Администрирую свой небольшой сервер Matrix уже несколько месяцев.
В целом, именно по серверной части и протоколу вопросов нет особо — оно довольно неплохо сделано. Да, оно ест ресурсы, но какое серверное ПО их не ест? В конце концов, никто не заставляет поднимать свой сервер, чтобы общаться в матриксе.
А вот клиенты... клиенты это полный мрак, да. Надеюсь когда-нибудь кто-нибудь адаптирует хотя бы клиент Telegram, чтобы этим можно было нормально пользоваться(
Вписать свой сервер в Matrix-клиенте не сильно сложно, если людям это понадобится. Когда-то и про КВНы так говорили, а в итоге каждый второй ими пользуется, а кто не пользуется — в основном не из-за технических сложностей, а из-за сложности найти и оплатить рабочий сервис...
Synapse может использовать довольно много ресурсов если сервер участвует в больших и активных федерированных чатах. Если вход в них ограничить (или и вовсе выключить федерацию), то работать оно будет даже на древней картошке...
Однако пока не было никаких доказательств того, что они генерируются ненадежным образом.
А суждения уровня "оно может генерироваться ненадежно, а могут надежно, мы не знаем" мало в себе смысла несут. Явно не заслуживают общественного резонанса, как минимум.
Да, ПО где-то посередине (например браузер) может заниматься чем-нибудь не очень хорошим. Но ссылка с авторизацией не решит проблему отсутствия доверия к браузеру, он в любом случае сможет сделать что-то нехорошее.
Как выше заметили, если уж и решать эту проблему, то полноценно — с E2E шифрованием содержимого.
На макоси доступен Keychain (надежное хранение секретов) и Hardened Runtime (невозможность вмешаться в процесс приложения), которые в целом повышают безопасность не в ущерб пользователю
Еще есть песочница, но она скорее ограничивает само приложение, нежели доступ к его файлам (то есть приложение в песочнице не сможет читать чужие файлы, но его собственные файлы будут доступны в ~/Library/Containers)
И пользоваться этими фичами могут не только приложения в сторе, но и любые сторонние, и разработчики нередко их включают (а если хочется, то и сам пользователь может обернуть в песочницу какое-нибудь "подозрительное" приложение, правда придется немножко вникнуть в этот вопрос)
Старые ответы вполне могли закешироваться провайдерским DNS. А потом, мне кажется, эти «старые закешированные ответы» еще и будут специально удерживаться в этом кеше дольше обычного )0
Помню общался с РКН, когда они в первый раз мой сервер в EU заблокировали. Кажется, еще в 2024, когда только-только тестировали блокировки европейских хостингов. Ответ убил: "пусть ваши пользователи ищут проблемы на своей стороне" (если обобщить).
Так что их позиция "твоим дич и че вы нам сделаете)" уже не первый год наблюдается, переписываться с ними дело действительно гиблое...
Google Play довольно спокойно относиться, если уж совсем треш не творить. Особенно если это популярное приложение от известного разработчика — тогда проблем не будет.
Apple вроде не дает совсем уж наглеть, поэтому почти всегда в iOS приложениях защита хуже.
Если честно, то имея некоторое отношение к геймдеву (мобильному правда), я никогда не понимал, на кого и зачем рассчитаны такие решения.
Если я правильно понял суть — в игре с P2P-мультиплеером предлагается делегировать подбор и лидерборды в ВК, чтобы разработчикам не приходилось иметь вообще никакой серверной инфраструктуры.
Идея может и неплохо звучит, но кто в здравом уме будет делать соревновательную игру (с подбором и лидербордами) на P2P-мультиплеере? Это вообще как? Игра "кто лучше напишет более читерные читы" что ли?
P2P-мультиплеер звучит неплохо для локальных или кооперативных игр, но там ни подбор, ни лидерборды не нужны.
Вот и становится непонятно, че каво почему зачем... может кто-то тут знает?
Они уже начали требовать KYC с биометрией для использования новых моделек через API — и это стало основной причиной, почему больше я их модельками через их API не пользуюсь
Хочется верить, что и общество тоже не схавает все эти тендеции на сбор биометрии во всех сервисах подряд...
Администрирую свой небольшой сервер Matrix уже несколько месяцев.
В целом, именно по серверной части и протоколу вопросов нет особо — оно довольно неплохо сделано. Да, оно ест ресурсы, но какое серверное ПО их не ест? В конце концов, никто не заставляет поднимать свой сервер, чтобы общаться в матриксе.
А вот клиенты... клиенты это полный мрак, да. Надеюсь когда-нибудь кто-нибудь адаптирует хотя бы клиент Telegram, чтобы этим можно было нормально пользоваться(
Вписать свой сервер в Matrix-клиенте не сильно сложно, если людям это понадобится. Когда-то и про КВНы так говорили, а в итоге каждый второй ими пользуется, а кто не пользуется — в основном не из-за технических сложностей, а из-за сложности найти и оплатить рабочий сервис...
