Говно, жаббер лучше.
Жаббер тоже говно. Бумажные письма лучше.
Слишком толсто.
Ничуть.
В жаббере есть аудио и видео звонки? Нет.
В жаббере есть e2e-шифрование передаваемых файлов? Нет.
OTP работает через раз, и только если пользователи используют одинаковые клиенты.
Ну и пользуются им полтора шизика.
Опять этот пиарщик централизованной параши вылез.
Есть.
Тебе понравится:
> In the longer term future there will be a self-hosted version of Wire that optionally federates with the main Wire cloud.
https://medium.com/@wireapp/open-sourcing-wire-server-code-ef7866a731d5
Борь, ты чё страницу из вбыдлятни удалил?
?
Когда убьют будет, тогда и приходите.
Борь, ты зачем сам себе вопросы задаёшь?
Не, тебя спрашивал. Ты на вопрос ответишь или так и будешь прикидываться долбоёбом-пердоликом в костюме спермоклоуна?
Бамп
Пердoля, зачем ты прикидываешься долбоёбом-пердоликом в костюме спермоклоуна?
Твою Прослушку еще недостаточно обоссали в предыдущих тредах? Опять выходишь на связь, мудила? Без честного pear-to-pear это говно ничем не отличается от десятков других зондов и аргументы в стиле "сидит как родной и почти не жмет" в анус себе запихай. Анонимности там и близко нет.
>pear-to-pear
Сука, что же ты делаешь?! Я чуть тянку ржачем не разбудил!
peer, да.
> тянку
Не обманывай себя.
Пердoля, не нашёл ничего умнее, чем поплотнее натянуть на рыло маску спермоклоуна и продолжить кривляться.
Обосрался.
Почему ты не нашёл ничего умнее?
В офф репах фдроида нет т.к. не полный опенсорс. Зарегаться по почте из приложения нельзя. И вообще, рега, требующая аккаунта в другом месте. Нахуй.
Вайропетушки всегда так громко кукарекают про опенсорс, неужели обосралсь?
Возможно, не полностью свободен?
Они используют гуглплеевскую либу и что-то ещё.
> Почему ты еще не пользуешься этим божественным мессенжером, анон?
Потому что у меня телеграмм
Старый тред не добили, обсуждать нечего, а ты новый создал.
Мне, кстати, так никто и не написал. Трустори.
>хвалится фсбшным зондом
Кек
> Сидеть в мессенджере без контактов.
>Сидеть в мессенджере с пидорашками и школьниками
Ну я не виноват что у тебя такие контакты, что тебе пришлось сменить мессенджер чтобы общаться в чате самим с собой.
>я не школьник
>мам, ну скажи ему
Контакты зависят исключительно от твоей адресной книги.
Ты сам сказал что у твоя адресная книга наполненна
>пидорашками и школьниками
Я тебя за язык не тянул, так что не оправдывайся на анонимном форуме.
Два зондированый пытаются затралеть друг друга. Жалкое зрелище.
> Почему ты еще не пользуешься этим божественным мессенжером, анон?
Стикеров нет.
Чтобы лучше тебя видеть, внученька.
>Почему ты еще не пользуешься этим божественным мессенжером, анон?
Пользуюсь.
>Возможно, не полностью свободен?
Код открыт тащемта.
Код открыт тащемта.
Данные идут через сервер. Код сервера открыт?
>Стикеров нет.
Есть гифки и охуенное рисование пальцами. Стикеры говно, соси хуй быдло.
>Данные идут через сервер.
Данные идут через сервер в шифрованном из конца в конец виде. Код сервера может быть каким угодно.
Шифрованные чем? Алгоритмом с закладками? Сноудена слушал вообще?
во-первых и самое главное -
во-вторых пикрил
пашекопирайтер саснул хуйцов
Как ты мне это объяснишь? Ультимейт секурити?
>Шифрованные чем?
Шифром.
>Сноудена слушал вообще?
Протеус построен на базе аксолотля. Слова Сноудена об аксолотле и сигнал-протоколе на пике.
На десерт
Ок, допустим. Но если они хотят убедить всех в безопасности своего мессенджера, следовало бы реализовать децентрализованную сеть с логином по gpg ключу. А так, с трудом верится, ребятки. Мелкософт вон тоже уверяет что чики-пуки все, ваша приваси стронг
Объясню это тем, что это мессенджер и его задача обеспечивать общение людей, а не удовлетворять поехавших криптошизиков. Код ваера открыт, можешь сам взять и без задней мысли найти там "закладки", которые сливают твои данные.
Ну и да, тебе (именно тебе, ебанат) объяснили в прошлом треде. Это нужно для интеграции голосовых и видеовызовов ваера в журнал вызовов твоего телефона. Серийный номер и идентификация устройства нужна для пикрила.
> для интеграции голосовых и видеовызовов ваера в журнал вызовов твоего телефона
И нахуя вот это нужно?
Если уж позиционируете себя, как безопасный мессенджер, так и дайте блядь пользователю настойки и возможность выбора. Нехуй за меня решать, чем мне делиться, а чем нет.
На хуерт.
Что за хуйню я увидел?
>И нахуя вот это нужно?
Чтобы блядь человек, который звонит по телефону, ваеру и васапу не искал кому и когда он звонил в трех разных приложениях, а видел все в одном месте.
>Если уж позиционируете себя, как безопасный мессенджер, так и дайте блядь пользователю настойки и возможность выбора. Нехуй за меня решать, чем мне делиться, а чем нет.
С кем делиться? Ты ебнутый блядь? Эти данные ваер не передает никуда. То что ты тут описал к слову сказать как и привязка к номерам телефонов, о чем любят кудахтать некоторые поехавшие никаким образом пользователя не компрометирует.
Пиздец, они уже и в открытом коде видят "закладки" в простых функциях.
Возможность поделиться геопозицией с контактом. Удобная хуйня в незнакомом месте.
Для этого нужен IPC, а не датчик движения.
За 32 года жизни ни разу не понадобилось. Обколются своим gps и ябут друг друга в жопу.
Ну ок. Тебе виднее. Найди в коде места, где ваер опрашивает то что не должен, а потом сливает телеметрию и фоточки как ты левой дрочишь а правой анус щекочешь, принеси сюда, будем вместе обоссывать ваер. Пока что ваер успешно прошел аудит кода.
>МНЕ НИНАДА ЗНАЧЕ НИКАМУ НИНАДА, РЯЯЯ!
Не так. Мне не надо, на остальных срать.
>установил wire
>нет друзей
>не с кем общаться
>нет друзей
>не с кем общаться
Можно подумать в токсе, где всего 500 инвалидов со всей планеты, тебе будет с кем общаться
>написал рандомным тянам из CША
>ответа нет
>Потому что сейчас 4 утра и все тян спят или скачут на хуях
>ТУПЫЕ ШКУРРЫЫЫ
Нет, просто после регистрации и пары тестов вайером никто не пользуется.
Бро!
>следовало бы реализовать децентрализованную сеть с логином по gpg ключу
Чтобы это был еще один глючный неудобный софт, которым пользуются полтора криптошизика? Если ты думаешь "чем сложнее и неудобнее, тем безопаснее", то иди в Tox, там вон до сих пор сообщения через раз приходят, лол. И никакого аудита не было, и протокол придумали васяноразработчики сами.
>так и дайте блядь пользователю настойки и возможность выбора
Это вопрос к разработчикам Android, а не разработчикам Wire. Runtime permissions появились только в 6-м Андроиде. До этого все разрешения приложение получает в момент установки. Так что, если бы в настройках Wire была бы галка "не используйте никакие мои датчики", то доступ у них к ним всё равно бы был, тебя бы это не устроило.
Хочешь выбор -- обновляйся до последней версии Android или используй дальше свою xprivacy. Не понимаю, что тебе не нравится.
>Но если они хотят убедить всех в безопасности своего мессенджера, следовало бы реализовать децентрализованную сеть
Децентрализация не увеличивает безопасности и анонимности. ВНЕЗАПНО.
> следовало бы реализовать децентрализованную сеть
> In the longer term future there will be a self-hosted version of Wire that optionally federates with the main Wire cloud.
https://medium.com/@wireapp/open-sourcing-wire-server-code-ef7866a731d5
Блядь, ну вы ебанутые? В прошлом треде все посты были один в один с нынешними, о чем спорите то, блядь?
пашкиным копирайтерам надо заработать свои +15
Жаббер стронг!
Сам по себе нет, с ОТР да.
На картинки он учтен с OTP.
Прокоменнтируй телегу. Почему у неё е2е несекьюрный?
Там под * расписано же
К телеграму очень много претензий.
Во-первых, e2e-шифрование там есть только в секретных чатах один на один с собеседником. По-умолчанию его нет. В групповых чатах его тоже нет.
Во-вторых, там нет нормальной возможности верифицировать собеседника. Там есть отпечатки сессии, но не отпечатки юзера.
В-третьих, нет поддержки нескольких устройств для e2e-гифрования.
В-четвертых, он передает и хранит на серверах метаданные (номер телефона, список контактов) в открытом виде. Отсутствует transparency report. Логгируют все соединения.
Ну и сам протокол MTProto — их личная поделка. Первое правило криптографии — не придумывай заново. Особенно, если не являешься экспертом в этой области. А Николай Дуров не является ни криптографом, ни теоретическим информатиком.
Хуя себе маркетинг. Ну тогда бы лучше к возапу перенесли.
Разумеется, о юный кэп. Безопасность - это процесс, а не продукт. И толку от шифрования и децентрализации, если тебя спалят по опечатку браузера, или кукам, если ты аж такой долбоеб. Но шифрованная сеть это уже 80% успеха. И на надо тут ляля про Тор, сеть не скомпроментировна, все, кого там поймали - долбоебы, которые использовали один ник в торе и интернете. Даже тор нд смогли взломать, а i2p на порядок сложнее и избавлен от многих косяков тора. Давайте, пробуйте.
> Безопасность - это процесс, а не продукт
Безопасность — это существительное.
Кэп впал в безумие.
->
А зачем ты его тогда устанавливал?
А зачем ты его тогда устанавливал?
какой же ты мудак, даже лень комментировать этот бред
Божественный мессенджер это weechat. А у ОПа хипстовая хуета.
> weechat
Тот самый, который сливает всю переписку фсбшникам? Куда уж божественнее.
Или ты про клиент для IRC, лол?
Какое аргументированное мнение.
ПЕД-РИИИ-ЛА
Тогда хуйня написана.
Блестящий аргумент. Всё, теперь точно перехожу на жаббер.
> - оконечное шифрование
> - синхронизация данных между разными устройствами
А как оно работает вместе?
Какое обоснование тезиса, такой и контр-аргумент.
Это неполноценная синхронизация. Синхронизируется только то, что приходит после подключения устройства, без истории.
Токс забыли.
Он уже научился не падать при отправке сообщения?
Так задумано
Уже который тред, а конфы так и нет. Или в вайре нет конференций?
> который тред
Второй.
> в вайре нет конференций
Есть.
>Второй.
Nope
>а конфы так и нет
Не нужно.
>Уже который тред, а конфы так и нет.
