Как проблемами с Mail.ru и ФСБ ковалась репутация Павла Дурова и вера в «Телеграм»

    Запущенный в 2013 году на рынке, вроде бы и так не испытывающем дефицита в мессенджерах, «Телеграм» моментально начал менять правила игры, первым распознав, что рядовому юзеру хочется защиты приватности его коммуникаций — и открыв, тем самым, тогда ещё никем не занятую нишу для захвата, в которую, уже вслед за ним, после устремились и другие мессенджеры. А Telegram, тем временем, уже отбивал аудиторию у пабликов в соцсетях, и даже начал превращаться в медийную платформу, уводя землю из-под ног у других площадок — от блогов до традиционных медиа.

    В феврале 2016 года Дуров заявил о 100 миллионах пользователей «Телеграма», а 22 марта 2018 года мессенджер достиг «обитаемости» в 200 миллионов человек.

    И пусть это мизер на фоне миллиардных аудиторий других проектов, среди которых «Телеграм» лишь девятый по количеству активных юзеров — это не помешало ему стать трендесеттером среди других приложений.

    Продолжение: «По разные стороны государства: как Facebook прожаривали в Конгрессе США, пока «Телеграм» воевал с ФСБ»


    • WhatsApp давно не задаёт трендов, копируя лучшее у остальных — например, сквозное шифрование как раз у «Телеграма».
    • Facebook Messenger, навязанный фактически силой пользователям соцсети без явного понимания, зачем и для чего, тем более не тянет на лидера — а в вопросах приватности, видимо, за всем «Фейсбуком», валится в аутсайдеры.
    • Дальше рынок начинает потихоньку сегментироваться, и если кто-то ещё вызывает громкие эмоции, то это Skype: «Да когда ж он сдохнет-то!»
    • …или Viber: «Смотрите, кто живой».

    Как же Telegram дошёл до жизни такой?

    Вера в защищённость «Телеграма», в какой-то мере — функция репутации самого Павла Дурова


    Дуров постоянно артикулирует свою приверженность либертарианским взглядам, выступая, в числе прочего, за реформу российской образовательной системы, отмену налогов в сфере информации, отмену визовой системы, прописок и воинского призыва, снижение таможенных пошлин, предоставление регионам полной автономии, открытость суда присяжных etc. — причём, свои взгляды, как и основанные на них решения, Дуров не стесняется подавать в бескомпромиссном виде.

    Старый завет: эпоха «Вконтакте»


    Ещё во времена «Вконтакте» Дуров оказался втянут в корпоративную войну, когда крупный акционер соцсети, компания Mail.ru Group, попыталась её поглотить, купив 100% акций, чтобы объединить сайт с «Одноклассниками». В ответ на это Дуров буквально показал корпорации средний палец:



    Исход «войны» решило то, что Дуров сумел убедить сооснователей «ВКонтакте» не продавать свои акции. В апреле 2012 года «война» прекратилась.

    Примерно тогда же, в 2011 году, из-за отказа блокировать оппозиционные паблики во «Вконтакте» у Дурова начались проблемы и с российскими властями.

    8 декабря 2011 года этот конфликт стал публичным, когда на официальный запрос от ФСБ со списком групп, Дуров ответил картинкой, сразу ставшей мемом.



    Следующие два года, по мере ухудшения ситуации со свободами в России, давление на Дурова росло. О том, что стало последней каплей, он рассказал спустя два года после ответа с собачкой в худи.

    13 декабря 2013 года ФСБ потребовала от нас выдать личные данные организаторов групп Евромайдана. Нашим ответом был и остаётся категорический отказ — юрисдикция России не распространяется на украинских пользователей ВКонтакте. Выдача личных данных украинцев российским властям была бы не только нарушением закона, но и предательством всех тех миллионов жителей Украины, которые нам доверились. В процессе мне пришлось пожертвовать многим. В частности, я продал свою долю ВКонтакте, так как её наличие могло помешать мне принимать правильные решения. Но я ни о чём не жалею — защита личных данных людей стоит этого и намного большего. С декабря 2013 года у меня нет собственности, но у меня осталось нечто более важное — чистая совесть и идеалы, которые я готов защищать.


    За пределами России, находясь в менее уязвимом с точки зрения личной безопасности положении, Дуров занял ещё более категоричную позицию в отношении давления государства.

    «13 марта 2014 года прокуратура потребовала от меня закрыть антикоррупционную группу Алексея Навального под угрозой блокировки «Вконтакте». Но я не закрыл эту группу в декабре 2011 года и, разумеется, не закрыл сейчас», — написал Дуров на своей странице в соцсети.

    «Мы не будем удалять ни антикоррупционное сообщество Навального, ни сотни других сообществ, блокировки которых от нас требуют. Свобода распространения информации — неотъемлемое право постиндустриального общества. Это право, без которого существование «Вконтакте» не имеет смысла».

    Новый завет: эпоха «Телеграма»


    В интервью New York Times Дуров рассказал, что идея создания мессенджера появилась в 2011 году, когда к нему пришли представители спецслужб России. Как только они покинули дом Павла, он осознал, что безопасного канала общения со своим братом, друзьями и коллегами у него просто нет. Если нет канала — значит нужно его создать. Что и было сделано.

    Первая версия софта появилась в 2013 году, изначально было представлено приложение для iOS, а затем — и для других платформ, включая Android, Windows Phone, Linux, Windows и OS X. Когда 14 августа 2013 года Telegram в качестве экспериментального мессенджера появился на AppStore, первый пункт его описания выглядел так:

    Безопасность. Передаваемые в Telegram сообщения не могут быть прослушаны третьими лицами вроде Вашего интернет-провайдера.

    Как следствие, «Телеграм» одним из первых громко и амбициозно заявил о своей сфокусированности именно на защите приватности.

    Фактически сразу после выхода мессенджера в свет было объявлено, что он защищён не только от обычных злоумышленников, но и от прослушивания со стороны государственных структур вроде ФСБ, АНБ и т.п., предложив даже такие оригинальные фичи, как секретные чаты.

    Секретные чаты в «Телеграм» были запущены ещё в октябре 2013 года, в то время как Facebook и WhatsApp предоставили пользователям такую возможность в 2016 году.

    Быть первым оказалось важно — повторение фишек «Телеграма», вроде сквозного шифрования, тем же «Ватсаппом», выглядело обычным приёмом конкурентной борьбы, ничего не говорящим о реальной мотивированности разработчиков защищать приватность юзеров.

    Разумеется, различные фичи сами по себе делали «Телеграм» защищённым мессенджером не более, чем зажигалка-граната и радиомаяк в каблуке делают из Джеймса Бонда адекватную замену роте ВДВ, например, при штурме укреплений противника.

    Свою устойчивость к штурмовым тактикам, подкопам и любым другим попыткам нанести «Телеграму» вред, команда приложения демонстрировала предложениями взломать их продукт за их же деньги. Разумеется, помимо каких-то крупных баунти, ведётся постоянная работа по отлову уязвимостей — и Telegram не жалеет денег на поиск слабых мест.

    Сами суммы вознаграждений по двести-триста тысяч долларов привлекали внимание СМИ — и, как следствие, ещё больше разработчиков для тестирования уязвимостей мессенджера. Сейчас шумиха поугасла, поиск уязвимостей стал более рутинным, но никуда не пропал, периодически напоминая о себе разными публикациями очередных удачливых баг-хантеров.

    Благодаря своей репутации защищённого от взлома продукта, Telegram стал популярен, в числе прочего, в странах с авторитарными или чересчур любопытными режимами.

    В Иране, скажем, к концу 2017 года «Телеграмом» пользовалось более 40 млн человек — половина (!) всего восьмидесятимиллионного населения страны, — вскоре после чего был, в числе других массовых интернет-сервисов и ресурсов, заблокирован властями в процессе подавления беспорядков.

    При всей декларируемой либеральности взглядов «капитанов индустрии» вроде Марка Цукерберга, Сергея Брина или Тима Кука, интересы акционеров заставляют их «прогибаться» под власть, например, в Китае, ставят их в неудобное положение, в котором они пытаются сохранить лицо, при этом не отказываясь от своего куска огромного китайского пирога.

    В сочетании с видимым презрением к финансовым рискам конфликтов с теми или иными государствами, какого бы размера рынок они не контролировали, Дуров завершает формирование образа чуть ли не современного Гая Фокса, кумира анархистов. И человека, которому веришь, что он не станет следить за вами или сливать ваши данные на сторону в своём приложении.

    В России «Телеграму» до подобного покрытия было далеко — в сентябре 2017 года Павел Дуров насчитал на родине 10 миллионов пользователей, — впрочем, достаточно, чтобы стать костью в горле ФСБ, в 2016 году пролоббировавшей принятие оруэлловского пакета законов Яровой-Озерова, дающего ей право требовать от любых работающих на территории России сервисов «золотые ключики» ко всем потайным дверкам — то есть дешифровку любых, на усмотрение наследников царской «охранки» и НКВД, проходящих через них коммуникаций.

    Регламент передачи ключей шифрования был сразу же опубликован ФСБ в приказе №432, а для демонстрации серьёзности настроя спецслужб, Роскомнадзор даже учинил показательную казнь ряда сервисов, самой громкой из которых стала до сих пор не снятая блокировка LinkedIn.



    Летом 2017 года на нескольких каналах вышли сюжеты, в которых Дурова называли анархистом и обвиняли в том, что многие теракты последних лет, в том числе взрыв в петербургском метро, координировались именно через Telegram. (Одновременно с этим, Первый канал призывал подписаться на него в Telegram).

    Дмитрий Киселёв в эфире «России 24» заявил, что Telegram «всё больше превращается в систему связи для террористов». Телеканал НТВ дал слово главе Роскомнадзора Александру Жарову, который призвал Павла Дурова «одуматься» и предоставить спецслужбам ключи дешифрации.

    26 июня Дуров ответил ему у себя на стене:

    Это требование не только противоречит 23-й статье Конституции РФ о праве на тайну переписки, но и демонстрирует незнание того, как шифруется коммуникация в 2017 году. В 2017 году обмен секретной информацией построен на оконечном шифровании, к которому у владельцев мессенджеров нет и не может быть “ключей для дешифрации”. Эти ключи хранятся только на устройствах самих пользователей. Хотя Telegram был пионером этой технологии, сегодня оконечное шифрование используют все популярные мессенджеры, включая WhatsApp, Viber, iMessage и даже Facebook Messenger. Потенциальная блокировка Telegram никак не усложнит задачи террористов и наркодилеров — в их распоряжении останутся десятки других мессенджеров, построенных на оконечном шифровании (+VPN). Ни в одной стране мира не заблокированы все подобные мессенджеры или все сервисы VPN. Чтобы победить терроризм через блокировки, придется заблокировать интернет.

