Комментарии 217
Разбудите меня через сто лет и спросите что делает Павел Дуров — и я отвечу что критикует ватсап и эппл
Тем временем вацап:
— Я не хочу работать с компа без телефона
— Я не хочу переносить твои сообщения на все устройства
— Я потеряю всю историю при смене платформы
Почему телеграм так популярен?
Сомневаюсь, что вопрос такой ставился(по крайней мере в такой форме).
Тем временем вацап:
— Я не хочу работать с компа без телефона
— Я не хочу переносить твои сообщения на все устройства
— Я потеряю всю историю при смене платформы
Что-то мне подсказывает, что они давно про это знают. Только решительно не понимаю, почему эти проблемы не решаются.
Скорее экономят на разработке. Когда там темная тема появилась? В 2019?
Иногда создается ощущение, что в какой-то момент руководству крупных компаний сносит крышу и они начинают смотреть на свой продукт исключительно через призму финансовых показателей. ИМХО, такой подход со временем их и убивает.
$10ккк маркетинг и экономят на разработке?
Запросто. Даже в первом приближении: затраты на разработку — это текущие расходы, а затраты на рекламу — увеличивают продажи. При прочих равных условиях, выгоднее увеличивать продажи, чем увеличивать себестоимость.
Ну, и топ-менеджменту тоже надо жить — вывод средств через оказание консультационных и маркетинговых услуг не российское изобретение.
руководству крупных компаний сносит крышу и они начинают смотреть на свой продукт исключительно через призму финансовых показателей.
Тоже довольно просто объясняемое явление — когда компания это «три парня в гараже», то еще можно себе позволить писать идеальное приложение. Когда в вас вложились серьезными деньгами серьезные люди, так уже не получиться — им нужна прежде всего финансовая отдача, а не эти ваши программистские штучки.
При прочих равных условиях, выгоднее увеличивать продажи, чем увеличивать себестоимость.
Прямо экономия на спичках. Стоимость переписки whatsapp, наверно, до $100kk не дойдет, однако, юзабилити повысится в разы. Facebook, скорее всего, и не такие суммы списывал. Себестоимость любого мессенджера — копеечная. Они все ценны своей аудиторией.
… Им нужна прежде всего финансовая отдача, а не эти ваши программистские штучки...
Согласен. Только чтобы оставаться на плаву, особенно в этой отрасли, нужно рисковать и меняться.
Facebook, скорее всего, и не такие суммы списывал.
вся беда в том, что им пофиг. Зачем что-то делать, если можно не делать? Стоимость ведь не в переписке — она копейки по сравнению со стоимостью разработки и поддержки. И ждут, пока очередной Дуров сделает очередной телеграм — и только тогда можно зачесаться (а точнее — попросту — залить проблему в очередной раз баблом и купить этот новый мессенджер с потрохами)
Все эти проблемы из одного источника: WhatsApp не хранит переписку на сервере. Это как если бы в Телеграме остались одни "секретные чаты. То есть с точки зрения WhatsApp это не проблемы, а осознанная политика.
Другой вопрос насколько это нужно пользователям и насколько безопаснее на самом деле, ведь при такой схеме WhatsApp настойчиво предлагает делать бэкап всех сообщений на Гугл.диск, который у большинства пользователей Android с простым паролем, наскоро придуманным во время первой настройки смартфона.
WhatsApp не хранит переписку на сервере
Это отличная идея, без сарказма, если у тебя нет лишних денег на инфраструктуру. НО, как только whatsapp стал facebook'ом, все это потеряло свой смысл.
Какой-то странный вопрос. Зачем-зачем… а зачем провайдеры хранят метаданные и слепки трафика пользователя? Может, чтобы потом задним числом все расшифровать на квантовых компьютерах?
а зачем провайдеры хранят метаданные ...
IP адреса хранятся для маршрутизации, чтобы эффективнее организовывать сеть. Объем данных необходим для того, чтобы как минимум понимать, какой ширины канал необходим. Обе величины влияют на стоимость закупки трафика у других провайдеров. Так что это просто одна из составляющих бизнеса.
а зачем провайдеры хранят <...> слепки трафика пользователя?
Закон обязывает. Могли бы не хранить — не хранили бы. Так что это вопрос не к провайдерам.
а зачем провайдеры хранят метаданныепо требованию законодательства РФ для предоставления абонентам детализации потребления услуг
Может, чтобы потом задним числом все расшифровать на квантовых компьютерах?смеюсь в голос, ибо анализ накопленного трафика квантовыми компьютерами не появится до нашего с вами выхода на пенсию… А теперь задайте вопрос кто будет оплачивать хранение экзайбайт данных до массового внедрения таких серверов?)
PS: руковожу развитием инструментов анализа петабайтов данных телеком-оператора
Нет, вовсе не из-за него. Оно было добавлено недавно, а архитектура такая изначально. Потому что модифицированный XMPP в основе.
Сомневаюсь, что вопрос такой ставился
Скорее всего, это попросту выдумка Дурова, см. например
https://habr.com/ru/news/t/536522/#comment_22520658
Но повторюсь, это строго мои догадки.
