Post AFhamM5JG0ztkNLZLM by Sych@mastodon.ml
(DIR) More posts by Sych@mastodon.ml
(DIR) Post #AFhRM1MKnAygLrg6XA by blank@qoto.org
2022-01-22T13:23:12Z
2 likes, 2 repeats
@rf @ru Довольно давно уже хожу вокруг да около своего старого поста о мессенджерах. За время, прошедшее с его написания изменилось очень многое, в итоге информация из поста устарела. Не безнадёжно, но сильно. Изменились политики мессенджеров, софт, в конце концов проявились ранее неучтённые мной факторы. Поэтому начинаем рассказ заново. Пост получился очень длинным, частично включает в себя мои предыдущие рассуждения на тему. Рубрика #письманашихчитателейВыпуск 3. Часть 1. Редакция вторая, с изменениями и дополнениями.@vegan: "что лучше, Signal или Telegram для общения с не активистами?"В следующем видео всё ещё содержится вполне обстоятельный ответ на данный вопрос, а я тем временем расскажу почему дела обстоят именно так.https://invidious.snopyta.org/watch?v=giC3-LnnV4cВсе, кто употребляет в одном приложении слова "привязка мобильного телефона" и "приватно" или "безопасно" без отрицания либо нагло пиздят, либо не понимают о чём говорят. За пруфами, пожалуйста, на хабр. Вбиваем в поиск "перехват sms", "перевыпуск sim" и наслаждаемся. Лично мне бельше всего понравился вот этот материал: https://habr.com/ru/post/396367/>22 июля 2016 в 17:46>Примерно три месяца назад Павел Дуров предупредил пользователей, что авторизация по SMS в мессенджере Telegram скомпрометирована. >Представители Telegram заверили, что закроют уязвимость в течение ближайших дней.Спустя пять с половиной лет альтернатив смс-аутентификации так и не завезли. Безопасность, хуле.Аутентификация по смс это не только небезопасно, но ещё и неприватно и неэтично. Мессенджеры, заточенные на номер телефона, а также приложения двойного назначения, типа банковских или клиентов традиционных соцсетей экспортируют вашу телефонную книгу к себе на сервер. Уверены, что среди ваших контактов не будет таких, которые резко против того, чтобы их номер в сочетании с именем из телефонной книги знал владелец приложения? Кроме того, это ещё одна причина почему сим без регистрации не спасёт гения русской (или не очень) демократии от перехвата смс кровавой гэбней. Ведь все равно условный Усманов, и не только он увидит, что номер, купленный в переходе пять пользователей сохранили в своих телефонных книгах под именем "Пупкинидзе Васисуалий Абрамович". Телефонная книга твоего приятеля запросто оказывается на серваке, например майлру или сбербанка (ведь поиск аккаунтов вконтакта и банковские переводы по номеру телефона — это так удобно!), а уже эти неуважаемые господа поделятся этой инфой со всеми, кто спросит. Дальше снова вступает в игру перехват смс и открывает возможности для импостинга даже в случае, если логи старых переписок получить не удалось. Обыватель не обращает внимание на предупреждение о том, что ключи поменялись, а даже если вдруг и обратит, то успокоится после слов "а, да я телефон новый купил" без каких-либо дополнительных проверок. Проходили уже этот момент на практике.Про сбор базы номеров пользователей мессенджеров банальным перебором лично я писал ещё где-то за год-полтора до того, как пошла шумиха про деанон бунтующих гонконгцев. Поэтому тоже особо заостряться на этой теме не вижу смысла, оставлю ссылку на исследования и скажу что собранные базы вовсю монетизируются, в том числе и всякого рода бандитами и мошенниками: https://habr.com/ru/company/vdsina/blog/518298/От теории идём к практике. Все уже поняли, что мессенджеры с привязкой номера телефона говно, но жизнь нам не даёт остановиться на этом. Нужно выбрать менее отвратительный сорт говна из представленных. В первоначальном вопросе-то был безальтернативный выбор, поэтому от сравнения сортов уйти не удастся. Мне не хватит компетенции, чтобы сравнить где протокол шифрования математически более устойчивый, да зачастую это и ни к чему, очень часто хватает внимательного рассмотрения с точки зрения рядового пользователя, чтобы понять, насколько бы криптостойким там шифрование не было, это всё маркетинговая фикция. Итак, сигнал. Фактически, представляет собой вотсап без фейсбука. Это уже гораздо лучше чем классический вотсап, но всё ещё хуйня. Регистрация и аутентификация только по номеру телефона, что давно уже не является ни безопасным, ни приватным вариантом. Говорят, что некоторое время назад были вскукареки на тему "завести регистрацию без мобильника", но воз и ныне там. Зарегистрироваться удалось далеко не с первой попытки и не с первого номера телефона, с чем это связано, достоверно установить не вышло. Я думаю, что у сигнала есть классический скоринговый антифрод, не пропускающий "слишком уж анонимизированных". Ссылка на скачку apk с сайта запрятана где-то совсем глубоко-непонятно где, а по дефолту предлагается качать через небезопасный плеймаркет. Вообще, сигнал связан с гуглом гораздо сильнее, чем хотелось бы. В приложении присутствуют гуглоблобы, оно не является полностью свободным, из-за чего ему закрыт ход в f-droid (https://github.com/privacytools/privacytools.io/issues/779 https://forum.f-droid.org/t/signal-wickr-on-f-droid-2021/12265). Привязка к гуглопушам так же в наличии, а это даёт возможность для перехвата сообщений всё тем же гуглом (и его партнёрами, как же ж без этого?). Присутствует гуглокапча при регистрации. Да и я лично наблюдал как ещё несколько лет назад сигнал вообще не запускался на устройстве без гуглосервисов. Выводы, я думаю, очевидны. Окей, зарегистрировались, идём дальше. Нет возможности связаться с кем-либо, не раскрывая свой номер телефона и не зная номер телефона собеседника. То есть в итоге имеем большой социальный граф, отслеживаемый по номерам, что является ущербом как для безопасности, так и приватности. Хэширование же телефонных номеров никакой практической роли не имеет и является исключительно маркетинговой уловкой, так как из-за ограниченных номерных емкостей восстановить исходный номер по хэшу методом радужных таблиц будет ну очень просто. Настройки приватности довольно скудные. Всё, что есть значимого — это пин-код, который не является