    Добавив в тот же день:

    Время появления информации о том, что почти три месяца назад Telegram якобы использовался при подготовке теракта, вызывает вопросы. Печально, если спецслужбы России эксплуатируют подобную трагедию как предлог для усиления своего влияния и контроля над населением.

    К сожалению, средства коммуникации вроде Telegram или WhatsApp не могут стать небезопасными только для потенциальных террористов. Шифрование этих сервисов либо одинаково защищает всех пользователей, либо всех их ставит под удар. Отказ от оконечного шифрования в отдельно взятой стране сделает десятки миллионов людей беззащитными от атак хакеров и шантажа коррумпированных чиновников.

    Более того, ослабление шифрования во всех мессенджерах приведет к подрыву национальной безопасности страны в целом, так как в этом случае иностранные спецслужбы неизбежно тоже получат доступ к переписке граждан России. При этом риск терактов не исчезнет – как показали события в Париже, для проведения теракта достаточно одноразовых телефонов и обычных CMC без всякого шифрования.

    Кроме медиа-атак, «Телеграму» пришлось отбиваться и от начавшего кружить вокруг него Роскомнадзора:

    Telegram работает на единых принципах по всему миру: даже в консервативном Иране, где заблокированы Facebook и Twitter, и где у Telegram более 40 миллионов активных пользователей, правительство не получило от нас ни байта личных данных пользователей. Мы не будем делать исключений из наших принципов ради сохранения доли рынка в отдельных странах.

    • В сентябре 2017 года ФСБ потребовала выдать ей «золотой ключик» уже от «Телеграма».
    • «Телеграм» отказался, за что был в октябре оштрафован на 800 000₽.
    • В декабре «Телеграм» обратился с иском о признании самого приказа 432 незаконным в Верховный суд Российской Федерации.
    • 20 марта 2018 года Верховный суд в иске отказал, оставив в силе законность приказа и требований ФСБ.
    • В тот же день Роскомнадзор потребовал от «Телеграма» передать ключи шифрования в течение 15 дней, пригрозив блокировкой на территории России в случае неподчинения.
    • Павел Дуров ответил в «Твиттере», что угрозы заблокировать Telegram не принесут результата.
    • 13 апреля 2018 года Таганский суд Москвы вынес решение в пользу Роскомнадзора, тем самым позволив начать блокировку мессенджера на территории России.
    • 1 февраля 2019 года Верховный суд РФ отклонил кассационную жалобу Telegram, поданную в рамках дела о блокировке мессенджера в России.

    Незадолго до начала, 22 марта 2018 года, «Телеграм» перешагнул за двести миллионов пользователей, а 29 марта на 3,5 часа «лёг» на территории Европы и России из-за отключения электричества в одном из его дата-центров.



    Пользователи стали шутить о тренировочном отключении в России, а Роскомнадзор отшучивался, что он «ни при чём».

    Официально Telegram в России заблокирован уже более полтора года, но единственный результат этих блокировок (кроме миллионов рублей, потраченных государством и ещё большего числа миллионов убыток непричастных сервисов, пострадавших от ковровых блокировок Роскомнадзора) — реклама «Телеграма» и рост не только числа пользователей, но и появление множества новых тематических каналов. Самое большое неудобство, которое РКН сумел причинить пользователям — это блокировка «родного» телеграмовского редиректа для внутренних ссылок t.me, доступ к которому теперь без включённого VPN или прокси через российских провайдеров теперь невозможен. Но это только открыло новые возможности для бизнеса альтернативных редиректов — как попроще, вроде telega.rip или teleg.win, так и таких мощных комбайнов, как tgstata.ru со статистикой переходов по ссылкам благодаря интеграции с Яндекс-метрикой.

    Символы веры в пресвятую «Телегу»


    • Личность основателя — взгляды и действия Павла Дурова.
    • Последовательность политики «0 байтов данных пользователей третьим лицам» и при политическом, и при рыночном давлении.
    • Резкость жестов, категоричность формулировок и даже какие-то намёки на неполиткорректность — это так желанная многими «новая откровенность».
    • Первенство в установке на защищённость пользовательской коммуникации.
    • Готовность «Телеграма» платить большие деньги за найденные уязвимости.
    • Как показал 2018 год, даже выключенный рубильник «Телеграму» не помеха.

    Пример сформированной таким путём веры в «Телеграм» продемонстрирует Брюс Сьюэлл, главный юрисконсульт Apple, в марте 2016 года заявивший, что Telegram — «абсолютно невзламываемый метод коммуникации».

    Но в этом проблема любой веры: не все готовы её принять.

    Священные войны против «Телеграма»


    В конце 2013 года на «Хабрахабре» появился пост об уязвимости Telegram, которая позволяла получить доступ к чатам любого пользователя, у которого отключена двухфакторная аутентификация, при помощи перехвата SMS с одноразовым кодом.

    Летом 2016 года на Gizmodo вышла статья «Почему вы должны прекратить использовать Telegram прямо сейчас», автор которой заявил, что мессенджер вовсе не так хорошо защищён, как это утверждает команда «Телеграма». Основной проблемой с безопасностью он назвал необходимость ручного включения шифрования чатов — по умолчанию эта функция была отключена, и, чтобы получить действительно защищённый канал связи, нужно было самостоятельно включить её в настройках.

    Но большинство проблем вокруг «Телеграма» были связаны с привязкой учётной записи к телефону пользователя. Так, в мае 2017 года неизвестные пользователи смогли войти в Telegram-аккаунты оппозиционных политиков Георгия Албурова и Олега Козловского. Они оба получили сообщения о входе с нового устройства, которое работало под управлением Linux и было подключено к сети через анонимную сеть Tor.

    После детального расследования (участие в нём приняли и разработчики Telegram) оказалось, что инцидент связан с перехватом SMS-сообщения с паролем для входа в мессенджер. Самое интересное заключается в том, что в ночь перехвата кодов, услуги передачи SMS-сообщений на телефонах пострадавших пользователей были отключены. Ещё одно совпадение заключается в том, что они оба были абонентами МТС, который Албуров и Козловский обвинили в содействии взломщикам.

    В конце 2017 года сомнения в неуязвимости мессенджера посеял Антон Розенберг, экс-сотрудник «Вконтакте» и «Телеграм». Он сообщил, что в ходе конфликта с братом Павла Дурова, Николаем, у него, Розенберга, в мессенджере «Телеграм» внезапно пропала история переписки с момента регистрации в 2013 году. «Удалена она была только на сервере, так как сообщения, закешированные у меня в телефоне, никуда не делись. В общем, выглядело всё ровно так, будто кто-то сделал запрос delete_first_messages («удалить первые N сообщений пользователя») — такая функция была ещё в движке text-engine, разработанном в ВК и позднее выложенном в open source». Его пост наделал много шума, но его слова так и остались без подтверждения.

    В официальном ответе «Телеграма» на статью Gizmodo говорилось, что автор путается в терминах, не различая, в частности, обычное и оконечное шифрование. По словам команды мессенджера, в нём шифруется всё: «Секретные чаты используют оконечное (end-to-end) шифрование, облачные чаты используют клиент-серверное шифрование для передачи данных и, конечно, хранятся в зашифрованном виде».

    Кроме того, для обеспечения безопасности данных, не имеющих end-to-end шифрования, Telegram использует распределённую инфраструктуру. В этом случае информация из облачных чатов хранится в большом количестве дата-центров по всему земному шару, находясь под различными юрисдикциями. Ключи дешифрования разбиты на части и не хранятся в том же месте, что и данные, зашифрованные этими ключами.

    В итоге, чтобы заставить Telegram выдать информацию любого рода, имеющую отношение к пользователям мессенджера, требуется получить несколько судебных предписаний из различных юрисдикций.

    В июне 2017 года команда мессенджера заявила следующее: «На сегодняшний день «Телеграм» передал 0 байтов данных пользователей третьим лицам, включая правительственные органы».

    Политики тоже, несмотря на ситуацию с Козловским и Албуровым, продолжают пользоваться «Телеграмом». Например, мессенджер использует штаб Алексея Навального.

    Телеграм хороший сервис, я пользуюсь, штаб пользуется, утечек не было никогда. А были бы — ничего страшного, у нас нет никаких секретов; в отличие от власти, у нас нет такой ситуации, когда «про себя» мы обсуждали бы одно, а «в паблик» говорили бы другое.
    — Леонид Волков, IT-специалист и руководитель штаба Алексея Навального

    В общем, до сих пор все сомнения, вопросы, блокировки и атаки шли дуровскому детищу только на пользу, упрочая его репутацию и укрепляя веру в защищённость «Телеграма».

    И это только одна сторона масштабного феномена «Телеграма», который включает, помимо технических, ещё и маркетинговые, медийные, культурные и идейные аспекты.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 156

      +10
      По умолчанию эта функция отключена, и чтобы получить действительно защищённый канал связи, нужно идти в настройки и самостоятельно всё включать.

      (сарказм)
      Ужасно, вот я поставил TrueCrypt, а чтобы он что-то зашифровал, мне надо идти в настройки и создавать там контейнеры / включать шифрование диска.

      Так, в мае 2017 года стало известно, что неизвестные пользователи смогли подключиться к аккаунтам Telegram двух оппозиционных политиков — Георгия Албурова и Олега Козловского. Они оба получили сообщения о входе с нового устройства, которое работало под управлением Linux и было подключено к сети через анонимную сеть Tor.

      (продолжая аналогию)
      А ещё я поставил пароль 12345 и мой накопитель расшифровали после изъятия техники, это шифрование никчёмное или таки я дебил?

      Если бы Георгий и Олег включили использование второго фактора (первый фактор — то, чем они обладают = сим-карта, второй — то, что они знают = пароль), то никто бы их переписку не прочитал. Microsoft и Google, кстати, давно говорят, что двухфакторная авторизация предотвращает 99% взломов.

      В последний месяц, кстати, уже начали форситься нападки, что Телеграм не является анонимным.
        +2
        Если бы Георгий и Олег включили использование второго фактора (первый фактор — то, чем они обладают = сим-карта, второй — то, что они знают = пароль), то никто бы их переписку не прочитал.

        АФАИК, 2ФА появился как раз после этого инцидента
        +8
        что Телеграм не является анонимным.