Но необходимо чтобы работал сотовый — очень похоже на привязке к локации, сколько есть компов с GPS?
Не критично.
Ну как минимум при первичной регистрации привязка к номеру уже идет.
Также, фоном можно слушать микрофон.
ОС уведомит, что микрофон используется.
Если ноутбук, то микрофон можно физически запретить (драйвер запретить).
Если компьютер десктопный — то просто выдернуть.
Но повторюсь, это строго мои догадки.
Причина, имхо, в безопасности.
Поэтому такая жесткая привязка аккаунта на компьютере к телефону.
Предполагается, что аккаунт для одного и того же человека (раз это один и тот же аккаунт на разных устройства). А человек все равно не может быть физически в разных местах одновременно.
Если бы Whatsapp практиковал корпоративные аккаунты, где управление аккаунтом в одном месте, а использование аккаунта в другом месте, то ваши претензии были бы обоснованными.
Но Whatsapp, Telegram — это всё про аккаунты физических лиц. Неважно, что вы хотите использовать так, как разработчики софта этого не задумывали.
Как раз слишком уж вольготные решения Телеграма меня больше беспокоит — если я где нибудь оставлю на компьютере — так это мою переписку читать смогут и звонить от моего имени.
Постоянно же отвязывать-привязывать Телеграм — неудобно.
Приходится иметь на компьютере свой аккаунт в операционной системе и никому его не давать, чтобы не добирались в моё отсутствие до Телеграма
В телеге же есть пароль на приложение. Не знаю насколько он надёжен, но я пользуюсь.
Неудобно.
Вводить по 100 паролей…
У типичного же ИТшника не только один Телеграм из софта, что пароля требует... И добавлять лишний пароль нет никакого желания.
Я ограничиваюсь одним в аккаунт ОС. А на ноуте и смартфоне вообще по пальцу.
Далее запускается менеджер паролей. Но лишний раз им пользоваться всё равно не удобно. Только по необходимости.
Я вот им всё и ввожу. Автоввод и никаких проблем, одно сочетание клавиш на всё.
Одно сочетание?
Он у вас как-то определяет в каком приложении вы вводите пароль и сам нужную запись из БД паролей подставляет?
Что за менеджер?
ОС уведомит, что микрофон используется.
Если ноутбук, то микрофон можно физически запретить (драйвер запретить).
Если компьютер десктопный — то просто выдернуть.
речь именно о телефоне. Там микрофон не выдернешь, и уведомлений нет.
Предполагается, что аккаунт для одного и того же человека (раз это один и тот же аккаунт на разных устройства). А человек все равно не может быть физически в разных местах одновременно.
Ну вот у меня рядом стоят 2 системника, один комп для работы, второй для игр и фильмов. Мне удобно, чтобы все мессенджеры были запущены на обоих.
К слову, вайбер и тут отличился — на 2 компах сразу его можно, а вот на 2 телефонах (плавно переходил с устаревшего телефона на новый) — нет.
Вообще, если что-то запущено на компе — используем блокировку системы каждый раз как отходим, хорошая привычка для работы в офисе. Для офиса я бы даже сказал обязательная. А если подключить сканнер отпечатка, то авторизация в одно касание это очень удобно. К слову, сканнер появился штатно даже в ультрабуках, например honor magicbook 15, кнопка включения является и сканнером.
если я где нибудь оставлю на компьютере
А не надо оставлять. Всегда блокируем систему, и включаем блокировку самой телеги. Остальное я вообще не понял.
Предполагается, что аккаунт для одного и того же человека (раз это один и тот же аккаунт на разных устройства). А человек все равно не может быть физически в разных местах одновременно.А причём тут «одновременно»? В Вацапе основное устройство просто одно. Не «одновременно одно», а всего одно. И это обязательно телефон. У вас может быть два телефона, например. Или вы сидите за компьютером, а телефон выключен.
Но нет — этого Вацап не допускает.
Эм… а как еще обеспечить сквозное шифрование? ключ лежит на одном устройстве (телефоне) и никак из него не извлекается. А все вторичные устройства (веб, десктоп) проксируются через телефон.
ключ лежит на одном устройстве (телефоне) и никак из него не извлекается.
Дать потребителю самому возможность копировать ключи и перемещать их с устройства на устройство? Или мы верим в то, что ключи никогда и никак не могут утечь с телефона? Но это же глупо и наивно
А в клиенте в общих чатах показывать откуда отправлено сообщение, типа Юзер1@комп1, Юзер1@комп2, с Юзер1@телефон.
ну а секретные оставить точка — точка: Юзер1@комп1-Юзер2@комп3 и Юзер1@комп2-Юзер2@комп3 одновременно видны на компе3, а на компе1 и компе2 видны только свои чаты.
Рабочие ключи остаются на устройстве, но подтверждаются что принадлежат одном человеку.
В зависимости от того где хранится ключ можно уровень «секъюрности» показывать: на телефоне не извлекаемый — максимальный, но компе — минимальный, на компе но в крипточипе — средний/максимальный…
Утечка одного из ключей не компрометирует остальные. И даже утечка «главного» ключа не даст расшифровать переписку на других устройствах.
