Теперь это топик для ругания Телеграма

Тему можно раскрыть в Что такое eSIM? Попытка номер 2.

Только не надо Телеграма 8-\

Тема переехала в Что такое eSIM? Попытка номер 2.

Только без Телеграма, пожалуйста Ж-(

В закрытом коде дыр больше хотя бы за счет количества разработчиков - шанс что проглядят какую-то уязвимость выше.

Так они же дают возможность заработать кому угодно за поиск уязвимости. Найди уязвимость, сообщи и тебе заплотят. Прецеденты были.

Благодоря особенностям работы протокола сообщений можно поиметь по сути любую СМС.

И имейл с паролем могут так же угнать. Биометрию могут подделать, отпечатки пальцев откуда угодно взять и скопировать, а глаз у тебя могут выдрать хулиганы в подворотне. Что безопасно-то тогда?

Если завтра ЛОР объявят экстремистким ресурсом пойдешь явку писать?

Хе-хе. Maxcom пойдёт.)

Ибо данные не защищены как минимум от правообладателя решения.

Каким образом открытой исходный код тебя защищает?

Но кода сервера так и не завезли. Так что все ещё говно.

Что меяет открытость кода сервера? Допустим ты пользуешься jabber, я админ сервера, на сервере стоит ejabberd. Он опенсорсный, что никак не мешает мне читать твои сообщения, если ты их отдельно не шифровал. Тогда зачем тебе код, шифруй сообщения в ТГ с помощью GPG или OTR, если надо.

Так они же дают возможность заработать кому угодно за поиск уязвимости. Найди уязвимость, сообщи и тебе заплотят. Прецеденты были.

Знаешь, уязвимость в таком продукте можно выгодно продать и получить значительно больше чем от разрабов. На порядки.

И имейл с паролем могут так же угнать. Биометрию могут подделать, отпечатки пальцев откуда угодно взять и скопировать, а глаз у тебя могут выдрать хулиганы в подворотне. Что безопасно-то тогда?

Ничто не обладает абсолютной безопасностью. Но локальное зашифрованное хранилище не привязанное к мылу/телефону/etc все равно безопасней. А биометрию лучше вообще не вспоминай, это полное дно. Самый вменяемый вариант - хардварный легкоразрушаемый токен (разумеется полностью открытый).

Потому что нельзя найти орфографические ошибки в книге не открыв ее, а в открытой кто угодно может. Кроме того исходники самого мессенджера открыты, под закрыт только сам север со всеми протоколами и это правильно.

Что меяет открытость кода сервера?

Дает возможность поднять свой сервер, а не пользоваться заведомо уязвимым/подконтрольным кому-то ещё.

Какое отношение Телеграм имеет к сим-картам, помимо регистрации?

такое что тоже зонд.

Ты ведь понимаешь что сейчас сам себе противоречишь? Сначала утверждаешь что закрытость = безопасность, а теперь постишь высказывание с полностью противоположным смыслом.

Таким, что я (или не я) могу изучить код на отсутствие закладок.

Так они же дают возможность заработать кому угодно за поиск уязвимости. Найди уязвимость, сообщи и тебе заплотят. Прецеденты были.

В закрытом годе её искать во много раз сложнее.

Знаешь

Вот я например не знаю. Мне проще Дурову написать, чем шарахаться по даркнету и искать странных личностей, которые ещё и кинуть могут.

Но локальное зашифрованное хранилище не привязанное к мылу/телефону/etc все равно безопасней.

Вот именно в таком хранилище у меня и хранится пароль от tg. А по смс только для двухфакторной приходит.

Дает возможность поднять свой сервер, а не пользоваться заведомо уязвимым/подконтрольным кому-то ещё.

Так исходники мессенджера открыты, пиши свой сервер и привязывай к tg. А то привыкли на всем готовеньком...

Злоумышленникам сложнее там найти уязвимости, а значит безопаснее.

