| |
| 2.50, robux (ok), 11:31, 14/01/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +2 +/– |
 Если ключи генеряются на сервере, а не на клиенте, то о какой безопасности вобще можно говорить?! Это же голимый лохотрон! :)
Раньше лошков на рынке с напёрстками разводили, а сейчас им тупо втюхивают скомпрометированные ключи и уверяют, что клиент в безопасности ))
| | |
| 2.78, Аноним (-), 09:34, 16/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
если уйти от версии бэкдора, то как по другому организовать доставку offline сообщения при условии, что собеседник может быть offline потому-что он утопил телефон, а с новым у него будет новый ключ?
| | |
| |
| 3.83, Андрей (??), 23:08, 16/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
Уведомлять отправителя о смене ключа получателя и запрашивать отправителя о необходимости повторной отправки сообщений, и только после явного подтверждения перешифровывать новым ключом и отправлять.
| | |
|
|
| 1.2, Аноним (-), 18:47, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +10 +/– | |
>Проблема не касается применяемого для организации связи протокола Signal
Может хватит уже пиарить это УГ, к которому даже создание альтернативных клиентов лицензией запрещено? Какая тут безопасность может быть?
| | |
| |
| |
| |
| 4.26, Дядя (?), 21:04, 13/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Я это знаю, и теоретически осуждаю :-) Но, это совершенно не равнозначно утверждению "лицензия запрещает форки". Форкай, но поднимай свою инфраструктуру.
| | |
| 4.33, username (??), 22:05, 13/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
Он там вполне четко говорит, разворачивайте свой сервер и пользуйте свой клиент, мы вам не мешаем все исходники есть. Ну и жалуется что не так просто держать содержать это все. Видимо боится проблем связанных с кривыми неофициальными клиентами.
| | |
| 4.74, anonymous (??), 21:05, 15/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
Послать его в пешее эротическое. Он не имеет права диктовать, какой код нам использовать на своём оборудовании и какой код использовать, чтобы коннектится к его инфраструктуре.
Пусть там хоть захлебнется в желчи неодобрения, но ребята с LibreSignal делают всё правильно.
| | |
| |
| 5.84, Аноним (-), 23:45, 16/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Он имеет право диктовать практически что угодно в рамках своей инфраструктуры, если это не противоречит его локальному законодательству. А ребята из LibreSignal рискуют получить повестки в суд.
| | |
|
|
|
| 2.35, Parsee (ok), 23:08, 13/01/2017 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +1 +/– |
 Альтернативные реализации открытого протокола запретить никто не может.
Axolotl Ratchet используется в OMEMO - XEP XMPP работающий на стороне клиента, а на стороне сервера задействующий уже существующие расширения.
https://conversations.im/omemo/
Любой клиент и любой сервер, поддерживающий требуемые расширения.
| | |
| |
| 3.41, Омоним (?), 23:36, 13/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Бесполезно спорить. Наш Аноним не смог даже зайти на GitHub, чтобы посмотреть какая там в реальности лицензия. А вы ему: Axolotl, OMEMO, XEP.
| | |
| |
| 4.53, Аноним (-), 13:00, 14/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Какая разница в контексте поддержания связи людьми, сможете ли вы технически поднять свой сервис с преферансом и гимназистками или нет, если ваши контакты останутся жить в экосистеме WhatsApp?
| | |
|
|
| 2.47, Аноним (-), 03:57, 14/01/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
> Может хватит уже пиарить это УГ к которому даже создание альтернативных клиентов лицензией запрещено
> WhatsApp
> применяемого для организации связи протокола Signal
Ну как бы можно получается. WhatsApp протокол же использует.
| | |
|
| 1.3, Timur I. Davletshin (?), 18:49, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +7 +/– |
 Вот они последствия того, что клиент и сервер имеют одного разработчика. Аналогичная претензия относится к web-клиентам вроде тех же Telegram, Wire, Skype на Electron. Производитель ПО может без вашего ведома изменить алгоритм работы программы и все ваши зашифрованные разговоры будут известны большому брату. Только XMPP, PGP, S/MIME.
| | |
| |
| 2.8, rshadow (ok), 19:13, 13/01/2017 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
 У телеграма клиент опенсорсный на гитхабе лежит.