Может немного сумбурно написал…
Кажется вспоминать не только с кем ты обсуждал что-то, но и с какого устройства — это чересчур.
при установке выбираешь режим «паранойи» по умолчанию для новых чатов: максимальный — чаты только устройство — устройство (неудобно, но паранойя...);
повышенный — могут добавляться другие устройства по ссылке, приглашению и т.п. вплоть до голосования членов группы добавить или нет (защищенная группа);
средний — чат юзер-юзер (все устройства юзера получают доступ чату) по идеи должен быть самый распространенный;
минимальный — могут добавляются другие юзеры (типа обычная группа).
А сейчас блокчейн еще модно прикручивать ко всему или уже нет?
— зарегистрировался, есть привязка к номеру
— почитал 1 — ровно 1 — канал
— «ваш аккаунт был заблокирован, пишите в техподдержку».
— ???
Но главный недостаток телеги — поддержки там НЕТ. Она номинальная, но если угнали акк или чат/канал — можно туда долбиться месяцами например.
к сожалению, вынужден согласиться. Был прикол — на меня жалобу написали, что типа я кого-то оскорбляю и веду себя неприлично. Меня забанили к чертям, даже разбираться не стали. Хотя это явный пример фашизма, потому что если человек не понимает, за что его наказали — он исправиться ес-но не сможет. Бан, конечно, спустя время ушел сам, но было неприятно. И, да, я антисоциальное поведение вроде как не демонстрирую (по крайней мере активно :-D)
Написал в техподдержку: извинились и аккаунты разблокировали.
— Я не хочу иметь веб-версию
А как же вот эта история от сотрудника Вконтакте/Телеграмма — КОТ ДУРОВА или ИСТОРИЯ О ТОМ, КАК ПАВЕЛ ДУРОВ ТРЕБУЕТ ОТ МЕНЯ 100 000 000 В СУДЕ
Где он заявлял, что Телеграмм разрабатывался в том же здании, что и ВК? Или офис закрыли и всё?
А в чем проблема, что «Telegram is Russian”Так это уже другой вопрос. И каждый будет отвечать на него сам. Посыл же vaslobas-а в том, что Дуров лжет, называя Telegram не-российским.
Тут в значении "российский". И да, этот вопрос тут не к делу.
В выражение «Телеграмм — русский» люди могут вкладывать самые разные вещи, но поскольку пост — на английском, то есть обращение — к западной аудитории (американской, в том числе), речь, безусловно, идет о той шумихе, которую пресса, поддерживающая левую идеологию, раздувала вокруг "вмешательства Кремля". Конечно, уверенно доказать отсутствие связей с Кремлём обывателю — сложно, но упомянуть отсутствие офисов и запрет — вполне логичный и довольно значимый, понятный любому аргумент.
Всегда раздражало, что в телеграме пользователи идентифицируются/находятся по телефону. И как результат — постоянные утечки номеров телефонов. Причём по вине разработчиков. Пробив паспортных данных по номеру стоит 3000 рублей, так что считай это мессенджер где в любой момент кто угодно может узнать все твои паспортные данные.
И как результат — постоянные утечки номеров телефонов. Причём по вине разработчиков
Пруф?
о какой приватности идет речь?С приватностью там всё хорошо, просто не надо лениться лезть в настройки.
А зачем вы ему дали доступ к контактам, если не хотели этого? В отличии от вотсаппа, он может работать без этого.
Мой вотсапп работает без доступа к телефонной книге. Неполноценно, но работает.
Неполноценность заключается в том, что я не могу первым написать человеку (только ответить) и нет возможности отобразить подпись контакта (идентифицирую по аватаркам).
С телегой чуть удобнее, да, но с "В отличии от вотсаппа, он может работать без этого." согласиться не могу.
Это не так работает. Как я понимаю, обход работает как:
Добавляем в телефонную книгу кучу номеров по маске 7(9XX)YYYYYYY, синхронизуем телеграм, вытаскиваем метаданные. Повторить до просветления.
Когда вы ставили телеграм, там задавался вопрос-разрешаете доступ к к вашим контактам-вы нажали-да. Но даже если вы и нажали в настройках можно все изменить
Когда в старые времена мы сносили ICQ и ставили миранду/etc на тот же UIN то естественно, что ростер переносился в новый клиент и у наших контактов мы становились онлайн. У привязанных к телефонному номеру мессенжеров такая-же идея.
PS не давал телеге доступа к контактам, и отказался от установки вацапа, когда он захотел того же.
Я так и не понял, что такое «мои контакты». Вообще непонятный какой-то концепт. Вроде бы, в списке чатов появляются вообще все люди, которые мне когда-то писали. Но их ещё иногда (хз по какому принципу) предлагается добавить или не добавлять в какой-то скрытый «контакт-лист».
Чёрт знает что, если честно.
Я так и не понял, что такое «мои контакты». Вообще непонятный какой-то концепт.Аналог «друзей» в соцсетях, видимо. Из профиля юзера можно добавлять его в контакты руками.
