Комментарии 14
давайте уде признаем что дуров первый не умеет кодить, а луров второй говнокодер самоучка и их всратый протокол ничем не лучше чем ssl по факиу
Уязвимость когда хакеры что-то там ломают это конечно плохо... но главная уязвимость ИМХО в том, что все эти мессенджеры и прочие системы зависят от централизованных серверов и подконтрольны им. В большинстве случаев человек не владеет даже своей перепиской, если только не копипастить все в файлики каждый раз.
Я разрабатываю децентрализованный мессенджер на базе технологии CRUS (e2e-encryption, local-first, все дела). Не хотите задонатить ну или хотя бы поднять свой инстанс сервера синхронизации?
Какие отличия от Бастиона или преимущества?
Бастион построен на Web3, в то время как CRUS - реализация Web4. Без бесконечно растущего блокчейна и глобального кворума, но с оффлайном и рилтаймом.
указывая на его исторические проблемы с криптографией.
По ссылке "bug that was discovered and fixed". Так что за "исторические" проблемы? В смысле что были дыры в безопасности, которые были закрыты?
Проблема мессенджеров типа Телеграм и Сигнал в их централизации. Если интересует безопасность надо изначально рассматривать децентрализованные, типа Матрикс.
Ни о какой безопасности не может идти речи, если аккаунт мессенджера (или любого другого сервиса) намертво привязан к номеру телефона. Вы контролируете свой аккаунт в только до тех пор, пока вы контролируете номер телефона, к которому привязан аккаунт. А контроль над номером телефона очень условен и не долговечен.
Никакая криптография не спасёт, если вся безопасность сводится к четырём цифрам, передаваемым по самому небезопасному из существующих каналов, в виде СМС. И охота на эти четыре цифры уже давно началась и успешно идёт. СМС-ки перехватывают как до попадания в сети сотовой связи, внутри мобильных сетей, так и после их доставки до устройства пользователя. И временность этого временного пароля не такая уж большая помеха.
справедливости ради, в телеграм можно настроить пароль, так что вся безопасность не сводится к СМС.
В какой-то момент времени, в чью-то светлую голову пришла гениальная идея, что в процедуре восстановления доступа достаточно публично доступной информации (или информации ставшей публичной в результате различных утечек) о человеке и четырёх цифр из смс как доказательства контроля над предоставленным когда-то номером телефона. Что умножает на ноль любые устанавливаемые пароли и сводит всю безопасность к этим самым четырём цифрам отправляемым по саму небезопасному из существующих каналов, потому что больше ничего и не требуется. А потом эту гениальную идею подхватили многие другие сервисы и превратили чуть ли не в индустриальный стандарт.
Именно это простое обстоятельство породило волну звонков с попытками получить простой доступ к заветным циферкам с помощью методов социальной инженерии.
умножает на ноль любые устанавливаемые пароли и сводит всю безопасность к этим самым четырём цифрам
так нет же, в том и дело, если настроить облачный пароль, то 4 цифры недостаточно
Именно это простое обстоятельство породило волну звонков с попытками получить простой доступ к заветным циферкам с помощью методов социальной инженерии.
Тут немного противоречие. Если бы было так уж ненадежно - то попыток получить заветные циферки не было бы. Их бы узнавали другим способом.
И, как мне объясняли в похожих обсуждениях(по ссылке довольно много - я тоже долго не понимал) -- именно телефон тут ортогонален. Эти циферки пытаются узнать и в тех случаях, когда они не SMS-кой передаются, а прямо на месте генерируются(в обсуждении по ссылке - про эстонский Mobiil-ID, который создает коды локально). Тут проблема в самой возможности продиктовать что-то, что доступ даст.
А если у вас есть активный клиент, то смс вы можете вообще не увидеть
настройте облачный пароль в настройках телеграма
так у меня он настроен, я хотел поддержать/усилить Вашу фразу "так что вся безопасность не сводится к СМС" - поскольку, при активном клиенте, эти заветные 4 цифры даже не в СМС придут, а в сообщении телеграмма (в РФ, по крайней мере, а вообще это вроде от страны зависит). То есть вектор перехватить СМС не работает.
Обзор криптографии Signal не выявил уязвимостей