        Так он и не является анонимным. Приватным — да. Анонимным — нет.
        Ну, если ты конечно не зарегистрировался через левую сим карту и не оставил других следов в сети.
          +3

          Приватность и анонимность на телефоне невозможна, если только ты не выкинул симку, установил ОС без чёрных ходов и пользуешься бесплатными Wi-Fi точками, общаясь через P2P сети или зашифрованные email-письма. Всё остальное сказки.

            0
            В общем случае — да. В частном, если доступа к вашему телефону нет и номер нигде к вам не привязан — для всех собеседников вы будете вполне себе анонимны. Таким образом можно выделить отдельную проблему: доступ к телефону и решать уже ее. Телеграм к этой проблеме уже не будет иметь отношения. А недавно они вроде бы еще и поиск по номеру убрали. Я не проверял, но если правильно настроить телеграм, вроде бы возможности узнать ваш номер из него уже нет. Или я неправ?
              0
              Не проверял, но недавние события говорят что пока нет habr.com/ru/news/t/464855
                0
                Судя по эксплойту — поиск убрали, но дыры еще есть.
            +1
            Приватным — да.


            Напоминает религиозное высказывание, основанной только на вере.

            Ибо по поводу «защищенности/приватности» Телеграма есть как минимум 2 вопроса:

            1) Качество шифрования в продуктах фирмы Дурова вызывает обоснованные сомнения habr.com/ru/company/virgilsecurity/blog/418535

            2) Зачем Телеграм хочет меня подслушивать? Вы можете и сами лично в этом убедиться:

            Выключите доступ к микрофону в вашем Телеграме (у меня так и сделано, ибо я не пользуюсь голосовым чатом). Раз в несколько дней, даже когда вы не пользуетесь Телеграмом — Телеграм запрашивает у Андроид доступа к микрофону.
              0
              Вы можете и сами лично в этом убедиться:

              Пошел посмотрел на свой телеграм годичной давности. Увидел отсутствие доступа к микрофону, которое я сам руками и не выставлял (т.е. телеграм просто этого никогда не просил).

              В чём я там должен был лично убедиться, напомните?
                0
                Пошел посмотрел на свой телеграм годичной давности. Увидел отсутствие доступа к микрофону, которое я сам руками и не выставлял (т.е. телеграм просто этого никогда не просил).

                В чём я там должен был лично убедиться, напомните?


                Правильнее вам нужно было спросить — «ЧЯДНТ?»
                Не так вы делаете следующее:

                У меня стоит — «запрашивать разрешение каждый раз» (полный запрет мне не нужен, так как весьма изредка голосовой чат использую). Весь фокус в том, что Телеграм запрашивает разрешение не тогда, когда я сам пользуюсь голосовым чатом и это право доступа к микрофону действительно нужно. А тогда — когда Телеграм сам этого захочет — самопроизвольно раз в несколько дней.
                  0
                  Вы уж сначала определитесь, то ли вы уверены, что я что-то делаю не так, то ли вы не знаете, но на всякий случай всё равно уверены, что я что-то делаю не так.

                  Конечно же у меня нет нового андроида, а когда я написал, что пошел посмотреть на разрешения приложений — это я просто посмотрел в телефон соседа. Это ж так очевидно!
                  Конечно же у меня выключены обновления (все так делают жеж), и поэтому вы слова «телеграм годичной давности» вы прочитали как заявление, что я не обновлял его год. А не просто год назад на телефон поставил.
                  И уж конечно же тот факт, что меня о доступе к микрофону телеграм просто не просил (ни при установке, ни периодически) — он, само собой, вообще никак не относится к вашим личным проблемам с вашим личным телефоном (а это без иронии, кстати).

                  Но вот обобщили вы ваши проблемы просто чрезмерно лихо и широко.
                0
                Качество шифрования ещё показано в отношении к файлам в секретном чате. Передаёшь картинку в секретном чате без таймера на удаления или с таймером >= 1 часу, картинка хранится просто в кеше, ставишь таймер минута, сразу в шифрованном виде.
            +3
            Несмотря на множество «недостатков», которые вы перечислили, у Телеграма есть, как минимум, два важных плюса:
            1)это самый feature-rich мессенджер на рынке
            2)блокировка паролем клиента после 2FA аутентификации, не дающая в случае недобросовестных ОПСОСов прочитать переписки, что в контексте безопасности использования, например, в России, ставит его выше Signal.

            В конце 2013 года на «Хабрахабре» появилась статья об уязвимости Telegram, которая позволяет получить доступ к чатам любого пользователя, у которого отключена двухфакторная аутентификация, при помощи перехвата SMS с одноразовым кодом.

            fixed
            Так, в мае 2017 года стало известно, что неизвестные пользователи смогли подключиться к аккаунтам Telegram двух оппозиционных политиков — Георгия Албурова и Олега Козловского. Они оба получили сообщения о входе с нового устройства, которое работало под управлением Linux и было подключено к сети через анонимную сеть Tor.

            fixed
            К сожалению, подтверждения словам Антона нет, но его пост наделал много шума в плане обсуждения «самого безопасного мессенджера».

            так давайте это еще и здесь запостим!
              0
              Пункт 2 разве выполняется полностью? Что в этом случае происходит, если человек приобрел симку, на которой уже был телеграм аккаунт с паролем? Не сможет перерегистрировать на себя?
                +1
                Сможет, но:
                — не сразу (емнип, неделю придётся выждать, это как раз защита от сценария «недруг перевыпустил симку и моментально вайпнул мне аккаунт, чтобы подгадить» — даётся время, чтобы восстановить контроль)
                — переписку, контакты и группы (в том числе админство) предыдущего владельца он не получит — аккаунт станет девственно чистым
                  0
                  Но все же защита не 100%, как я понимаю чтобы такого не произошло, надо все время быть в онлайне, чтобы не пропустить не-смс нотификацию (она кстати есть?).
                    +1
                    Если сим-карта перевыпущена или номер ушёл через N месяцев неактивности другому абоненту (перед этим ещё будет каждый день списываться определенная сумма, пока баланс не обнулиться, а затем ещё несколько месяцев номер «отстаивается» у оператора, так что речь не о паре-тройке месяцев), то ваша превращается в неработающий кусок пластика. Вы даже звонок принять / позвонить не сможете, так что этот момент вы точно заметите, если сим-картой пользуетесь.

                    Плюс в активные сессии Телеграма приходит уведомление.

                    Можно, конечно, представить сценарий, когда пользователь провалялся год-другой в коме, номер уплыл, но тут уже человек явно будет не о своём Телеграме думать, а радоваться, что он банально жив.
                      0
                      Я не это имею ввиду. Перевыпуск сим карт — это причина по которой есть процедура перерегистрации по одной смс, без пароля. А вот атака этого не предполагает. Просто перехватываются все смс, когда известно, что человек сейчас не в сети и ждется неделя. Да и в сети он он в безопасности, только если ему придет не-смс уведомление с возможностью заблокировать перерегистрацию. Как-то так я понимаю текущее положение.
                        0
                        Если человек уехал на недельку в тайгу, где нет интернета (чтобы получить в свой Telegram уведомление о том, что кто-то инициировал сброс аккаунта), то да, атакующий через неделю сбросит аккаунт, поскольку перехватывает по условиям задачи все смс-ки, но не получит никакой информации, которая в нём была, поскольку все данные с сервера Telegram стираются при сбросе.

                        Но подгадит, да. Другое дело, что если у нашего атакующего есть такие возможности по перехвату, то он, скорее всего, связан с «органами», а им интересно не нагадить, а данные вытащить.
                          0
                          На самом деле не такая уж редкая ситуация. Вполне себе обычный поход, или роуминг включать не выгодно, проще на месте симку купить, причин может быть много.
                          0
                          Как можно перевыпустить произвольную сим-карту, не предоставив оператору доказательства владения оригиналом? Какой-то уж больно странный сценарий.
                            0
                            Вы не поняли. Штатный сценарий это кто-то долго симкой не пользуется и она уходит обратно в пул оператора. Из-за этого можно купить симку, на которой уже когда-то были какие-то аккаунты каких-то сервисов. Из-за этого невозможно сделать реальную двухфакторку и у телеги есть процедура регистрации аккаунта только по смс без пароля. Единственная защита — задержка в неделю.
                              +1

                              Нормальная двухфакторка делается не по смс, а по TOTP (и, в качестве дополнительного бонуса, нет необходимости сообщать номер мобильного всем подряд). И тогда нет привязки ни к номеру, ни к конкретному устройству, но при этом есть дополнительная защита от утечки пароля или устройства но не обоих сразу.

                                0
                                Ааа, вон оно что. Извините, но тут уже на мой взгляд ССЗБ.

                                То есть если это не подкуп оператора злоумышленником, а банально человек просрочил свою карту неоплатой — он виноват сам. Точно так же как если вы потеряете, к примеру, свою банковскую карту вместе с CVV кодом на обратной стороне, и не обратитесь в банк для её блокировки, вы не сможете никого винить в потере денег с неё. Или потеряете сотовый и не обратитесь к оператору для блокировки сим-карты в тот же день — аналогично потеряете как минимум средства на балансе, если девайс найдут и решат использовать. Вы же не будете потом винить в этом случае банк или оператора?

                                И я не понимаю, чем поможет задержка в неделю таким людям, если им не хватило полгода: 2-3 месяца нужно, чтобы аккаунт ушёл в -700 рублей и оператор заблокировал сим-карту (МТС блокирует на такой отметке, не знаю как остальные; плюс выше сказали, что потом ещё номер несколько месяцев находится в резерве у оператора; наконец, до перехода в резерв между заморозкой и полной блокировкой симкарты обычно тоже есть ещё месяца 2-3 по моему опыту.

                                Я к тому, что если человек в какой-то момент дёрнулся и узнал, что симкарта находится на такой стадии, что её уже не разморозить и даже не перевыпустить (то есть сам номер уже в резерве у оператора) — то надо немедленно вручную отвязывать все сервисы от этого номера.

                                Кстати, Телеграм вообще позволяет сменить номер сотового, или тот, с которого регистрировался, остаётся навечно?
                                  0
                                  Вы опять не поняли, если человек просрочил свою карту неоплатой — он виноват сам. Что номер при этом возвращается оператору и он его продает снова — это причина отсутствия реальной двухфактори, атакуют при этом не этих людей, а тех кто ничего не просрачивал. Тех кто просто не в онлайне неделю по какой-то причине.