А сам список контактов есть в главном меню, на десктопе он вот тут:
Телеграм синхронизирует список контактов в одну сторону. Если вы добавили номер телефона себе в телефонную книгу при включённой в телеге опции «Синхронизировать контакты», этот номер уйдёт на сервера телеги. Но если вы удалите номер из своей телефонной книги, то с серверов телеграмма он автоматически не удаляется. Только вручную каждый контакт или весь массив через Конфиденциальность > Управление данными > Удалить импортированные контакты.
Удалите импорт и отключите синхронизацию и «призраки» из списка чатов исчезнут
Самый главный миф — это что он зачем-то нужен. XMPP über alles.
Потому что удобны.
И это прекрасно видно по тому как они стремительно взлетели все эти Telegram, WeChat, Viber, Whatsapp.
Централизация позволяет не заморачиваться со знакомыми уже тебе абонентами. Вчера по телефону, а сегодня уже по Whatsapp.
XMPP хоть и появился раньше названных — но воз и ныне там.
Потому что неудобно.
Кроме как специфических узких групп людей никто не будет заморачиваться, как показала жизнь.
А там нужен номер телефона, куча возни или практически никак для нескольких аккаунтов в одном и том же (ах, да, хомячье же в сети живет под реальным именем, ага), нет альтернативных клиентов, небезопасно, нельзя свой сервер иметь.
Я надеюсь, что RISC-V выстрелит и у специфических узких групп появится конкурентоспособное открытое железо, что и всему остальному поможет. Жить в одном загоне с ламерами можно было, когда этот загон создавал определенные условия, это больше не так.
Жизнь все еще показывает.
Удобно и неудобно — кому? Я поставил клиент и зарегистрировался, вот и XMPP.
Если вы только сам с собой переписываетесь, то — да.
Однако, мессенджеры предполагают, что есть и другая сторона, та с которой вы переписываетесь.
Почему приходится использовать тот или иной мессенджер, кроме твоего собственного желания? Потому что только тот мессенджер у человека, с которым вы переписываетесь.
Отсюда вывод: нужно сделать такой мессенджер, которым могли бы пользоваться и технари, и обычные люди, чтоб технарям было удобнее.
Я надеюсь, что RISC-V выстрелит и у специфических узких групп появится конкурентоспособное открытое железо, что и всему остальному поможет.
Это как?
Развитие мессенджеров для этих узких групп сдерживает железо?
Ну а кто вам мешает взять x86 и установить на нём свою ОС, какую хотите.
Если речь о смартфонах — то вполне существовали смартфоны на Ubuntu и MozillaOS. Вот только оказались никому не нужны. Но вы и сейчас их можете купить б/у и пользоваться.
С чего вы решили, что эти «узкие группы» выстроются в очередь за телефонами под RISC-V?
Понимаете, если бы был спрос на те open-source OS в телефонах в достаточном количестве — их бы и продолжали производить.
Но должного спроса нет.
А одиночки — ничего не решают и никому из производителей железа не нужны.
ах, да, хомячье же в сети живет под реальным именем, ага
Жить в одном загоне с ламерамиВас читаешь, будто 14-летнего кулхацкера.
XMPP отвратителен как протокол. Из всех достоинств — только открытость и децентрализованность.
По поводу пункта 2: в Иране WhatsApp подвергался блокированию от случая к случаю.
есть разница между "мессенджер с открытым кодом" (типа какого-нибудь xmpp клиента) и "проверяемая сборка". Тем более если в формуле есть еще и iOS (куда произвольный Васян код залить не может)
А кто-нибудь реально эти сборки проверял? Очень интересно, как при этом будет соответствие официальных api_id/api_hash, что в неофициальных сборках запрещено вообще-то.
f-droid.org/ru/packages/org.telegram.messenger
Гитхаб:
github.com/Telegram-FOSS-Team/Telegram-FOSS
Скорее всего ключик где-то там должен быть.
Если ЗАКРЫТЫЙ бэкенд имеет API, как в случае Телеграм, то любой может сваять любого клиента и он может также быть проверяемым и даже открытым и т.д.
Что мы собственно и видим по многочисленным клиентам Телеграм.
Но все равно это не есть доказательство открытости ибо что там они в бэкенде творят — известно только Дуровым.
А вот то что WhatsApp не хранит сообщения у себя на серверах — говорит о том что пользоваться Whatsapp на самом деле более безопасно чем чем облачным Телеграмом, хотя и менее удобно, что бы там не говорил Дуров.
Нельзя. Правила пользования API запрещают добавлять то, что будет вынуждать пользователей ставить данный конкретный клиент для возможности просмотра.
1.3. As a client developer, you must make sure that all the basic features of the main Telegram apps function correctly and in an expected way both in your app and when users of your app communicate with other Telegram users. It is forbidden to force users of other Telegram clients to download your app in order to view certain messages and content sent using your app.
Согласен, писать:
===Begin Encrypted Message===
...
===End Encrypted Message===
To see that message download my client: //someclient.tw/Download
Действительно не стоит.