Нутыпонел
>мессенджер
>в котором 500 человек на весь мир
>забыли
и правда. я думаю что почтовыми голубями больше людей сейчас пользуется, чем токсом.
Все верно, но на самом деле достаточно первого аргумента, и он самый главный в данном случае. Отсутствие дефолтного е2е - зашквар.
Секретные чаты которые спрятаны хуй пойми где, никто никогда не будет использовать, кроме 1% дебилов, которые хотят секьюрности и прайваси и выбирают телеграм вместо сигнала.
Смысл всего вот этого вот дефолтного шифрования и распространения мессенджеров в распространении крипто. Без разницы насколько у тебя хорошее крипто, если его не будут использовать. А его не будут использовать, если оно не включено по дефолту.
>Ну тогда бы лучше к возапу перенесли.
Долбоеб? Долбоеб. Васап работает на протоколе сигнала, там есть нативная годная поддержка мультидевайса.
А вот пашка использует аргумент "НЕТ СКВОЗНОГО ШИФРОВНИЯ ПО ДЕФОЛТУ ПАТАМУЩА Я НЕ СМОГУ СИНХРОНИЗИРОВАТЬ". Хотя вполне очевидно, что делает он это для того, чтобы собирать инфу своих клиентов и профилировать их, чем и занимается.
>Безопасность — это существительное.
Когда речь о киберсеке или о той "безопасности" которой занимаются разные СБ, то это действительно процесс, потому что не существует состояния абсолютной безопасности, оно не достижимо. Есть только недостаточная, достаточная и избыточная безопасность.
Нет, вичат в рашке заблокирова как раз потому что не сливает фсбшникам, сливает китайским братушкам ФСБшников.
Whatsapp не опенсорс, поэтому отправляется в мусорную корзину: нет никаких гарантий, что сейчас там не модифицированная версия аксолотля с ошибками и/или закладками.
кажется, кто-то путает weechat и wechat
>Это неполноценная синхронизация.
Это вообще не синхронизация, это передача сообщения на несколько клиентов.
Синхронизация невозможна из-за особенностей аксолотля\сигнал-протокола\даблратчета.
Его внесли в говнореестр, значит они согласились сливать всё фсбшникам (как и Threema):
https://reestr.rublacklist.net/distributor/108965
> нет никаких гарантий, что сейчас там не модифицированная версия аксолотля с ошибками и/или закладками.
Сир Мокси Марлинспайк гарантирует это. Ему я доверяю больше чем царю и родной службе безопасности федерации. Если Сир Мокси достаточно хорош для Господина Эдварда Сноудена, то для меня он хорош и подавно.
>кто-то путает weechat и wechat
ИНТЕРЕСНА ПАЧИМУ ЖЕ
Двачую.
В том то и дело, что нет. Он пришел, реализовал e2e и ушел. Всё. Что там происходит в Whatsapp после его ухода никто не знает.
Оппост нагло пиздит, в сигнале есть видеозвонки. И e2e групчаты емнип тоже. И десктопный клиент есть на базе хромиума.
> И десктопный клиент есть на базе хромиума.
стэндэлоун нету. там прост расширение которое ты запиливаешь в любой хромиумодериватив
Даже недавно была волна новостей, что он по-прежнему данные Фейсбуку сливает https://www.independent.co.uk/life-style/gadgets-and-tech/news/whatsapp-facebook-user-data-share-summer-app-privacy-eu-a7679971.html
Вполне возможно, что Мокси и приглашали, чтобы получить доверие людей типа тебя.
Так что нет, меня Whatsapp не устраивает. И доверять кому-либо, даже Мокси, не стоит. Сноуден рекомендовал Signal не потому, что он доверяет Мокси, а потому, что код Signal'а и Аксолотля много раз проверяли. Речь не о доверии.
А, я видимо перепутал с wire, где хромоподобный псевдо стендалон.
А вот какого хуя в сигнале до сих пор нет файл трансфера я не нашёл - я не понимаю совсем.
Насколько я помню, там основная проблема в том как формируется nonce.
>Даже недавно была волна новостей, что он по-прежнему данные Фейсбуку сливает
слил тебе за щеку
у тебя в новости написано следующее "пользовательские данные васап могут начать использоваться фейсбуком". какие данные знаешь? нет конечно, ты же деградант, возможности прилепить свой профиль васапа к фейсбуку ты не увидел, прайваси полиси васапа ты тоже не читал.
>Сноуден рекомендовал Signal не потому, что он доверяет Мокси, а потому, что код Signal'а и Аксолотля много раз проверяли. Речь не о доверии.
обосрался с этого кукаретика. пикрил, маня.
Окей, кушай говницо от Марка Сахорной Горы, дело твоё.
>А вот какого хуя в сигнале до сих пор нет файл трансфера
ЗДОРОВЕННАЯ СУКА СКРЕПКА ДЛЯ КОГО БЛЯ
питух, ты сам себя то слышишь блять или нет
>кроме 1% дебилов, которые хотят секьюрности и прайваси
нахуй делать e2e по дефолту при таком раскладе?
к тому же потеряется существенный функционал как: сохранение истории сообщений, синхронизация между девайсами, отдельные десктопные приложения, мгновенный поиск, неограниченное облачное хранилище для медиа и файлов. И стал бы невозможным просмотр старых сообщений на каналах и в мегагруппах, что важно для многих юзеров.
https://twitter.com/durov/status/780024807710752768
https://twitter.com/durov/status/780026134771662849
Конечно, раз Пашка сказал, тогда никаких сомнений!
>нахуй делать e2e по дефолту при таком раскладе?
Чтобы все сообщения пользователей шифровались из конца в конец.
>к тому же потеряется существенный функционал как:
Где потеряется? В пашиных влажных фантазиях и рассказх его копирайтеров? Да мне похуй на пашу, в сигнал-протоколе это реализовано, в ОТР это реализовано, паша-параша идет на хуй.
>в сигнал-протоколе это реализовано, в ОТР это реализовано
У меня по этой скрепке позволяет отправлять только:
image audio video contact camera location и gif
всё.
Мб дело в версии программы, у меня 4.1.0.
Если не лагает как говно-скайп, то я перехожу. Скайп заебал, с каждым обновлением всё хуже и хуже.
> к тому же потеряется существенный функционал как: сохранение истории сообщений, синхронизация между девайсами,
Пеpдоля, таблетки поешь.
В xmpp, сигнале и ваере есть e2e из коробки с синхронизацией.
Не хочу тебя огорчать но в ОТР это как раз не реализовано, а вот в xmppшной копии сигналопротокола и в PGP да
Просто тебе надо перейти на Питух-ОС.
мстпст
Пьер, вы?
Пьер Дун?
Wire тоже обосрался. Там при установке «секретного» чата быдлу даже не предлагают сверить фингерпринты. Пользуясь твоей логикой,
>Без разницы насколько у тебя крутое e2e, если его не будут проверять. А его не будут проверять, если проверка не предлагается по дефолту.
А Signal предлагает? А PGP/GPG? Это не к инструменту вопрос, а к пользователям.
>Signal предлагает?
Без понятия, в сортах говна не разбираюсь.
>А PGP/GPG?
Естественно. Прямо так и спрашивает каждый раз:
>gpg: FFFFFFFF: There is no assurance this key belongs to the named user
>три строки с ключом
>It is NOT certain that the key belongs to the person named
>in the user ID. If you really know what you are doing,
>you may answer the next question with yes.
>Use this key anyway? (y/N)
Если использовать твою логику, то вопрос адресуется именно к инструменту, не стоит отмазываться.
Ну не совсем так. Если ты простой гражданин и решил инициировать e2e - очень вряд ли тебе подменят ключ. По крайней мере пока. Поэтому можно применять blind trust
В сигнале кажется тоже фингерпринты не предлагало сверять, но возможность есть.
В ваере даже возможности нет?
Инструмент может навязывать e2e по всем правилам или не делать этого. В телеграме доведена до логического предела вторая позиция.
> В ваере даже возможности нет?
Всё там есть, не слушай шизика. https://support.wire.com/hc/en-us/articles/206997689
Ладно. Когда перестанут телефон требовать и появится десктопный клиент, тогда и поговорим.
Ты типа так троллить пытаешься? Десктопный клиент есть, телефон никто не требует.
Десктопного клиента нет, есть хуйня под Электрон (хромоговно). Её я ставить не хочу.
А мобильный клиент безальтернативно требует телефон. Веб-версия у меня отказывается работать под предлогом того, что мой браузер не поддерживается, и отказывается работать даже с подменой ua
Пeрдоля? Прости, не узнал тебя без шляпы.
На первый раз прощаю, в следующий раз придется тебя тростью оходить, холопа.
> Full privacy.
>требует телефон
>хранит у себя контактную книгу и информацию о времени обмена сообщениями
> требует телефон
Не требует.
> хранит у себя контактную книгу
Proofs?
Требует. Попробуй с телефона аккаунт создать. А в других случаях требует мыло, что тоже в нынешних условиях нихуя не анонимно и не приватно.
>proofs
Да хотя бы одно уже наличие синхронизации контактов. И вообще все централизованные говномессенджеры (телеграм, вотсап и прочее говно) работают именно так.
Даже в джаббере контакты хранятся на сервере где ты зареган, но там их хотя бы много, нет какого-то одного места с информацией на всех пользователей.
А, очередной шизик с беспруфными кукареками. Понятно.
>врёти, ваши пруфы не пруфы
Полные штаны пруфов, ога.
В мои задачи не входило разжевывать все для агрессивных даунов, того что я сказал, достаточно любому человеку, имеющему самое хотя бы отдаленное представление о работе централизованных мессенджеров.
Кукареки без пруфов были, гринтекст был. Тебе осталось только назвать меня школьником и пошутить про мамку.
Давай представим, что ты это уже сделал и уже съебываешь с треда, хорошо?
>Proofs
Где по-твоему хранится список твоих контактов в мессенджере? Локально если что и хранится, то только копия, а так всё лежит на сервере. Поэтому когда ты логинишься с нового устройства, у тебя не пустой список контактов, он загружается с сервера. И серверу, то есть Wire SWISS GmBH., известны твои контакты.
Они обещают, что не продадут твои данные. Но придерживаются ли они своего обещания или нет, установить невозможно. Кроме того, в ToS (которых ты конечно не читал) чёрным по белому написано "настоящее соглашение может быть в любой момент изменено компанией".
В Швейцарии не такие уж и мягкие законы, недавно вот осудили человека за лайки в фейсбуке, там действуют системы аналогичные СОPМ. В общем, я бы не торопился пропагандировать Wire как приватный мессенджер.
Лол, а как по-твоему еще работает мессенджер? Естественно ему нужно хранить айдишники собеседников
Так ты не мне объясняй, а вот этому
гражданину.
Алсо, айдишники в принципе можно хранить локально. Пример - Tox.
Блядь, как же я проиграл.
> но в ОТР это как раз не реализовано
Анус ставишь?
>Там при установке «секретного» чата быдлу даже не предлагают сверить фингерпринты
>2k17
>думать что стейт-левел митм будут использовать для каждого пользователя мессенджеров
>В ваере даже возможности нет?
