Vlákno názorů k článku
WhatsApp uklidňuje: nikdo nemůže číst vaše zprávy ani sbírat kontakty
od Michal Tauchman - To je takzvaná snaha zachránit co se dá...
-
Ze své sociální bubliny zase vidím, že s nějakým zachraňováním to nebude zas tak horké.
Po instalaci Signalu jsem v něm měl pět kontaktů, ze kterých s pěti jsem za posledních pár let neprohodil ani slovo.
Zkoušel jsem třeba rodinu přesvědčit o tom, proč je Signal lepší.
Vesměs jsem se dozvěděl, že na WhatsAppu jsou doma a že jim je nějaké šmírování šumák.
Je jim jedno, skrzevá co si budou posílat obrázky koťátek, hlavně ať s tím mají co nejméně práce.
Z jejich pohledu není proč měnit něco, co z jim funguje, jen proto, že teď musejí odkliknout nějaký otravný formulář, který si stejně nečtou. -
WhatsApp nevedu, ale mám Telegram. Když chci, aby mi někdo cizí napsal, můžu mu poslat odkaz https://t.me/frantavoprsalek. Zkoušel jsem Signal, ale vypadá to, že musím poslat své telef. číslo?
-
Mám aj telegram aj signal, v oboch sa dajú vygenerovať odkazy. Nemusíš posielať číslo. Odkaz je potom v tvare https://signal.group/#<kopec_znakov> ďalšia možnosť je poslať QR kód, a keď si ho ľudia naskenujú, tak ich automaticky pridá do Vašej skupiny.
14. 1. 2021, 12:55 editováno autorem komentáře
-
Ondra Satai NekolaZlatý podporovatelMne to teda na Signalu dost naskakalo... Ale netroufnu si tvrdit, ze jsem nejak statisticky ja nebo lidi, se kterymi se znam, relevantni :-D
-
Signal je málo populární, protože je to z UX hlediska naprostá katastrofa. Ve srovnání s WhatsApp (nebo ještě lépe s Telegramem) je to na úrovni jako ICQ nebo Jabber. Působí to velmi staře a neatraktivně.
Nemá to dobře použitelné skupiny, videohovory na hranici použitelnosti, nemá to animované "stickers", nemá to ankety, nemá to videokonference, odevšud přístupnou historii X let zpátky (se všemi fotkami a videoklipy... mnoho desítek GB)... a desktop aplikace je jen jakási Electron webovka se základní podmnožinou vlastností té mobilní.
-
Ondra Satai NekolaZlatý podporovatel
Na druhou stranu WhatsApp a Telegram jsou bezpečnostní katastrofy :-/
-
Ondra Satai NekolaZlatý podporovatel
- state of the art? Spíš jsou nemístně kreativní
- by default už šifrují e2e?
- https://buttondown.email/cryptography-dispatches/archive/cryptography-dispatches-the-most-backdoor-looking/
- neměli jediný zásadní bezprostřední problém? https://web.archive.org/web/20181118154823/https://www.alexrad.me/discourse/a-264-attack-on-telegram-and-why-a-super-villain-doesnt-need-it-to-read-your-telegram-chats.html -
1. state of the art jsem myslel u Signalu.
2. e2e šifrování není problém bezpečnosti, ale soukromí. Komunikace nemusí být e2e šifrovaná a přesto bezpečná. A ano, z pohledu soukromí je na tom Signal lépe, protože poskytovatel služby nemá k obsahu žádných chatů přístup. U Telegramu musí u normálních chatů člověk věřit poskytovateli služby. Ten ale nemá za celou dobu fungování jediný známý případ zneužití dat uživatelů nebo jejich předání třetím stranám.
3. ty uvedené příklady mluví o obecné bolístce e2e šifrovaní: jak si ověřit šifrovací klíče, když obě strany nejsou fyzicky spolu. To AFAIK nemá vyřešené spolehlivě nikdo z kecálků. A pak je tam něco (sorry, četl jsem to rychle) o teoretickém útoku, který by podle autora článku stál na výpočetním výkonu desítky milionů dolarů. Jestli je toto zásadní bezpečnostní chyba, tak to je potom prakticky každý software děravý jak řešeto.
-
Ondra Satai NekolaZlatý podporovatel
2. Soukromí je součást bezpečnosti.
3. Koukni na to ještě jednou. Ověřování je bolístka, ale to xorování navíc byla prostě nesouvisející katastrofa. A ano, z hlediska krypta tohle bylo "jako řešeto".
-
No, spíš bezpečnost je součástí soukromí, ale to už zabíháme do filozofických debat.
Já jsem těch článků o nedostatcích krypta Telegramu četl docela dost. Z těch reálně proveditelných útoků měly všechny low-impact, Telegram je opravil a autorům vyplatil peníze. No a pak jsou tam věci, které jsou nedostatky toho krypta, bezpečáci se nad tím pohoršují, protože to jde samozřejmě udělat lépe, ale praktická zneužitelnost je limitně blížící se nule a praxe to zatím potvrzuje, protože kdyby něco mělo katastrofální bezpečnost, tak prostě za 8 let, kdy to používají stovky milionů lidí, hromada politiků, opozičních aktivistů v zemích jako Rusko, Bělorusko, Írán, tak už to dávno má úspěšné útoky na účty uživatelů a úniky dat, což Telegram dosud prostě neměl.
