можно резко переобуться на ходу установить новый сеанс связи с подлинным ключом вместо MITM.
Скорее всего, так не получится. Например, в мессенджере Сигнал сразу внутри чата появляется сообщение о том, что ключ был изменен. Это логичное решение. Поэтому, думаю, так же сделано в телеге.
где гарантия того, что бэк telegram не осуществляет атаку «Man in the middle»? Как конечные устройства понимают, что шифруют данные ключом собеседника, а не сервера Telegram?
1. Аудит клиента: нужно удостовериться, что приватные ключи никуда не отправляются.
2. В настройках секр. чата есть ключ шифрования, который должен совпадать с ключем собеседника. Т.е. по идее, вы должны по какому-то другому каналу связи сравнить эти ключи. Если они совпали, то товарища майора посередине нет.
Где-либо сказано, что telegram использует доверенные центры, независимые от Telegram, или иной способ аутентификации устройства собеседника?
Для end-to-end это вроде не нужно. Это же не https. Опять же аудита клиента достаточно.
Поддержу. По идее, сквозное шифрование на то и сквозное, что ему все равно, что там по пути в цепочке передачи сообщений, самое главное это «концы» цепочки — т.е. клиенты.
Это если приложение не запрашивает всю пачку сразу на старте и ты либо даешь все, либо оно закрывается
См. п. 1 в моем комментарии выше.
Потому что обычный пользователь не разбирается что это за разрешения и для чего они нужны и чем они могут навредить. Можно привести аналогию с лицензионным соглашением — как будто кто-то кроме юристов может действительно сказать вам что в нем все в порядке или нет
Не совсем так. Описание разрешения и и чем они опасны, понятно и кратко описаны в списке разрешений любого приложения на устройстве (например Viber: список разрешений и описание разрешения)
Мне не нравится когда приложение-фонарик запрашивает доступ к контактам и wifi..
1) Не ставьте такое приложение (тем более, что обычно есть нормальные алтернативы тиаким «жадным» приложениям)
2) вы можете и не давать даступ к тем правам, которые для вас критичны.
Суть политики Гугла за последнее время в том, что теперь даже пользователь не может решать, давать доступ/право или нет. За него это решил Гугл безвозвратно (((
меня совершенно не затрагивает есть ли у приложений доступ к смс или нет и т.д.
Если клиент реально работает по end-to-end, то МиТМ не сделать. Ибо:
1) Клиент открыт — можно смотреть, есть ли там лайзеки/бэкдоры.
2) Кроме того, секретные чаты там реализованы «в обход» серверов.
3) Также можно проверить, что ваш собеседник именно тот, с кем вы и хотите общаться. В каждом секретном чате есть QR-код, который должен совпадать с QR-кодом вашего собеседника. Подобная проверка реализована и в других end-to-end мессенджерах (например, Signal).
А моя ссылка это не то?
Я вроде нашел ссылку на архив с такими отчетами за 2018 год. Но какой отчет смотреть (в архиве их 36)? Какие параметры в отчете смотреть?
Ну да… Денег не хватило на разработку своего корпуса и дизайна.
Скорее всего, так не получится. Например, в мессенджере Сигнал сразу внутри чата появляется сообщение о том, что ключ был изменен. Это логичное решение. Поэтому, думаю, так же сделано в телеге.
1. Аудит клиента: нужно удостовериться, что приватные ключи никуда не отправляются.
2. В настройках секр. чата есть ключ шифрования, который должен совпадать с ключем собеседника. Т.е. по идее, вы должны по какому-то другому каналу связи сравнить эти ключи. Если они совпали, то товарища майора посередине нет.
Для end-to-end это вроде не нужно. Это же не https. Опять же аудита клиента достаточно.
См. п. 1 в моем комментарии выше.
Не совсем так. Описание разрешения и и чем они опасны, понятно и кратко описаны в списке разрешений любого приложения на устройстве (например Viber: список разрешений и описание разрешения)
1) Не ставьте такое приложение (тем более, что обычно есть нормальные алтернативы тиаким «жадным» приложениям)
2) вы можете и не давать даступ к тем правам, которые для вас критичны.
Суть политики Гугла за последнее время в том, что теперь даже пользователь не может решать, давать доступ/право или нет. За него это решил Гугл безвозвратно (((
Ну да, моя хата с краю…
Подозреваю, что есть способ перенаправить на нужную нам dll (dll hell).
Т.е. чтобы не получить статью УК, нельзя выкладывать более одной фото/картинки/поста/etc в сети в год?
Нам лайфхаки не нужны —
Возьмем и сделаем, что планировали мы!
</FSB captain>
1) Клиент открыт — можно смотреть, есть ли там лайзеки/бэкдоры.
2) Кроме того, секретные чаты там реализованы «в обход» серверов.
3) Также можно проверить, что ваш собеседник именно тот, с кем вы и хотите общаться. В каждом секретном чате есть QR-код, который должен совпадать с QR-кодом вашего собеседника. Подобная проверка реализована и в других end-to-end мессенджерах (например, Signal).