В XMPP протоколе есть все, но клиента к этому так никто и не осилил: 2017 год на дворе, а они только текст отправить могут.
| | |
| |
| |
| 4.22, ram_scan (?), 20:39, 13/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +6 +/– | |
XMPP это такая-же мутная ботва как и SIP. Каждый понаписал и понапродвинул своих драфтов и РФЦ несовместимых между собой, мотивированный полутора юзерами и гениальными маркетолухами которые захотели очередную уберфичу. В итоге имеем дремучий РФЦ и вязанку костылей категорически несовместимую с другой вязанкой костылей, и оговорку, что гарантируется только базовый набор фич, а кто не все тот сам себе Буратино.
Одепты нереализованых фичей исторгают из себя плач Ярославны.
| | |
|
| 3.21, Аноним (-), 20:35, 13/01/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– |
Опенсурс код клиента Телеграма выложили только один раз год назад, больше его никто и Павел Дуров не торопится выкладывать коммиты
| | |
| |
| 4.24, ram_scan (?), 20:43, 13/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> Опенсурс код клиента Телеграма выложили только один раз год назад, больше его
> никто и Павел Дуров не торопится выкладывать коммиты
Так оно вродеж вполне обратно совместимо. Кто не одепт блидинг эдж тот сидит "на один раз год назад" и не парицца....
| | |
|
|
| 2.12, Аноним (-), 19:24, 13/01/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
А что скажете насчет Ostel с клиентом Jitsi.
Правда, чат там идет нормально, а говорить по нему не получается, звук идет с задержкой и жуткими искажениями.
| | |
|
| 1.9, Аноним (-), 19:13, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
Эти истории будут повторяться, до тех пор, пока люди не осознают всю серьезность положения и не сделают нормальный децентрализованный месенджер.
| | |
| |
| 2.37, Parsee (ok), 23:19, 13/01/2017 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
Сейчас эпоха мобильных клиентов, им необходимо тратить как можно меньше батареи и трафика. С одноранговой архитектурой клиент участвует в трафике сети, что неприемлемо для мобильных устройств. Оптимально использовать федеративные протоколы, такие как XMPP.
Кроме того, в мессенджерах с одноранговой архитектурой не существует хорошего решения для офлайн сообщений.
| | |
| |
| 3.45, Crazy Alex (ok), 02:42, 14/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 Стоит только предположить, что в сети есть довольно приличная доля вполне себе стационарных машин на хороших каналах - и всё становится проще. Простейшая алгоритмика синхронизации нескольких клиентов под одним логином и хранения (зашифрованных) сообщений - например, для явно указаных избранных и по их запросу - и проблем с оффлайновыми соообщениями тоже нет.
Опять же, это не означает, что промежуточных серверов быть не должно - но это должна быть не федерация вроде XMPP, а просто системы кэширования, даже если с регистрацией - то она не должна быть частью идентификатора полльзователя. Ну там - после регистрации клиент рассылает по контакт-листу "сообщения для меня готов принимать вот такой-то сервер".
| | |
| |
| 4.59, Sw00p aka Jerom (?), 15:01, 14/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
>>Простейшая алгоритмика синхронизации нескольких клиентов под одним логином и хранения (зашифрованных) сообщений
ага то есть мне нуно купить мобильник у которого батарейка сутки не держит (то есть фактически уходит в офлайн каждые 8 часов), купить обычный ПК который выключается раз в день, и сервер который выключается к примеру раз в год - так что ли ?
>>проблем с оффлайновыми соообщениями тоже нет.
есть и будет всегда, зададимся вопросом а нужна ли эта офлайновая доставка ? вы часто, когда не можете дозвониться до абонента, отправляете голосовое сообщение ?
| | |
|
|
|
| |
| |
| 3.46, Crazy Alex (ok), 03:08, 14/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
Ужасная атака, да. Если у тебя увели секретный ключ - это так или иначе тапки, я бы сказал. А дальше на копейку надо усилий или на две, чтобы тебя доломать - не принципиально.
| | |
|
| |
| |
| 4.44, Аноним (-), 01:06, 14/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
В сетях с "сервисами" (ChanServ, etc) часто есть MemoServ. Ну и разумеется админы оного потенциально могут сообщения читать. Что стоит учитывать при его использовании.
| | |
| |
| 5.71, Аноним (-), 13:54, 15/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
для секретных заклинаний есть почта+крипто, а принцип что знают двое знает и свинья всегда актуален. не понимаю людей с шизофренией по теме преследования, тем более в групповом общении. это на клинику смахивает. а мобильные мессенджеры и создавались для слежки - это же очевидно
| | |
| |
| 6.76, Аноним (-), 21:34, 15/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> для секретных заклинаний есть почта+крипто, а принцип что знают двое знает и
> свинья всегда актуален.