двухфакторной аутентификацией, а всего лишь шифрует данные, которые хранятся в профиле. То есть перехват симки без пин-кода будет равнозначен удалению профиля и созданию нового. Не так страшно, учитывая что логи злоумышленник не получит, но кто-нибудь из ваших контактов сможет, забив на все предупреждения о сменённых ключах шифрования, поболтать с злоумышленником за жизнь и растрепать ваши секреты. Пин-код требуется установить по дефолту, и это заметный плюс. Для усложнения жизни перехватчикам сим можно ещё поставить "Registration Lock", при включённой функции для регистрации с "потерянным" пин-кодом нужно будет выждать 7 дней неактивности. В общем, не совсем ужасно, но и не хорошим не назвать. Самый важный, на мой взгляд момент — это тот факт, что Signal официально признаёт использование обфусцированных эксплойтов в целях нанесения вреда криминалистическим комплексам типа Cellebrite. (Публикация в блоге: https://signal.org/blog/cellebrite-vulnerabilities/ перевод на русский: https://habr.com/ru/post/554188/) Да, цель благая. Но это совершенно неважно, потому что пользователь не уведомляется об этом, а раз не уведомляется, то и согласиться или отказаться он не может. Факт в том, что signal официально комплектуется инструментом для распространения вредоносного ПО. Сегодня они этим вредоносным ПО портят селлебрайты, завтра — воруют ваши биткойны. Может, не сигналовцы лично, может хакеры, вскрывшие их инфраструктуру и распространившие вирус по заготовленному для шатания селлебрайтов каналу. Сам факт добавления такого инструментария превращает мессенджер в бомбу замедленного действия. Да и в конце концов, очевидно что представители авторитарного режима за поломанные отчёты селлебрайта не побрезгуют хорошенько так отпиздить того, из-за чьего телефона файлы поломались. Методы борьбы с авторитарными режимами, ставящие под угрозу гражданское население, использующие непричастных людей в качестве инструмента совершенно неприемлемы. Такие средства не оправдывает никакая цель.Что у нас с десктопом? С десктопом у нас грустно. Я не знаю, в какой момент всё пошло не так, но десктопный сигнал у меня тормозил и глючил так сильно, что пользоваться было невозможно. Год назад было лучше. Клиент на электроне, настройки плюс-минус те же самые, что и для телефонного клиента, за исключением возможности подключить очередное устройство. Отправка сообщений с десктопа работает даже при отключённом телефоне. Новые сессии создаются через скан qr-кода. Как по мне — это не является полноценным мультидевайсом, а для использования на постоянной основе потребуется постоянный телефонный номер, то есть регистрация аккаунта на номер сервиса приёма смс рано или поздно неизбежно приведёт к трудностям. Существует полностью свободный неофициальный андроидный клиент molly.im, является форком официального. Из значимых отличий могу отметить наличие меню для выбора прокси, в котором можно вписать заветные 127.0.0.1:9050, а также возможность дополнительного шифрования базы, при включении которого пуши перестают работать вообще. Впрочем, основные проблемы сигнала заключаются в его протоколе (имею в виду протокол самого мессенджера, а не протокол шифрования), и альтернативные клиенты эти проблемы решить неспособны. Тем более, что сигналовцы открыто выступают против альтернативных клиентов и порой их глушат (https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165), так что пользователи molly.im могут в любой момент оказаться на обочине. Я всегда утверждал и продолжаю утверждать, что из-за низкой вовлечённости сигнал является квинтессенцией бесполезности и не подходит для общения с непросвещёнными массами. Суперанонимный бессерверный с опиздинительным шифрованием мессенджер бесполезен, если в нём сидит только один его автор. Главная ценность любого интернет-ресурса, в том числе и мессенджера — это его пользователи. Я уже проводил эксперимент по замеру юзербазы сигнала, но раз уж пошло такое дело, я его повторю. Я взял из утекшей в июле 2021 года базы пользователей телеграма 10000 рандомных пользователей с российским номером телефона и имеющих юзернейм. Из 10000 номеров пользователей Telegram в Signal оказались зарегистрированы 263. Или 2,63%. Для сравнения, в прошлом году аналогичное исследование показало вовлечённость в 2,0% с результатом в 216 аккаунтов из 10500 номеров для базы случайных пользователей того же Telegram от мая 2020 года. Рост есть, но в пределах статистической погрешности. Также в прошлом году мной проводилось исследование по базе задержанных на оппозиционных митингах 2019 года и результат был 6,3% с 113 аккаунтами на 1793 номера. Оппозиционеров считают своей целевой аудиторией даже сами разработчики сигнала, но эта же база задержанных в 2019, залитая в Whatsapp показала 1544 аккаунта на 1793 номера или 86,1%. Вывод из этих цифр может быть только один: пытаясь усидеть сразу на двух стульях в попытке угодить и IT-энтузиастам и нормисам, сигналовцы получили полный спектр ощущений и от пик и от хуёв и в итоге всё равно жидко обосрались. Теперь пробежимся вкратце по не менее важным моментам, для построения полной картины. Шифрование есть, достаточно надёжное, плейнтекстовые копии для товарища майора, в отличие от старшего брата не делает. Как клиент, так и сервер под GPL, вот только насколько исполняемый код сервера совпадает с опубликованным — вопрос, я ни разу не слышал о том, что кто-то пытался запускать сервера сигнала хотя бы на локалхосте. Базируется компания в США — для приватности пользователей будет хуже только в России базироваться. Фича поиска по телефонной книге, являющаяся единственной и безальтернативной возможностью связаться со своими контактами — вредная, антиприватная и неэтичная и использовать её (а значит и сигнал, который без неё превращается в тыкву) — не нужно. Поговорим о телеграме. Самый главный его минус после регистрации по номеру телефона — это отсутствие e2e по умолчанию. e2e есть только в секретных чатах, которые реализованы только в мобильных приложениях и версии под MacOS. Виндузятники и линуксоиды в пролёте. Мотивируется это тем, что "пользователь может запутаться в