Тут нет прямого запрета на дополнительное шифрование сообщений. Давно ещё до внедрение end-to-end шифрования в WhatsApp и Facebook Messenger, в оферте было прямым текстом написан запрет пользовательского шифрования. (Пруфов не будет, не смог найти с полпинка. Может это и была какая-то жёлтая статья, поэтому и предупреждаю)
что там они в бэкенде творят — известно только Дуровым.
А это не важно, чужой бэкенд — это в любом случае недоверенная среда и надо всегда исходить из того, что на бэкенде уже есть бекдоры от ФСБ, FBI и от хакеров Вяся и Джона.
Главное — это наличие нормального шифрование с верификацией ключей (штрихкод или еще как) и исходные коды клиента, чтобы можно было собрать/проверить билд на отсутвие закладок. Если все это есть, то содержание переписки никто посторонний не узнает.
Главное — это наличие нормального шифрование с верификацией ключей (штрихкод или еще как) и исходные коды клиента, чтобы можно было собрать/проверить билд на отсутвие закладок. Если все это есть, то содержание переписки никто посторонний не узнает.
Это вы сейчас про Телеграм?
В ТГ есть шифрование в секретных чатах и есть возможность сверить ключи кликнув на контакт.
Я бы в список претензий к ТГ добавил:
1. Кастомное шифрование — это плохо. Не удивлюсь, если найдут в нем уявзимости.
2. Исходники клиента (android) публикуются с задержкой в пол года (было так, когда последний раз интересовался). Проверить их билды невозможно.
Если вы пишите что-то в нешифрованный чат, то глупо смотреть исходники бэкенда и надеяться, что вашу переписку никто никогда не прочитает.
Ну типа как все шифровали при Штирлице, а передавали по открытому радиоканалу.
Как-то была такая идея — шифровать каким-нить сторонним приложением, для которого в принципе не важно какой мессенджер используется, т.е. мессенджер — это просто среда передачи данных.
Неудобно для пользователя.
Ну и плюс не гарантирована совместимость с любым абонентом.
А вы думаете почему до сих пор в email шифрование (или хотя бы проверка подлинности) не внедрена? Нужен единый всеми поддерживаемый стандарт. Но тогда зачем шифрование в отдельной программе реализовывать, если оно всегда одинаковым алгоритмом делается?
Вы так пишете, как будто ни у кого не получилось.
Достаточно много людей тем и другим пользуются. Конечно, когда нет открытого клиента чего бы то ни было, то не пойдет. Вот вещи вроде OMEMO уже требуют поддержки протокола, и протоколы эти называются TextSecure и XMPP.
Э-э, есть вообще-то PGP, OTR. Пользователю поставить плагин (а в некоторых клиентах почтовых и XMPP и не нужно) и сгенерить ключи(только для PGP).
Вот об этом я и пишу — что не получило распространения.
Протоколы, софт — уже более 10 лет как есть.
А распространения — нет.
Вы так пишете, как будто ни у кого не получилось.
Проблема в том, что должно получиться не у одного. Эти решения не для одного.
А нужно ли учить безопасности и прочему людей, которые этого не хотят? Жизнь научит. Еще 10-20 лет — и перейдут на децентрализованные мессенджеры, думаю. Эволюция-с.
Уже было для этого 30 лет распространения интернета. Пока не видно даже намёков на то, о чем вы пишете.
Хотя открытый софт доступен с практически самого начала распространенности интернета.
Люди предпочитают удобства.
Удобство предполагает, что ПО за тебя делает и настраивает кто-то другой.
Те, кто им действительно пользовался 20 и тем более 30 лет назад, вполне способны пользоваться описанным, если и когда им это интересно.
Я говорю о времени, когда интернет повзрослеет для этого поколения/эшелона/мысльпонятна. Вот когда 1997 года рождения bachelor of arts с макбуком поймет, что олигополия и цензура существуют и уже представляют явную опасность — это случится.
Так-то сейчас только сторонники Трампа что-то начнут понимать.
Вот когда 1997 года рождения bachelor of arts с макбуком поймет, что олигополия и цензура существуют и уже представляют явную опасность — это случится.
Новое поколение привыкло жить в состоянии некого личного эксгибиционизма:
Из моего общения с людьми 1995-2002 годов рождений — они привыкли жить открыто, отображая свою жизнь вКонтакте, в Интаграме и т.п.
И на подобные предостережения, что нужно быть аккуратнее отвечают: мне нечего скрывать, я же не преступник.
1996 — это, кхм, мои ровесники, и я вижу, как некоторые из них постепенно учатся.
Я говорю не о том, чтобы основная масса что-то поняла, а просто достаточное число, 1 из 5, скажем. Этого достаточно для поддержания сообщества.
Но вообще это все про что-то вроде нового Фидо.
Я говорю не о том, чтобы основная масса что-то поняла, а просто достаточное число, 1 из 5, скажем. Этого достаточно для поддержания сообщества.
Да, про такой масштаб согласен.
Но в том то и дело что не в идеальном, а в реальном мире готовы мириться с неудобствами и использовать то, что вы пишете на практике на порядки меньше людей — 1 из 500.