Так это, если человек онлайн - можно otr допустим использовать. В принципе он до некоторой степени и оффлайн может сработать. Но с memoserv это будет несколько сложно реализовать.
> не понимаю людей с шизофренией по теме преследования,
Ну так опубликуй свои логины, пароли, паспортные данные и какие там еще мелочи жизни.
> тем более в групповом общении.
В ирц, внезапно, есть приваты. А еще по ирц иногда шарятся боты непонятной принадлежности.
> это на клинику смахивает. а мобильные мессенджеры и создавались для слежки
> - это же очевидно
И эти люди про клинику. Прикольно.
| | |
|
|
|
| 3.63, Аноним (-), 15:23, 14/01/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
1) В P2P IM оффлайн сообщениями должны заниматься сами клиенты. Других _безопаных_ вариантов не видно.
2) Разрабатывают.
3) А в чём должна заключаться адаптированность Tox для мобильных устройств?
| | |
| |
| 4.67, Parsee (ok), 16:58, 14/01/2017 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
1) Это так и это проблема. Для меня, по крайней мере. Решение QTox не подходит. Остаётся только выделить эту функцию на сервера, как это сделано с их системой имён.
2) Да. Ждём. Как и полноценных конференций.
3) В низком потреблении трафика и расходе батареи. Опять же это возможно только если в сети будут присутствовать супер-ноды - сервера.
Итого у нас может быть одноранговая сеть для базовой работы сети (DHT разрешающая id в ip) и сервера для всего остального. Насколько это лучше уже работающего, отлаженного и стандартизированного федеративного XMPP который умеет всё что умеют современные проприетарные централизованные мессенджеры?
| | |
| 4.81, J.L. (?), 18:17, 16/01/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– |
 > 1) В P2P IM оффлайн сообщениями должны заниматься сами клиенты. Других _безопаных_
> вариантов не видно.
> 2) Разрабатывают.
> 3) А в чём должна заключаться адаптированность Tox для мобильных устройств?
>2) Да. Ждём. Как и полноценных конференций.
который год ждём.......... жаббер2, блин
| | |
|
|
|
| 1.15, Аноним (-), 19:58, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| –1 +/– |
и, буквально, в тот же день на ленте " 06:28, 13 января 2017
Чеченские силовики нашли боевиков перед спецоперацией через WhatsApp"
| | |
| 1.17, Аноним (-), 20:07, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +5 +/– |
Никогда не воспринимал попсовые закрытые интернет мессенджеры иначе чем более дешевые аналоги стационарной или gsm телефонии для белых и пушистых поздравлений бабушки с новым годом, например. Зачем вы это делаете?
| | |
| 1.32, Аноним (-), 22:04, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +/– |
А что скажете насчет Ostel с клиентом Jitsi?
Правда, чат там идет нормально, а говорить по нему не получается, звук идет с задержкой и жуткими искажениями.
| | |
| 1.49, robux (ok), 11:25, 14/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| –2 +/– |
Если ключи генеряются на сервере, а не на клиенте, то о какой безопасности вобще можно говорить?! Это же голимый лохотрон!
| | |
| |
| |
| |
| |
| 5.72, robux (ok), 15:27, 15/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> То что безопасности нету - ты не понял
Если ты не чуешь разницу между приватными ключами и публичными исходниками, то как ты можешь вобще рассуждать о безопасности? У тебя картошка в голове, гнилая и не мытая )
| | |
|
|
|
| 2.68, Parsee (ok), 17:12, 14/01/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
На клиенте, разумеется. Проблема в том, что в этом клиенте по умолчанию вы доверяете новым ключам ранее доверенного контакта.
| | |
| |
| 3.79, robux (ok), 09:43, 16/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
> На клиенте, разумеется. Проблема в том, что в этом клиенте по умолчанию
> вы доверяете новым ключам ранее доверенного контакта.
А кто генеряет "новые ключи ранее доверенного контакта", если этот "контакт" даже не в курсе, что ему перегенеряли ключи?
Ты новость-то читал? )
| | |
| |
| 4.80, Parsee (ok), 17:38, 16/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
>Ты новость-то читал? )
Ты протокол не читал.
