дают», так вот давать начали все более порченный товарец, когда к нему привыкнут, будет следующий виток. Да и то, мессанджер интересен, когда в нем сидят твои основные контакты, просто так он только как оповещалка пригодится, да и то…
Более того, нет прямой цели сделать всем плохо, судя по всему. Есть желание взять все в свои руки, коли уж возглавить не удалось. То, что такой подход только усиливает давление и загоняет часть аудитории в куда более мутные воды, увы, никого не беспокоит, по крайней мере, публично.
Это все начинает выглядеть как в инфх конторах по приказу рук-ва зажимали инет: админ ставил прокси, закрывал прямой выход в инет, рук-во потом читало, кто куда сходил. Через некоторое время оказывалось, что самые умные начинали пробрасывать трафик через прокси через connect, если рук-ву делать было нечего — оно дальше нагнетало, если было в разуме, решало, что пока люди работают, зажимать трафик себе дороже, потому общая картина все равно была ясна, кто «по делу», а кто «так».
А с Т ситуация еще веселее. В мире хватит способов общаться и помимо Т, где-то лучше. где-то хуже. Гики всегда найдут (ау, Сноуден!) способы не очень светиться, но основная масса юзеров «хавает, что дают», так вот давать начали все более порченный товарец, когда к нему привыкнут, будет следующий виток. Да и то, мессанджер интересен, когда в нем сидят твои основные контакты, просто так он только как оповещалка пригодится, да и то…
А на что живет телеграмм? Как монетизируется?
Мне искренне непонятно зачем телеграму обязательное наличие телефонного номера в качестве логина. Это выглядит уже как попытка следить за людьми: если у него есть мой номер, где гарантия что потом политика не изменится, и мои логи не выдадут? А я там вдруг депутатов ругал, а номер-то и засвечен.
А приведите другой идентификатор, более-менее постоянный для человека? Конечно, один человек может иметь более одного номера, а кое-кто и одног не имеет, но это уже частности: все равно номер более удобен и универсален, чем набор «имя-фамилия-отчество-дата-рождения» или что-то подобное.
И Телеграм, кстати, имеет отличную фичу, которую конкуренты (привет Viber-у!) в своей «крутизне» просто «забыли» запилить — Т позволяет юзеру сменить привязанный к аккаунту номер, причем у его корреспондентов номер в телефонной книге тоже сменится. Если о легальном использовании, то фича магеприятная: сменил номер, а люди тебе пишут на тот же аккаунт, и звонят (в т.ч. по телефону) той же персоне в адресной книге, не замечая неудобств.
И Телеграм, кстати, имеет отличную фичу, которую конкуренты (привет Viber-у!) в своей «крутизне» просто «забыли» запилить — Т позволяет юзеру сменить привязанный к аккаунту номер, причем у его корреспондентов номер в телефонной книге тоже сменится. Если о легальном использовании, то фича магеприятная: сменил номер, а люди тебе пишут на тот же аккаунт, и звонят (в т.ч. по телефону) той же персоне в адресной книге, не замечая неудобств.
А чем логин то не угодил? Что емейлы, что скайпы, что фейсбуки — да кто угодно вполне этим обходятся
Уникальностью. Точнее, легкостью заведения тем же человеком миллиона новых логинов.
Я не особо рад, что на планшете (который работает без симки) я должен как-то регать аккаунт через номер мобильного телефона (причем, замечу, не всегда есть возможность даже принять SMS — мало ли, нет покрытия сети?), но своя логика в этом тоже есть.
Я не особо рад, что на планшете (который работает без симки) я должен как-то регать аккаунт через номер мобильного телефона (причем, замечу, не всегда есть возможность даже принять SMS — мало ли, нет покрытия сети?), но своя логика в этом тоже есть.
Ограничение в регистрацию только одного аккаунта, для меня это является антифичей любого IM.
Уникальностью
Логины уникальнее номера телефона. ICQ, email, skype, всем этим логинам у меня уже по многу лет, в то время, как номер телефона у меня успел смениться за это время как минимум несколько раз.
UFO just landed and posted this here
Менять номер телефона приходилось в связи с переездом (роуминг, чтоб его, домашний регион, все вот это, когда уже отменят весь это пережиток прошлого).