есть, и ваер на самом деле ПРЕДЛАГАЕТ это сделать, он выдает предупреждение про верификацию.
Просто ваерохейтеры не знают о чем кудахчат.
> This document has not yet been accepted for consideration or approved in any official manner by the XMPP Standards Foundation, and this document is not yet an XMPP Extension Protocol (XEP)
Мокси, кстати, тот еще фрукт:
> When we decided to implement full end-to-end encryption at Wire we looked around and decided on the Axolotl protocol — with certain custom-developed extensions to allow for full syncing between multiple devices.
> At the time, we reached out to Moxie Marlinspike to ask if he would like to cooperate in helping us to review our own implementation. He declined, telling us instead to take a “license” for USD 2.5M (binaries only).
https://medium.com/@wireapp/axolotl-and-proteus-788519b186a7
> Moxie contacted us. He claimed that we had copied his work and demanded that we either recreate it without looking at his code, or take a license from him and add his copyright header to our code. We explained that we have not copied his work. His behavior was concerning and went beyond a reasonable business exchange — he claimed to have recorded a phone call with me without my knowledge or consent, and he threatened to go public with information about alleged vulnerabilities in Wire’s implementation that he refused to identify.
Ну так а какие клиенты поддерживают омему? Вот в этом и проблема. Когда шифрование не является частью протокола, это плохо, выше уже была дискуссия на эту тему. А если шифрование еще и только в части клиентов работает, то вообще беда.
мианвайл в казахстанеололо это гдеполная подмена https сертификатов
В России после выборов тоже будет, не волнуйся.
я не волнуюсь т.к. я идеалист и понимаю, что так, как я хочу, на моём веку не будет. зонды везде и с каждым годом их всё больше
Нихуя этого нет.
т.е. все новости, которые я читал - фейк? И есть авторитетный источник, пруфнувший, что это не так?
Ты наверное не представляешь как происходит подмена сертификатов и почему это не сработает, если я сам не установлю их сертификат. Как ты уже понял, никто, естественно, ничего не устанавливает.
Вот тебе хэш сосачевского сертификата, сравни: 7F:59:71:3F:83:38:29:FB:35:3B:3E:96:3C:7F:65:CD:D5:23:14:FC:4C:D0:62:6D:F9:D9:12:F6:4A:0F:80:8F
>если я сам не установлю их сертификат
то ты не получишь доступ к сайту. а для хомяков в инструкции написано, что это для их же безопасности.
У тебя просто когнитивный диссонанс, или ты пытаешься мне что-то доказать?
>Он уже научился не падать при отправке сообщения?
Лол, это когда-то было?
Одно время вылетал qTox при попытке видевозвонка с шиндовс.
А теперь все норм.
>в котором 500 человек на весь мир
Это проблема?
Мы же говорим о беззондовости.
Wire кстати в эту категорию не попадает вообще.
>Если ты простой гражданин и решил инициировать e2e - очень вряд ли тебе подменят ключ.
Если ты простой гражданин и решил поговорить с другом - очень вряд ли тебя будут прослушивать.
Так, да? Не нужно двойных стандартов: раз утверждаешь, что обеспечение безопасности — дело софта, иди с этим утверждением до конца, а не «Шифрование должно быть по умолчанию, а аутентификация собеседников — дело рук самих собеседников».
>он выдает предупреждение про верификацию
Пробовал в позапрошлом треде веб-клиент, никто никаких предупреждений не выдавал и сверить ничего не предлагал, сразу же установил соединение.
http://arhivach.org/thread/249309/#1999578
лол что? есть куча новостей о внедрении этой хуйни. ни одной опровергающей я не видел. может ты видел и хочешь мне пруфануть?
Изначально твой тезис был что в К. полная подмена tls сертификатов. А статьи есть, да - я с этим не спорю. Что ты хочешь чтобы я тебе пруфнул, что существуют опровергающие статьи?
>А статьи есть, да - я с этим не спорю
т.е. ты считаешь, что в них наврали, или что?
>Что ты хочешь чтобы я тебе пруфнул, что существуют опровергающие статьи?
ну да. или ты что-то ещё можешь пруфануть по теме?
>т.е. ты считаешь, что в них наврали, или что?
В статьях сказано, что с определенного числа (в 2016 еще) будет введена система подменяющая сертификаты. Я лишь утверждаю, что внедрения не произошло, опираясь на факты: провайдеры ничего не требуют (у них даже инструкций никаких нет на сайтах), сайты открываются с оригинальными сертификатами. Что, собственно, я и сказал в посте
инструкции на сайтах как минимум были, пример: https://web.archive.org/web/20160706143626/https://www.beeline.kz/ru/mobile_help/sertificatofsecurity
там написано что это делается в соответствии с уже принятым законом. искать казахские прокси ,чтобы проверить мне лень, от того, исполняется анальный закон, или нет, не меняется то, что он принят.
Ок, ты сманеврировал только из-за того, что в первом посте у тебя довольно расплывчатая формулировка. Поздравляю, ты подебил.
причём здесь победа? суть моего поста в анальном пиздеце повсюду, а не в технических деталях
Без своего сервачка особых плюсов и нет.
Наркоман, это не ОТР ни разу, а криптопротокол Сигнала.
Щас скажу. ChatSecure на айфонах, профанити (консольный джаббер-клиент), Pidgin, Gajim, в (впрочем уже нихуя не актуальный) Xabber должны были уже завезти.
По своему он прав. Посмотрите на XMPP. Неполностью совместимые клиенты и серверы везде. Нахуй такое щастье нужно.
>ОМЕМО
Это не OTR
А как же швабодка, шифрование, видео/аудио, мосты с остальными платформами?
>мосты с остальными платформами?
Сервачек нужен. Даже IRC, блядь, анально ограничен - я не смог к undernet.org подключиться.
>шифрование
Хуёвое там шифрование, инфу о доставке-получении нешифрованно передают.
>undernet.org
Книжки качать собрался?
Врети.
Да!
Если будет время и не лень поищу пруфов.
Молодца
А почему ты решил использовать matrix а не xmpp транспорт в ирку?
Ещё кстати есть телеграмный транспорт, но я его не пробовал.
>А почему ты решил использовать matrix
Потому, что могу вообще-то нет.
Да зачем тебе это вообще, ставь ejabberd, там встроенный sip сервак.
> использовать matrix
xmpp сдохло, а за матриксом будущее
Почему сдохло? Conversations пробовал? Этот клиент по удобству превосходит Signal, а на десктоп есть Gajim.
Так в ваере же сигнальное крипто, просто свой васянофорк, якобы улучшенный.
На них недавно OWS даже в суд подавали.
Алсо, OWS ещё получает гранты в размере чуть ли не миллионов долларов.
Да, насчёт монетизации хороший вопрос. Но тут надо учитывать ещё один факт, на Западе очень развита культура волонтёрства и добровольной работы на благо общества.
Мой внутренний оптимист старается объяснять ебсплатность таких мессенджеров и джаббер-серверов именно этим.
>они договорились.
Я знаю.
Падажжи, а ключи и отпечатки разные при этом используются? В любом случае, в оффлайне с MAM в отличие от ОМЕМО оно работать не будет, и ты не получишь копию истории с компа когда подключишься с телефона при отключённом компе.
Т.е. эта синхронизация будет работать только когда все клиенты онлайн, и после выхода из оффлайна ты сообщения не получишь.
Ну а как ты хотел, синхронизация это два стула. Хотя есть вариант, что отсылающий будет шифровать отправляемое сообщение отдельно для каждого девайса собеседника и это дело будет храниться на сервере, но в таком случае все равно возникает проблема при подключении нового устройства.
В ОМЕМО же это как-то работает с MAM
Да я вообще диван, просто мимошел. Просто продумывал как синхронизировать переписку не раскрывая ее серверу, пришел к двум вариантам:
В общем я не знаю как, но OMEMO + MAM доставляет оффлайновые сообщения.
О Conversations, ChatSecure и Gajim.
Во-первых в метро и некоторых других местах не ловит. Во-вторых некоторые ходят без интернет-пакета и сидят с мобилы через вайфаи.
>не должен устанавливать его по-твоему?
Пока юзер не нажмёт кнопку «Да, я сверил фингерпринт, это мой собеседник», не должен.
Вайровская модель «установить соединение c e2e-шифрованием без аутентификации собеседников и где-то в менюшке спрятать фингерпринт для сверки» принципиально ничем не отличается от телеграмовской «установить соединение с клиент-серверным шифрованием и где-то в менюшке спрятать кнопку для секретного чата».
>Он пишет что стоит сверить фингерпринты
Повторяю, веб-интерфейс ничего не пишет, сразу устанавливает соединение.
> Так в ваере же сигнальное крипто, просто свой васянофорк, якобы улучшенный.
Там не форк, а независимая реализация.
На Расте переписали то же самое с незначительными (и мне непонятными) изменениями.
В телеграме нет возможности сверить отпечаток ключа собеседника. Только отпечаток сесссии.
Да, именно поэтому это и не форк, а независимая реализация.
Спасибо за уточнение, будем чем пинать телеграмодебилов в их треде.
Да ладно? То есть вот этот разноцветный квадратик, который предполагается сверять, это типа не ключ собеседника?
Хотелось бы пруфов на это.
Пускай пруфы сначала принесёт.
>The concept is nice, and pretty common. But since the key shown in verification is per chat session, you have to re-verify the images once you start a new chat. This is even if you had already verified this particular person.
Надо будет перепроверить на досуге. Сессии там каждые 100-200 сообщений меняются? Напомни, пожалуйста.
В спецификации протокола так и пишут:
> official Telegram clients will initiate re-keying once a key has been used to decrypt and encrypt more than 100 messages, or has been in use for more than one week, provided the key has been used to encrypt at least one message
И всё же статья 2015 года, мб что-то поменялось. Будем тестить.
То есть при смене сессии юзера об этом никак не уведомляют и новая сессия может быть хайджакнутой?
Как-то это слишком хуёво даже для телеграма.
> То есть при смене сессии юзера об этом никак не уведомляют и новая сессия может быть хайджакнутой?
This. 200% security
Ты изучал процедуру re-keying (https://core.telegram.org/api/end-to-end/pfs)? Может там всё же не всё так плохо?
Алсо, у меня на мобиле не только эта картинка, но ещё и цифорки, а вот надписи про 200% нет.
> Т.е. эта синхронизация будет работать только когда все клиенты онлайн, и после выхода из оффлайна ты сообщения не получишь.
Потестил только что, телефон в оффлайне, десктоп онлайн, отправил в десктопе несколько сообщений, отключил десктоп, включил телефон. Отправленные сообщения показались. Все работает.
>Пока юзер не нажмёт кнопку «Да, я сверил фингерпринт, это мой собеседник», не должен.
Схуяли? Потому что ты так решил?
>Вайровская модель «установить соединение c e2e-шифрованием без аутентификации собеседников и где-то в менюшке спрятать фингерпринт для сверки» принципиально ничем не отличается от телеграмовской «установить соединение с клиент-серверным шифрованием и где-то в менюшке спрятать кнопку для секретного чата».