В этом протоколе у контакта может быть множество ключей-устройств. Первый раз при добавлении контакта клиентом производится аутентификация (не знаю как в ватсапе, по-нормальному это делается сверяя отпечатки ключей через сторонний доверенный канал) и устанавливается доверие ключу контакта. Открытые части ключей хранятся на сервере под идентификатором контакта. Соответственно, злоумышленник (фсб в сговоре с сервером) может добавить на сервер свой ключ привязав его к идентификатору контакта. Далее наш клиент получает с сервера новый ключ контакта и в зависимости от клиента:
* Нормальный клиент: не доверяет новому ключу, шифрует сообщения только ключами, которым доверяет "хозяин"
* Ватсап: автоматически устанавливает доверие новому ключу, не требуя проведения хозяином аутентификации нового ключа и ничего не говоря, отправляет сообщение зашифрованное всеми ключами (в т.ч. новым, который генерировало фсб).
В протоколе уязвимости нет, проблема в клиенте и хомаках, которым плевать на аутентификацию.
| | |
|
|
|
| 1.52, fLegmatik (ok), 12:44, 14/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +/– |
 Если вдруг кто-то ищет im-систему, которая имеет:
- свободные клиенты для современных мобил и современных (важно!) десктопов,
- свободную серверную часть,
- федерацию децентрализованных серверов,
- возможность включения e2e-шифрования (пока экспериментального),
- синхронизацию сообщений между всеми клиентами одного пользователя,
- работоспособные современные фичи вроде аудио- и видеозвонков, предпросмотра ссылок, картинок, удаления своих ошибочных сообщений, отправки сообщений офлайн-контактам (т.е. не такая древняя как irc и не такая несостыкованная как jabber),
- возможность гейтования с некоторыми ирк-сетями, слаком
и много чего ещё, то заглядывайте к нам на огонёк
https://riot.im/app/#/room/#ru.matrix:matrix.org -- расскажем и покажем что к чему.
| | |
| |
| |
| 3.57, Sw00p aka Jerom (?), 14:21, 14/01/2017 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
>> большинство людей просто не поймут почему они не могут отправить сообщение.
думаете большинство людей понимают когда внезапно в окне чата написано - "Поздравляем вы перешли теперь на end-to-end шифрования, ваша переписка "после этого" надёжно защищена".
| | |
| |
| 4.85, Stellarwind (?), 16:11, 17/01/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Если они не понимают, то им это не нужно.
Об этом и речь, что было бы неправильно заблокировать сообщение с котиками девачке, которое это end-to-end нафиг не сдалось - убегут в Viber.
Для параноиков есть тот же signal.
| | |
|
|
|
| 1.73, stainlessrat (ok), 16:16, 15/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +1 +/– |
 "Уж сколько раз твердили миру" (басня И.А. Крылова "Ворона и лисица")
Как только Вы вывешиваете свои "трусы" в инете, не зависимо с шифрованием или без, эти "труселя" видят ВСЕ !!! И как говорил осёл Иа "Удивляться не приходится" :)
| | |
| 1.87, Andrey Mitrofanov (?), 11:28, 21/01/2017 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +/– |
> В популярной системе обмена сообщениями WhatsApp выявлена
>-or-backdoor/)
> уязвимость, которая позволяет
> владельцу сервиса (Facebook) и другим заинтересованным спецслужбам перехватывать и прочитывать
> зашифрованные сообщения.
> сменить сгенерировать новые ключи для пользователей,
> без ведома отправителя и получателя сообщений.
> Уязвимость рассматривается некоторыми исследователями безопасности как преднамеренный
> бэкдор
.
> Сокрытие проблемы и игнорирование выпуска исправления может стать серьёзным ударом по имиджу
> WhatsApp, учитывая то, что ранее Facebook заверял пользователей, что применяемое в
> WhatsApp end-to-end-шифрование исключает любые возможности перехвата сообщений, в том
> числе персоналом WhatsApp. Тем не менее аудит реализации протокола показал, что
> на деле компания Facebook имеет возможность чтения чужих сообщений, осуществив замену
> ключа.
.
> Примечательно, что оригинальная реализация протокола Signal вместо автоматической
> переотправки с новым ключом, блокирует доставку подобных сообщений и отправляет уведомление
> отправителю.
2016-12-28 Michael "Phoronix" Larabel "FreeBSD Foundation Receives Another $500,000 USD Gift" --http://www.phoronix.com/scan.php?page=news_item&px=FreeBSD-Uranium-Anonymous
500K от благодарного гендира WhatsApp-а + 500К от не пожелавшего назваться "бенифициара".
"" Jan says, “While WhatsApp today is used by over a billion people, it is FreeBSD that provides [U]the reliability and performance and helps our engineers keep[/U] WhatsApp service running efficiently and trouble-free.” "" --https://www.freebsdfoundation.org/blog/foundation-announces-new-uranium-donor/
| | |
|