секретных чатах", но их наличие под макосью делит этот аргумент на ноль. Странно, что до сих пор нет форков десктопных клиентов с поддержкой e2e-шифрования, это косвенно указывает на то, что секретные чаты используют не так уж и много народа. Почему нельзя реализовать шифрование на несколько устройств по уже известным протоколам — тоже неясно. Следующим по значительности минусом является откровенное пиздабольство господина Дурова. Он пишет посты о том, что людей лишают личных прав и свобод, о том, что государства и корпорации цензурируют контент, о камерах с распознаванием лиц, и даже о том, что люди постоянно носят с собой шпионящие устройства — телефоны и что это всё очень плохо. Про телефоны я скажу чуть позже, а пока давайте посмотрим что же господин Дуров делает на фоне таких постов? А он занимается той самой цензурой, и помимо прочего цензурирует инструменты политической борьбы, блокирует бота Умного Голосования и всячески пляшет под дудку тоталитарных политических режимов. Оправдывает это боязнью блокировок и зависимостью от тех самых корпораций, которые цензурируют информацию. Даже неугодный эмоджи был зацензурирован. Конечно, он вправе делать со своей площадкой всё, что пожелает, но тут как в анекдоте: либо крестик снимите, либо трусы наденьте. Становится совсем не смешно, потому что выглядит это просто убого. Тут как и во многих других случаях, достаточно просто не пиздеть, чтобы значительная часть моих претензий отпали, но это же "не наш метод".Датамайнингом в отношении пользователей телеграма занимаются все, кому не лень. И государства, и бизнесмены всех форм и расцветок. Вспомните про нашумевший Глаз Бога, например. Но это не проблема протокола или его реализации. Точно так же можно парсить и xmpp-чаты, и если бы Signal имел такую же юзербазу как и телеграм, его бы тоже парсили. Телеграм откровенно ложит хуй на интересы пользователей. Реклама в каналах была введена без предупреждения и безальтернативно. Считаю, что именно такая форма ведения дел показывает истинное отношение админов телеграма к пользователям. Сделай они её опциональной и поделившись прибылью с админами каналов, всё было бы по-другому. Но нет, мы лучше пойдём по дорожке, пробитой ютубом и иными корпоративными мразями. Интересно, что под введение рекламы были убиты все альтернативные клиенты, не являющиеся форками официальных. Всё опять же оправдывается изменением технических стандартов, но в такие совпадения может поверить только умственно отсталый. Телеграм будет жёстко монетизироваться, уже заходили разговоры о платной подписке, таргетинг в погоне за монетизацией — лишь вопрос времени, особенно с учётом того, что датамайнеры с этого уже имеют профиты. Ещё я нахожу подозрительным тот факт, что с течением времени десктопный клиент телеграма под Linux собирает всё больше и больше информации о техническом окружении пользователя. Если раньше там было скромное "PC, Linux", то со временем там добавилась информация о DE/WM, о версии glibc, затем появилась информация о устройстве, и из последних нововведений я там увидел название дистрибутива. По-моему, это похоже на фингерпринтинг. При том, что Windows-версия выдаёт, как и раньше, только разрядность и версию ОС. Также заметим тот факт, что ни одного Transparency Report Telegram так и не опубликовал с момента создания канала, посвященного этому в 2018.Пара слов о плюсах. Телеграм стабильно работает через тор, имеет очень хорошую юзербазу, не требует постоянной сим-карты для приёма аутентификационных смс (отсылая OTP в имеющуюся сессию), позволяет связаться с пользователем, не зная его номер телефона и не раскрывая свой. К сожалению, если сравнивать с другими мессенджерами, используемыми интеллектуальным большинством и сигналом, сочетание этих пунктов имеет только телеграм, и именно за эту киллер-фичу я отдавал своё предпочтение телеграму перед сигналом ранее. Сейчас в моих глазах эти плюсы делятся на ноль психической нестабильностью и откровенной ложью господина Дурова. А вы, господа читатели, думайте сами.Объединяет же сигналовцев и телеграмщиков мнение, что если у человека нет персонального шпионского устройства на базе android или ios с выданным авторитарным государством идентификационным модулем, значит приватность ему не нужна. Потому что регистрации без смартфона и сим-карты официально не существует. Да, технически есть обходные пути в обоих случаях, но само наличие подобных искусственных ограничений наглядно показывает, на хую каких именно размеров эти господа хотели видеть тех, кто заботится о своей приватности. Кстати, про "шпионское устройство" и "авторитарные государства" говорю не я, это цитаты Дурова. Резюмируя вышесказанное. Telegram и Signal омерзительны каждый по-своему, но оба в одинаково неприемлемой для меня мере. При безальтернативном выборе между двумя этими сущностями они оба представляют собой абсолютную хуйню. В отличие от того, что было раньше, я больше не могу однозначно отдать свой голос за какой-либо из этих мессенджеров. Единственным объективным критерием выбора я могу назвать лишь наличие юзербазы в лично твоём круге общения. Если среди твоих контактов принят Telegram, и нет возможности перевести их на более защищённые альтернативы, то придётся использовать Telegram. Если среди твоих контактов принят Signal, и нет возможности перевести их на более защищённые альтернативы, то это довольно нереалистичная ситуация на мой взгляд, но ничего не поделаешь, придётся юзать Signal. Где-то в глубине сигналовского приложения я увидел очень хороший лозунг: "Friends don't let friends chat unencrypted". Поэтому: если лично ты, читающий этот текст, собираешься агитировать людей за переход на более защищённые стандарты связи, советуй им не сигнал, не телеграм и уж тем более не вотсап, лол. Посоветуй xmpp, matrix, а если любитель централизованных решений, разрабатываемых серьёзными дядьками, а не сообществом — то можешь предложить wire, который совсем недавно попал в f-droid. Просто потому что любая хуйня без обязательной привязки номера телефона по умолчанию будет безопаснее любой хуйни с обязательной привязкой номера телефона.
