Тут скорее к тому, что «рандомная реализация» позволила себе хардкодить TLS хендшейк и это работало с некоторыми официальными клиентами — а значит и сами клиенты отправляли достаточно предсказуемые данные…
Когда блокировки телеграм только начинались, я решил попробовать поднять mtproto-прокси и пробовал разные реализации. В том числе пробовал и какую-то рандомную реализацию на питоне (точное название уже не вспомню), которая по какой-то причине адекватно не работала на iOS, хоть и работала на остальных клиентах…
Мне стало интересно потыркать и выяснить причины, после чего я натурально умер от кринжа: в этом прокси ожидаемый от клиента TLS Handshake чуть ли не полностью захардкодили. Серьезно?
Решил исправить это и парсить хендшейк подноценно, но в процессе наткнулся на какие-то несоответствия в структурах (кажется, как раз об этой проблеме упоминается в статье) и в итоге забил на это дело, признав мусором этот «прокси на питоне», как и весь Fake TLS в телеграме в целом.
Element это не самостоятельный мессенджер, это просто клиент протокола Matrix.
Причем клиент, будем честны, не самый лучший в плане UX. Ему далеко до того же официального телеграм-клиента, например.
Однако не могу не согласиться с тем, что Matrix получает незаслуженно мало внимания. Люди готовы делать «форк сервера телеграм», или даже вовсе писать свои мессенджеры, когда сравнительно хорошее и открытое (+ децентрализованное) решение уже существует.
Все чего ему не хватает — хорошего клиента уровня клиентов телеграм. И можно лишь надеяться, что когда-нибудь авторы таких клиентов захотят сделать клиент и для Matrix тоже...
"Весь остальной интернет" за пределами страны и так уже лагает несколько месяцев как. И не потому что якобы "DPI лагает", а потому что так задумано.
"Паша не цветы собирал" вообще смешно звучит, что там у него... система из древних проксей, fake TLS которых палится на раз-два? Или какие-нибудь невероятные обходы в самом приложении, которых нет?
Очень зависит от множества факторов, обычно в регионах где белые списки 24/7 не проверяется SNI вовсе (есть отдельные исключения, но в общем случае это так)
Администрирую свой небольшой сервер Matrix уже несколько месяцев.
В целом, именно по серверной части и протоколу вопросов нет особо — оно довольно неплохо сделано. Да, оно ест ресурсы, но какое серверное ПО их не ест? В конце концов, никто не заставляет поднимать свой сервер, чтобы общаться в матриксе.
А вот клиенты... клиенты это полный мрак, да. Надеюсь когда-нибудь кто-нибудь адаптирует хотя бы клиент Telegram, чтобы этим можно было нормально пользоваться(
Вписать свой сервер в Matrix-клиенте не сильно сложно, если людям это понадобится. Когда-то и про КВНы так говорили, а в итоге каждый второй ими пользуется, а кто не пользуется — в основном не из-за технических сложностей, а из-за сложности найти и оплатить рабочий сервис...
Synapse может использовать довольно много ресурсов если сервер участвует в больших и активных федерированных чатах. Если вход в них ограничить (или и вовсе выключить федерацию), то работать оно будет даже на древней картошке...
Однако пока не было никаких доказательств того, что они генерируются ненадежным образом.
А суждения уровня "оно может генерироваться ненадежно, а могут надежно, мы не знаем" мало в себе смысла несут. Явно не заслуживают общественного резонанса, как минимум.
Да, ПО где-то посередине (например браузер) может заниматься чем-нибудь не очень хорошим. Но ссылка с авторизацией не решит проблему отсутствия доверия к браузеру, он в любом случае сможет сделать что-то нехорошее.
Как выше заметили, если уж и решать эту проблему, то полноценно — с E2E шифрованием содержимого.
На макоси доступен Keychain (надежное хранение секретов) и Hardened Runtime (невозможность вмешаться в процесс приложения), которые в целом повышают безопасность не в ущерб пользователю
Еще есть песочница, но она скорее ограничивает само приложение, нежели доступ к его файлам (то есть приложение в песочнице не сможет читать чужие файлы, но его собственные файлы будут доступны в ~/Library/Containers)
И пользоваться этими фичами могут не только приложения в сторе, но и любые сторонние, и разработчики нередко их включают (а если хочется, то и сам пользователь может обернуть в песочницу какое-нибудь "подозрительное" приложение, правда придется немножко вникнуть в этот вопрос)
Тут скорее к тому, что «рандомная реализация» позволила себе хардкодить TLS хендшейк и это работало с некоторыми официальными клиентами — а значит и сами клиенты отправляли достаточно предсказуемые данные…
Когда блокировки телеграм только начинались, я решил попробовать поднять mtproto-прокси и пробовал разные реализации. В том числе пробовал и какую-то рандомную реализацию на питоне (точное название уже не вспомню), которая по какой-то причине адекватно не работала на iOS, хоть и работала на остальных клиентах…
Мне стало интересно потыркать и выяснить причины, после чего я натурально умер от кринжа: в этом прокси ожидаемый от клиента TLS Handshake чуть ли не полностью захардкодили. Серьезно?