А номер телефона, как логин, это еще и небезопасно. Я сталкивался с тем, что после нескольких месяцев неиспользования номера за ненадобностью, у меня его просто отключали и передавали другому человеку. Мой номер, который сейчас везде предлагается использовать в качестве логина, другому человеку, вот так вот. Если мой логин останется у меня навсегда, даже если я его заброшу на несколько лет, то номер телефона может быть отнят уже через несколько месяцев.
Поэтому я и не привязываю его никуда, принципиально. Исключение — telegram, разве, что.
А номер телефона, как логин, это еще и небезопасно. Я сталкивался с тем, что после нескольких месяцев неиспользования номера за ненадобностью, у меня его просто отключали и передавали другому человеку. Мой номер, который сейчас везде предлагается использовать в качестве логина, другому человеку, вот так вот. Если мой логин останется у меня навсегда, даже если я его заброшу на несколько лет, то номер телефона может быть отнят уже через несколько месяцев.
Поэтому я и не привязываю его никуда, принципиально. Исключение — telegram, разве, что.
Переезд номера между регионами пока не возможен. Уже сейчас приходится мучительно вспоминать где же ты его оставлял, чтоб поменять ещё и там. В отличие от почты, где письмо о регистрации найти гораздо проще.
Сколько раз я видел, как люди теряют аккаунты, забывая пароль. Восстановление через телефон для массового мессенджера полезная фича.
Плохо, что она не опциональна. Хотя приобрести симку для регистрации не проблема для тех, кто не хочет светить номер, было бы круто чтобы была возможность войти под своим id и паролем, без sms.
Приобрести симку — мало. Нужно приобрести её анонимно и в другом городе, а лучше стране. Ещё нужно вставить её в купленный с рук телефон (при этом свой личный надо ещё до поездки за симкой и телефоном оставить дома). Тогда ещё более-менее. Да и то…
И для того чтобы включить телефон с этой симкой тоже уезжать подальше от дома, ибо пробить по локации смежные телефоны можно сузить круг поиска на порядки.
Была както статья как с высокой вероятностью идентифицировали пользователя исключительно по паттерну перемещения телефона за определенное время.
Была както статья как с высокой вероятностью идентифицировали пользователя исключительно по паттерну перемещения телефона за определенное время.
А еще не общаться с теми, с кем обычно общаешься, ибо соцграф выдаст сразу же и с головой.
Telegram правда похож на honeypot. Даже если поверить что владельцами движет только благое намерения, они используют архитектуру которая дает техническую возможность смотреть сообщения. Не верю что в долгосрочной перспективе возможно играть в юридические прятки, не выдавая властям информацию и имея возможность ее выдать. Если посмотреть на Signal protocol / OMEMO можно увидеть что такие вещи как e2e шифрование можно сделать удобными, со звонками, файлами, и синхронизацией.
Телеграм делается, чтобы продать его по итогу за много миллиардов какому-то гиганту. Личное мнение.
А какую именно информацию может выдать Telegram? Сообщения из секретных чатов он выдать не может, а остальное можно перехватить и без сотрудничества с телеграмом. И именно поэтому синхронизации и нет — с ней можно было бы получить зашифрованные сообщения, просто взломав аккаунт. А сейчас аккаунты взламывать легко, но получать информацию это не помогает.
>Сообщения из секретных чатов он выдать не может
Всю информацию которую может сохранять, от метаданных до личный и групповых сообщений.
>остальное можно перехватить и без сотрудничества с телеграмом.
Нельзя, от этого остальное защищает MTProto. Связь между клиентом и сервером защищена с помощью шифрования. Это как SSL / TLS на https:// сайтах.
>синхронизации и нет — с ней можно было бы получить зашифрованные сообщения, просто взломав аккаунт.
Синхронизацию можно сделать, присваивая каждому устройству свой ключ и шифруя сообщения на несколько ключей. Просто Telegram не предусматривает синхронизацию между e2e чатами, это не вина синхронизации самой по себе.
>А сейчас аккаунты взламывать легко, но получать информацию это не помогает.
Как раз взлом даст большую часть информации, этому способствует пофигизм на собственную безопасность обычных пользователей и недоступность e2e шифрования на большинстве десктопных ОС. По поводу взломов, СМС, телефонный номер, один из небезопасных идентификаторов, очень сомнительный во всяких консервативных странах, и странно что его сделали способом доступа к сообщениям, в безопасном по их за заявлениям, мессенджере.