И еще 1 из 100 усиленно пишет «как это хорошо», но только пишет, не более…
Ну а такие цифры ничего не решают.
1 к 5 — нет, и не предвидится. Даже выраженной тенденции нет.
Скорее тенденция даже обратная — всё больше доверяют облакам, хранят пароли к разным сервисам в веб-почте и пр. и пр.
Правильная тенденция может появиться благодаря цензуре и олигополии. О том и надежда. На данный момент толпы отдеплатформленных ищут способ нормально общаться, может, найдут.
Ну, неудобства не больше, чем для всего интернета в 2003.
Что с того, что было?
Человечество в массе своей не мечтает возвращаться в те времена когда нужно было дров нарубить и из лесу их привести прежде чем помыться в горячей воде.
Развитие цивилизации построена на том, что всё больше и больше комфорта хотим.
P.S.:
И не 2003.
Погуглите ICQ. Фактически — «неудобства не больше, чем интернет в 1996 году, когда появился сервис ICQ».
можно заменить децентрализованными средствами
Да, технически можно уже давно. ПО есть. Оно доступно. Оно открыто.
Я бы понял если бы это все появилось год-два назад и еще не успело распространиться.
Но по факту — прошло очень много лет как все это появилось, но децентрализованные полноценные по функционалу сервисы так и не появились.
Об этом и речь. Прошло очень много лет, а воз и ныне там. И не видно никаких тенденций, что бы эти децентрализованные сервисы хоть как-то заметно распространялись…
Эта тенденция пойдёт на спад. Первой ласточкой, показавшей, как всё бывает печально, стала эпидемия (например, проблемы безопасности Zoom), второй — ситуация с Трампом.
Эта тенденция пойдёт на спад.
Вот если будет другая тенденция — будет что обсуждать.
Пока никакие даже намёков в реальности на неё не видно.
Просто уметь анализировать надо, вот например что сейчас происходит в США, специалистам давно очевидно было, а для масс новости только вот последние полгода.
Просто уметь анализировать надо, вот например что сейчас происходит в США, специалистам давно очевидно было, а для масс новости только вот последние полгода.
Если вы умеете анализировать, то, наверное, и реальные признаки имеющиеся в реальном мире тенденции на децентрализацию сервисов назовете?
Ну ок, БитКойн и иже с ними.
И все?
Так ведь частный случай еще не тенденция. Просто удобное решение блокчейн. Всего лишь технически удобное.
Или у вас еще другие примеры есть?
Будет весело дожить и создать новое Фидо :) Гипертекстовое векторное, конечно!
«Встраивается» в интерфейс мессенджеров и шифрует сообщения перед отправкой.
Есть такая штука: www.oversec.io
«Встраивается» в интерфейс мессенджеров и шифрует сообщения перед отправкой.
А смысл?
Ведь на том конце нужно такой же софт иметь?
Причем всем абонентам.
Шифровальная машинка всегда под рукой.
Кому-то такая штука нужна, раз ее сделали.
Есть такая штука: www.oversec.io
«Встраивается» в интерфейс мессенджеров и шифрует сообщения перед отправкой.
О, спасибо!
Это ровно то о чем я и говорил, один в один.
Все
интересно то что эта штука работает в вацапе и других месседжерах, но не работает в Телеграме…
Не знаю что изменилось в телеге, подозреваю стала принимать все символы из utf-8, но теперь работает и там. Правда есть оговорка PGP ASCII armored — слабо юзабельно для ассиметричного шифрования (захватывает огромный участок экрана под расшифровку, и частенько ползет за зашифрованное сообщение), а base64 encode для симметричного (не распознает в чатах, но распознает при редактировании). А вот маскировка среди обычного текста отрабатывает без проблем, распознаётся и лишнего, по крайней мере на моём устройстве, не захватывает
1. Кастомное шифрование — это плохо. Не удивлюсь, если найдут в нем уявзимости.
Качество шифрования в поделках фирмы Дурова уже критиковали предметно:
habr.com/ru/company/virgilsecurity/blog/418535
2. Исходники клиента (android) публикуются с задержкой в пол года (было так, когда последний раз интересовался). Проверить их билды невозможно.Как раз вместе с verifiable builds исходники стали обновляться постоянно, иначе глупо было бы делать эти самые билды. Подробный туториал по верификации есть на сайте.
Главное — это наличие нормального шифрование с верификацией ключей (штрихкод или еще как) и исходные коды клиента, чтобы можно было собрать/проверить билд на отсутвие закладок. Если все это есть, то содержание переписки никто посторонний не узнает.
Еще есть вопрос передачи ключей шифрования через среду, не вызывающую доверия.
Если передавать ключи через другой канал (личная встреча, например) — это неудобство, большинство пользователей не оценит.
Если передавать через чьи-то сервера, то всегда возможен перехват, ибо вы соединяетесь не непосредственно с вашим собеседником, а с чьим-то сервером. А передача ключей через чужой сервер потребует дополнительного шифрования, которое тоже потребует обмена ключами.