Отличается тем, что ваеровские сообщения шифрованы из конца в конец, а пилиграмовские не секретные чаты читает пашкин сервер.
Так значит там не end-to-end, а хуета какая-то.
Только потому что ты не понимаешь как это работает?
Сигналовский протокол может в это, а вместе с ним и его копия - ваеровский, и ОМЕМО
>Потому что ты так решил?
Пользуюсь логикой вайропетушка выше.
>ваеровские сообщения шифрованы из конца в конец
Пока юзер не сверил фингерпринт, он об этом не знает. Его может MITMить васян, так что принципиальной разницы никакой. В телеграмопараше юзеры по умолчанию доверяют пашке, что он их не слушает; в вайропараше юзеры по умолчанию доверяют васяну, что он их не митмит и не слушает.
>Так значит там не end-to-end, а хуета какая-то.
ты скозал?
хуевый какой-то апдейт, в сигнале так же реализована возможность удаления сообщений.
и скриншаринг не работает в ваере по-человечески. ну по крайней мере не работал когда пробовал последний раз.
Ну да, местные мамкины криптоэксперты так себе и представляют. Они не знают как реализовать мультидивайс-синк - значит это невозможно.
>Пока юзер не сверил фингерпринт, он об этом не знает.
Он об этом знает потому что это факт.
>Его может MITMить васян, так что принципиальной разницы никакой
Его может митмить стейт-левел актор если ваер ему посодействует. А таким ребятам нет нужды митмить тебя, они прост похекают твой андроед, а еще более вероятно просто используют обычную оперативную работу которая эффективна и проста.
> телеграмопараше юзеры по умолчанию доверяют пашке, что он их не слушает
Они не доверяют, потому что пашка их слушает это факт. Потому что сквозного шифрования нет. А значит сервер имеет полный доступ к твоим сообщениям. Он может их не логгировать но он их слушает.
>в вайропараше юзеры по умолчанию доверяют васяну, что он их не митмит и не слушает.
Какому васяну, болезный? Ты блядь возьми и попробуй замитмить кого угодно даже без е2е, запили себе рог-ап и попробуй пособирать инфу из вкудахтиков своих соседей. Потом расскажешь много ли чего у тебя собралось. Сидят блядь мамкины эксперты по киберсеку и рассказывают как взять и без задней мысли запилить митм е2е на аксолотле, посмотрите-ка.
ent-to-ent невозможен на нескольких устройствах
>ent-to-ent невозможен на нескольких устройствах
ты скозал?
>может митмить стейт-левел актор если ваер ему посодействует
>Какому васяну, болезный?
Алё, шизюня, васян в случае ваера это админ сервера вайра. Он может митмить кого угодно, кто не сверил фингерпринты. Надеюсь, не нужно объяснять, как?
Че ты несешь?
Читай тред, нубас.
> Надеюсь, не нужно объяснять, как?
Нужно.
Читай книги, чтобы не быть таким дауном.
1) Аленюшка ищёт Баранушку по юзернейму и жмёт «Добавить».
2) Васян (админ вайра) получает запрос на добавление и сообщает Аленюшке вместо ключа Баранушки свой ключ.
Затем отправляет Баранушке запрос от имени Аленюшки, заменяя Аленюшкин ключ своим.
3) Теперь Аленюшка имеет e2e с Васяном и Баранушка имеет e2e с Васяном, который перехватывает их сообщения.
Но, поскольку они не сверяют фингерпринты, то думают, что имеют e2e друг с другом.
>кокок
>what is PGP
>what is OMEMO
>what is Axolotl
Мне больше телеграм нравится, только тм собственно я и полузьзуюсь.
А ещё в сигнале реализован бекдор для изменения ключей, как в watsapp
Меняется ключ шифрования в секретных часах через каждые 100 сообщений, и при создании нового ключа запросы идут зашифроыанные текущим ключом, поэтому свериться отпечаток надо только один раз
Сам придумал?
Нет, новости читал
> Во-первых, e2e-шифрование там есть только в секретных чатах один на один с собеседником. По-умолчанию его нет. В групповых чатах его тоже нет.
Телеграм создан для удобства, поэтому по стандарту только облачный чат, который кстати шифруется тоже, а ключ шифрования разделен на части и хранится в разных странах.
> Во-вторых, там нет нормальной возможности верифицировать собеседника. Там есть отпечатки сессии, но не отпечатки юзера.
Отпечаток ключа, а не сессии
> В-третьих, нет поддержки нескольких устройств для e2e-гифрования.
В этом и прелесть секретных чатов, они привязаны к определённой сессии и не синзронизируются, при разлогине они удаляются.
> В-четвертых, он передает и хранит на серверах метаданные (номер телефона, список контактов) в открытом виде. Отсутствует transparency report. Логгируют все соединения.
В открытом виде? Откуда ты это взял? Там все шифруется.
> Ну и сам протокол MTProto — их личная поделка. Первое правило криптографии — не придумывай заново. Особенно, если не являешься экспертом в этой области. А Николай Дуров не является ни криптографом, ни теоретическим информатиком.
А протокол на основе классических алгоритмов: AES-256, RSA-2048, диффи-хелман.
Короче, почитай документацию на telegram.org, а потом что-то а ши.
> Там все шифруется.
Ключаит из соседней папки?
> Ключаит
Ключами
>- прошел независимый аудит безопасности:
и это что доказывает?
https://xakep.ru/2017/05/25/openvpn-bug/
Отсутствием шифрования или стикерами?
Ссылочку на RT
>В этом и прелесть секретных чатов
Прелесть в отсутствии нормального криптопротокола и синхронизации, какая есть у многи других мессенджеров в e2e чатах? Мсье знает толк
Что он безопаснее аналогов.
Решил попробовать эти ваши мессенджеры. Знакомые есть либо в Telegram, либо в WhatsApp. Какое из этих двух зол лучше скачать? Если не трудно, объясните, почему.
Поставь пин, и эти папки зашифруются
Как раз таки шифрованием, безопасностью, и отсутствием сговоров с правительствами стран
Вот простеньким языком для watsapp: http://www.oszone.net/30604/Alleged_backdoor_discovered_in_WhatsApp
А если почитать описание сигнала в play market, то можно прочитать, что данный протокол шифрования используется в watsapp
Никакое.
В телеграме нет шифрования кроме обычного TLS, т.е. как в контактике и на сосаче.
>отсутствие сговора
Ну-ну.
Не пизди о том, чего не знаешь. Есть пин, нету пина - твою переписку телеграм хранит плейнтекстом.
Почитай документацию, не веришь ей? Исходный код открыт. Все сообщения шифруется с помощью AES-256, соединение защищается открытым ключом RSA-2048, генерируются ключи с помощью диффи-хелмана
Telegram, он удобнее, быстрее, безопаснее, и потребляет меньше трафика, а на даунов не обращай внимание, возможно они думают до сих пор что земля плоская, раз не кому не доверяют
ни разу
Доказательства бы предоставить
>Исходный код открыт
Он так открыт что разобраться в нём невозможно, т.к. коммитятся релизы раз в несколько месяцев, с изменениями в более чем сотне тысяч строк кода.
>Все сообщения шифруется с помощью AES-256, соединение защищается открытым ключом RSA-2048, генерируются ключи с помощью диффи-хелмана
ЧТо за сказки ты мне рассказываешь? Телеграм использует обычное TLS-шифрование до сервера, а реализация e2e в телеграме это по сути заглушка, плацебо, т.к. всё спрятано в глубине настроек и никто поэтому де-факто этим показушным функционалом и не пользуется. А те кто пользуются страдают от отсутствия вменяемых механизмов сверки ключей, как в сигнале, conversations и т.д.
Пруфы где?
Вот ещё лучше https://github.com/DrKLO/Telegram/commits/master
Если же тебя интересует пруф на то, что единственно (де-факто) средство шифрования в телеграмме это TLS, то я отчасти неправ в том смысле, что телеграм использует свой протокол для шифрования клиент-сервер, но ничем принципиальным он от шифрования например от твоего компа до сервера вконтактика или сосасача не отличается.
Как-бы протокол HTTPS используется только в веб версии, и только как транспорт, шифрование происходит по протоколу MTProto
А похожи только пр мнением AES-256
А ты вообще читал новость по ссылке?
Особенно второй абзац. Он так и начинается:
Однако два проведенных аудита еще не означают, что багов в OpenVPN нет вовсе.
Точно так же как и аудит этого говна. Конечно ты можешь и дальше верить всяким аудитам, как и новостям киселева.
Ты хочешь конкретные доказательства что именно это приложение уязвимо? Ну когда оно будет популярно как вотзап, тогда и будут его хакать со всех сторон. Пока же на нем три с половиной калеки, поэтому он никому не интересен.
А как же конкурс на некоторую суммы $200000 за взлом протокола?
Какой-то чел нашёл уязвимость позволяющую проводить MITM атаку, но переписку расшифровать у него не получилось, и он получил $100 000
> который кстати шифруется тоже, а ключ шифрования разделен на части и хранится в разных странах.
Тебе об этом Пашка сказал и ты довольный веришь.
> Отпечаток ключа, а не сессии
> прелесть секретных чатов, они привязаны к определённой сессии
Так определись уж.
> В открытом виде? Откуда ты это взял? Там все шифруется.
Передается по HTTPS, ага. Так можно и посты на дваче "шифрованными" назвать. Ты правда думаешь, кого-то в 2017-м году можно использованием TLS/SSL удивить?
> А протокол на основе классических алгоритмов: AES-256, RSA-2048, диффи-хелман.
А Николай Дуров — спортивный программист и призер многих олимпиад. А Павел Дуров вообще святой и врать не будет. А еще у нас конкурс по взлому есть. Смотри какие мы секьюрные!
> Telegram
> безопаснее
Там в твоей же новости update есть. Бэкдора нет, но есть обосравшиеся журналисты: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
кроме этой клоунады по существу есть что сказать?
По существу уже давно всё сказано, но пара даунов с горящей жопой всё еще носится по треду с криками ПАШКА СКАЗАЛ ЧТО ВСЁ ЗАШИФРОВАНО
1. Не только Пашка, а куча других ресурсов, и не где нет инфы о взломе
2. Сессия создаётся когда устройство входит в аккаунт, если сессию удались, то придётся входить заново.
И если ты выйдешь из аккаунт, то на этом устройстве удалятся все секретные чаты, вот что значит привязка к сессии. А визуализация ключа - это 160 последних бит хеша или sha256 или sha1, не помню от ключа шифрования, созданного по протоколу диффи-хеллмана.
3. HTTPS используется только в веб версии, в клиентах используется или TCP(по умолчанию) или UDP, и там и там все шифруется в MTProto алгоритмом AES-256. Откуда ты взял что в телеге используется ssl или tls?
4. А ты ведь документацию на сайте читал, просмотрел исходный код, и абсолютно знаешь, что телеграм не безопасен и можешь дать ссылки для доказательства твоей точки зрения!
Не видел не одной новости про взлом телеграм, только в 2014 году чел нашёл уязвимость, но не расшифровал сообщение и получил деньги, а так же взлом аккаунтов без двойной аутентификации с помощью перехвата смс. Так же телеграм не блокировал бы например в Иране, если бы он общался со спец. службами.