                                  Номер сменить можно.
                                    0
                                    Окей, я похоже и правда не понял. Как их атакуют? Опишите саму атаку ещё раз, плиз. Двухфакторки нет — в смысле что есть только код из смс для авторизации, как сейчас сделано во многих интернет-магазинах и онлайн-кинотеатрах? Окей, и что из этого?

                                    Как меня смогут взломать, если я не буду пользоваться мобильным неделю?
                                      0
                                      Просто инициируют регистрацию через смс, перехватывают все смс на номер и ждать неделю таймаута. Раньше после этого был доступ к не-секретным чатам, помоему это пофиксили, но точно не скажу. А вот пообщаться от вашего имени с вашим списком контактов никто не запретит + если пофиксили доступность чатов — сотрется вся история, после того как вернеш себе акк через еще одну неделю.
                                        0
                                        А телеграм разве не откажет в регистрации? Система ведь знает, что на этот номер аккаунт уже зарегистрирован.
                                          0
                                          Так в этом вся соль. Из-за того что симки экспайрятся и этот же номер покупают новые люди у них нет выбора, иначе если на номере уже был аккаунт с двухфакторкой — новый пользователь на свежекупленную симку просто не сможет зарегистрироваться. Потому и есть процедура только по смс, но с таймаутом.
                                            0
                                            И как оно работает? Старому пользователю приходит настойчивая просьба прикрепить другой номер при инициировании регистрации с такого же номера? Там так и написано — «если вы не сделаете это в течение недели, все данные аккаунта будут стёрты»? Жёстко конечно если так. Хотя и логично…
                                        0
                                        Как меня смогут взломать, если я не буду пользоваться мобильным неделю?

                                        Были же случаи когда в ларёк оператора приходили с доверенностью и получали новую симкарту. За время пока жертва заметит, что у неё перестал работать мобильник, успевали сделать нехорошее.
                                        Или без доверенности, по сговору с работником этого ларька.
                                        Зато если честно захочешь поменять симкарту, по какой-то причине оформленной не на себя, то практически не реально.
                                          0
                                          Так доверенность липовая нужна, я так понимаю. Для этого надо хотя бы подпись подделать. Хотя наверное, это и несложно.

                                          А я всё не мог понять, как перехват смс осуществляется, теперь вроде ясно.

                                          Но с другой стороны, если вскроется факт — мне кажется продавец такого ларька как минимум работу потеряет. Хотя конечно писать заявление в органы история не быстрая, ещё непонятно, будут ли расследовать…
                                            0
                                            СМС и другие способы есть перехватить. Есть работники опсоса, есть аутсорсинговые работники, от вендора СМС центра. сейчас кстати есть и облачные решения, от опсоса только впн туннель в облако, есть СОРМ со всем причитающимися. Есть в конце концов проблемы с SS7.

                                            А продавец может и потеряет, не велика печаль, найдёт что-то подобное.
                                              0
                                              Что такое SS7? Насчёт СОРМ — ну это как бы в рамках закона, его не применяют к кому попало. Мы же сейчас говорим про незаконный перехват.
                                            +1
                                            Нужно различать «перехват SMS» (сообщение не доходит до получателя, а прилетает атакующему) и перевыпуск сим-карты (по липовой доверенности).

                                            Во втором случае сим-карта жертвы необратимо превращается в кусок пластика, что весьма заметно для жертвы.

                                            Перехват (в случае упомянутых оппозиционеров) осуществлял сотовый оператор по команде, поступившей «откуда надо», а перевыпуск может провернуть и рядовой мошенник, обманув сотрудника салона сотовой связи (или вступив с ним в сговор). Перехват с использованием уязвимостей SS7, конечно, тоже может провернуть лицо, не связанное с «органами», но нужен доступ к шлюзу, что посложнее, чем доверенность состряпать.
                                              0
                                              Чисто умозрительный вопрос: а как дела с доступом к SS7 обстоят в странах, где население, гхм, вчера высунуло одну руку (с телефоном) из первобытно-общинного строя?
                                              0
                                              Так доверенность липовая нужна, я так понимаю. Для этого надо хотя бы подпись подделать. Хотя наверное, это и несложно.
                                              Я не думаю что у работника в захолустном офисе есть много возможностей проверить подпись. Скорее всего там можно написать вообще все что угодно, на подпись никто даже смотреть толком не будет. Особенно с их зарплатой.
                                0

                                Даже если человек провалится в кому на год, то смотря, что у него стоит в настройках, произойдет автоудаление аккаунта. Максимум аккаунт сможет прожить 1 год, минимум 1 месяц.

                                0
                                Это 100% защита, поскольку предполагается, что вы регистрируете тот номер, которым пользуетесь.
                                0
                                Акк станет девственно чистым?- так это же отлично! Значит можно левые симки у метро брать, на них акки открывать, а когда у симки появится новый владелец.., да и фиг с ним, вставляем новую такую симку.
                              +6
                              Ещё не хватает той самой капитанистой хабрастатьи о том, что имея рут-права, можно вытащить со смартфона любые данные, в том числе и приложения Telegram.

                              Внезапно, имея права суперпользователя, можно и на десктопе сделать что угодно (вплоть до прошивки биоса с внедренным руткитом, против чего, конечно, можно защититься с помощью Boot Guard или привязкой к нужным регистрам TPM, но кто из присутствующих это делает?). Просто в мире Linux принято потешаться над «для установки вируса в Linux требуются права суперпользователя», а для пользователей Android стало откровением, что если на рутованном смартфоне выдавать права всем, кто попросит, то можно словить сюрприз (и похлеще, чем утекший профиль мессенджера).
                                +4
                                Напоминает статьи из газеток 90х:
                                Сейфы не смогли защитить банкира от кражи!
                                Вчера, к банкиру Н. домой пришли 5 человек, с утюгом и 2 паяльниками, для него и жены…
                                +1
                                это самый feature-rich мессенджер на рынке

                                Само по себе, это весьма субъективный плюс, который имеет значение только для тех, кто за этими фичами гоняется. Для существенной доли пользователей лишние фичи — наоборот, мусор.
                                  0
                                  Значит мне следовало написать наиболее функциональный из имеющихся, надеюсь так понятнее. Я подразумевал именно НЕ лишние фичи.
                                    +2

                                    Вопрос в том, как эти фичи интегрированы. В случае с телегой никто не будет пихать их в лицо: «эй, посмотри, у меня есть новая клевая штука, поэтому я переставил порядок кнопок, чтобы ты скорее юзал новую фичу!»

                                      0
                                      Вот только «лишние» фичи для разных пользователей — разные. А значит имея наибольшее количество фич мессенджер получает больший охват. Из чего, в свою очередь, следует что каждому конкретному человеку проще начать им пользоваться и/или уговорить пользоваться своих знакомых. Вполне себе объективный плюс, что не так-то?
                                        –1

                                        Напрягите логику. Лишние фичи отталкивают, а не привлекают. Не всегда, но чаще всего.

                                          0
                                          Для кого как. Мне в Opera Presto лишние для меня фичи никогда не мешали. Напротив, было приятно, что разработчики старались обо всех подумать и включить по максимуму «свистелок», не портя дизайн.
                                            0
                                            Вот именно что «для кого как», потому в список плюсов это писать — плохая идея.
                                            0
                                            Вам стоит поинтересоваться что же такое логика. Обычно под логикой подразумевают утверждения и выводы из них, а не голословное заявление своего мнения. Вам стоит озаботиться приведением хоть каких-то доказательств.
                                        +1
                                        блокировка паролем клиента после 2FA аутентификации, не дающая в случае недобросовестных ОПСОСов прочитать переписки, что в контексте безопасности использования, например, в России, ставит его выше Signal.

                                        В Signal тоже есть примерно такая же функция — PIN-код на запрет регистрировать устройство с аналогичным номером телефона в течение 7 дней. support.signal.org/hc/en-us/articles/360007059792-Registration-Lock
                                        +4
                                        > Секретные чаты в «Телеграм» были запущены ещё в октябре 2013 года
                                        И до сих пор не запущены на десктопе.

                                        Более того, пока всё это привязано к телефону, вся эта «приватность» — просто пшЫк.
                                          0
                                          Десктоп (впрочем, как и мобильные платформы) не ограничивается официальным клиентом.
                                            +2
                                            Это-то понятно, но зачем тогда tg вообще нужен? OTR/PGP прекрасно поверх любого протокола работать будет, хоть асечки, хоть wechat-а.
                                            А поддержки «телеграмных» секретных чатов в сторонних клиентах под никсы и мак всё равно нет.
                                              +4
                                              OTR/PGP прекрасно
                                              Если у вас и собеседника одно устройство, то прекрасно.
                                              Как только вы или собеседник, хотите одновременно и секретность, и синхронизацию переписки между несколькими устройствами, принадлежащими одной стороне (банально десктоп/лэптоп + смартфон), то вы приходите к XMPP+OMEMO, secret chats, вот этому всему.
                                                +2
                                                Secret chats и должны быть на одном устройстве, на то они и secret. И по-хорошему, они вообще дольше суток жить не должны вне головы.
                                                  +5
                                                  А в моём понимании «секретный» означает end-to-end, а не одно устройство. Мой end при этом может состоять из нескольких моих устройств, потому что я не привязан к одному устройству. Суть в том, что никакой посредник (сервер) не может прочитать переписку, а своим устройствам я доверяю (и защищаю их) в равной степени.

                                                  Кроме того, OTR не поддерживает отправку в оффлайн, а современные мессенджеры на мобильных устройствах всё время сидят в оффлайне, получая входящие через пуши и вылезая в онлайн только, когда пользователь тыкается в приложение, ведь хочется, чтобы батарея жила хотя бы день.

                                                  Кстати, OMEMO в XMPP и был создан вовсе не потому, что что кому-то не давали покоя лавры OTR, а именно ради того, чтобы синхронизировать переписку между несколькими устройствами, не заботясь о том, чтобы они все были включены. Зачем нужно искусственно терпеть неудобства, если можно иметь актуальную переписку на всех устройствах, не теряя при этом конфиденциальности?
                                                    0
                                                    End-to-End шифрование в секретных чатах означает, что ключи хранятся именно на устройствах. Если предполагается дублировать ключ на несколько ваших устройств (смартфон, планшет, десктоп) — это значительно снижает стойкость такогого шифрования.
                                                    Если дублирование ключа на десктоп реализуется, к примеру, основываясь на пароле, то фактически вместо длинного ключа стойкость станет определяться сложностью пароля.