(DIR) Post #AFhUdA1E9Ip3zhfal6 by Revertron@zhub.link
2022-01-22T14:00:02Z
0 likes, 0 repeats
@blank @rf @ru @vegan Если бы не было огромного количества ошибок, было бы совсем хорошо!
(DIR) Post #AFhUxkehe0ZnPdx8RU by blank@qoto.org
2022-01-22T14:03:47Z
0 likes, 0 repeats
@Revertron Ну блядь. Ну я же вычитывал. Не раз вычитывал. Тыкни носом хоть, что ли, пока я совсем в депрессию не ушёл от осознания несовершенства бытия.
(DIR) Post #AFhW9u7MODxMBjiQpk by Sych@mastodon.ml
2022-01-22T14:17:10Z
0 likes, 0 repeats
@blank @rf @ru @vegan >...это отсутствие e2e по умолчанию. e2e есть только в секретных чатах, которые реализованы только в мобильных приложениях и версии под MacOS. Виндузятники и линуксоиды в пролёте. На самом деле секретные чаты есть в оных декстопных клиентах насколько помню, как минимум - в неофициальных. >предложить wire, который совсем недавно попал в f-droid. Просто потому что любая хуйня без обязательной привязки номера телефона по умолчанию будет безопаснее любой хуйни с обязательной привязкой номера телефона.Нахуя? Это что-то из разряда хуйню на хуйню>Посоветуй xmpp, matrix, а если любитель централизованных р...Matrix это срань, вот просто срань. Его имеет смысл использовать разве что ради мостов. Протокол интересен, но анально оккупирован Element и matrix.org целиком и полностью. Клиенты почти все на электроне, что делает их лагосборниками. > серьёзными дядьками, а не сообществом...Серьёзный бизнес
(DIR) Post #AFhWk5GoP1GhCaO9TM by shura@mastodon.social
2022-01-22T14:23:43Z
0 likes, 0 repeats
@blank @rf @ru @vegan разве пуш-нотификации раскрывают содержимае сообщения гуглу? Мне казалось там только идентификатор приложения, без содержимого
(DIR) Post #AFhXKUyoIAX5MdKeu0 by Revertron@zhub.link
2022-01-22T14:30:16Z
0 likes, 0 repeats
@blank Там штук 8 ошибок, жаль, что нет механизма как на Хабре - выделять и отсылать по Ctrl+Enter :(
(DIR) Post #AFhY9gzbO96LOE76nY by blank@qoto.org
2022-01-22T14:39:34Z
0 likes, 0 repeats
@Sych >На самом деле секретные чаты есть в оных декстопных клиентах насколько помню, как минимум - в неофициальных. Приведи пример, я не знаю таких актуальных.>Нахуя? Это что-то из разряда хуйню на хуйнюКакие претензии к wire? Обязательного телефона не требует, шифрование достойное, опенсорс. Что ещё надо? Из централизованного ничего более достойного не знаю. >Matrix это срань, вот просто срань. Мне он тоже не особо зашёл, в основном из-за клиентов, но людям нравится. Претензий особых у меня к матрице нет, а иметь выбор лучше, чем не иметь. >Серьёзный бизнесНу типа. Я не особо согласен с тем, что решения, предложенные серьёзными дядьками более надёжны, чем решения, предлагаемые сообществами, но эта точка зрения имеет право на жизнь. Если говорить исключительно о защищённости коммуникаций, то разница между жаббером с омемой, шифрованным матриксом и вайром минимальна, если она вообще есть. Поэтому пусть каждый выбирает то, что больше нравится. Рыночек порешает, таксказать.
(DIR) Post #AFhYbLBa3j6zritsQq by blank@qoto.org
2022-01-22T14:44:33Z
0 likes, 0 repeats
@shura Насколько я знаю, да, в пределах отображаемого на экране. Но при условии, что пуши реализованы через гуглосервисы и гуглосервисы вообще есть на устройстве.
(DIR) Post #AFhYrU7cbPioDJkLjc by Sych@mastodon.ml
2022-01-22T14:47:26Z
0 likes, 0 repeats
@blank >Ну типа. Я не особо согласен с тем, что решения, предложенные серьёзными дядьками более надёжны, чем решения, предлагаемые сообществами, но эта точка зрения имеет право на жизнь. Они часто выполнены более качественно, собственно говоря. Но рядом с Matrix сие мнение выглядит так себе. Matrix насколько помню используют во Франции и ФРГ для государственных нужд.>Приведи пример, я не знаю таких актуальных.Я не могу привести список всех, но точно помню что они были в Unigram. Хотя соглашусь, в большинстве клиентов их нет. Наиболее вменяемыми являются сборки вроде Telegram FOSS, а попытки налепить чего-то поверх я не приветствую.К сожалению, поддержание актуальности клиента Telegram это то ещё дело. Помню как Telegram FOSS из F-Droid выдал сообщение о устаревании, при просмотре одного сообщения. И мне кажется проблема была не в лени, а в Павле.Извиняюсь за придирки, ладно.
(DIR) Post #AFhZSZRHnQTdQ3d14C by blank@qoto.org
2022-01-22T14:54:11Z
0 likes, 0 repeats
@Sych >Unigram>Windows-onlyБомбануло уже на этом этапе, дальше описание клиента даже читать не стал. >Помню как Telegram FOSS из F-Droid выдал сообщение о устаревании, при просмотре одного сообщения. И мне кажется проблема была не в лени, а в Павле.Проблема в том, что в ф-дроид апдейты попадают с задержкой, часто — с существенной. Это первая проблема, а вторая, таки да, в том, что исходные коды, по крайней мере, раньше, публиковались не для каждого релиза.
(DIR) Post #AFhZZ9YUQifLAY8WwK by Sych@mastodon.ml
2022-01-22T14:55:18Z
0 likes, 0 repeats
@blank >Бомбануло уже на этом этапе, дальше описание клиента даже читать не стал. Справедливо, пошёл нахер он, чего не отрицаю.>Проблема в том, что в ф-дроид апдейты попадают с задержкой, часто — с существенной. Это первая проблема, а вторая, таки да, в том, что исходные коды, по крайней мере, раньше, публиковались не для каждого релиза.Так недавно же насчёт этого бомбанул разраб Nekogram, не?