А вот то что WhatsApp не хранит сообщения у себя на серверах — говорит о том что пользоваться Whatsapp на самом деле более безопасно чем чем облачным Телеграмом, хотя и менее удобно, что бы там не говорил Дуров.
Но ведь у WhatsApp закрытый бэкенд и что они там у себя хранят — известно только Цукербергам.
Я уже молчу о том что пока ватсапу не дашь доступ к контактам он вообще отказывается работать.
Миф об открытых исходниках: частичная правда же. Исходников серверной части нет в публичном доступе.
А если хотите свой сервер поднять, то протокол не сложный и можно на несколько вечеров собрать сервак. Или поискать готовый на гитхабе, наверняка уже кто-то его написал.
Тогда зачем хвалиться открытостью клиентов, если протокол описан, и каждый может написать свой клиент?
Именно клиент обеспечивает безопасность вашей переписки и это причина, почему они хвалятся открытостью исходников клиента.
Именно клиент обеспечивает безопасность вашей переписки
Удивлен вашим словам.
Будь клиент сколь угодно защищённым, если сервер, условно, светит базой в паблик, толку в сумме 0.
Но кажется я вас понял: вы хотите проверить код сервера на уязвимости на то, что рандомный человек не получит ваши данные (IP, список контактов, факт переписки с определенными контактами)? Да, исходники в этом помогут (не всегда).
Но при этом никакая провера исходников не защитит от сознательного слива этих данных владельцами сервера.
Несколько вечеров? Ха-ха! Покажите хоть один готовый рабочий.
Миф 1. «Код Telegram не является открытым». На самом деле все клиентские приложения Telegram имеют открытый исходный код с 2013 года
Здесь ключевое слово — клиентские. Код сервера Телеграма закрыт, а ведь именно через сервер проходят все сообщения. Пример IM с открытым кодом сервера — Signal, тот самый, на который недавно предлагал переходить Илон Маск.
Павел обещает открыть код сервера ещё с того же 2013-го, но этого так и не произошло. Что же помешало?
Миф 2. «Telegram — русский»
На это вообще стоило отвечать? Быть русским нынче преступление?
Миф 3. «Telegram не зашифрован». Дуров пояснил, что каждый чат в Telegram с момента запуска был зашифрован.
Зашифрован только трафик от клиента к серверу, сервер может все эти чаты легко читать. У большинства аккаунтов банальный перехват SMS — и ты новый владелец, с доступом ко всей истории. Буквально две недели назад у журналистов угоняли так переписку.
Сейчас кто-то возразит "а как же секретные чаты?" Что тут сказать — спустя 7 лет так и не появилось нормальных E2E-шифрованных чатов на несколько человек, а на десктопных клиентах даже и 1х1 секретных чатов до сих пор нет. Как я должен чувствительные данные передавать, если я не уверен в платформе? Пример IM, где это уже работает, и давно — Matrix. И это не такой уж и нишевый продукт, там в 2019 было уже 10 млн аккаунтов.
В итоге Павел ответил на вопросы, очень ловко лавируя между дорожными конусами действительно серьёзных проблем безопасности Telegram. Такими постами можно успокаивать топ-менеджеров компаний-партнёров, но никак не своих пользователей.
Моё разочарование безмерно, и мой день испорчен.
Да я почти уверен, что вся эта нынешняя суматоха поднялась из-за твита Маска. Маятник качнулся, люди стали сомневаться в своём выборе, и теперь каждая платформа хочет урвать кусок аудитории побольше.
Но Дуров продолжает всем вешать лапшу на уши. И почему-то у него это всё ещё получается…
Я думаю, это вопрос доверия. Всё-таки, несмотря на все проблемы, Telegram ещё не ловили за руку на сотрудничестве со спецслужбами, а сервера ни разу не взламывали, поэтому у Павла Дурова ещё есть авторитет.
Телеграм — распиаренный крипто шлак.
- Независимый аудит безопасности
- Патчи и новым функционалом со стороны сообщества
- Гарантия жизни кода в случае изменения политики компании или блокировки в отдельно взятой стране
- Собственный сервер в случае утраты доверия основному
Если звучит не очень убедительно, обратите внимание на пример медиа-серверов Emby и Jellyfin. Когда Emby решили сделать свой продукт платным и закрытым, сообщество сделало форк последней свободной версии и стало развивать проект самостоятельно. Спустя год люди уже устанавливали Jellyfin к себе на Raspberry Pi, пользовались там аппаратным ускорением и скачивали открытое и бесплатное приложение на телефоны, чего у Emby ещё не было.
А претензия к безопасности по сравнению с вотсапп по сути одна — нестандартный криптоалгоритм. Кто-то еще считает, что сквозное шифрование должно быть по умолчанию включено, как в вотсапп. Но мне кажется, это неважно, т.к. те, кто этим озабочен, легко сумеют его включить.
Привязка к телефону? у вотаспп то же самое. В телеграме хоть опции появились по выбору уровня доступа к твоему номеру.
Но мне кажется, это неважно, т.к. те, кто этим озабочен, легко сумеют его включить.
Ну как легко.
Как минимум это должен сделать и тот, с кем вы общаетесь.