Решил исправить это и парсить хендшейк подноценно, но в процессе наткнулся на какие-то несоответствия в структурах (кажется, как раз об этой проблеме упоминается в статье) и в итоге забил на это дело, признав мусором этот «прокси на питоне», как и весь Fake TLS в телеграме в целом.
Element это не самостоятельный мессенджер, это просто клиент протокола Matrix.
Причем клиент, будем честны, не самый лучший в плане UX. Ему далеко до того же официального телеграм-клиента, например.
Однако не могу не согласиться с тем, что Matrix получает незаслуженно мало внимания. Люди готовы делать «форк сервера телеграм», или даже вовсе писать свои мессенджеры, когда сравнительно хорошее и открытое (+ децентрализованное) решение уже существует.
Все чего ему не хватает — хорошего клиента уровня клиентов телеграм. И можно лишь надеяться, что когда-нибудь авторы таких клиентов захотят сделать клиент и для Matrix тоже...
Нет, говорю про некую общую тенденцию. Изредка они бывают полезны, но в общем случае переписки в них не ведут...
Этим всё равно никто не пользуется, эти секретные чаты в телеграме буквально неюзабельны...
"Весь остальной интернет" за пределами страны и так уже лагает несколько месяцев как. И не потому что якобы "DPI лагает", а потому что так задумано.
"Паша не цветы собирал" вообще смешно звучит, что там у него... система из древних проксей, fake TLS которых палится на раз-два? Или какие-нибудь невероятные обходы в самом приложении, которых нет?
Очень зависит от множества факторов, обычно в регионах где белые списки 24/7 не проверяется SNI вовсе (есть отдельные исключения, но в общем случае это так)
Да, именно Synapse. Другие сервера (по слухам) могут немного хуже работать в плане стабильности и совместимости, поэтому я их и не пробовал...
Тем временем их клиент уже отпатчен таким образом, чтобы принимать посторонние ключи сервера для проведения MitM атак...
Это если вдруг у кого-то еще остались вопросы касаемо этого клиента.
Администрирую свой небольшой сервер Matrix уже несколько месяцев.
В целом, именно по серверной части и протоколу вопросов нет особо — оно довольно неплохо сделано. Да, оно ест ресурсы, но какое серверное ПО их не ест? В конце концов, никто не заставляет поднимать свой сервер, чтобы общаться в матриксе.
А вот клиенты... клиенты это полный мрак, да. Надеюсь когда-нибудь кто-нибудь адаптирует хотя бы клиент Telegram, чтобы этим можно было нормально пользоваться(
Вписать свой сервер в Matrix-клиенте не сильно сложно, если людям это понадобится. Когда-то и про КВНы так говорили, а в итоге каждый второй ими пользуется, а кто не пользуется — в основном не из-за технических сложностей, а из-за сложности найти и оплатить рабочий сервис...
Synapse может использовать довольно много ресурсов если сервер участвует в больших и активных федерированных чатах. Если вход в них ограничить (или и вовсе выключить федерацию), то работать оно будет даже на древней картошке...
Нужно просто поднять сервер у правильного хостера, у которого обход белых списков есть by design (да, я знаю, что это временное решение)
Честно — нет)
Однако пока не было никаких доказательств того, что они генерируются ненадежным образом.
А суждения уровня "оно может генерироваться ненадежно, а могут надежно, мы не знаем" мало в себе смысла несут. Явно не заслуживают общественного резонанса, как минимум.
Да, ПО где-то посередине (например браузер) может заниматься чем-нибудь не очень хорошим. Но ссылка с авторизацией не решит проблему отсутствия доверия к браузеру, он в любом случае сможет сделать что-то нехорошее.
Как выше заметили, если уж и решать эту проблему, то полноценно — с E2E шифрованием содержимого.
Успехов перебрать 128 бит в ссылке... это немножко нетривиальная задача, мягко говоря.
Я так и не выкупил прикола, в какой момент контроль доступа по ссылке стал настолько большой проблемой…
Да, ссылки на публичные картинки будут лежать на веб-архиве, в гугле и много где еще. И что?
Да, приложение может создать ключ, который не будет доступен другим приложениям (и проверяется это по подписи приложения, если вкратце)
На макоси доступен Keychain (надежное хранение секретов) и Hardened Runtime (невозможность вмешаться в процесс приложения), которые в целом повышают безопасность не в ущерб пользователю
Еще есть песочница, но она скорее ограничивает само приложение, нежели доступ к его файлам (то есть приложение в песочнице не сможет читать чужие файлы, но его собственные файлы будут доступны в ~/Library/Containers)
И пользоваться этими фичами могут не только приложения в сторе, но и любые сторонние, и разработчики нередко их включают (а если хочется, то и сам пользователь может обернуть в песочницу какое-нибудь "подозрительное" приложение, правда придется немножко вникнуть в этот вопрос)
Да это скорее проблема винды.
Которая даже в ней скорее решена, чем нет, но приложения этим не торопятся пользоваться(