В закрытом годе её искать во много раз сложнее.

Да, в первую очередь для злоумышленников.

Вот я например не знаю. Мне проще Дурову написать, чем шарахаться по даркнету и искать странных личностей, которые ещё и кинуть могут.

А кому-то с точностью до наоборот. Покупатель всегда найдется, особенно если у продавца есть пруфы.

от именно в таком хранилище у меня и хранится пароль от tg. А по смс только для двухфакторной приходит.

Хранилище внешнее, надеюсь? Ибо хранить данные для доступа к аккаунту на том же устройстве это слабоумие в самом медицинском смысле. Двухфакторка тоже дно.

Таким, что я (или не я) могу изучить код на отсутствие закладок.

Как думаешь, там сколько сотен тысяч строк? Думаю много. Прям таки все изучать будешь?

Реверсить серверную часть? Есть только протокол общения клиента с сервером и сам клиент. Нафига оно мне надо если уже есть настоящие p2p мессенджеры.

Нельзя провести независимый аудит того, у чего нет открытых исходников

Можно, и он проведен (ты можешь говорить, что он не независимый, но я вполне полагаюсь на мнение EFF). Его ценность может быть невелика (доказать, что в продакшене стоит та самая версия исходников, невозможно), но он проведен.

Ты сначала защитись от действий самого правообладателя программы. Там злоумышленнику не надо искать уязвимость, для него код открыт, так как он сам его пишет.

Код свободного ПО же открыт для всех, плюс часто оно разрабатывается коллективно. Так что уязвимость или закладку могут найти не только, если её специально искали.

Плюс автор часто бросает разработку проприетарного ПО, тогда поставка обновлений безопасности прекращается. Мы такое проходили и проходим с android-телефонами, роутерами и кофеварками. Производителю выгодно дропнуть поддержку старого продутка, чтобы покупатели побежали выбрасывать его и покупать новый.

Дает возможность поднять свой сервер, а не пользоваться заведомо уязвимым/подконтрольным кому-то ещё.

Зачем тебе свой сервер, если у ниж нет федерации? А если нет федерации, то какой смысл в своём сервере, если можно использовать любой другой протокол, всё равно связи с ТГ не будет, даже если бы код сервера был открыт. У тебя сильно надуманные причины или ты не знаешь чего хочешь на самом деле.

У популярных программ много соавторов. Которые изучают код не только и не столько целенаправленно ради поиска закладок и уязвимостей, сколько для его улучшения.

Хранилище внешнее, надеюсь?

Нет, kdb-контейнер, который я синхронизирую между устройствами через дропбокс. Скажешь aes-256 шифрование тоже не надёжно?

Я вообще сторонник p2p, мне эти централизованные телеграмы/вайберы/etc не впёрлись.

Я вообще сторонник p2p, мне эти централизованные телеграмы/вайберы/etc не впёрлись.

А чего тогда пристал к коду сервера?

Нафига оно мне надо если уже есть настоящие p2p мессенджеры.

Которые не поддерживают хранение и синхронизацию истории, стикеры с котиками, хранение документов, передачу фоточек без сжатия, потоковое проигрывание видео и музыки. Ну кому оно нужно кроме мазохистов в 2к18 году?

Сам aes-256 пока ещё не взломан (насколько я знаю), но возможна атака по другим каналам - например слить пароль от этого контейнера. Ну и дропбокс днище.

Ты сначала защитись от действий самого правообладателя программы.

Дуров мамой поклялся! :)

Плюс автор часто бросает разработку проприетарного ПО

К сожалению это гораздо чаще происходит с открытым ПО.

не поддерживают хранение и синхронизацию истории, стикеры с котиками, хранение документов, передачу фоточек без сжатия, потоковое проигрывание видео и музыки

Кому это всё нужно и зачем?

В whatsapp тоже нет хранения истории.

Ты или тупой или очень толстый. Впрочем возможны оба варианта.