Synapse может использовать довольно много ресурсов если сервер участвует в больших и активных федерированных чатах. Если вход в них ограничить (или и вовсе выключить федерацию), то работать оно будет даже на древней картошке...
Нужно просто поднять сервер у правильного хостера, у которого обход белых списков есть by design (да, я знаю, что это временное решение)
Честно — нет)
Однако пока не было никаких доказательств того, что они генерируются ненадежным образом.
А суждения уровня "оно может генерироваться ненадежно, а могут надежно, мы не знаем" мало в себе смысла несут. Явно не заслуживают общественного резонанса, как минимум.
Да, ПО где-то посередине (например браузер) может заниматься чем-нибудь не очень хорошим. Но ссылка с авторизацией не решит проблему отсутствия доверия к браузеру, он в любом случае сможет сделать что-то нехорошее.
Как выше заметили, если уж и решать эту проблему, то полноценно — с E2E шифрованием содержимого.
Успехов перебрать 128 бит в ссылке... это немножко нетривиальная задача, мягко говоря.
Я так и не выкупил прикола, в какой момент контроль доступа по ссылке стал настолько большой проблемой…
Да, ссылки на публичные картинки будут лежать на веб-архиве, в гугле и много где еще. И что?
Да, приложение может создать ключ, который не будет доступен другим приложениям (и проверяется это по подписи приложения, если вкратце)
На макоси доступен Keychain (надежное хранение секретов) и Hardened Runtime (невозможность вмешаться в процесс приложения), которые в целом повышают безопасность не в ущерб пользователю
Еще есть песочница, но она скорее ограничивает само приложение, нежели доступ к его файлам (то есть приложение в песочнице не сможет читать чужие файлы, но его собственные файлы будут доступны в ~/Library/Containers)
И пользоваться этими фичами могут не только приложения в сторе, но и любые сторонние, и разработчики нередко их включают (а если хочется, то и сам пользователь может обернуть в песочницу какое-нибудь "подозрительное" приложение, правда придется немножко вникнуть в этот вопрос)
Да это скорее проблема винды.
Которая даже в ней скорее решена, чем нет, но приложения этим не торопятся пользоваться(
А какого ответа от провайдера вы ждете?
«Ой, ну раз уж nv13 пожаловался, то ладно, так уж и быть, выключим ТСПУ»?
Я уверен позиция Telegram уже далеко не такая принципиальная в этом плане…
Казалось бы, через ТСПУ успешно заблокировали ютуб почти для всех. Зачем нужно было трогать DNS? Чтобы что? Есть у кого-то здесь предположения?
Разгрузить ТСПУ? Но ведь старые блокировки пока никуда не делись...
Или может заблокировать ютуб у тех, у кого по какой-то причине нет ТСПУ, но есть DNS от НСДИ? Звучит сомнительно, как будто бы того не стоит...
Старые ответы вполне могли закешироваться провайдерским DNS. А потом, мне кажется, эти «старые закешированные ответы» еще и будут специально удерживаться в этом кеше дольше обычного )0
Помню общался с РКН, когда они в первый раз мой сервер в EU заблокировали. Кажется, еще в 2024, когда только-только тестировали блокировки европейских хостингов. Ответ убил: "пусть ваши пользователи ищут проблемы на своей стороне" (если обобщить).
Так что их позиция "твоим дич и че вы нам сделаете)" уже не первый год наблюдается, переписываться с ними дело действительно гиблое...
Google Play довольно спокойно относиться, если уж совсем треш не творить. Особенно если это популярное приложение от известного разработчика — тогда проблем не будет.
Apple вроде не дает совсем уж наглеть, поэтому почти всегда в iOS приложениях защита хуже.
Обсираешь WhatsApp в очередной раз?
А как насчет добавить нормальное шифрование в Telegram?
Если честно, то имея некоторое отношение к геймдеву (мобильному правда), я никогда не понимал, на кого и зачем рассчитаны такие решения.
Если я правильно понял суть — в игре с P2P-мультиплеером предлагается делегировать подбор и лидерборды в ВК, чтобы разработчикам не приходилось иметь вообще никакой серверной инфраструктуры.
Идея может и неплохо звучит, но кто в здравом уме будет делать соревновательную игру (с подбором и лидербордами) на P2P-мультиплеере? Это вообще как? Игра "кто лучше напишет более читерные читы" что ли?
P2P-мультиплеер звучит неплохо для локальных или кооперативных игр, но там ни подбор, ни лидерборды не нужны.
Вот и становится непонятно, че каво почему зачем... может кто-то тут знает?
Они уже начали требовать KYC с биометрией для использования новых моделек через API — и это стало основной причиной, почему больше я их модельками через их API не пользуюсь
Хочется верить, что и общество тоже не схавает все эти тендеции на сбор биометрии во всех сервисах подряд...