Не удивлюсь если при таких словах ты веришь новостям по тв
Лучше верить пашке и нескольким людям которые анализировали мессенджер, чем анониму который обсирает продукт который ему не нравится без всяких доказательств.
Ну я же признал свою частичную неправоту. Да, у них свой протокол для шифрования клиент-сервер. Но, повторяю ЕЩЁ РАЗ, такое шифрование ничем принципиально не лучше шифрования во вконтакте.
>раз прививка не гарантирует на 100%, что ты не заболеешь, то её и не надо проводить, хотя кругом все ходят заразные
Откуда такой максимализм, тебе 15?
Зато он сотрудничает с анб или какой-то другой подобной хуйне.
Если думаешь что там все пушисто, изучи USA PATRIOT Act of 2001
Ну а если почитать документацию, то можно понять, что сообщение ещё проверяется на подлинность с помощью sha1, и содержит кучу неизвестных для злоумышленника данных таких как номер сообщения, номер сессии, время, соль сервера, и они все проверяются перед расшифровка всего сообщения, а в вк сообщение зашифровать, передано, расшифровано без какой-либо проверки подлинности и сохранено на сервер открытым текстом без возможности удаления
Я не помню ни одной положительной рецензии на телеграмм среди мало-мальски уважаемых специалистов по ИБ и секьюрным мессенджерам.
+1
Откуда инфа о сотрудничестве?
Вот тебе про "конкурс": https://moxie.org/blog/telegram-crypto-challenge/
Вот тебе Шнайер, ссылающийся на статью, которая призывает не использовать телеграм: https://www.schneier.com/blog/archives/2016/06/comparing_messa.html
Вот тебе мнение Сноудена: https://twitter.com/Snowden/status/778597417797226496
И прочее: https://security.stackexchange.com/q/49782
И причём здесь USA, если штаб компании в другой стране, как и сам дуров
>телеграм не блокировал бы например в Иране, если бы он общался со спец. службами
Со спецслужбами Ирана?
Не только
В какой же?
Wire или signal: на какой стул сесть?
Одно другому не мешает.
Signal, если тебе нужен просто мессенджер для переписки.
Wire, если тебе нужны еще и аудио- и видеозвонки и не хочется привязывать аккаунт к номеру телефона.
Уязвимость позволяющая провести MITM была устранена в 2014, и надедший получил вознаграждение, а статья уже года 4 не актуальна.
Сноуден и остальные говорят в пользу других мессенджеров что телеграм хранит сообщения, но их можно прочитать только взломав аккаунт, но для этого есть двойная аутентификация или секретный чат
Дай хоть одну статью в которой рассказывается о перехвате/прочтении сообщений отправленных в тг, не зря им кстати пользуются террористы
Все просто.
Не будешь сотрудничать - поступят как с лавабит.
Охуенная у тебя логика.
Ну не верить же на слово
Такой хейт. Кажется, что whatsapp и viber лучше телеги.
Whatsapp и Viber не пытаются прикидываться приватным мессенджером.
Как вы регистрируетесь (например wire): создаете отдельную почту или на основную или фейк? Какой почтовый сервис используете? Как правильнее делать?
Вот зря ты про это вспомнил. Коммерческая компания Telegram Messenger LLP зарегестрирована в Бриташке и подчиняется британским законам, а они очень анальные.
Британия сотрудничает с США
А ну это тоже. Только в Британии ещё хуже законы чем в США по отношению к ИБ и конфиденциальности. То есть всё хуже, чем если бы фирма была в США
Правда, Сигнал вот тоже в США зареган. Но они себе не позволяют хранить и передавать нешифрованную пользовательскую информацию, всё e2e
>не зря им кстати пользуются террористы
Сказки фсбшников.
http://www.kavkazcenter.com./russ/content/2015/11/18/110738/khakery-Anonymous-ig-Twitter-i-chekistskij-messendzher-Telegram.shtml
Я чего-то не понимаю? Нахуй все эти разговоры про мессенджеры, если есть наибожественнейший XMPP через Pidgin с OpenPGP плагином? М?
-->
Полная неправда по 1, 2,3,4 и 7 пункту. Попробуй https://conversations.im/ и Gajim на десктопе, просто для любопыства. Если тебя конечно интересно реальное положение вещей и не патралить на сасачике.
Я же специально по-русски уточнил: "с OpenPGP плагином"
> Always-on
> с плагином
Реальное положение вещей, это то, что в протоколе жаббера ничего этого нет. Есть куча не полностью совместимых друг с другом клиентов, некоторые из которых умеют в OTP.
>протоколе жаббера
Протокол называется XMPP.
А вот стандарт. Да, экспериментальный, но поддерживается абсолютным большинством сколько-нибудь годных и популярных клиентов. Это Pidgin, Gajim, Conversations, ChatSecure.
https://xmpp.org/extensions/xep-0384.html
Технологии не стоят на месте, они развиваются. И если ты отстал от жизни, будь добр, ознакомься с тем, что ты пропустил. Я тут пофиксил твою пикчу.
Может не надо сюда этот прошлый век тащить?
>без сапога в жопе несчитается(((
Я считаю что если клиент эксплицитно подписывает к каждому нешифрованному сообщению UNENCRYPTED этого достаточно чтобы юзер сам распорядился, нужно ему e2e или нет. Многим юзерам xmpp e2e не нужно т.к. они сами держат сервера.
>хз что это
Это синхронизация на разные устройства. С ПГП будет работать.
>ProtoMail
Нормальный сервис? Что можешь сказать про него?
Добавил важнейшую характеристику.
маня, ты обосралась, говножабер не работает без сервера
Вот только сервер может любой васян поднять, в отличии от всех остальных
Там тоненькая полосочка между строчками, у тебя она проебалась.
Алсо в XMPP/Jabber надо как-то уточнить что основные клиенты это Conversations/ChatSecure/Gajim/Pidgin
Ты можешь его хоть у себя на компе поднять..
>обосралась
Ну зачем ты обосралась?
Читай https://en.wikipedia.org/wiki/XMPP#Decentralization_and_addressing
Строго говоря есть отдельный сервак сигнала, но он один и федерации по-моему нет.
>очередной клован думает, что клиент-серверная архитектура не может использоваться в децентрализованной сети
>Always on
Ууух бля, уже бегу меняю нахуй весь клиент и протокол заодно только потому что ИСКАРОПКИ шифрования нет а надо десять секунд на установку плагина потратить!
Серьёзно, не стоит изобретать велосипед.
"Сервер" поднимается на компе за минуту. Можно для каждого нового собеседника поднимать новый сервер. Конечно, не "decentralized" в трушном понимании (хотя как взглянуть - центра-то действительно нет), вот bitmessage какой-нибудь да, но битмесседж на роль чатика не годится, это аналог скорее электронной почты.
В Conversations вообще из коробки.
Тем паче.
> Ууух бля, уже бегу меняю нахуй весь клиент и протокол заодно только потому что ИСКАРОПКИ шифрования нет а надо десять секунд на установку плагина потратить!
Ну а сколько человек будет этим заниматься? Так можно и телеграм оправдать, ведь там же есть секретные чаты! И похуй, что их использует хорошо если 5% пользователей.
Ровно столько, скольким это нужно. А тем, кому НЕ нужно - насильно навязывать шифрование смысла нет, они всё равно найдут способ обосраться.
И как тебе уже выше подсказали, в Разговорах шифрование из коробки, так что ваще похуй.
Телеграм оправдать нельзя, хотя бы уже потому что
>невозможно НОРМАЛЬНО сверить собеседника, сверка собеседника убрана в полную жопу и единственный вариант сверки - делать скриншоты и слать другим каналом
>отсутствие синхронизации e2e чатов
>ебанутое доморощенное крипто "у нас PhD по матеше, идите нахуй криптаны"
>Ну а сколько человек будет этим заниматься?
Когда для шифрования тебе нужно два раза тапнуть прямо из окна чата раз и навсегда - поверь, много.
> Multi-device support for end-to-end encryption
Не пизди, в xmpp этого нету. Все твои сообщения останутся в одном клиенте. К тому же, кросс-платформеных клиентов нет.
1. Это не коммерческая организация
2. Штаб квартира находится в Берлине
Proofs?
>Коммерческая компания Telegram Messenger LLP
у телеги как минимум два юрлица
Как там, в 2012?
В 2017 всё давно есть. OMEMO + MAM.
Какое второе?
>К тому же, кросс-платформеных клиентов нет.
Есть на 99.9% совместимые клиенты на все платформы. Conversations на дроид/ChatSecure на айфоны/Gajim на все десктопы
>1. Это не коммерческая организация
Почитай что такое LLC в британском праве и не позорься.
> Как там, в 2012?
> Gajim
Где ты нашёл эту тему для gtk? Выброси её на помойку.
Это не свежие скрины.
Ну покажи свежие.
>единственный вариант сверки - делать скриншоты и слать другим каналом
Лол, в любом мессенджере кроме токсоподобных (где идентификатор юзера является производным от публчиного ключа) нужно сверять фингерпринт по другом каналу.
А мне нравится, кстати.
Еще б тебе не нравилось.
Ты не понял меня. Я говорил про то, что в телеграме эта сверка максимально затруднена.
В Сигнале и конверсейшнс можно просто поднести телефоны к друг другу и отсканировать коды. Или переслать фингерпринт в виде текста по другому каналу, скопировав его в буфер обмена. Это УДОБНО
А в телеграме только один способ. Сличать глазами скрины или не скрины. Или ручками вбивать код.
Да, есть над чем поработать, согласен. Но всё же.
>Почему ты еще не пользуешься этим божественным мессенжером, анон?
Наверное потому что есть Tox и клиенты с протоколом XMPP!
>В жаббере есть e2e-шифрование передаваемых файлов? Нет.
Вообще то есть с дополнительными модулями.
>Это УДОБНО
Тебе в виндовс-тред, у нас здесь во главу угла ставится безопасность.
А тебе в дурку, если считаешь, что чем неудобнее, тем безопасность.
>чем неудобнее, тем безопасность
Ебал её рука?
Шизюнь, не проецируй свои расстройства поведения.
Нечего сказать — доебись до опечатки. Ну да, ну да.
Нечего сказать — проигнорируй пост и доебись до доёба до опечатки. Ну да, ну да.
https://roem.ru/04-04-2017/246777/telegram-vs-isis/
https://life.ru/t/новости/420696/sieks-kanaly_v_telegram_zakryli_poslie_razoblachieniia
https://life.ru/t/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/420696/sieks-kanaly_v_telegram_zakryli_poslie_razoblachieniia
https://www.vedomosti.ru/technology/articles/2015/11/19/617478-servis-telegram-predupredil-budet-blokirovat-kanali-terroristov
Всё эти новости как раз подтверждают безопасность Telegram
Особенно закрытие секс-каналов. Телеграм - за безопасный Интернет!
Безопасность уровня /b/
Даже не знаю, кто из вас смешнее.
Безопасность подтверждают только факты.
Факт 1: в телеграме нет e2e шифрования, а значит что хакер взломавший сервер получит доступ ко всей истории сообщений всех пользователей, потому что они хранятся там плейнтекстом. Всё.