Всю информацию которую может сохранять, от метаданных до личный и групповых сообщений.
>остальное можно перехватить и без сотрудничества с телеграмом.
Нельзя, от этого остальное защищает MTProto. Связь между клиентом и сервером защищена с помощью шифрования. Это как SSL / TLS на https:// сайтах.
>синхронизации и нет — с ней можно было бы получить зашифрованные сообщения, просто взломав аккаунт.
Синхронизацию можно сделать, присваивая каждому устройству свой ключ и шифруя сообщения на несколько ключей. Просто Telegram не предусматривает синхронизацию между e2e чатами, это не вина синхронизации самой по себе.
>А сейчас аккаунты взламывать легко, но получать информацию это не помогает.
Как раз взлом даст большую часть информации, этому способствует пофигизм на собственную безопасность обычных пользователей и недоступность e2e шифрования на большинстве десктопных ОС. По поводу взломов, СМС, телефонный номер, один из небезопасных идентификаторов, очень сомнительный во всяких консервативных странах, и странно что его сделали способом доступа к сообщениям, в безопасном по их за заявлениям, мессенджере.
Идея в том, что если вам важно, чтобы телеграм не слил никому ваши сообщения, то такие сообщения нужно отправлять в секретных чатах. Проблема синхронизации в том, что злоумышленник может войти в аккаунт на новом устройстве, и все секретные чаты синхронизируются с ним.
> Идея в том, что если вам важно, чтобы телеграм не слил никому ваши сообщения, то такие сообщения нужно отправлять в секретных чатах.
Что плохого в том что все чаты будут секретные?
>Проблема синхронизации в том, что злоумышленник может войти в аккаунт на новом устройстве, и все секретные чаты синхронизируются с ним.
Нет. Никакие сообщения открытом текстом не передаются. Например в OMEMO каждому устройству генерируется новый ключ, и создается отпечаток. Если к аккаунту добавится новое устройство, у него тоже будет сгенерирован ключ и отпечаток. Устройства обмениваются отпечатками, их достаточно сравнить и если они совпадают, подтвердить что всё верно. После этого несложного действия (попросить пользователя сравнить две картинки, пару букв, или другую визуализацию отпечатков) синхронизация заработает, все сообщения будут передаваться шифротекстом и расшифровываться на устройствах. Сообщения будут шифроваться на два устройства, два ключа. Мне кажется, это ничуть не сложнее паролей или СМС, имхо.
Если злоумышленник войдет на новом устройстве, он не получит возможность получить синхронизированные сообщения, пока пользователь сам не подтвердит его ключ.
Что плохого в том что все чаты будут секретные?
>Проблема синхронизации в том, что злоумышленник может войти в аккаунт на новом устройстве, и все секретные чаты синхронизируются с ним.
Нет. Никакие сообщения открытом текстом не передаются. Например в OMEMO каждому устройству генерируется новый ключ, и создается отпечаток. Если к аккаунту добавится новое устройство, у него тоже будет сгенерирован ключ и отпечаток. Устройства обмениваются отпечатками, их достаточно сравнить и если они совпадают, подтвердить что всё верно. После этого несложного действия (попросить пользователя сравнить две картинки, пару букв, или другую визуализацию отпечатков) синхронизация заработает, все сообщения будут передаваться шифротекстом и расшифровываться на устройствах. Сообщения будут шифроваться на два устройства, два ключа. Мне кажется, это ничуть не сложнее паролей или СМС, имхо.
Если злоумышленник войдет на новом устройстве, он не получит возможность получить синхронизированные сообщения, пока пользователь сам не подтвердит его ключ.
Что плохого в том что все чаты будут секретные?
Пользователи негодуют, если история сообщений не синхронизируется между их устройствами. Это автоматически умножает на ноль безопасность секретных чатов.
Сейчас у пользователей есть выбор — или синхронизация или секретность.
Все 3 моих комментария выше говорят о том что есть возможность сделать e2e шифрование (это я имел ввиду под секретными чатами) и синхронизацию. Сообщения будут синхронизироваться, но при этом их текст не сможет храниться на сервере, а шифртекст будет расшифрован только на устройстве пользователя. Это как минимум поможет компании занять позицию «у нас ничего нет, мы ничего не может отдать, это технически невозможно!».