                                                    Теоретически можно сделать отдельный секретный чат для десктопа. Примерно, как имея секретный част на смартфоне, я не могу «проникнуть» в него с планшета, но могу создать с планшета новый. Это неудобно (скажем, через какое-то время собеседник напишет мне в секретный чат, но я сообщение не увижу, потому что сейчас толькос телефоном, а планшет далеко). Зато надежнее.
                                                    Касательно же десктопа, насколько я помню, речь шла именно о том, что десктопы все же проще ломаются, больше шанс, подхватить руткит, получивший доступ к памяти и укравший данные из секретного чата. От администратора защититься крайне сложно. А ведь от такого не только вы пострадаете, но и ваш собеседник…
                                                      0
                                                      End-to-End шифрование в секретных чатах означает, что ключи хранятся именно на устройствах.
                                                      Это не аксиома и, как видим, разработчики Telegram тоже считают, что не означает.

                                                      Это неудобно
                                                      Мы всё ещё говорим о продукте для массового пользователя? Если нет, то для криптоманьяков и так есть более безопасные (и менее удобные) мессенджеры, делать ещё один не имеет смысла.
                                            0
                                            Что не так с приватностью и привязкой к телефону? Приватность != анонимность.
                                              –1
                                              > И до сих пор не запущены на десктопе.

                                              Запущены. В профиле любого собеседника есть «Start Secret Chat». На русском наверное «Начать секретный чат».
                                                0
                                                Эм. Нет, нету. Вы уверены, что вы полностью прочитали сообщение, на которое отвечаете?
                                                  0
                                                  Уверен, вот скриншот
                                                  image
                                                    0
                                                    Возможно это будет для вас открытием, но Telegram Desktop существует не только для macOS.
                                                      0
                                                      А для вас, похоже, было открытием, что на десктопном телеграмме для мака секретные чаты таки есть.
                                                        0

                                                        Ну как бы «десктопных» версий в случае с macOS целых две. И под «Telegram Desktop» обычно понимается кроссплатформенное приложение. Собственно, оно и называется Telegram Desktop, а второе — Telegram for macOS

                                              –14
                                              дошел до «наследников царской охранки и НКВД» дальше даже читать не стал, пованивает статейка
                                                +6
                                                Пользовался, пользуюсь и буду пользоваться. И не только из-за наличия «секретных чатов». Он удобный, лёгкий, много контента, ботов легко пилить под него… А если ещё и криптовалютить можно будет, расплачиваться с хостингом в Европе, например, или за покупки. Было б здорово.
                                                  +7
                                                  Надо учесть, что сильная сторона тележки это API для ботов. Уже даже и не знаю, чтоб я без него делал сейчас :)

                                                  А по поводу «веры в телеграм», есть запрос у общества на приватность и он был удовлетворён, а как говорят психологи мы охотней верим той информации, которая согласовывается с нашим мнением.

                                                  Всем хочется верить в существование добра, а как оно на самом деле знать может только сам Павел :)
                                                    0
                                                    Ещё бы их апишечка для ботов поддерживала ipv6(
                                                    +4
                                                    А еще был показательный случай, когда телегу заблокировали в Малайзии за отказ в сотрудничестве с властями по борьбе с терроризмом.
                                                    И тогда Павел с гордо поднятой головой лично прилетел в Малайзию договариваться с представителями министерства правды.

                                                    Не, телега — классный мессенджер без сарказма, но считать Дурова последним оплотом борьбы я бы не стал.
                                                      +4

                                                      А последнюю новость с утечкой номеров протестующих даже не упамянули.

                                                        +1

                                                        Так и не понял, в чем посыл статьи. Очередное пережевывание нюансов и базовых принципов мессенджера с авторизацией по номеру телефона.


                                                        Вроде бы не встречал в реальной жизни Свидетелей святого Павла, верующих в то, что один его перст способен защитить всех нас от кровавой гэбни всех стран. Но продукт классный и при правильном обращении может служить и как средство приватной коммуникации.

                                                          +3
                                                          На рекламу похоже
                                                          +5
                                                          Регламент передачи ключей шифрования был сразу же опубликован ФСБ в приказе №432, а для демонстрации серьёзности настроя спецслужб, Роскомнадзор даже учинил показательную казнь ряда сервисов, самой громкой из которых стала до сих пор не снятая блокировка LinkedIn.

                                                          LinkedIn был заблокирован не за предоставление ключей, а по гораздо ранее принятому закону, требующему хранение ПД россиян на территории РФ.
                                                            0
                                                            В июне 2017 года команда мессенджера заявила следующее: «На сегодняшний день «Телеграм» передал 0 байтов данных пользователей третьим лицам, включая правительственные органы».

                                                            Точно, ведь распечатки на бумаге — это не цифровая информация :) Хитро и главное по иезутски правда.

                                                            С чего такая реклама телеги? Падает кол-во аудитории, переходят на jabber + OTR + Tor?

                                                            Жаль нету статистики по кол-ву пользователей в динамике, и настоящей статистики
                                                              +1
                                                              Падает кол-во аудитории, переходят на jabber + OTR + Tor?

                                                              Нежизнеспособно на мобиле. Поэтому самый приватный из мобильных мессенджеров — телега.
                                                                0
                                                                Нежизнеспособно на мобиле

                                                                А мужики-то и не знали.
                                                                Conversations с шифрованием по дефолту на мобиле уже давно есть, и он несильно сложнее e-mail в регистрации.
                                                                  0
                                                                  Conversations с шифрованием по дефолту на мобиле уже давно есть

                                                                  Я уже рассказывал, как в марте 2018, аккурат перед блокировками гоняли мы этот ваш Conversations:
                                                                  — превью картинок и ссылок нет
                                                                  — live location из коробки нету
                                                                  — voice messages из коробки нету
                                                                  — пушей нет — как следствие смахиваешь его из тасклиста и ойвсё. ты оффлайн и до тебя не достучаться.

                                                                  плюнули и остались на телеге.
                                                                  настройка openfire это вообще отдельная песня.

                                                                  он несильно сложнее e-mail в регистрации

                                                                  Ну как сказать. Телефонный номер уникален, а вот uid пойди еще придумай, особенно если на публичном сервере.
                                                                  А, кстати, нафига тогда jabber, и чем он будет отличаться от любого другого мессенджера?
                                                                    +1
                                                                    смахиваешь его из тасклиста и ойвсё. ты оффлайн и до тебя не достучаться.

                                                                    Надо было читать, что он пишет при установке. А пишет он то, что его нужно добавить в исключения battery optimization.
                                                                    — live location из коробки нету
                                                                    — voice messages из коробки нету

                                                                    Фичи спорной полезности.
                                                                    Телефонный номер уникален, а вот uid пойди еще придумай, особенно если на публичном сервере

                                                                    Звучит как «я не хочу думать и поэтому лучше жёстко привяжу свой аккаунт к симке».
                                                                    А, кстати, нафига тогда jabber, и чем он будет отличаться от любого другого мессенджера?

                                                                    Действительно открытый протокол, прошедший аудит (в случае с OMEMO), возможность держать свой сервер.
                                                                      0
                                                                      Надо было читать, что он пишет при установке. А пишет он то, что его нужно добавить в исключения battery optimization.

                                                                      А это не мешает его смахивать. А пушей для оживления, повторяю — нету. Ну, и, кстати, для добавления в вайтлист батареи есть специальный вызов API, который показывает пользователю диалог с запросом. Чего Conversations не делал.

                                                                      Фичи спорной полезности.

                                                                      Это те фичи, которые Телега предоставляет из коробки, и на которые мы ориентировались при поиске альтернатив.

                                                                      Звучит как «я не хочу думать и поэтому лучше жёстко привяжу свой аккаунт к симке».

                                                                      Это сильно упрощает жизнь пользователя. И уменьшает регспам на сервер. А еще добавляет возможность увидеть кто у тебя из контактов уже в мессенджере.

                                                                      Действительно открытый протокол, прошедший аудит (в случае с OMEMO)

                                                                      MTProto тоже открытый, и тоже прошел аудит. АФАИК, транспортное шифрование никто еще не сломал.

                                                                      возможность держать свой сервер.

                                                                      Я же говорю — обсудим геморрой с администрированием XMPP-сервера?
                                                                        +1
                                                                        А пушей для оживления, повторяю — нету.

                                                                        Проблема пушей AFAIK связана с тем, что для их подключения нужна компания и регистрация в гугле/эппле. Такая компания есть — это сама Conversations, так что если откроете (платный) аккаунт на их сервере — пуши должны заработать. А вот дать возможность использовать пуши любым серверам вообще, учитывая федеративную природу джаббера, в данный момент возможности нет, и создать её могут только гугл/эппл.


                                                                        Это сильно упрощает жизнь пользователя. И уменьшает регспам на сервер. А еще добавляет возможность увидеть кто у тебя из контактов уже в мессенджере.

                                                                        И это всё было бы прекрасно, если бы была возможность отказаться от этого "счастья", зарегать аккаунт просто с логином и паролем, и не видеть кто из твоих контактов уже, а кто ещё. (Мне вот доступ телеграма к контактам приходится отдельно блокировать через XPrivary.)

                                                                          0
                                                                          Проблема пушей AFAIK связана с тем, что для их подключения нужна компания и регистрация в гугле/эппле. Такая компания есть — это сама Conversations, так что если откроете (платный) аккаунт на их сервере — пуши должны заработать.

                                                                          Именно ) но таки как я должен аргументировать переход на платный (!!!) мессенджер при наличии бесплатной тележеньки? )
                                                                          Мне вот доступ телеграма к контактам приходится отдельно блокировать через XPrivary.

                                                                          там кнопочка ВЫКЛ в настройках есть
                                                                            +1
                                                                            как я должен аргументировать переход на платный (!!!) мессенджер

                                                                            Я писал не про то, что надо на платный, а про то, что проблема пушей лежит немного в другой области.


                                                                            там кнопочка ВЫКЛ в настройках есть

                                                                            Ага, ага. Только она по умолчанию ВКЛ. Т.е. без XPrivacy сначала телеграм сворует все контакты, а уже потом это можно выключить, чтобы хоть новые контакты не тырил. Вот, спасибо!

                                                                              0
                                                                              без XPrivacy сначала телеграм сворует все контакты

                                                                              Как он это сделает без разрешения? Андроид по умолчанию его спросит.
                                                                                +1

                                                                                Это последние версии андроида. А у меня возмущение осталось от старых, которые не спрашивали. Ну и в целом я считаю подход, в котором приложение по умолчанию считает что я хочу выдать ему доступ, при том, что оно может работать и без доступа — хамством. Права надо запрашивать по мере необходимости — вот если бы я нажал в пустом списке контактов телеграма кнопочку "узнать, кто из моих контактов уже использует телеграм", и после этого у меня запросили доступ к контактам телефона — это было бы нормально.