Факт 2: в телеграме нет e2e шифрования, а значит что хакер вломавший сервер заберет оттуда tls ключ и сможет незаметно для пользователя прослушивать всю его переписку в реальном времени.
Это всё что нужно знать о безопасности телеграма
Проиграл с этого сектанта церкви Швятого Павля.
Секретные чаты не e2e?
Ну да, а еще можно вручную сообщения перед отправкой шифровать PGP. Так здорово!
е2е по умолчанию в телеграме нет. К тому же конфы телеграма e2e не поддерживают.
Кому надо - зашифруют сами
> Мы вам засунем зонд, не понравится, высуните.
>плейнтекстом
пруфы будут? может там всё шифруется через hsm
>нет e2e шифрования
в секретных чатах есть, кому это важно, тот использует
>Microsoft Windows 10
>е2е по умолчанию в телеграме нет.
Теперь правильно. Что мешало подумать сразу и не нести хуйню под видом фактов?
А ещё можно знать что данные хранятся на нескольких серверах, а не на одном, как и ключ шифрования от них
>openSUSE
>Linux`
Их никто не использует, нет синхронизации и multiple device support, и затруднена проверка идентичности.
cock.li
horsefucker.org
Какая нахуй разница, где они хранятся, если Пашка имеет к ним полный доступ?
тем временем ваеробоги продолжают обоссывать телеграмодебилов, xmpp-аутистов и pgp-ебаклаков
М, оповещение о новом устройстве из Вацапа.
>Какое из этих двух зол лучше скачать?
васап
>почему?
прост перечислю плюсы оче кратко, интересно будет подробнее - спросишь поясню
1) топтир крипто от топтиркриптопроизводителей
2) аудитория 1 млрд. дебилов vs 100 млн. дебилов у пашапараши worldwide
3) дефакто васап это новый скайп, нравится, не нравится - он есть у всех, дефакто же васап это тырпрайз стандарт, любой бизнес будет с бОльшей вероятностью использовать васап, а не фсбграм
4) е2е крипто по дефолту, в отличие от телеграмопараги, где для е2е надо инициировать секретные чятики. надеюсь не надо пояснять что типичное быдло будет смотреть на тебя как на дурака за попытки писать в секретных чатах
5) в одном из первых тредов ананий приносил сравнение качества передаваемых фотографий - парашаграм ужимает твои фоточки (вот ведь пидр, мало того что ЧИТАЕТ твою переписку, так еще и активно ЕЕ РЕДАКТИРУЕТ) - все что имеет в себе крипто на сигнал-протоколе передает фото в неизменном качестве
кактатак. нужны пояснения - проси, принесу.
Щас бы думать что пашкин копирайтер будет тут читать апдейты которые обоссывают все его манянабросы
>1) Аленюшка ищёт Баранушку по юзернейму и жмёт «Добавить».
>2) Васян (админ вайра) получает запрос на добавление
Не получает. Потому что он занимается только роутингов. Код сервера как код клиента открыты. Найди мне места где "васян" видит что-то.
>Пашка имеет к ним полный доступ
приличный человек, а не гэбня
ну или расскажи где пашка зашкварился что ему доверять нельзя
Вацап ужимает фотки перед отправкой.
>шифрованием, безопасностью
>телепараша
> приличный человек, а не гэбня
У паши уже отняли одну игрушку, с рычагами давления он сам даст играться и с другой.
>парашаграм ужимает твои фоточки
отправишь как картинку - ужмёт, а если как документ, то всё без изменений
ВРЕЕЕТИИИИ! ПАШКА БОХ А ВАШЫ ШНАЙДЫРЫ, МОКСИ И ПРОЧИЕ КРИПТОМАНЬЯКИ ПРОСТО ЗАВИДАЮТ!
> Кажется, что whatsapp и viber лучше телеги.
Не кажется. Серьезно. Вайбер параша конечно из-за ебанутой рекламы, но с точки зрения крипто васап и вайбер > пашкаграм
ну теперь-то он умудрёный уже и без консультаций с юристами ничего не заключает ни с кем
Можно же надавить на пашиного брата, как в прошлый раз.
Если видит один Пашка, значит видит вся команда разработчиков и админов. Если видят сотрудники, значит видят и спецслужбы.
>Добавил важнейшую характеристику.
Поясни развернуто каким образом децентрализация увеличивает секьюрность.
А когда на него давили в первый раз?
> без консультаций с юристами ничего не заключает ни с кем
Как будто в этой стране юристы и договора кого-то когда-то защищали от власти и ментов.
Запрос на добавление Аленюшка куда отправляет? Правильно, на сервер васяна.
Что он при этом указывает? Никнейм Баранушки.
Что он ожидает получить? Публичный ключ Баранушки.
А васян ему отдаёт свой публичный ключ, представляясь Баранушкой.
Доступно излагаю, гуманитаря?
из любого сигнал-протокол-бейзд мессенджера
Сириусли, пашкоебы мне напоминают ретроградов-защитников гужжевого транспорта из прошлого века.
>ЧТО? ПАРАВОЗ? ЕЗДИТ БЫСТРЕЕ 20 КМ\Ч? НИВИРАЯТНА, ОТ ТАКОЙ СКОРОСТИ У ВАС ВЫПАДУТ ВСЕ ВОЛОСЫ А ГОСПОДЬ ЛИЧНО ПРОКЛЯНЕТ ВАС И СКИНЕТ ВАШУ ДУШУ В АД!
При всем при этом все эти байки травит главдебил, который просто торгует лошадями и конским кормом, а сам давно катается на паровой бричке. А долбоебы-холопы сидят и вторят его лжи. Дебилы бля.
Никаким не увеличивает. Она лишь увеличивает фрагментацию и добавляет проблем. За примером далеко ходить не надо: см. Xmpp или Tox. Школьники, прочитавшие пару статей в Википедии ссут кипятком, а клиенты до сих пор изображения передавать не могут, если разные клиенты используются.
Что за охуительные истории? Какаяразница в скольки папках или на скольки серверах это хранится, если грубо говоря ключик ото всего этого находится у Дурова?
>сигнал-протокол-бейзд мессенджера
А хули ты там на xmpp квохтал тогда? В Conversations c ОМЕМО так же.
>Вацап ужимает фотки перед отправкой.
Мне очень лень искать в архиваче старые треды, найди принеси пруфы. Или сам сделой.
>парашаграм ужимает твои фоточки
Можно отправить как файл и тогда не ужмёт. Это не баг а фича. Ах да, ужимает не Паша, а твой клиент. И да, в "сигналопротоколах" тоже происходит сжатие. Сразу видно ты не пробовал через сигнал фотки посылать.
Никакой васян не может заблокировать твой аккаунт.
Ни один централизованный мессенджер ITT не может похвастаться этим.
>Доступно излагаю, гуманитаря?
Нет, найди мне в открытом коде сервера и клиента для любой платформы ваера или сигнала строки с этим.
Если щас будет кукареку сделай, отвечаю: с неделю назад пробовал посылать фото в сигнале, сжимает. Причём ШАКАЛЬНО. А менюкши отправить файл в сигнале под андроид не нашёл.
Открыт код сервера или нет абсолютно нерелевантно, потому что реалистичных способов запруфать что именно этот код без модификаций выполняется на сервере, просто НЕТ, а значит его пункт справедлив. Если в ваер действительно такая архитектура, то это ОЧЕНЬ хуёво.
У вотсапа зависимость от гугла, это раз, плюс код закрытый, тебе могут говна залить в жопу со следующим апдейтом.
В принципе это могут сделать и в сигнале с телеграммом, но там хотя бы код открытый.
Ты неправ. У децентрализации есть + и -
Ты описал минусы.
Но не всё так плохо. Щас всё пришло к некоей стандартизации де-факто. Есть клиент на десктоп, есть два клиента на мобилки. Остальное неполностью совместимо.
>Ты описал минусы.
Он не описал минусы. Потому что децентрализация это DHT в BT, а токс и джаббер это не децентрализация, это гибридная схема.
децентрализация в мессенджерах на данном уровне развития инфраструктуры тырнета нинужон и не взлетит.
Иди читай про DH и key pinning.
>А хули ты там на xmpp квохтал тогда?
где? и нет, я не использую xmpp, потому что со своей задачей как мессенджер он не справляется, он слишком сложен и пердолист для стандартного пользователя. зачем мне мессенджер в котором я буду один.
Сам отправь кому-нибудь 6000x4000 фотографию и посмотри какая на самом деле отправилась.
https://www.quora.com/Why-does-WhatsApp-compress-your-images
http://www.bolshoyvopros.ru/questions/1018143-whatsapp-kak-peredat-fotografiju-izobrazhenie-bez-iskazhenij.html
https://otvet.mail.ru/question/189140924
>Что за охуительные истории?
Это пашкины представления о криптографии. Так же как "НИВАЗМОЖНА СИНХРИНИЗИРИВАТЬ МУЛЬТИДИВАЙС СО СКВОЗНЫМ ШИФРОВАНИЕМ!"
> Сразу видно ты не пробовал через сигнал фотки посылать.
Пробовал, после того треда анона со сравнением. Сигнал и ваер не ужимают, парашаграм ужимает.
Это не от протокола зависит, а от клиента. Сигнал шифрует не все типы файлов, в отличие от Wire.
>Никакой васян не может заблокировать твой аккаунт.
При чем тут секьюрность? Васян как не мог получить доступа к переписке, так и не может. В отличие от парашаграма, где сервер пашки имеет доступ к данным всех несекертных чатов в плейнтексте.
Вот этот кукарек
>Если щас будет кукареку сделай, отвечаю: с неделю назад пробовал посылать фото в сигнале, сжимает. Причём ШАКАЛЬНО. А менюкши отправить файл в сигнале под андроид не нашёл.
Отправь сейчас, покажи результат.
>У вотсапа зависимость от гугла
Какая, рассказывай.
Не говори за себя, их можно использовать если ты не уверен в безопасности аккаунта собеседника например, чтобы при взломе его аккаунта некто не прочитал твои сообщения
Да? А у меня сигнал для андроида ужал к хуям, аж смотреть противно было. И опять же, протокол к этому не имеет НИКАКОГО отношения. Эта обработка происходит перед отправкой.
Ты бл&ть в этом уверен? Говорить может любой, а вот доказать свою точку зрения СЛОЖНА
> Сигнал шифрует не все типы файлов,
Пруфы? Как вообще у них реализована передача файлов?
Гугл плей стор, скорее всего ещё gcm
Да, можно, но для подавляющего большинства пользователей телеграм ДЕ ФАКТО так же секьюрен как и например переписка вк.
И каким образом ты умудрился связать вот это все вместе? Где логическая связь между умением сигнал-бейзд мессенджеров оповещать о смене принта, аутичность xmpp-пользователей, ОМЕМО и конверсейшенс?
Если я скажу что под Пашкой я имел в виду сервера телеграмма и имеющий к ним доступ персонал, ты успокоишься?
>Да? А у меня сигнал для андроида ужал к хуям
Давай свои пруфы в этот ИТТ треад.
>Гугл плей стор, скорее всего ещё gcm
И что?