(DIR) Post #AFhZZCV3TwhWIlYKVE by blank@qoto.org
2022-01-22T14:55:23Z
0 likes, 0 repeats
@Sych Самое главное забыл.>Извиняюсь за придирки, ладно.Извиняться не за что, ибо я и правда могу что-то упустить, чего-то не знать. А в дискуссиях рождается истина.
(DIR) Post #AFhZgCsSTdIRV1q9Ee by Sych@mastodon.ml
2022-01-22T14:56:36Z
0 likes, 0 repeats
@blank Логично. Просто я и правда придрался к какой-то фигне.Жалко лишь то что в посте разбираются только Signal и Telegram.
(DIR) Post #AFhZqhNnueaZ0TVMKu by blank@qoto.org
2022-01-22T14:58:32Z
0 likes, 0 repeats
@Sych >Так недавно же насчёт этого бомбанул разраб Nekogram, не?Не слежу за этим.
(DIR) Post #AFhZwwvX28W4x9GG8W by Sych@mastodon.ml
2022-01-22T14:59:39Z
0 likes, 0 repeats
@blank Справедливо. Просто держу в курсе, Павел и команда срать хотели на выкладывание исходников. Их достаточно долго тупо не было.
(DIR) Post #AFha7BWJdAeT6pLaUa by blank@qoto.org
2022-01-22T15:01:29Z
0 likes, 0 repeats
@Sych А что ещё разбирать? Вотсап уже даже бабушки чем-то секурным не считают. Не инстаграм же с вконтактом. Когда говорят про приватность переписки (зачастую, смешивая понятия приватности и анонимности), речь идёт либо про сигнал, либо про телеграм. И что то хуйня, что то хуйня.
(DIR) Post #AFhamM5JG0ztkNLZLM by Sych@mastodon.ml
2022-01-22T15:08:54Z
0 likes, 0 repeats
@blank Справебыдло. Только вот про те самые Wire и XMPP с Matrix информации нет. К сожалению, там где ты пишешь о Telegram и Signal все уже всё о них знают. Это две жопы говна. А вот собрать полноценную статью по ВСЕМ мессенджерам было бы полезнее, как минимум из-за возможности использовать оную для информирования людей.
(DIR) Post #AFhax8d5civrCaHyjo by Snakedroid@mstdn.social
2022-01-22T15:10:50Z
0 likes, 0 repeats
@blank Если раньше там было скромное "PC, Linux", то со временем там добавилась информация о DE/WM, о версии glibc, затем появилась информация о устройстве, и из последних нововведений я там увидел название дистрибутива// то же это подмечал,что больше стал собирать инфы о железе поэтому отправил его крутиться в виртуалку так как на основной системе подобный зонд держать не хочу ,но вынужден им пользоватьсяотмечу что, подобные мессенжеры можно использовать разве только как смски без раскрытия данных в переписке (чувствительных)а что-то серьезное , то джаббер хотя в ф-дройде есть же какие то программы шифрования текста по типу oversec/pixelknot -но это выглядит как костыли
(DIR) Post #AFhc4vKx1qS0FM55hg by blank@qoto.org
2022-01-22T15:23:31Z
1 likes, 0 repeats
@Sych Я хотел добавить сравнение с wire, но у меня не вышло запросить данные в рамках GDPR, почта с cock.li до них тупо не доходила. Я бы мог эту проблему решить, но потом я начал писать, и увидел, что и без этого получается овердохуя текста. А слишком много текста тяжело воспринимать. Я вообще этот пост думал на два разбить, но всё-таки решил, что цельным он будет выглядеть лучше. Дальше, а по каким параметрам сравнивать жаббер и матрицу? Ну, типа в плане защиты данных они плюс-минус схожи. Клиенты обсуждать - это вкусовщина, не вижу смысла. Подкапотные исследования интересны крайне ограниченному кругу лиц, да и, боюсь, не потяну слишком уж глубокий взгляд под капот. В любом случае, если можешь дополнить, я буду только рад.
(DIR) Post #AFhcCEVa9F7RjVXTfM by blank@qoto.org
2022-01-22T15:24:51Z
0 likes, 0 repeats
@Snakedroid Я в свете последних реалий даже для нечувствительных данных рекомендовать не стал бы.
(DIR) Post #AFhe74d7eF5TYXjXM0 by Snakedroid@mstdn.social
2022-01-22T15:46:18Z
0 likes, 0 repeats
@blank е требует постоянной сим-карты для приёма аутентификационных смс (отсылая OTP в имеющуюся сессию),// с одной стороны это плюсс другой стороны тот же клиент на десктопе (котатограм к примеру) по сей день позволяет получать смс на десктопе ,несмотря на то,что есть авторизованный аккаунт на спайфоне
(DIR) Post #AFhfNiok6FcGmaffQO by blank@qoto.org
2022-01-22T16:00:11Z
0 likes, 0 repeats
@Snakedroid И официальный тоже этим страдает. Но тут палка о двух концах. Вот, например, занятная статья: https://habr.com/ru/post/598939/
(DIR) Post #AFhgJiyJgRxG3co5b6 by Sych@mastodon.ml
2022-01-22T15:12:20Z
1 likes, 0 repeats
@Snakedroid @blank Насколько помню, @kafazen уже говорил о том что его забанили к хуям за шифрование переписок в ТГ. Аналогичное говорил ещё один чел из одной группы.
(DIR) Post #AFhtefc4fJUh7rimcy by orin220444@stereophonic.space
2022-01-22T18:40:29.020073Z
0 likes, 0 repeats
@blank @rf @ru @vegan Прикол отсутсвия в десктопных клиентах e2e в том, что разработчику ноль лет, e2e писать не просто, да и вот уже через месяц новое обновление, надо готовиться. Потому tdesktop такой жирный на фичи, которые есть даже в макос клиенте.про фингерпринтинг может найду ответ
(DIR) Post #AFhuHoo2Q692vmz6jA by orin220444@stereophonic.space
2022-01-22T18:47:32.372852Z
0 likes, 0 repeats
@blank @rf @ru @vegan И серверная часть сигнала теперб вроде закрытая, если я с другим мессенджером не путаю.