                                                                            0
                                                                            если откроете (платный) аккаунт на их сервере — пуши должны заработать

                                                                            Не обязательно на их, лишь бы сервер поддерживал нужные XEPы (404.city, например).
                                                                            0
                                                                            Ну, и, кстати, для добавления в вайтлист батареи есть специальный вызов API, который показывает пользователю диалог с запросом. Чего Conversations не делал.

                                                                            Какую-то бородатую версию вы тестировали. У меня он при первом запуске именно так и спросил.
                                                                            MTProto тоже открытый

                                                                            Исходники сервера в студию!
                                                                            обсудим геморрой с администрированием XMPP-сервера?

                                                                            Геморрой только для админов сервера, а держать свой сервак — дело добровольное. Большинство юзеров сидят на чужих серверах и в ус не дуют. Кто хочет — занимается.
                                                                              0
                                                                              Какую-то бородатую версию вы тестировали.

                                                                              Март 2018, что лежало в гплее.
                                                                              Исходники сервера в студию!

                                                                              А при чем тут исходники сервера, если мы говорим о протоколе. дамп с прокси возьмите и попробуйте разломать.
                                                                              Геморрой только для админов сервера, а держать свой сервак — дело добровольное.

                                                                              А проксик к телеге вообще админить не надо. запустил докер и поехалите. Просто работает.
                                                                                +1
                                                                                Март 2018, что лежало в гплее.

                                                                                Я всегда ставил из f-droid, может в гугле что-то другое.
                                                                                возьмите и попробуйте разломать

                                                                                Logical fallacy. Бремя доказательства безопасности лежит на создателях протокола, а не на ком-то ещё. К тому же, протокол протоколом, а реализация сервера существует только одна. И в её безпасности я ой как не уверен.
                                                                                А проксик к телеге вообще админить не надо. запустил докер и поехалите. Просто работает.

                                                                                github.com/kontalk/xmppserver-docker
                                                                                Ваш ход.
                                                                                  0
                                                                                  К тому же, протокол протоколом, а реализация сервера существует только одна. И в её безпасности я ой как не уверен.

                                                                                  Телега на рынке 6 лет. За 6 лет что-нибудь бы нашли, не Неуловимый Джо таки.

                                                                                  github.com/kontalk/xmppserver-docker
                                                                                  Ваш ход.

                                                                                  вы сами то туда ходили? там вооооот такая портянка по настройке.
                                                                                  мне хватает docker -itd run…
                                                                                    0
                                                                                    За 6 лет что-нибудь бы нашли, не Неуловимый Джо таки.

                                                                                    А кто сказал, что если бы нашли, то обязательно бы рассказали? Кусочек-то лакомый, и государства за такую находку могут отсыпать гораздо больше, чем Telegram.
                                                                                    вы сами то туда ходили? там вооооот такая портянка по настройке.
                                                                                    мне хватает docker -itd run…

                                                                                    И снова всё упирается в «ой слооожна, не хочу, хочу одну кнопку».
                                                                                      +1
                                                                                      А кто сказал, что если бы нашли, то обязательно бы рассказали? Кусочек-то лакомый, и государства за такую находку могут отсыпать гораздо больше, чем Telegram.

                                                                                      Ethical hackers немножечко больше, чем платежеспособных государств, так что нанесение пользы через официальное баунти с последующим раскрытием — вполне себе аргумент.
                                                                                      И снова всё упирается в «ой слооожна, не хочу, хочу одну кнопку».

                                                                                      Так мне ехать, мне не шашечки. От моего решения на тот момент зависела коммуникация нескольких сотен человек по всей России.
                                                                                      Ну и время свое я ценю. Если есть one-click way — его и используем.
                                                                                  0
                                                                                  А причем тут протокол? Да, между сервером и приложением все зашифровано (собственно как и с https, факт соединения виден, но что внутри — неизвестно), но как вы узнаете что происходит на сервере, и далее при отправке вашего сообщения с сервера получателю? Как вы достоверно узнаете что на сервере нет копии вашего ключа? Даже если действительно приложение само генерирует ключ при новом чате, оно же должно сначала обменяться этими ключами с вторым абонентом. И происходит это именно через сервер.
                                                                    +5
                                                                    На десктопе чаты не шифруются
                                                                    Группы не шифруются
                                                                    На телефоне по умолчанию тоже не шифруются надо специально запускать секурный чат…

                                                                    Зачем этот цирк?
                                                                    Почему нельзя было просто все зашифровать?

                                                                    В кривые руки арзитектора поверить сложнее, чем в то, что так сделано намеренно.
                                                                    Чтоб обычные люди пребывали в иллюзии что в телеграме все зашифровано, и не стеснялись.
                                                                      +1

                                                                      Не с той стороны смотрите.
                                                                      Конечно, можно было бы сделать все чаты по умолчанию шифрованными. Но тогда не было бы групп по 200 тысяч человек (и даже по 5000), поиска по всей истории сообщений, мультидевайс, каналы, telegra.ph и прочего. Ну т.е. у вас есть выбор — для обычных переписок юзайте облачные чаты, а для чего-то осень важного — секретные. Никакого злого умысла тут нет, на самом деле.

                                                                        +1

                                                                        Вроде бы https://keybase.io/ всё это осилили без отказа от end2end. Злого умысла может и нет, но и желания защитить нормально тоже нет — одно отсутствие секретных чатов в официальном десктопном клиенте по совершенно надуманной причине "у юзера есть рут!!111" (можно подумать, у меня на телефоне нет рута, но телеграм же при этом секретные чаты не выключает) тому очередное подтверждение.

                                                                          0
                                                                          по совершенно надуманной причине «у юзера есть рут!!111»

                                                                          это не надуманная причина, это совершенно серьезная причина. если у собеседника есть рут — невозможно гарантировать безопасность его ключа.
                                                                          попробуйте GPay завести с рутом, или сберонлайн. короче любое финансовое приложение
                                                                            0
                                                                            Отсутствие рута — далеко не лучший способ гарантировать безопасность ключа. К тому же, его наличие можно скрыть. Ныне популярный Magisk вроде позволяет это делать в пару кликов.
                                                                              0
                                                                              А по умолчанию его просто нет. А вот на десктопах наоборот. Поэтому исходя из модели угроз, десктопная версия небезопасна — поэтому в ней нету секретных чатов.
                                                                                +1
                                                                                PGP это почему-то не мешает. На десктопе можно заставлять юзера защищать ключ паролем. Но нет, у нас есть страшный-страшный рут, и поэтому шифрования на десктопе не будет.
                                                                                  0
                                                                                  Потому что в случае с PGP вы можете использовать air-gapped систему для криптоопераций, и там зловреду некуда будет передавать скомпрометированный ключ.
                                                                                  А мессенджер всегда в онлайне. И там должны быть определенные гарантии доступности ключа только в контексте пользователя+приложения.
                                                                              +2

                                                                              Это абсолютно надуманная причина. Задача e2e — защищать сообщения в процессе передачи по сети, от всех, кроме собеседника(ов).


                                                                              С устройства собеседника(ов) эти сообщения можно перехватить множеством способов, начиная с взлома самого устройства, продолжая абсолютно штатными приложениями для шаринга/трансляции/записи экрана, удалённого управления, и заканчивая возможностью сфотографировать экран или тупо отнять устройство физически. Иными словами, защитой данных на устройстве необходимо заниматься совершенно другими способами, ни одно приложение ни на одной платформе не способно самостоятельно защитить свои данные в принципе. В качестве примера, допустим у меня телефон без рута, с родной прошивкой… это всего-лишь означает, что компания-производитель телефона/прошивки имеет рута у меня на телефоне и может спокойно тырить все данные с телефона (обычно даже не сильно скрываясь, оправдывая это заботой о безопасности моих данных и называя процесс "облачным бэкапом"). Рут у кого-то есть всегда, иначе систему было бы невозможно обновлять — вся разница только в том, у кого.


                                                                              Более того, обычно на моём устройстве есть масса более ценной информации, нежели чаты — документы, финансовые данные, ключи/пароли, etc. В этих условиях забота о том, чтобы никто не прочитал конкретно чатики выглядит дико. Особенно учитывая тот факт, что эта "забота" имеет довольно высокую цену: меня лишают возможности использовать e2e на десктопе и лишают возможности защитить переписку от доступа изнутри компании-разработчика телеграма по умолчанию включив e2e для всего и по умолчанию.

                                                                                –1
                                                                                ни одно приложение ни на одной платформе не способно самостоятельно защитить свои данные в принципе.

                                                                                SGX? TEE? не, не слышал.
                                                                                  0
                                                                                  И что мешает их использовать телеграму, раз они такие безопасные?
                                                                                    0
                                                                                    Ну так на андроиде использует что можно. На десктопе это мэйнстримом станет лет через 5.
                                                                                +2
                                                                                попробуйте GPay завести с рутом, или сберонлайн. короче любое финансовое приложение

                                                                                Всегда на всех телефонах был рут и никаких проблем не было ни с GPay, ни с Tinkoff, ни с Qiwi, ни с ЯДеньги. И NFC всегда работал (если он поддерживался устройством, конечно же) и сами клиенты работали.
                                                                                Настройки Magisk Hide стандартные, ничего не менял. Поставил рут и забыл.
                                                                                  0
                                                                                  А если не ставить — это экономит время и нервы.
                                                                                  А то я наслушался от любителей рутовать и шить каштомы — то у них GPay не работает, то SafetyNet на разлоченный загрузчик агрится, то Xposed или Magisk пересобирать/настраивать/танцевать с бубном.
                                                                                    +1

                                                                                    Лучше так, чем на моём телефоне будет хозяйничать неизвестная китайская/корейская/etc. компания, которая написала прошивку. Или было мало скандалов, когда их ловили на встраивании разного говнософта, разной степени откровенной малварности/спайварности? И даже если компания вполне известная, вроде эппла, было мало скандалов с утечками приватных фоток знаменитостей из яблочного облака и прочих несанкционированных доступов к этих данным всякими полициями и хакерами?


                                                                                    В общем, в идеальном мире юзеру не нужно было бы обо всём этом заботиться самостоятельно и временами плясать с бубном. Но в данный момент выбор у пользователя простой: либо он не напрягается и дарит все свои данные неопределённому числу компаний и органов/спец.служб, от которых они утекают ко всем остальным любопытствующим, либо напрягается и защищает свои данные сам — и на телефоне с андроидом это означает первым делом снести родную прошивку и поставить ту, которой есть хоть минимальные основания доверять, вроде LineageOS.