Я вот уже задолбался повторять объяснять чем секретный чат от несекретного отличается.
Люди запросто в своем общении скатываются на несекретный и даже не замечают.
Добавлю, что этим летом телеграм разблокировали в России по весьма надуманным, на мой скромный взгляд, причинам.
Источник 1, Источник 2, Источник 3
Читал, что может это неспроста. А может, просто так совпало. Пока ничего не понятно, но, думаю, стоит наблюдать, как будут дальше развиваться события в этом направлении.
что может это неспроста.
Дурова прокатили регуляторы США по поводу его криптовалюты.
Если бы не оно — Телеграм был бы сейчас просто как хобби.
Но поскольку с криптовалютой всё пессимистично неопределенно — приходится теперь полагаться на Телеграм. А мессенджерам нужна аудитория, чем больше тем лучше.
В этом смысле блокировка в РФ (которую кстати сам Дуров и не пытался сгладить, а даже напротив, скорее спровоцировал, громко хлопнул дверью, отозвав своих юристов, отказавшись от судебных разборок) дала ему приличный прирост аудитории в РФ.
Но тот рост на волне «мы против государства» закончился. И ему уже нужен рост за счет «благонадежных».
И вот как ранее Дуров манипулировал аудиторией, «идейно не отдавая анонимность своих пользователей в руки государства», так тут ровно так же — договорился в государством и его разблокировали.
Как договорился? Ну мало ли как… Зачем ему или спецслужбам рассказывать, что он теперь сливает информацию…
Всему виною деньги.
Которых ему просто стало не хватать после неудач в проекте с криптовалютой.
1. Двухфакторная авторизация теперь защищает от угона аккаунта. Без доступа к почте теперь нельзя моментально удалить аккаунт, имея доступ только к СМС. Можно только поставить его на удаление через 7 (вроде) дней, причем на почту придет информация об этом и ссылкой для отмены удаления.
2. При новом входе в аккаунт нельзя завершить все остальные сессии. Эта возможность появляется только через несколько часов после входа.
в телеграм можно, почему нет, но на разные телефонные номера (на один, честно-честно, не пробовал)
P.S. жалко, что доп. профиль возможен только один, и не совсем понятны некоторые особенности (например, почему для SMS не создаётся отдельного инстанса?)
P.S. По ходу дела наткнулся на VMOS, и с удивлением обнаружил, что он вообще(!) не упоминается на Хабре. А ведь это, по сути, must have, для любого хоть немного паранойющего айтишника. Что-то типа элементарных правил гигиены в совремнной экосистеме андроидов…
Вот, кстати, еще одно вранье Дурова с этими мифами: в оригинальном посте (https://t.me/durov/145) он говорит о правках статьи в Википедии про WhatsApp и ссылается на https://en.wikipedia.org/wiki/Wikipedia:Sockpuppet_investigations/VentureKit/Archive как источник. Но если покопаться там, посмотреть вклад этих "ботов", а главное, историю правок самой статьи*, то никаких значимых правок по Telegram, а уж тем более подтверждающих слова Дурова, там нет. То есть он по сути ссылается лишь на факт, что плашка "здесь могли быть правки платных ботов" действительно провисела в статье в декабре, но сейчас даже она — снята. Всё остальное — выдумка Дурова.
Ну и с домом своим мы через телегу очень даже удобно общаемся, причем все собрано практически без необходимости кодить (только конфиги правильно написать).
Вообще не понимаю, как вотсап с такой нереально ограниченной функциональностью стал первым в мире мессенджером. Даже скайп побогаче по функциям был, хоть о приватности там не особо и задумывались.
Истина 1. Из-за технологии API ID создание своего открытого клиента становится, мягко говоря, некоторой проблемой (кстати, я реально не очень понимаю, как наличие API ID согласуется с, как утверждает Дуров, «проверяемыми сборками»? или «проверяемые сборки» — это одно, а те бинарники, которые мы реально скачиваем с оф сайта — это что-то другое?)
Миф 2. «Telegram — русский».
Истина 2. Ну русский-не русский — не знаю, а вот номер телефона при регистраиции вынь да положь. Со всеми очевидными последствиями для тех, кто серьёзно относится к безопасности. Плюс ещё там не знаю как сейчас, а раньше по умолчанию даже пароль не требовался для входа в аккаунт, только код из sms. Один корумпированный сотрудник сотового оператора, даже без спецслужб — и привет.
Миф 3. «Telegram не зашифрован».
Истина 3. Сквозное шифрование до сих пор (сколько лет прошло уже, а всё ещё) есть только на смартфонах. Мало того, что с безопасностью любой вводимой в них информации от доступа «каких надо» третьих лиц там, мягко говоря, не фонтан, это ещё и хвалёную концепцию reproducible builds серьёзно подрывает. Где гарантия, что тот бинарник, который я ставлю себе из google (где надо залогиниться, а реально скачанный apk потом увидеть не так просто), а тем более apple, store — это тот самый reproducible build? А если я его сам скомпилирую, как я его засуну в iphone?
Павел Дуров раскритиковал Facebook и развеял три мифа о Telegram