fsebugoutzone.org:9999

       Post AnzX7PPaeBuPY4sfS4 by foxy@lor.sh
 (DIR) More posts by foxy@lor.sh
 (DIR) Post #AnVZ8cvUSUslp9pNgW by foxy@lor.sh
       2024-10-29T19:17:39Z
       
       0 likes, 0 repeats
       
       Чят, есть возможность предложить темы для трёхдневного хакатона в универе.Интересно что-то про Мастодон и около него. Кросспостилки, рекомендации, построение социального графа, аналитика профиля, .... Или не про Мастодон, а что-нибудь про приватность. Идеи?@rf @ru
       
 (DIR) Post #AnVZ8dktNO00OZsQnw by sleroq@quietplace.xyz
       2024-10-29T19:25:28.639Z
       
       0 likes, 0 repeats
       
       @foxy@lor.sh @rf@mastodon.ml @ru@lor.shНормальный алгоритм рекомендаций типа твиттера, это прям мечта и как проект интересно.Делить заметки автоматически на темы, продвигать в каждой теме хайпующие, автоматически подписывать на эти темы пользователей.Может для хакатона сложновато, но плюс в доступности. Может победить простой алгоритм и необязательно иметь опыт с чем-то конкретным.
       
 (DIR) Post #AnWVjFEbIl8kOwvp7g by rayslava@lor.sh
       2024-10-30T01:48:53Z
       
       1 likes, 0 repeats
       
       @sleroq &gt; нормальный&gt; типа твиттера@foxy
       
 (DIR) Post #AnzX7PPaeBuPY4sfS4 by foxy@lor.sh
       2024-11-12T22:57:46Z
       
       0 likes, 0 repeats
       
       ... у нас было 2 ноута с убунтой, 4 макбука, ноутбук с виндой, сервер с убунтой... Не то чтобы это всё было нужно для участия в хакатоне, но раз уж решили улучшать клиент Телеграма, то собирали его на чём соберётся ...----Одобрили на хакатон предложенную мной тему: E2E-шифрование в Telegram поверх облачных чатов для Desktop-клиента. (привет, VK Coffee)Командой из пяти человек два дня собирали клиент :blobcatthumbsup:  Вторую ночь до утра делал MVP шифрования, а в оставшийся день приводили его в порядок и снимали ролик для презентации. В последнюю ночь уже не спали сокомандники, монтируя ролик.Далее защита и... первое место наше🥇 :blobcatdab: ----Можно ли это потрогать? Если соберёте... https://github.com/e2e-tdesktop/tdesktopМожно ли этим пользоваться? НЕТ!!!Но в теории, если переделать протокол шифрования и сделать хранение ключей в каком-нибудь Secure Enclave, то да----Давно хотел покопаться в коде этого клиента, но что-то уже даже PoC добивать руки не тянутся :) Плюс разработчик уже как год пытается переписать его на TDLib, чтобы поддержать секретные чаты. Но когда он наконец это сделает...
       
 (DIR) Post #AnzX7QXQSXlr2fYRIu by dump_stack@lor.sh
       2024-11-13T06:24:10Z
       
       0 likes, 0 repeats
       
       @foxy, у них ToS специально написан таким образом, чтобы нормальное оконечное шифрование не делали. Его поэтому даже в открытых клиентах нет.
       
 (DIR) Post #AnzoQZWux0ITeW21Nw by foxy@lor.sh
       2024-11-13T09:38:09Z
       
       0 likes, 0 repeats
       
       @dump_stack насколько я знаю, телега не объявляла войну таким поделкам. Были ли они вообще? В мобильных клиентах и так e2e-чаты есть
       
 (DIR) Post #Anzrhb7IbVNFMKrJ6e by dump_stack@lor.sh
       2024-11-13T10:14:49Z
       
       0 likes, 0 repeats
       
       @foxy &gt; насколько я знаю, телега не объявляла войну таким поделкам. Они их просто сразу прямо запретили: «It is forbidden to force users of other Telegram clients to download your app in order to view certain messages and content sent using your app».Необходимость получения идентификаторов API для сторонних клиентов как бы тоже намекает. Нужны они для возможности блокировать «неправильные клиенты».&gt; Были ли они вообще?Как видишь сам — добавить что-то сверху не проблема (не смотрел что у вас там внутри, но тот же Axolotl прикручивается без проблем к любому чайнику).Даже если что-то было, то оно нежизнеспособно из-за ToS.&gt; В мобильных клиентах и так e2e-чаты естьЯ про нормальное, то есть по умолчанию и с поддержкой множества устройств.
       
 (DIR) Post #AnztoZ9AWfdDBYBSMK by foxy@lor.sh
       2024-11-13T10:38:29Z
       
       0 likes, 0 repeats
       
       &gt; It is forbidden to force users of other Telegram clients to download your app in order to view certain messages and content sent using your appХа, и правда подходит под этот пункт. Хотя я думаю изначально идея была не это забанить---Ссылочку бы на Axolotl. У нас там то, что быстрее всего накодилось: DH + DES. Да, знаю DES плох, но и просто заменить на AES недостаточно [1]. А для PoC сойдёт---&gt; добавить что-то сверху не проблемаА вот кажется и проблема. Потому что попробуй, собери все их клиенты, пропатчи и успевай обновлять. И ещё попробуй продать это юзверю.Патчи там не тривиальные: юзверю стикеры, эмозди, голосовые, поиск нужны — чтобы прозрачно их шифровать нужно их запаковывать например в файл и отрисовывать их как обычно.А потом вам говорят: ну и чем вы лучше встроенных секретных чатов? Только синхронизацией между клиентами и сломанными фичами?[1] https://docs.google.com/presentation/d/1Ar6HAqUFBDEFY3S2AiZLYyVrbkVNlzhKCOVU3Zf-cZA/edit#slide=id.p
       