Signal má určitě bezpečnější návrh, bez debat, ale nesouhlasím s tím, že Telegram je bezpečnostní katastrofa a už vůbec bych ho nedával na roveň s WhatsAppem, který měl řadu kritických zranitelností, které byly v praxi skutečně zneužité (viz hacknutí telefonu Bezose). Mám nainstalovaný jak Telegram, tak Signal, ale popravdě používám téměř jenom Telegram, ať už kvůli počtu uživatelů, tak množství funkcí. Považuju ho za dostatečně bezpečný. Signal je fajn, ale vzhledem k jeho funkční omezenosti si ho dost dobře nedokážu představit jako každodenního kecálka. Je fakt, že jsem hodně heavy user. Kdybych to používal jako lepší SMS, tak asi v pohodě.
-
" - by default už šifrují e2e? "
Áno v secret chats. Telegram sa prezentuje ako 2-módová chat app, je na užívateľovi či komunikuje v "standard mode" a využíva komfortné funkcie na úkor bezpečnosti (bez E2E), alebo komunikuje v režime "secret chat" kde je E2E ale bez komfortných funkcií.https://telegra.ph/Why-Isnt-Telegram-End-to-End-Encrypted-by-Default-08-14
Tie odkazy sú v súčasnoti už irelevantné. XOR v DH alebo SHA-1 ktoré sa popisujú v článkoch sú už dávno fixnuté.
A tak ako tu už niekto písal, Telegram vyhlásil cracking contest kde mal útočník k dispozícii plnú kontrolu nad spojením 2 účastníkov v "secret chat". -
Ondra Satai NekolaZlatý podporovatel
A chaty jsou by default jaké?
Ano, je to fixlé. Ale zůstává otázka, jaké množství nekompetence (nebo zlovolnosti?) v té firmě je.
A cracking contesty jsou cool ale úplně na houby.
-
"A chaty jsou by default jaké?"
Takto, ak niekto prenasa citlive informácie, má jasno ako používať appku (že má byt v móde "secret chat"). Nejakemu Honzovi z JRD nepomoze ani top overena E2E komunikacna appka ked nevie ako ju pouzivat alebo ako zaobchadzat s citlivymi udajmi.
"A cracking contesty jsou cool ale úplně na houby."
Váš ničím nepodložený názor...... ale rád uvítam relevantné argumenty prečo je to na houby...
-
Ondra Satai NekolaZlatý podporovatel
Oldies ale dobrýs: https://www.schneier.com/crypto-gram/archives/1998/1215.html
-
Nejakemu Honzovi z JRD nepomoze ani top overena E2E komunikacna appka ked nevie ako ju pouzivat alebo ako zaobchadzat s citlivymi udajmi
To je právě ono. U běžných chatů lidi prostě E2E šifrování nepoužívají, jak by měli. Kolik lidí si v Signalu nebo WhatsAppu poctivě s protistranou ověřuje šifrovací klíče buď osobně nebo přes nějaký jiný bezpečný kanál? Tipuju, že to nejsou ani jednotky procent.
Ze 100+ kontaktů v Telegramu mám nastavené E2E chaty jen se 3 z nich, ale u nich to opravdu používáme s ohledem na bezpečnost a soukromí: ověření klíčů při každé změně zařízení, žádné zálohy, automatické mazání zpráv... Popravdě si nedokážu představit, že bych to dělal u všech 100+ chatů.
-
Co je na skupinách nepoužitelného (zejména po nedávné aktualizaci https://signal.org/blog/new-groups/ )?
Problém s videohovory jsem nepostřehl.
Animované nálepky jsou podporované - viz třeba https://signalstickers.com .
Videokonference do 5 osob jsou podporované, a to jak na mobilu tak desktopu ( https://signal.org/blog/group-calls/ ).
Odevšad přístupná historie je z pohledu soukromí/bezpečnosti výrazný kompromis v neprospěch prvně jmenovaných.
Desktop aplikace nemá všechny funkce té mobilní, ale alespoň je to aplikace s "poctivým" systémem aktualizací (kontrola digitálních podpisů nových verzí), která nekompromituje E2E šifrování (tak jako všechny čistě prohlížečové aplikace, jako má třeba WhatsApp, Wire, Threema, ...) nutnou důvěrou v server, který by webovou aplikaci hostoval, a dá se používat zatímco je mobilní zařízení offline.
-
Na druhou stranu co se přehlednosti a konfigurovatelnosti týká tak mezi IM klienty pro desktop jsem nepotkal nic co by se byť jen přiblížilo staré Mirandě. Dneska se vyvine mobilní aplikace a na desktop se hodí bobek takže UX pro desktop je katastrofa skoro všechno. Jistě odklikávač obecný potřebuje cool vzhled na mobilu, zbytek je nezajímavá menšina. Ovšem co se komunikátoru týká základní předpoklad pro robustní řešení je protokol oddělený od klienta a federace nezávislých uzlů, což Telegram ani Signal nejsou. (Tento názor čeká na redakční schválení - pokud cenzurou projde tak si ho možná někdo i přečte)
14. 1. 2021, 20:28 editováno autorem komentáře
-
Nějak mi nezapadá ta první věta do zbytku textu. Ano v Signalu není žádný bastl nesmyslů a jde o bezpečného komunikačního klienta na psaní zpráv. Takže z hlediska UX je to oproti WhatsAppu a messengeru naprostá pecka :) I Greta jistě bude souhlasit, proč posílat datově 100x větší animovanou nálepku, když mohu poslat obyčejný emotikon?!
-
Zrovna animované nálepky jsou pro mě něco, co akorát tok informací dělá totálně nepřehlednýml, zbytečně odvádí pozornost a člověk si pak občas může připadat jak někde na mimibazaru :-/. Jo, třeba smajlíky ve velikosti cca srovnatelné se zbylým textem jsou v pohodě, ale cokoliv víc už, řekl bych, je z hlediska přehlednosti a praktičnosti jen na škodu.