История хранится локально и зашифрована. Синхронизация - её нет, разве что сторонними средствами (перекидывать файлы). Файлы передаются как есть, без сжатия. Звонки и видео в tox уже давно есть.

С чего ты взял что у tg этих соавторов мало? Судя по обновлениям и новым фичам там с программерами все в порядке.

Сложнее, но если найдет один - то может никому не говорить и пользоваться сколько угодно и как угодно. Если код открыть - то эту дыру найдет кто-нибудь еще и возможно доложет кому надо, дыру прикроют и можно будет снова безопасно им пользоваться.

Сам aes-256 пока ещё не взломан (насколько я знаю), но возможна атака по другим каналам - например слить пароль от этого контейнера.

Какие альтернативы хранения предлагаешь?

К сожалению это гораздо чаще происходит с открытым ПО.

Но не из корыстных соображений. И обычно того ПО, которое малопопулярно. Если оно более-менее популярно, то найдутся два с половиной человека, которые будут хотя бы уязвимости безопасности фиксить. Даже проприетарное или полупроприетарное ПО энтузиасты пытаются поддерживать на плаву. Например, несмотря на тивоизацию и проприетарные драйверы, энтузиасты выпускают обновлённые прошивки для роутеров и ведрофонов, на которые забыл производитель.

Они все работают на Дурова.

Кому это всё нужно

Всем тем миллионам пользователей, которые предпочли Телеграм вместо IRC, XMPP, TOX и всего остального.

Ты ещё скажи, что анимированная какашка в гейфоне — киллер-фича.

Telegram нужен тем, кто пользуется Telegram. Прекрасный ответ.

История хранится локально и зашифрована.

локально

В 2к18 году...
А у tg она хранится зашифрованной на сервере и доступна на всех устройствах. Удобно? Удобно!

Синхронизация - её нет, разве что сторонними средствами (перекидывать файлы)

В 2к18 году...

Файлы передаются как есть, без сжатия.

А в tg их можно хранить на сервере и качать только когда надо. Вот это нормально для 2к18 года.

А если подумать? Внешние устройства, например. Со своей памятью, шифрованием и своим хардварным рандомом. Разумеется швабодно-открытые. Но если тебе нужно удобство, а не безопасность то можешь забить. Что-нибудь типа nitrokey, True RNG или Mooltipass (это из простых и удобных).

Не знаю как там в 2к18, но в моём 2018 это называется потреблядством и пренебрежением безопасностью данных.

А у tg она хранится зашифрованной на сервере и доступна на всех устройствах. Удобно? Удобно!

Как она может зашифровано храниться на сервере, если для того, чтобы мне её прочитать, мне лишь нужно залогиниться на новом устройстве при помощи sms? Ты хоть сам понимаешь, что говоришь? Если бы она была действительно зашифрована, то был бы нужен ключ, который бы хранился только у меня. Скорее всего, приватный ключ ассиметричного шифрования, а это уже не пароль из 8 символов.

Вот это нормально для 2к18 года.

Это нормально для 2000 года, привет. Прогрессивные технологии, вроде бы, подразумевают использование блокчейна — глянь тот же status.im, как более-менее хороший концепт.

Если оно более-менее популярно, то найдутся два с половиной человека, которые будут хотя бы уязвимости безопасности фиксить.

Дружище, даже популярные прошифки на андроид фиксятся по нескольку лет... Чего уж говорить про редкое ПО...

Телеграм нужен тем, кто хочет поговорить с теми, кто пользуется телеграм.

Внешние устройства, например.

И куда мне его, к трусам прицепить чтобы каждой раз в зоне доступности очередной пароль находился?

Дружище, даже популярные прошифки на андроид фиксятся по нескольку лет...

Потому что они наполовину проприетарные, а телефон тивоизирован?

Ну, это уже твоё дело как его таскать. Ты попросил более-менее секурно - я ответил.