Тут проблема не в том, что нужно, допустим, хранить сообщения на сервере (Вы правы, не надо этого). Просто силовики могут сходить к оператору и получить смску для вас, зарегестрировать новое устройство на нужный аккаунт и отлично зашифрованные на других устройствах сообщения сами туда синхронизируются и расшифруются. Сам факт синхронизации снижает безопасность и открывает новый вектор атаки.
Секретные чаты можно защищать отдельным паролем (для каждого чата — своим).
Получив SMS на новом устройстве, мессенджер может спросить пароль для расшифровки.
Получив SMS на новом устройстве, мессенджер может спросить пароль для расшифровки.
> Если злоумышленник войдет на новом устройстве, он не получит возможность получить синхронизированные сообщения, пока пользователь сам не подтвердит его ключ.
Да, факт синхронизации открывает новый вектор атаки. Но сценарий что описали вы не произойдет, так как все сообщения шифруются на ключи устройств. Новый ключ не станет доверенным пока пользователь сам его не одобрит. Сообщения не будут шифроваться на новый ключ / новое устройство силовиков, без согласия пользователя с уже доверенным ключем.
Вам хоть раз приходил спам в Telegram? А в ICQ? А в Skype?
Если регистрацию новых аккаунтов никак не ограничивать, то борьба со спамом осложняется на порядок.
В скайп мне ни разу не приходил спам. За очень много лет использования. Было, что стучались англоязычные боты, умеющие кое-как поддерживать диалог, но так как это было буквально раза два за все эти годы, воспринялось в итоге как развлечение и некая новизна
Конечно, это мой личный опыт, у кого-то может быть иначе. Но все же, видимо как-то значит справляются
Конечно, это мой личный опыт, у кого-то может быть иначе. Но все же, видимо как-то значит справляются
del
Что самое забавное, официально Павел НЕ вносил ничего в Роскомнадзор и даже напрямую с ним не связывался. Просто публично сообщил, где можно взять публичную информацию для анкеты.
То есть юридическим языком — он договор не подписывал. А то, что его кто-то там «посчитал», пришить в международном правовом поле нельзя.
То есть юридическим языком — он договор не подписывал. А то, что его кто-то там «посчитал», пришить в международном правовом поле нельзя.
UFO just landed and posted this here
UFO just landed and posted this here
1. Telegram иностранная компания.
2. На каком основании Российское гос-во требует хранения всех данных на территории именно РФ?
Если услуги доступны на территории определённой страны, то государство может счесть, что вы ведёте бизнес в их стране, а значит подчиняетесь их законам.
Вспомните как американские сервисы дружно банили пользователей из Крыма при подозрении принадлежности к оной территории. Полагаю, что именно такое явление называется «не ведет бизнес на территории Крыма».
Ну и тут будет уместно упомянуть про «правомочность» требований. По сути, государство это в том числе репрессивный аппарат для того, чтобы уметь делать больно, если вы не делаете как оно хочет. Это касается и иностранных фирм. Если иностранным фирмам не интересен рынок страны и они не опасаются того, что если они случайно залетят на территорию страны и их могут сразу посадить в тюрьму и проделать какие-нибудь интересные штуки, то они могут забить на любые требования — они не обязаны выполнять их.
Закон един для всех, и устные договоренности здесь значения не имеют, пишут «Ведомости».
Только вот господин Клименко в недавнем интервью утверждал обратное.
Похоже наступает то время, когда интернет начнёт видоизменяться. Для запретов блокировки чего-либо трафик научится быть гибким и сервисы будут работать через множество одновременных точек входа, которые пофильтровать будет практически невозможно и ноды будут меняться чуть ли не каждые 5 минут.
А для этого каждый возможный роутер должен стать доступным для роутинга трафика других нескольких узлов. Интересно, какие идеи будут воплощены в ближайшие 5 лет. Прокси у телеграма и вк — только начало.
А для этого каждый возможный роутер должен стать доступным для роутинга трафика других нескольких узлов. Интересно, какие идеи будут воплощены в ближайшие 5 лет. Прокси у телеграма и вк — только начало.
Кстати, Павел Хабру читает?
Было бы приятно увидеть его в камментах…
Было бы приятно увидеть его в камментах…
Sign up to leave a comment.
Telegram допускает вероятность цензуры, обновление клиента 4.1 защищает от блокировки