А вот плюсы тг:
Открытый исходный код
Не ограниченное облако
Быстрая передача
Низкое потребление трафика
Нет ограничения на передачу файлов
Боты
И многое другое.
Пруфы: документация на telegram. org, и исходный код, ссылку на него можно найти там же
Ты типа мне предлагаешь за тебя выводы сделать? Своей головой не пробовал жить?
Просто то что ты выставил в своём кукареке как достояние ваероблядков на самом деле в той же мере доступно и xmpp-господам.
А доказательств нет? А то верить анониму как-то не очень. Не удивлюсь если ты при этом веришь СМИ
> Открытый исходный код
Псевдооткрытый. См обсуждение выше по треду.
>Низкое потребление трафика
Как у сигнала и конверсейшнс?
>Нет ограничения на передачу файлов
как у конверсейшнс и ваера?
>Боты
как у xmpp и IRC уже лет 25 как?
не успокоится, работа такая, топить за фсбграм и нести околесицу про все остальные мессенджеры.
на самом деле неудивительно что парашаграм популярен в рахе, а в нормальных странах прайваси-майндед используют сигнал\ваер.
каждый раз когда слышу откровения кокозиционеров что "мы вот использовали телеграм потомуща он безопасный" проигрываю и понимаю что у них нет шанса ничего добиться и такие дебилы в правительстве будут ничем не лучше тех что есть.
>быстрая передача
Как у сигнала и конверсейшнс?
>не ограниченное облако
Как у сигнала и конверсейшнс?
Это ещё почему? В этих твоих нормальных странах люди принципиально в плане компьютерной грамотности ничем не отличаются от наших. Возможно даже в худшую сторону отличаются. Просто получилось так что маркетинг ТГ оказался направлен больше на СНГшников.
>Открытый исходный код
Исходный код открыт только для сикритных чятов. Сколько у нас людей их использует? Никто. Кто их будет использовать под страхом быть засмеянным тянучкой-одногруппницей-коллегой "ОЙ ПРЕДСТАВЛЯЕТЕ ОН ИСПОЛЬЗУЕТ СЕКРЕТНЫЙ ЧЯТ, НАВЕРНОЕ БОИТСЯ СЛЕЖКИ, ГАГАГАГА-ХАХАХА-КУДАХ-КУДАХ КАКОЙ ОН НЕУДАЧНИК"? Никто.
>Ты типа мне предлагаешь за тебя выводы сделать?
Я предлагаю тебе объяснить ход твоих мыслей.
> на самом деле в той же мере доступно и xmpp-господам
не доступно без 100500 модификаций надстроек и прочего говна. именно поэтому они xmpp-аутисты. потому что никому это говно нахуй не всралось. как и токс.
Не хочу тебя огорчать, но у телеграма открыт (хотя бы для показухи) код всех клиентов.
Переписка в вк хранится на серверах нещашифрованной( спрашивал у тп),а а в телеграме шифруется ВСЕ
>А доказательств нет?
Доказательства есть, они указаны на самом саете парашеграма - в парашеграме нет дефолтного е2е шифрования. Все сообщения в несекретных чатах читаются серверами паши, и скорее всего используются в интеграции с соцсетями для более лучшего профилирования рекламы.
Каких ещё 100500 модификация, что за бред ты несёшь?
Ты ставишь ванильный клиент Conversations и получаешь всё то, про что ты там кукарекал как исключительно возможное благодаря вайру.
Не пизди.
>Исходный код открыт только для сикритных чятов
таблетки забыл принять?
Исходный код открыт полностью, проверил бы перед тем как писать
А какая разница, если они обязаны выдавать эту информацию по решению органов США и Великобритании? И кроме того, могут быть по суду обязаны не сообщать об этом пользователям и СМИ.
Рекламы в тг ниту
>кукарекал как исключительно возможное благодаря вайру.
Шифрованные аудио, видео вызовы?
+
Как же ты заебал, блядь.
НИНУЖНО
Кроме серверов.
Помимо этого, код андроидоклиента открыт "на отъебись", разобраться в нём невозможно т.к. они тупо коммитят раз в пару месяцев релизы с 100 000 строк изменений и не пишут комменты.
Всё остальное в т.ч. том числе то, что было в обсуждаемом кукареке ( )
>В этих твоих нормальных странах люди принципиально в плане компьютерной грамотности ничем не отличаются от наших.
Да.
>Возможно даже в худшую сторону отличаются.
Нет.
>Просто получилось так что маркетинг ТГ оказался направлен больше на СНГшников.
Да.
Суть не в этом. Просто в случае с англоязычной публикой - каждая статья обоссывавшая с пруфами пашапарашу доступна и была растиражированна СМИ уровня арстехники, вайерда и подобным, такое читают на самом деле далеко не только гики. Каждый твит сноудена про то - что отсутствие дефолтного е2е в пашеграме это пиздец ад и погибель разошлись как горячие пирожки по англоязычным же соцсетям. А что в рашке-парашке? КУДАХ-ТАХ-ТАХ БАИВИКИ ИГИЛ ИСПОЛЬЗУЮТ ЗАЩИЩЕНЫЙ МЕССОНЖЕР ТИЛИГРАМ, СООБЩАЕТ ПЕРВЫЙ ОНАЛ. ПОК-ПОК-ПОК ТИРРИРИСТЫ ИЗ СТРАН ТУРЕЦКОГО БАССЕЙНА ИСПОЛЬЗУЮТ ТИЛИГРАМ И ПАТАМУ ИХ НИВАЗМОЖНА ВЫСЛИДИТЬ. И подобное говно. Погугли в новостных трендах хуянедекса пашеграм - там 99% контента продвигаемого будет неявно рекламировать пашепарашу.
Если ты не можешь в нем разобраться, это не значит что там все плохо.
Да даже на дваче в объявлениях Абу телеги рекламирует.
А я и не говорил что там всё плохо, я говорил что это по сути не опенсорсный проект, комьюнити фактически исключено из написания кода.
Открыт конечно. Точно так же как открыт код хромиума. Теперь хромиум у нас ДОХУЯ СИКРИТНЫЙ МЕССЕДЖОР, потому что там tls? Блядь даже браузерная почта и диск типа протона и мега более защищены чем пашеграм.
Уже 100500 раз писали, напишу еще раз. В сервисе где шифрование не сквозное, необходим откртый код серверного бэкэнда чтобы говорить об "открытости".
>а в телеграме шифруется ВСЕ
Сервером. И хранится на сервере. Который может взять все и расшифровать. Секьюрити уровня /b/.
Ты то что я написал в скобочках специально проигнорировал? Бля, я уже подумываю завести редкий юзерагент, чтобы люди врубались что я писал а что нет.
>Рекламы в тг ниту
Зато в соцсетях есть. Что мешает использовать сообщения в парашеграме для более лучшего профилирования? Люди в мессенджерах пишут гораздо более откровенные вещи, чем в личной переписке в соцсетях.
Алсо я тебе ещё раз напишу. СПОСОБА ПРОВЕРИТЬ ЧТО РАБОТАЕТ НА ТОМ ИЛИ ИНОМ СЕРВЕРЕ НЕТ. НЕТ СУКА. ПОНИМАЕШЬ ТЫ ЭТО БЛЯДЬ?
>Всё остальное в т.ч. том числе то, что было в обсуждаемом кукареке
>имплаинг в данном кукареке говорится что xmpp-аутисты являются аутистами только из-за пикрила
Кстати, реклама пашеграма началась после того, как макака сходила на допрос в гэбню.
Совпадение? Не думаю.
Мега такая же хуйня, как и телеграм. Там тоже якобы ВСЁ ЗАШИФРОВАНО, но через своё анальное дополнение и своими же ключами.
Нет, код сервера ничего не даст в плане безопасности. Нет никакого способа проверить, что на сервере работать будет тот же код, что показали.
С наличием правильно реализованого e2e код сервера не важен для безопасности e2e. Поэтому аудит нужен для протокола и клиента.
с точки зрения приватности нужно проверять, что приложение не отправляет на сервер ничего лишнего (как например телеграм адресную книгу открытым текстом передаёт). Но для этой проверки код сервера, опять же, не нужен, нужно смотреть клиент.
Ну справедливости ради Телеграм гораздо удобнее с точки зрения функционала и UI чем тот же Signal.
Насчёт востапа не знаю, но подозреваю что по удобству и ему телеграм даст пасасать. А это как никак веский довод в пользу его распространения.
Там нигде не написано такого.
А eef с этой табличкой всё равно облсрались, уже обсуждали давно. Сейчас хоть они её убрали. Может в новой версии ответственнее подойдут к этому.
Строки с чем, уёба? Очевидно, что никто не будет опенсорсить сервер с параметром в конфиге «Включить MITM для такого-то юзера». Это сделают отдельной модификацией, а для петушков релизнут чистый код, всё равно способа проверить, что работает на сервере, нет.
>Насчёт востапа не знаю, но подозреваю что по удобству и ему телеграм даст пасасать
Вкусовщина. Для меня вотсап удобнее телеграма.
Это да. Если тебе нужно удобство и плевать на приватность своей переписки - то телеграм лучший вариант, пожалуй.
Но это совсем не про безопасность и приватность.
Поясни за Ваер. Может ли их сервер провернуть такое ?
Или клиент Ваер это не позволит сделать?
Именно поэтому е2е-сигнал-протокол обоссывает телеграмоблядков.
Нет, как и любой другой протокол основанный на DH. Это ведь базовая задача ассиметричного шифрования: обмен ключами по потенциально прослушиваемому каналу связи.
Чем e2e мтпрото принципиально хуже?
>Мега такая же хуйня, как и телеграм. Там тоже якобы ВСЁ ЗАШИФРОВАНО, но через своё анальное дополнение и своими же ключами.
На самом деле нет. В меге крипто написано на яве, так же как в протоне наприме. Я не берусь утверждать что крипто меги хорошее, но в теории и на практике можно реализовать хорошее крипто в браузере. правда есть момент, что любой левый жава-шкрепт-дополнение может кейлогить
Тем, что из говна и палок придумали.
Ну, пока что никто этот протокол толком не обоссал.
>Поэтому аудит нужен для протокола и клиента.
Только если есть е2е. В телехуйне его нет.
>inb4 КОКОКО КАК НЕТ ЕСТЬ СЕКРЕТНЫЕ ЧАТЫ ПОХУЙ ЧТО СПРЯТАЛИ И НИКТО НЕ ПОЛЬЗУЕТ
> eef с этой табличкой всё равно облсрались, уже обсуждали давно.
давай еще раз обсудим. eff >>>кал>моча>паша дуров>твое "уже обсуждали"
>Телеграм гораздо удобнее с точки зрения функционала и UI чем тот же Signal.
Ваер удобнее обоих
Именно поэтому я и не рекомендую никому протон. Если злоумышленник скомпрометирует сервер (или сами авторы протона), то они смогут раздавать вместо настоящего шифрования js с закладками. И нет никакой возможности верифицировать, что там у тебя в браузере выполняется.
А как это поможет при е2е?
>При чем тут секьюрность?