 (DIR) Post #Ao0FVHbthUnMHmpd4a by dump_stack@lor.sh
       2024-11-13T14:41:31Z
       
       0 likes, 0 repeats
       
       @foxy, если не указывать никнейм того, кому отвечаешь, то уведомление не приходят. По протоколу — быстрее и безопаснее было бы все-таки использовать готовые библиотеки. Писать самому такое почти никогда не стоит. Если будет желание продолжать это делать, то советую смотреть в сторону Messaging Layer Security. &gt; А вот кажется и проблема. Потому что попробуй, собери все их клиенты, пропатчи и успевай обновлять.Это не такая большая проблема, как кажется, и хорошо автоматизируемая. Вопрос правильного подхода, в том числе и как писать сами патчи. Тут задача сводится к в основном к фильтрам в нужных местах, что позволяет патчам жить довольно долго без правок. Большинство проблем тут, реальных и потенциальных, совсем не технические.
       
 (DIR) Post #Ao0GAPRnT1sgStiZMG by dump_stack@lor.sh
       2024-11-13T14:48:58Z
       
       0 likes, 0 repeats
       
       @foxy, если не указывать никнейм того, кому отвечаешь, то уведомление не приходят. По протоколу — быстрее и безопаснее было бы все-таки использовать готовые библиотеки. Писать самому такое почти никогда не стоит. Если будет желание продолжать это делать, то советую смотреть в сторону Messaging Layer Security. &gt; А вот кажется и проблема. Потому что попробуй, собери все их клиенты, пропатчи и успевай обновлять.Это не такая большая проблема, как кажется, и хорошо автоматизируемая. Вопрос правильного подхода, в том числе и как писать сами патчи. Тут задача сводится в основном к фильтрам в нужных местах, что позволяет патчам жить довольно долго без правок. Большинство проблем тут, реальных и потенциальных, совсем не технические.
       
 (DIR) Post #Ao0GCkz8MThhqHQjx2 by dump_stack@lor.sh
       2024-11-13T14:49:22Z
       
       0 likes, 0 repeats
       
       @foxy, если не указывать никнейм того, кому отвечаешь, то уведомления не приходят. По протоколу — быстрее и безопаснее было бы все-таки использовать готовые библиотеки. Писать самому такое почти никогда не стоит. Если будет желание продолжать это делать, то советую смотреть в сторону Messaging Layer Security. &gt; А вот кажется и проблема. Потому что попробуй, собери все их клиенты, пропатчи и успевай обновлять.Это не такая большая проблема, как кажется, и хорошо автоматизируемая. Вопрос правильного подхода, в том числе и как писать сами патчи. Тут задача сводится в основном к фильтрам в нужных местах, что позволяет патчам жить довольно долго без правок. Большинство проблем тут, реальных и потенциальных, совсем не технические.
       
 (DIR) Post #Ao0KAXCT2gWSKIrYIa by foxy@lor.sh
       2024-11-13T15:33:47Z
       
       0 likes, 0 repeats
       
       @dump_stack блин, а я думал мастодон уже научился без них пинговать&gt; Вопрос правильного подхода, в том числе и как писать сами патчи. О, об этом задумывался, но когда начинал гуглить, как люди поддерживают форки, то все решения выглядели какими-то хлипкими.Есть даже история как человек что-то придумал [1] для поддержания форка TDesktop&#39;а, но по итогу не сработало [2][1] https://t.me/kotatogram_ru/76[2] https://t.me/kotatogram_ru/119
       
 (DIR) Post #Ao0O5qe1iioJ08m44u by dump_stack@lor.sh
       2024-11-13T16:17:46Z
       
       0 likes, 0 repeats
       
       @foxy, у него в принципе всё логично в плане выводов — максимально отделить свой код, и минимально изменять чужой.В идеале обойтись обёртками для функций. Тогда можно будет даже оригинальные клиенты с помощью хуков (например, с помощью frida, или основанных на ней готовых решениях) трансформировать.С шифрованием данных так должно получиться. Чем ближе к функциям, которые непосредственно отправляют данные, тем лучше. В WhatsApp добавление оконечного шифрования делали близким концептом.Интерфейс для управления можно в «/» команды засунуть. Тогда не придётся поддерживать патчи на интерфейс для разных клиентов, и встраивать будет довольно просто.Для трекинга поддержки патчей можно взять готовую деривацию из nixpkgs, подобно тому, как это на lor.sh с mastodon (https://code.dumpstack.io/infra/lor.sh/src/branch/default/mastodon.nix#L18).И дергать пересборку на каждое обновление оригинального репозитория с помощью GitHub Actions. Там же можно сделать и синхронизацию самого репозитория, в том случае, если патчи применились корректно и сборка прошла.В общем, можешь пинговать, если нужна будет консультация по ИБ или автоматизационному аутизму.Я как-то думал подобным же образом затащить туда полноценное E2EE ради лулзов, но после прочтения ToS у меня как-то желание пропало.Польза от этого, я думаю, будет и в том случае, если ваш клиент будут банить. Это хотя бы привлечёт внимание к тому, что Telegram в плане безопасности на уровне Facebook Messenger.