                                                                                      0
                                                                                      Лучше так, чем на моём телефоне будет хозяйничать неизвестная китайская/корейская/etc. компания, которая написала прошивку.

                                                                                      А вы ревью исходников прошивки делали? Собирали их самостоятельно? Если нет — это разговор в пользу бедных.
                                                                                      было мало скандалов с утечками приватных фоток знаменитостей из яблочного облака и прочих несанкционированных доступов к этих данным всякими полициями и хакерами?

                                                                                      Я хорошо помню, когда ФБР пришло в Эппл чтобы те расшифровали 5С, которым пользовался террорист, и Эппл послала их нецензурно. ФБРовцы сглотнули и пошли башлять израильтянам из Cellebrite.
                                                                                      А на сегодня йфон с 12.4.1/13 самый безопасный девайс. Если не сказать — параноидально огороженный.
                                                                                      данный момент выбор у пользователя простой: либо он не напрягается и дарит все свои данные неопределённому числу компаний и органов/спец.служб, от которых они утекают ко всем остальным любопытствующим

                                                                                      Что не факт.
                                                                                      напрягается и защищает свои данные сам — и на телефоне с андроидом это означает первым делом снести родную прошивку и поставить ту, которой есть хоть минимальные основания доверять, вроде LineageOS.

                                                                                      А какие основания у меня доверять Lineage? Ну, и снести родную прошивку — это в первую очередь потерять гарантию.
                                                                                      Спасибо, не надо, не для того покупалось.
                                                                                      Я уж молчу, что открытые дрова к камерам обычно вытаскивают гораздо худшую картинку по сравнению с проприетарными.
                                                                                      И все это ради чего? Ради условного повышения безопасности, потому что Lineage якобы разрабатывают белокурые эльфы а не жадные орки из корпораций?
                                                                                        +2
                                                                                        А вы ревью исходников прошивки делали? Собирали их самостоятельно? Если нет — это разговор в пользу бедных.

                                                                                        Это не так. Закладки бывают на уровне железа (в проце/материнке), на компе в AMT, на телефонах в отдельной(ых?) RTOS отвечающих за специфичное железо вроде связи с сотами или распознавания "окей, гугл" на микрофоне, в основной прошивке/OS, и конкретных приложениях. Сделать ревью всего этого отдельно взятому человеку физически невозможно, не хватит ни квалификации ни времени. Но это не повод опускать руки и не делать вообще ничего.


                                                                                        Можно выбирать софт, который обеспечит большую безопасность хотя бы в теории.


                                                                                        Можно брать опенсорсные прошивки/OS, и хотя это не даёт никаких гарантий, но шансы что там будут закладки намного ниже, чем в закрытом софте (и список известных на данный момент скандалов про заклади это предположение подтверждает на практике, потому что в опенсорсе закладок пока было обнаружено на порядки меньше).


                                                                                        Можно выбирать устройства на базе опен-хардварного железа (напр. Fairphone).


                                                                                        Всё зависит от степени Вашей квалификации, паранойи, и желания тратить на эту тему своё время и внимание. Но фишка в том, что большинство закладок тоже не гении пишут, и мало кто из них имеет возможность встраивать закладки на близких к железу уровнях. Так что банальная смена прошивки и отдельных приложений выметает из телефона абсолютное большинство закладок. А оставшиеся обычно настолько сложно внедрять, и настолько сложно сохранить в тайне если их активировать (потому что по сетевому трафику они всё-равно спалятся), что вероятность их реального применения против обычных юзеров практически нулевая.


                                                                                        А на сегодня йфон с 12.4.1/13 самый безопасный девайс. Если не сказать — параноидально огороженный.

                                                                                        К сожалению, он огорожен от всех, кроме самой эппл. А у меня доверие посторонним компаниям — нулевое. Завтра у них сменится CEO, или они продадут подразделение с облаком другой компании, или обанкротятся — и данные, которые были в безопасности, внезапно попадут в руки кому угодно.


                                                                                        Что не факт.

                                                                                        Что — не факт? Всё сказанное вполне себе факт, если Вы читаете новости последние годы.


                                                                                        А какие основания у меня доверять Lineage?

                                                                                        OpenSource. Если закладка будет в коде, либо собранные образы начнут модифицироваться при сборке — высока вероятность, что кто-то посторонний это заметит. Она не 100%, конечно, но сама такая возможность уже отбивает у большинства желание что-то такое устраивать. Плюс — в опенсорсе среди разработчиков обычно нет такого актора (компании) который был бы заинтересован во внедрении закладки, и имел бы техническую возможность сделать это незаметно для всех остальных либо принудив их молча с этим смириться. Да, случаи с закладками в опенсорсе случались, но количество таких инцидентов на порядки меньше аналогичных в закрытом софте, так что разница есть, и она достаточно большая, чтобы были все основания использовать опенсорс, насколько это возможно.


                                                                                        Ну, и снести родную прошивку — это в первую очередь потерять гарантию.

                                                                                        Это FUD. В некоторых случаях это так, но в большинстве — нет. Обычно либо разблокирование загрузчика поддерживается официально без потери гарантии, либо есть возможность вернуть родную прошивку так, чтобы гарантийка не узнала о том, что её вообще сносили.


                                                                                        Я уж молчу, что открытые дрова к камерам обычно вытаскивают гораздо худшую картинку по сравнению с проприетарными.

                                                                                        А вот это — правда. К сожалению.


                                                                                        И все это ради чего? Ради условного повышения безопасности

                                                                                        Оно такое же не условное, как не условна потеря качества картинки с камеры. А в остальном — да. Каждый может выбрать, что ему важнее — не напрягаться и иметь более качественные фоточки, или быть единственным хозяином для своих данных и устройств.

                                                                                          0
                                                                                          Это FUD. В некоторых случаях это так, но в большинстве — нет. Обычно либо разблокирование загрузчика поддерживается официально без потери гарантии, либо есть возможность вернуть родную прошивку так, чтобы гарантийка не узнала о том, что её вообще сносили.

                                                                                          … А если узнает — таки потеря гарантии. Зачем оно мне?
                                                                                          Оно такое же не условное, как не условна потеря качества картинки с камеры.

                                                                                          Кагбэ, потеря качества с картинки — измерима. Потеря/поднятие степени безопасности — нет. Ну, т.е. за почти 10 лет сидения на гуглоандроиде я даже свой акк в списках скомпрометированной почты не вижу, например.
                                                                                          Когда я сидел на цианогене — в общем никаких особых ощущений не было.
                                                                                          Зато потом были чудные проблемы с откатом на сток. Это был Highscreen Boost II SE если что.
                                                                                          +1
                                                                                          А на сегодня йфон с 12.4.1/13 самый безопасный девайс. Если не сказать — параноидально огороженный.

                                                                                          Тут как раз свежачок подоспел по теме: https://habr.com/ru/company/jetinfosystems/blog/465583/ — минимум 2 года со всех айфончиков тырили всё, включая базу сообщений телеграмма.

                                                                                            0
                                                                                            … а 12.4 в этом году вышла. ничо?
                                                                                +1
                                                                                Злого умысла нету, но есть расхождение с маркетинговой линией. Нам обещают безопасный мессенджер, а выдают свистелку с группами и медиа. Желание угодить массовому пользователю победила, это надо признать и перенести пункт про шифрования на второй план.
                                                                                +1
                                                                                Потому что в этом случае отвалится другая фишка мессенджера — облачное хранилище всех данных. То есть вы имеете доступ ко своим данным с любого устройства, независимо от того, как давно у вас клиент стоит, вы можете первый раз в жизни на новом устройстве запустить или вообще с гостевого компа зайти через веб-морду. И вот тут тележка предлагает пользователю выбор: секретный чат (данные которого хранятся только на двух устройствах и передаются только между этими устройствами по защищённому каналу, ключи от которого тоже только у этих двух устройств) или удобство пользования с доступом ко всем данным, которые шифруются и хранятся на стороне серверов тележки.
                                                                                  +1
                                                                                  +100500!
                                                                                  Мне, к примеру, офигенски нравится Saved Messages. Самому себе послать что-то для истории. Хоть квиатнцию об оплате штрафа из Госуслуг…
                                                                                  И иметь возможность получить это даже после сброса телефона.
                                                                                  А вот где хочу посекретничать — там организую секретный чат.
                                                                                  И так надо, и так надо. И я хочу сам выбирать, для какой информации мне нужно хранение и удобство, а для какой сверхсекретность.
                                                                                  И Телеграм мне такую возможность дает.
                                                                                    0

                                                                                    Ещё раз: это решаемая проблема, есть OMEMO который её решил в достаточном объёме чтобы этим было удобно пользоваться, и есть https://keybase.io который решил её полностью. Причины отсутствия этого функционала — не технические.

                                                                                      0

                                                                                      Кстати, как именно Keybase решил эту проблему (технически)?

                                                                                        0

                                                                                        Вкратце, и сильно упрощая:


                                                                                        • есть ключ юзера, который шарится между всеми его устройствами, и сменяется на всех оставшихся устройствах после потери/удаления одного из его устройств
                                                                                        • для групповых чатов есть аналогичный ключ чата, который шарится между юзерами чата, и сменяется каждый раз когда любой юзер удаляется из чата
                                                                                        • сервера keybase не имеют доступа к этим ключам (они передаются между самими юзерами), но сервера keybase поддерживают дерево Меркла, позволяющее юзерам проверять других юзеров и иметь общее представление о правах доступа в групповых чатах без необходимости особо доверять самим серверам keybase
                                                                                        • сообщения хранятся на сервере, зашифрованные e2e (личные) или ключом группового чата, исключая метаданные (от кого — кому)
                                                                                        • PFS не используется (кроме специальных "эфемерных" сообщений с ограниченным временем жизни)

                                                                                        Всё это вместе даёт доступ к старой личной переписке с новых устройств, даёт доступ к истории новых чатов, даёт возможность закрыть доступ к новым сообщениям группового чата после удаления юзера из чата и закрыть доступ к новым личным сообщениям и отправке сообщений от Вашего имени с утерянного устройства.


                                                                                        Обзор есть в Keybase и настоящий TOFU, можете начать читать с раздела "Как старые чаты мгновенно появляются на новых телефонах?". Про групповые чаты есть анонс и детальное описание. Аналогичное детальное описание по обычным чатам.


                                                                                        В целом, Keybase это пока единственный проект, у которого есть реальный шанс сделать настоящий e2e массовым явлением и нормой жизни, потому что больше никто не даёт настолько хороший и привычный обывателю UX без какого-либо ущерба для безопасности.