(DIR) Post #AFhv29Ah2Al7Pjfkm0 by orin220444@stereophonic.space
2022-01-22T18:55:54.943099Z
0 likes, 0 repeats
@blank @Sych >Претензий особых у меня к матрице нет, а иметь выбор лучше, чем не иметь. https://github.com/libremonde-org/paper-research-privacy-matrix.org
(DIR) Post #AFhvFqd4lovJxcTuNs by orin220444@stereophonic.space
2022-01-22T18:58:24.802960Z
0 likes, 0 repeats
@Sych @blank Там немного другое, команда телеги чет там сломала и релизы не воспроизводились из исхов. В итоге починили
(DIR) Post #AFi55U7maQnmoEXdHk by iron_bug@friendica.ironbug.org
2022-01-22T20:47:18Z
0 likes, 0 repeats
>Нужно выбрать менее отвратительный сорт говна из представленных.а зачем, если есть мессенджеры p2p, без всякой привязки куда-либо. только RSA-ключи и всё. тот же Tox, например. я не спец в мессенджерах, tox меня устраивает и его плюс мыла хватает более чем.
(DIR) Post #AFiD0ErsgKGzg474KG by Snakedroid@mstdn.social
2022-01-22T15:15:24Z
0 likes, 0 repeats
@Sych интересный поворот событий-если это так за перессылку просто картинок внутри которых содержится текст -интересно то же можно бан отхватить ?(как раз ПО pixelknot - из дройда)@blank @kafazen
(DIR) Post #AFiD0FJX1WOJ3p39QO by SEVA77@ru.social
2022-01-22T17:07:13Z
1 likes, 0 repeats
@Snakedroid @Sych @blank @kafazen На сколько я помню, эту хуйню связывают с пунктом 1.3 условия использования Telegram API, мол "я вам запрещаю использовать программы, которые создают сообщения, которые можно увидеть только через эти программы".https://core.telegram.org/api/terms
(DIR) Post #AFiVh7LcJg4VyqcLxI by ssmith589@mastodon.social
2022-01-23T01:46:39Z
0 likes, 0 repeats
@blank @rf @ru @vegan А jami совсем не упоминается по какой то причине? Я просто не в курсе.
(DIR) Post #AFilNZRzifcmcBImWW by Sych@mastodon.ml
2022-01-23T04:32:29Z
0 likes, 0 repeats
@orin220444 @blank мне что-то подсказывает, что они не просто что-то сломали.
(DIR) Post #AFilNZrWBm2btLFAJ6 by orin220444@stereophonic.space
2022-01-23T04:42:27.407580Z
0 likes, 0 repeats
@Sych @blank подсказывает или не подсказывает, но теперь все билды воспроизводятся
(DIR) Post #AFitM4xyNBFHPh3jP6 by blank@qoto.org
2022-01-23T06:11:49Z
0 likes, 0 repeats
@iron_bug Если тебе на все случаи жизни хватает мыла и токса, я за тебя абсолютно искренне и неиронично рад. А ответ на вопрос "зачем?" кроется за пределами уютного IT-мирка. Но прежде чем выползать за его пределы, советую запастись корвалолом и валерьянкой, ибо увиденное тебе не понравится. В дикой природе не менее дикие люди в поисках способа удалённой коммуникации выбирают между вконтактом и вотсапом. В последнее время ещё вижу предложения написать в, прости г-споди, инстаграм. В наше время не иметь рабочего чата в вотсапе - редкое исключение из порочного правила. Предложи написать тебе в токс, например, строителю, которого ты наняла для ремонта и у него случится kernel panic, он даже слов таких не знает. При слове e-mail у него тоже случится конкретное такое подвисание, в попытках вспомнить, в каком порядке у него там идут "эс как доллар" и "аш как русская эн". В таких суровых условиях вопросы о наименее отвратительном сорте говна будут вполне естественны, как по мне. Далее. Многие люди точно так же не спецы в мессенджерах. Им просто неведом факт, что привязка телефона - это зло в худшем его проявлении. Они этого просто не понимают, так же как сейчас не понимаешь ты того, как можно не осознавать столь очевидную вещь. И лично я рад тому, что столь важные вопросы поднимаются и обсуждаются. Знания вредными не бывают, даже это знание о наименее отвратительном сорте говна.
(DIR) Post #AFitSrBI1ZSEgcWITI by blank@qoto.org
2022-01-23T06:13:03Z
0 likes, 0 repeats
@orin220444 Я не понял ход твоей мысли в этом посте.
(DIR) Post #AFiuC4RrXlCkripbxQ by blank@qoto.org
2022-01-23T06:21:11Z
0 likes, 0 repeats
@orin220444 @Sych Ознакомился вкратце. Было бы неплохо призвать в этот тред кого-то из регулярных матриксоюзеров, а лучше из тех, кто свой сервак хостит. Но даже на этом этапе могу сказать, что исследование устарело, так как Riot переименовался в Element давным-давно. Помимо этого, связь с matrix.org и vector.im опциональна, нужно лишь найти подходящий сервер. Инфа требует перепроверки, в общем.
(DIR) Post #AFiuQh0Ezn28UhsrKK by Snakedroid@mstdn.social
2022-01-23T04:00:46Z
0 likes, 0 repeats
@ssmith589 в статье ведь не разбор всех мессенджеров здесь конкертно сигнал и телега сравнивается именно для массового использования названия програм которые почти у всех на слуху
(DIR) Post #AFiuQhYGxGFuCFo2N6 by blank@qoto.org
2022-01-23T06:23:50Z
0 likes, 0 repeats
@ssmith589 Да, @Snakedroid всё верно сказал. Вопрос изначально стоял "что лучше, telegram или signal". Если сравнивать абсолютно всё, то тут годы уйдут на полноценное исследование.