О, приехали, школотроны думают, что безопасность = конфиденциальность. Открою тебе страшный секрет, который рассказывают на первом курсе любой айтишной шараги.
Безопасность требует обеспечения трёх основных характеристик информации: конфиденциальности, целостности и доступности. Отсутствие у васяна возможности заблокировать твой аккаунт относится к последней.
>Или клиент Ваер это не позволит сделать?
Любой мессенджер со сквозным шифрованием не позволит.
>Чем e2e мтпрото принципиально хуже?
Тем что никто его не использует. Уже в этом треде 4 раза написали.
Ничего, скоро запретят это ваше e2e, сначала в бриташке, потом в чебурашке.
Один анончик в ньюсаче за это недавно яро топил.
>Если злоумышленник скомпрометирует сервер (или сами авторы протона), то они смогут раздавать вместо настоящего шифрования js с закладками.
Ну тащемта это манями по водо писяно. Потому что js приходящий от сервера клиенту виден клиенту. Я не утверждаю что ты будешь сидеть и анализировать каждую строку присланную сервером, но это досточный уровень безопасности.
>по потенциально прослушиваемому
Охуенный специалист, будь добр смотреть на контекст вопроса. Речь шла не только о прослушиваемом, но и компрометируемом канале.
>Поясни развернуто каким образом децентрализация увеличивает секьюрность.
>О, приехали, школотроны думают, что безопасность = конфиденциальность
щитоблядь? тебя, мудака, спрашивали про секьюрность и децентрализацию. чтобы ты, мудак, ответил: никак не увеличивает. а ты начал нести парашу про "отключат аккаунт".
>Один олька в ньюсаче за это недавно яро топил.
фиксед
Я могу с десяток таких протоколов придумать и их тоже вряд ли кто-то обоссыт, но это не значит, что они надёжные.
В криптографии есть такая штука - provable security. Если ты что-то предлагаешь, то тебе и доказывать (математически!) соответствие, например, критерию IND-CCA.
Пашка и компания вместо этого придумывают абсолютно левые "конкурсы" с заведомо неверными вводными (см выше ссылку на пост мокси), а потом кричат "вот видите, никто ничего не сломал! Мы безопасны!". Это всё рассчитано на обывателей, а не на криптосообщество.
Пацаны, проебавшие битки на blockchain.info, не согласны.
https://pando.com/2014/12/08/bitcoin-wallet-blockchain-info-accidentally-introduced-a-software-vulnerability-last-night/
>Ничего, скоро запретят это ваше e2e, сначала в бриташке, потом в чебурашке.
Надо пилить свое е2е на почтовых голубях.
не могу прочесть твой ссылка, клаудфэр не пускает. запили тл;др.
Key pinning. Я уже писал выше.
И тисипи айпи, благо эрэфси уже есть!
>спрашивали про секьюрность
Я о ней и ответил.
Секьюрность (она же безопасность по-русски) требует обеспечения конфиденциальности, целостности и доступности информации. Васян, способный заблокировать твой аккаунт вместе со всем содержимым, уменьшает вероятность обеспечения доступности.
Улавливаешь, быдло? Или слишком сложно для тебя?
Онлайн-кошелёк битка по модели «храним шифрованые ключи, все операции только на стороне юзера». Криптография на js, естественно. Выкатили говно с багом в PRNG.
Похуй, потому что в конфах его нет никак.
А как реализовывали? Через хешкоды вида урл#ключ?
>Секьюрность (она же безопасность по-русски) требует обеспечения конфиденциальности, целостности и доступности информации.
Ничоси. Динайабилити, не не слышол. Ты там первый курс погромизма закончил штоле?
У телеграмохолопов - нету. У остальных есть.
Я слышал за эту денайбилити люди сидят.
Зачем нужны конфы, в которых нет е2е? Чтобы пашка точно знал где именно кучкуются любители процессоров?
В роиссе и за пикрил сидят. Что это доказывает?
Но васян-владелец-жабосервера точно так же может выпилить твой аккаунт?
Меня ещё поражает, какое ссыкло на двачах теперь сидит. Помню тред про разрисованное фото президента, так его зассали в тред выкладывать.
Что реализовывали? Ключи генерируются в браузере, локально паролем и отправляются храниться на сервере под идентификатором. Когда юзеру нужно логиниться, он забирает с сервера ключи и декриптит их. Транзакции сети тоже подписываются локально и пушатся на сервер. В коде подписи был баг https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm#Security
Это уже для анонимасов, три классические характеристики именно такие.
Щас он прибежит рассказывать что надо свой сервер под кроватью. Но тогда твоему контакту тоже надо свой сервер под кроватью. А еще ниблоха бы всех сожителей выпилить, чтобы случайно не залили сервер водой или не сожгли, или на ящик бояры не сменяли у метро.
Сервер при большом желании может прочитать e2e конфы в джаббере.
> Помню тред про разрисованное фото президента, так его зассали в тред выкладывать.
Я не помню, выложи.
Так я про телеграм и говорил.
В контексте этого треда - не нужны, а так 95%похуй на шифрование.
Не сможет, если васян-владелец-жабосервера это ты. Вся прелесть жабы.
Это сложно, т.к. я не знаю, какое именно забанили. Их довольно много.
Кроме того, что я, лучше остальных?
>твоему контакту тоже надо свой сервер под кроватью
Именно. И это прекрасно.
То есть если ты владеешь сервером, ты не можешь выпилить свой аккаунт? Сам понял что написал?)
Пруфов, конечно, не будет.
Обосраться как прекрасно.
Изучи как работает омемо в конфах и поймёшь как это можно заабузить, учитывая что у сервера есть credentials от одного из аккаунтов в этой конфе.
Ну заебись, теперь каждому сервак поднимать?
>три классические характеристики
которые преподают на курсе вышки "как стать айтишником и вкатиться в кресты за 5 4 года чтобы зарабатывать 300кк\сек. различных дохуя классных вузов уровня КАФЕДРА КИБЕРБЕЗОПАСНОСТИ И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИИ СЕВЕРОЗАКАРПАТСКОГО АГРАРНО-БИОЛОГИЧЕСКОГО УНИВЕРСИТЕТА ИМ. ДЖ. ЛЕННОНА"
Ну тащемта это как "ФСБ ВЗЛОМАЛИ ВАСАП на самом деле просто отпиздили владельца телефона и заставили разлочить"
Ну давай я начну а ты продолжай
>мам, я играю в слова
Прекращай.
Каждому, кто хочет обеспечить доступность. Если готов полагаться в этом вопросе на васяна, добро пожаловать на его сервер.
А что ты хотел? Приходится соответствовать уровню телеграмоклоунов, ваеродебилов и прочих централизованоопущенок.
>а так 95%похуй на шифрование.
Так в этом и фишка дефолтного е2е - нассать на желание госдепа и фсб следить за тобой, просто включив е2е для всех.
>Именно. И это прекрасно.
А если кошка твоего контакта обоссыт его подкроватный сервачок и он загорится из-за КЗ.
>А что ты хотел?
Свободный мир без лжи и мудаков типа пашкаботов.
Двачую.
Если только полтора анона будут использовать e2e их гораздо легче вычислить, чем если все на него перейдут.
Директор анб же признал, что сноуден ускорил распространение шифрования в пользовательских приложениях на 20 лет.
Разверну из бекапа.
Но если тебя не устраивает простой, арендуй место в стойке в ДЦ.
Ой, извини, невнимательно читал.
>если кошка твоего контакта
Не я разверну, а он сам. Или не развернёт, его решение.
Делайте перекат, мессенджеротреды в последнее время доставляют.
Не, там /s/пермоклоунов нет.
Какая потеря.
Запилил перекат
Хуйню ты какую-то запилил.
Надо было картинку с телеграмом поставить?
Лол, в телеграме нет e2e шифрования? Ну и на кой хер он тогда?
Я как-то не интересовался такими подробностями, т.к. мне тг с первого взгляда не понравился, но блядь, НЕТ Е2Е ШИФРОВАНИЯ?! Отныне всех форсеров телеграма по дефолту считаю тралами.
Люблю двойные стандарты. Двойные стандарты - это когда петух кукарекает про суперсложную установку плагинов в xmpp мессенджерах, но при этом совершенно спокойно накатывает адблоки/скачивалки музыки вк/скачивалки видосиков с ютуба на хром и в хуй не дует.
>на первом курсе
Отнюдь
> Именно поэтому я и не рекомендую никому протон
А что можешь посоветовать на замену?
GPG + Gmail.
>А вот плюсы тг:
>абсолютная привязка к номеру телефона, чтобы сохранить долговременную связь - нужно знать номер собеседника, ибо смена ника ведёт за собой дыру в контактах. Возможно, что дыра ещё больше, если в момент такого переименования будет успешной попытка стырить старый ник и некоторое время попиздеть с недоехавшим до такой наглости собеседником
>подтягивание контактов из адресной книги, читай, твоя анонимная зелёная анимешная рожица инстантом появится в клиенте у твоего замдира, причем с фейконеймом, читай, всеми потрохами. Даже Ватсап себе такого не позволяет
>в мессенжере банят по абузам на автомате, пруфы на 4пда. В мессенжере. Не за групповую рассылку спама. Банят. По абузе какого-то долбоёба. На неделю. В мессенжере
>Права доступа в софтине для ведра. Их требуется больше, чем ватсаппу, аське и скайпу вместе взятым дубли не учитываются.
>Встроенные HTML5 ИГЫ. В мессенжере. ИГЫ. Аська, привет.
>Используются проприетарная серверная часть c закрытым кодом, работающая на мощностях нескольких компаний США и Германии, финансируемых Павлом Дуровым[9][10] в объёме порядка 12 млн долларов США ежегодно
>окончательно превратился из «безопасного мессенджера» в медиаплатформу с ботами, публичными каналами и другими функциями, выходящими за рамки обычной переписки.
>народ регает телегу через общедоступные виртуальные номера, безопасность @ анонимность
Бля, я как вынужденно заинтересовался тг в качестве мессенжера, увидев это ржал без остановки. Сквозь слёзы. Ватсап даже как-то вырос в моих глазах после этого. Вы смеётесь? Это типа приваси секьюрити? Это типа простой мессагинг? Открытые исходники клиентов - тоже самое дерьмо, только с расширенным набором стикеров, минималистичного текстового клиента с возможностью прикрепления файлов нет.
Современный IM - говно. Альтернативы - говно. Мнимый выбор из говна. А XMPP, который с некоторым редизайном и перетрушиванием всех XEP'ов мог бы быть охуенной альтернативой всему этому ведру говна, сам сидит в говне, хотя у него потенциала - вплоть до полноценной соцсетки, ибо наработок во всех областях у него больше всех. Поехавшие.
Wire — это:
- открытый исходный код
- аудио- и видеозвонки
- оконечное шифрование
- демонстрация экрана
- не нужен номер телефона для регистрации
- клиенты для Windows, Linux, Mac, Android и iOS
- синхронизация данных между разными устройствами
- прошел независимый аудит безопасности: https://medium.com/wire-news/wires-independent-security-review-61f37a1762a8#.x9qlighkm
Почему ты еще не пользуешься этим божественным мессенжером, анон?