                                                                                          0
                                                                                          Вот сколько не возился, не смог найти как в мобильном приложении в чат файл отправлять. Картинку можно, видео можно, а документ как отправить не нашёл.
                                                                                  +1
                                                                                  Какая восторженная статья. Читая такое, наоборот начинаешь сомневаться в конфиденциальности продукта. Будто на живца ловят) Для меня телеграмм это больше удобный бот api. Если мне потребуется конфиденциальность, я буду смотреть в сторону кастомных решений, а не тех которые активно продвигают как анонимность за дешево и просто.
                                                                                    0
                                                                                    Вспомнился MyGap с налогом на доверие, он про это давно писал.
                                                                                      –16
                                                                                      Не вижу ничего плохого в том что бы в вк закрыли группы всяких там Навальных и евромайдановцев, а фсб и миллиция имели доступ к перепискам пользователей. Так у нашего президента и властей будет больше сведенний о народе и они смогут зарание предотвращать преступления и роспилы в стране.
                                                                                        0
                                                                                        Брысь отсюда, лахтинский.
                                                                                          –3
                                                                                          Жаль не могу поставить диз из-за ограничений.
                                                                                            0
                                                                                            Ага, именно распилы предотвращать у них возможности и нет. Вы с каждым разом все смешнее становитесь. Кстати, не боитесь того что в таком случае не только «миллиция» получит доступ конкретно к вашей переписке? И что ее увидит, например, ваш сосед рабочий, которому опять подняли пенсионный возраст, водка опять подорожала, а зарплату урезали из-за очередного супер проекта? И как вы думаете насколько этот сосед испугается полиции если он с вероятностью процентов в 50% уже сидел? Или вам напомнить как быстро сливаются базы данных из госорганов?
                                                                                              0
                                                                                              Енто же кремлебот, напоминать ему — только время тратить.
                                                                                                –1
                                                                                                У меня есть слабенькая надежда что угроза конкретно ему таки пробьется в его мозг. Может быть не в этот раз, но вдруг повезет наткнуться на кого-то, кто еще в состоянии мыслить?
                                                                                            +1
                                                                                            Вопрос оффтоповый. А на какие финансы телеграм работает над производствоем своего мессенджера? Точно ли данные пользователей, пускай и не переписка, никуда не попадает и не перепродается?
                                                                                              0
                                                                                              на деньги грамма, который так и не вышел на публику.
                                                                                                –1
                                                                                                Так 2019 еще не закончился.
                                                                                                  0
                                                                                                  А именно $1.7 млрд, и при этом выпуск акций был очень ограниченным и всем подряд их не продавали. Не представляю сколько стоит поддержка и развитие самого Телеграма ежемесячно, но сумма внушительная
                                                                                                0
                                                                                                Но в этом проблема любой веры: не все готовы её принять.
                                                                                                Вы меня уж простите, но проблема веры совсем не в этом. Проблема веры в том, что она не основывается на доказательствах. Просто по определению. Проблема же телеграмма как раз в том, что доказать его невзламываемость на практике — невозможно и приходится пользоваться верой.
                                                                                                  0

                                                                                                  Ну, учитывая открытый протокол и его аудит, безопасность секретных чатов вполне можно считать доказанной. А вот всё остальное действительно зависит от того, что на серверах компании, и это сводится к вере.

                                                                                                  +1
                                                                                                  изначально было представлено приложение для iOS, а затем — и для других платформ, включая Android, iOS

                                                                                                  Для iOS приложение было представлено два раза?
                                                                                                    +4
                                                                                                    Постулаты:

                                                                                                    — Странно, что сказано про заимствование WhatsApp'ами шифрования, но не сказано о тотальном заимствовании телеграмом почти всего у того же WA, включая, помнится, дефолтный фон в чате;

                                                                                                    — Надо отметить, что шифрование в чатах появилось довольно давно. Например, OTR протокол возник в далеком 2004 году, а к 2013 обрел формы, похожие на то, что использует телега wiki (опять склонировали?);

                                                                                                    — Странно, что случай с Антоном Розенбергом требует подтверждения, а слова про 0 выданных байт не требуют. Я полагаю, что правда и там и там. Паша тоже человек, ну да, залез и удалил чатъ с Антоном. Так же, как, скорее всего, он же стойко ни одной службе ничего не выдал;

                                                                                                    — Шумиха вокруг телеграма сильно преувеличена. Если (как сказано в статье) у телеги 200 млн пользователей на 2017 год, а в Иране их 40 млн, то на всех остальных, включая Индию, 160 млн.

                                                                                                    — С Телеграмом в западных странах решили бороться маркетингом. Говорят, что он из России, говорят, что популярен в Иране и Северной Корее и этого достаточно, чтобы люди пользовались Fb, WAPP, #

                                                                                                    — О чем вообще эта статья? Да, все так, все верно. Но кажется все и так это знают.

                                                                                                    p.s.
                                                                                                    мне нравится функционал и философия телеграма, но давайте будем объективны
                                                                                                      +1
                                                                                                      В 2003 году появился оригинальный Skype, который из-за использования архитектуры p2p и пропуска трафика через совершенно случайные суперноды, вынужден был использовать e2e шифрование. Насколько помню, информации о взломах и перлюстрациях трафика не было.
                                                                                                        0

                                                                                                        У него были другие проблемы, вроде самопального протокола, который к тому же пытались секретить обфускацией, что само по себе вызывает подозрения плюс увеличивает вероятность наличия уязвимостей. Ну а после продажи M$ прослушка в скайпе стала нормой жизни.

                                                                                                          +1
                                                                                                          После продажи MS это уже стал другой скайп.
                                                                                                          А до того большей проблемой и причиной падений были суперноды, так как заставить всех вовремя обновляться невозможно.
                                                                                                          Не смотря на обфускацию, протоколы работы были более менее раскурочены и ничего особо самопального там не было, были общепринятые схемы шифрования.
                                                                                                            0
                                                                                                            В скайпе 7 типов шифрования разговоров: сервера используют AES-256, суперноды и клиенты используют 3 разных типа RC4: старый TCP RC4, старый UDP RC4 и новый, основанный на DH-384 TCP RC4.
                                                                                                            Клиенты используют AES-256 поверх RC4. Согласование ключей происходит с помощью 1024-битного RSA.

                                                                                                            Насколько понял из чтения статей 2010 года, обфусцированный RC4 использовался для защиты от создания сторонних клиентов, что и было обнаружено хакерами.
                                                                                                            Но трафик пользователей при этом нормально шифровался и успешных взломов не было.
                                                                                                      +3
                                                                                                      У Телеграма до сих пор нет внятной бизнес-модели.

                                                                                                      Это, в общем-то, и всё, что нужно знать о безопасности Телеграма.

                                                                                                      Нет, это конечно прекрасный мессенджер, быстрый, с бесплатным файлохостингом, стикеры прикольные, и вообще. Но за весь этот пир кто-то должен платить — кто-то, кто реальную причину создания Телеграма (а не детский лепет telegram.org/faq#q-how-are-you-going-to-make-money-out-of-this) рассказать стесняется. Поэтому насчёт безопасности Телеграма обманываться не стоит, и обсуждать действительно секретные вещи нужно действительно надёжными методами, а не в ТГ.
                                                                                                        0
                                                                                                        Но за весь этот пир кто-то должен платить

                                                                                                        Дуров же.
                                                                                                        кто-то, кто реальную причину создания Телеграма (а не детский лепет telegram.org/faq#q-how-are-you-going-to-make-money-out-of-this) рассказать стесняется.

                                                                                                        То есть отсутствие надежного канала связи для своих на момент «отжима» вкшеньки — недостаточный аргумент?
                                                                                                        • UFO just landed and posted this here
                                                                                                            +2
                                                                                                            На одной из встреч выпускников (по сути большая пьянка в студенческой столовой) задавался вопрос про деньги на сервера и о сотрудничестве. Был дан утвердительный ответ.

                                                                                                            Очень удобно, чтобы погасить неудобный вопрос и не палить реальный источник инвестиций.
                                                                                                              0
                                                                                                              Очень удобно, чтобы погасить неудобный вопрос и не палить реальный источник инвестиций.

                                                                                                              Вы серьезно думаете, что кто-то дает деньги просто так?
                                                                                                              VK — отличнейший механизм соц. влияния, одна из замен сходящему на нет телевидению.
                                                                                                                0
                                                                                                                Вы серьезно думаете, что кто-то дает деньги просто так?
                                                                                                                VK — отличнейший механизм соц. влияния, одна из замен сходящему на нет телевидению.

                                                                                                                Тут есть очень много «но», начиная от того, что сейчас все больше людей используют ВК как мессенджер + плейер, и заканчивая тем, что тред вообще про Телеграм, который давно уже никак с ВК и его инвесторами не связан. То есть «ВК — отличнейший механизм соцвлияния» как минимум наполовину не соответствует действительности, а учитывая количество мультиакков и фейков — смело делим на 10.
                                                                                                              0
                                                                                                              ssh24 так какой ответ был дан? Откуда деньги? От Миралишвилли?
                                                                                                              • UFO just landed and posted this here
                                                                                                          • UFO just landed and posted this here
                                                                                                              +1
                                                                                                              Шифрование это хорошо, но главная проблема, особенно для недобропорядочных государств — доступ к СМС. В России государственные службы(далеко не только федерального уровня) могут почти в автоматическом порядке получать доступ к любой сим-карте. При этом она ещё и привязана к паспорту. В итоге, без участия человека, может быть получен доступ к аккаунту. И следствие, и иные службы уже не раз предъявляли заверенные скриншоты в качестве доказательств в суде.
                                                                                                                0

                                                                                                                Именно для этого в Telegram с 2015 года есть «2-step verification». Нехорошее государство может удалённо перехватить SMS, а вот извлечь из головы пользователя дополнительный пароль может только при личной встрече паяльника и сфинктера владельца аккаунта. В противном случае оно сможет только удалить имеющийся аккаунт и создать новый.

                                                                                                                  0
                                                                                                                  бедный мой сфинктор, я сгенерировал пароль keepassом и успешно его посеял. Теперь я сам не имею возможности авторизировать телегу на новом устройстве
                                                                                                                0
                                                                                                                P.S. Поддержать автора рублём можно, воспользовавшись функцией «Поддержать автора» или сервисом QIWI.

                                                                                                                Денег нет, но вы держитесь

                                                                                                                Only users with full accounts can post comments. Log in, please.