(DIR) Post #AFjHd8kxvqO2zWdxMO by airin@quietplace.xyz
2022-01-23T10:11:28.608Z
0 likes, 0 repeats
@blank@qoto.org @orin220444@stereophonic.space @Sych@mastodon.ml Это "исследование" одного известного персонажа, который пару лет назад посрался с девелоперами и начал устраивать скандалы в чатах и пакостить всеми доступными способами.
(DIR) Post #AFjHd9IztJboh4Z8PA by orin220444@stereophonic.space
2022-01-23T10:43:49.923451Z
0 likes, 0 repeats
@airin А можно поподробнее?@blank @Sych
(DIR) Post #AFjLp9GuF49rsfZ5A8 by blank@qoto.org
2022-01-23T11:30:40Z
0 likes, 0 repeats
@iron_bug Почему-то инстанс, на котором я сижу погано федерируется с френдикой, поэтому извиняюсь за поломку древовидного хода дискуссии и отвечаю куда попало. >а зачем мне взаимодействовать с теми, кто мне не нравится?Невозможно в этом мире взаимодействовать только с теми кто нравится или тем более с теми, кто имеет верные идеологические ориентиры. Ты не станешь выискивать строителя, знающего про токс, если у тебя вотпрямосейчас пошла трещина в стене. Ты не станешь торговаться с врачом на тему мессенджеров, если тебе понадобится получать от него какую-то информацию удалённо и систематически, а воспользуешься тем способом, на который тебе укажут. Просто потому что альтернатив, блядь, нет. За пределами уютного мирка без неврозов бывают ситуации, когда нет возможности думать, насколько канал связи идеологически верный. Я с таким говном пару раз сталкивался. Не понравилось очень сильно. А ещё бывает такое, когда жизнь тебя берёт за шкирку и жёстко выкидывает за пределы безневрозного мирка и ты просто охуеваешь от этого. Это вообще пиздец кромешный. Если тебе повезло этого избежать за все годы жизни, я искренне за тебя рад и по-доброму завидую. Если тебе и дальше будет так везти, считай, прожила счастливую жизнь. Проблема в том, что не у всех так и далеко не всегда это можно контролировать.
(DIR) Post #AFjNLrZNB9yAUNMkBU by iron_bug@friendica.ironbug.org
2022-01-23T08:02:03Z
0 likes, 0 repeats
а зачем мне взаимодействовать с теми, кто мне не нравится? у меня нет проблем с нервами и я не хочу зарабатывать неврозы. пусть приматы используют всё, что хотят. меня это никак не беспокоит. я не занимаюсь исследованием приматов. у меня никогда не было ни фконтактов, ни пейспуков, ни прочего кала. у меня нет ни одного приложения, которое было бы проприетарным или, тем более, привязанным к спайфону. у меня даже и спайфона-то нет, только кнопочная звонилка для экстренных случаев. всё нормально и ничего не мешает жить.
(DIR) Post #AFjNLrzFcwfZmdTPWK by frssoft@soc.phreedom.club
2022-01-23T08:06:58.915336Z
0 likes, 0 repeats
@iron_bugПовезло вам, а то чаще всего мир встречает новых людей проприетарщиной. У большинства в окружении маздай и эндрю с айфонами, а так же проприетарными приложениями. Хотя, насчет кнопочника не уверен, я не видел опенсорц мобилок, опенсорц мобила это когда её изготовить из своих говна и палок. @blank
(DIR) Post #AFjNLsSJsrvDEn4cpU by haiku@lor.sh
2022-01-23T08:21:32Z
0 likes, 0 repeats
@frssoft можно подумать за тобой не будут следить через кнопочник китайский и твое окружение. Конспирация на пустом месте не нужна. Когда человек пытается спрятаться если его не ищут - это диагноз, не нужно доводить до абсурда (это я сейчас не про Iron bug чтобы не было недопонимания, а в целом о местной аудитории, которая часто школьники и студенты на которых властям и корпорациям плевать из-за неэлекторабельности первых и неплатежеспособности вторых). Че убегал? А че догоняли? (ц)@blank статью еще не прочитал, но вероятно аксиома эскобара там в тему.@iron_bug у тебя как обычно какой-то свой уникальный мир, где-то рядом с привычной людьми реальностью, тут добавить нечего, не все могут или хотят себе это позволить ценой отказа от разных "благ". Работать за зарплату в конверте, звонить только в фейвориц или с таксофона, сняться с регистрации мж до состояния бомжа, это все можно конечно, только зачем оно рядовому школотрону в итоге.
(DIR) Post #AFjNLstyE42WcY0hvc by frssoft@soc.phreedom.club
2022-01-23T08:34:36.878649Z
0 likes, 0 repeats
@haiku Конспирация хоть чуть-чуть иногда нужна, чтобы какой-то человек фоткнувший неподалёку не нашёл по лицу к примеру в каком-нибудь яндексе или гугле.@blank @iron_bug
(DIR) Post #AFjNLtKYdDJ5x0RwMy by haiku@lor.sh
2022-01-23T08:38:17Z
0 likes, 0 repeats
@frssoft а в чем проблема от того что найдет? свобода слова в моем понимании подразумевает прошу прощения ответственности за базар. Если человек делает какие-то незаконные утверждения и призывы, то логично что он должен нести ответственность. Если не делает, то ему не должно ничто угрожать (по крайней мере в идеальном мире добра, поней и справедливости). Анонимность лишает людей человечного отношения друг к другу, очень легко за маской никого кидаться в других дерьмом не рискуя получить по морде. Приватность действительно нужна, но она так или иначе ограничена по факту, иногда даже во благо. Представь если в твой дом вломились и тебя убивают, а полиция не может войти и помочь, потому что извините приватность, извините не имеем права войти на частную территорию по соображениям приватности. Т.е. это всегда трейдоф между разными аспектами безопасности - свой собственной и общественной.@iron_bug @blank
(DIR) Post #AFjNLtkn3gI5GMitG4 by blank@qoto.org
2022-01-23T11:47:53Z
0 likes, 0 repeats
@haiku Личность всегда несёт ответственность за сказанное в пределах имеющейся репутации. На базе репутации делается вывод, слушать в дальнейшем эту личность или нет. Всё, этого достаточно. Даже мысль о том, что штрафы, лишение свободы и тем более мордобой за слова в принципе допустимы в цивилизованном обществе - это явный маркер махрового быдла с одноклассников. Ничего личного, я просто отрицаю сам конструкт "незаконного утверждения". Утверждение есть истинное и есть ложное. Есть совпадающее с мнением оппонента и не совпадающее. "Законность" и "незаконность" утверждений - искусственно высранные тоталитаристами псевдоконструкты вида "твоё утверждение не совпадает с моим мнением, значит я буду переубеждать силой". И анонимность не лишает людей человечного общения друг к другу, лишает только хуёвое воспитание. @frssoft @iron_bug
(DIR) Post #AFjRidM2b0ROsYF9A8 by blank@qoto.org
2022-01-23T12:36:51Z
0 likes, 0 repeats
@iron_bug Я могу привести ещё десяток примеров, но здесь это будет бесполезно. Поэтому буду говорить более общими понятиями. Меня поражает твоя категоричность. Ты говоришь так, будто бы абсолютно все до единого аспекты твоей жизни находятся под твоим контролем. Но достичь этого на сто процентов невозможно. Ты пытаешься взять как можно больше этих аспектов в свою власть, и это правильное поведение взрослого разумного самодостаточного человека. Но полагать, что никогда в жизни не столкнёшься с проблемой, которую будешь не в силах решить самостоятельно, и что не придётся подстраиваться под того, кто будет в решении проблем содействовать - это совершенно инфантильные мысли. Такое сочетание для меня удивительно.
(DIR) Post #AFjS4BtDOGny4K2VM0 by iron_bug@friendica.ironbug.org
2022-01-23T11:51:35Z
0 likes, 0 repeats
и тут есть обратная зависимость: ты не можешь использовать всякие говномессенджеры если у тебя их нет. вот у меня их нет и их в принципе нельзя использовать на том железе, которое у меня имеется. мне никогда этого не хотелось, но это и в принципе невозможно. так что я могу жить только так, как я хочу, и никак иначе.
(DIR) Post #AFjS4CO3XbTVbyT8QS by frssoft@soc.phreedom.club
2022-01-23T12:02:27.107830Z
0 likes, 0 repeats
@iron_bugНемного оффтопа в треде, но ладно:А что делать, если начнут форсированно заставлять регистрироваться на тех же госуслугах? Да, это не мессенджер, но штука такая из-за которой однажды могут пропасть offline услуги. Или будут отсылать: мол идите лучше через госуслуги, это быстрее и нас разгружает @blank
(DIR) Post #AFjS4CmA5yl0ojkO00 by blank@qoto.org
2022-01-23T12:40:44Z
0 likes, 0 repeats
@frssoft В таких ситуациях есть три пути. Либо ты подчиняешься, и получаешь услугу, либо не подчиняешься и не получаешь услугу, либо начинаешь бодаться: разбираться с вышестоящим начальством, подавать в суд и так далее. Варианты расположены в порядке частоты их выбора среднестатистическим человеком. Какой из них выберешь ты - вопрос открытый.
(DIR) Post #AFjWTIyKavBp5hfBia by Snakedroid@mstdn.social
2022-01-23T13:30:05Z
0 likes, 0 repeats
@blank как мне думается проблему зоопарка мессенджеров можно решить просто:эл.почта/голосовые звонки(срочные и по делу), и один мессенджер возможно так это будет работать
(DIR) Post #AFlPOjDWGUDybp2m12 by blank@qoto.org
2022-01-24T11:20:17Z
0 likes, 0 repeats
@Snakedroid Я скажу так, что универсальных рецептов не существует. Каждый будет выбирать исходя из персонального нонконформизма и сложившихся вокруг условий. Вот о чём я хочу сказать в первую очередь.
(DIR) Post #AFlXeFgSdTHLHQUh8K by haiku@lor.sh
2022-01-24T12:52:43Z
0 likes, 0 repeats
@blank о, тред еще жив. Расскажи плз есть ли какие-то нормальные возможости контейнеризации/изоляции мессенжеров, почтовиков и подобного софта. Который может быть нужно использовать, но при этом оградить от всего. Т.е. ничего страшного если будет висеть условный вайбер воцап фейсбук (можно даже со своим разовым выделенным припейд номером на месяц), но в своем контейнере выходящем через условный тор и ничего особо о внешней системе не знающий (без доступа к файло, сети хоста внешнего). Насколько это вообще целесообразно на твой взгляд?
(DIR) Post #AFnOP8zDqa1Yd51ozA by blank@qoto.org
2022-01-25T10:18:34Z
0 likes, 0 repeats
@haiku Из поста очень напрашивается вывод, что речь о мобильных платформах, но в треде ниже говорится, что речь о ПК. На десктопе большая часть обозначенной хуиты живёт в браузере, так пусть там и остаётся. Если хочется ещё сильнее ограничить - есть firejail. Ну и виртуалки, конечно же - самый простой и в то же время достаточно надёжный способ. Говоря про ведроиды, то в принципе решения будут схожими. Не ставить приложение, залогиниться в браузере. Поставить Shelter из f-droid и изолировать приложение от остального окружения. Ну и рекомендованный лично мной способ для мобильных девайсов - это хардварная изоляция. Отдельный девайс с отдельной симкой. Твои данные не спиздят с устройства, если на устройстве их нет. Да, недёшево, но я считаю, что оно того стоит. К слову, об экономии на номерах телефонов. Есть такое замечательное изобретение человечества, как покупка смс-активаций. Стоит копейки, я пользуюсь уже многие годы. И всем рекомендую. Если в двух словах, то как-то так.
(DIR) Post #AFnzOa9f2xxyuAVS5o by Snakedroid@mstdn.social
2022-01-25T17:12:43Z
0 likes, 0 repeats
@blank @haikuпокупка смс-активаций//это потипу виртуальных номеров?
(DIR) Post #AFpShWXBp7lz0Ur7j6 by blank@qoto.org
2022-01-26T10:16:07Z
0 likes, 0 repeats
@Snakedroid Это не по типу, это они и есть. Забей в ддг "buy sms verification", тонны этих сервисов.