Matrix.org взломали. Дважды.

Ну если опыт еще не научил не использовать новомодные поделки от группки васянов...

Ты сам то прочёл что там взломали?

А ты?

да и пес с ними, у всех же свои инстансы

актойта?

Email + GNU PG, неужели это не очевидно? Вечно делают эти BolgenEmail, а потом взламывают.

Не используйте поделки от Васянов. Телеграм еще никто, ни разу, не взломал.

Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей.

Телеграм еще никто, ни разу, не взломал

Неверное утверждение, аккаунты взламывались и не раз. Например, https://www.rbc.ru/politics/02/05/2016/57278bc29a7947849edc8a53

Спецслужбы США уже взломали (CVE-2018-$$$)

Ты сейчас сравниваешь взлом аккаунта без пароля и взлом инфраструктуры проекта с доступом к базам данных, правильно тебя понимаю?

Чак Норрис.

Спасибо за инфу, второй день не могу зайти, в непонятках.

Я правильно понимаю, что ты сливаешься и признаёшь неправоту утверждения «никто ни разу не взламывал»?

А на что эти хипстеры рассчитывали с ихним подходом к разработке?

Взлом - это плохо, конечно, но нужно было кому-то показать, что не всё так радужно, как на страницах лендинга.

Я говорил про инфраструктуру проекта, очевидно же.

Чувак, их взломали через дырявый Jenkins.

Конечно, поэтому ее понимаю, как свой собственный сервер, о котором ты упоминаешь, обезопасит тебя от использования скомпрометированного исходного кода клиента и серверной части при их обновлении. Так как взломали инфраструктуру.

Куды бечь уже писали?

обезопасит тебя от использования скомпрометированного исходного кода клиента и серверной части при их обновлении

Но ведь ни репозитории, ни Docker Hub тронуты не были.

А можно критерии в студию, по которым определяется нужно ли орать пуская сопли про хипстеров здесь или нет?

Да здесь, наверное, всё должно быть очевидно: проект новый, основная кодовая база на JavaScript, Python и Go.

Сейчас тебе скажут, что это не новомодная поделка от васянов, и что за децентрализацией будущее

Если ты про matrix.lor.sh то он рип...

за децентрализацией будущее

Скорее, за централизацией нет должного развития.

Лул.

Ага, только

После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры.

Мне-то какое дело, если мой сервер остаётся в прежнем состоянии?

Но твою переписку украли со взломанного, потому что половина твоих контактов сидит там.

потому что половина твоих контактов сидит там

Чини детектор.

А что украли-то? Зашифрованные сообщения? И ладно.

Не используйте большой централизованный сервер, поднимите свой. Это не так дорого и очень просто.

спасибо, кеп. но некоторые всё равно не поймут.
и продолжат использовать телегу )

Которую пока не ломали, лул.

я вам верю, конечно же

Если матрикс работает так же как Wire, то взломав сервак ты можешь добавить дополнительный (подставной) девайс в нужный аккаунт и читать переписку :)

и читать переписку

Только вот обоим участникам вылезет уведомление, что добавлено новое устройство, которое нужно тут же заблеклистить.

Ну тогда ок.

Я за бан. Ъ по ссылкам не ходят.

Любитель попсовеньких зондомесседжеров в треде.

Ты веришь в домовых?

Очень жаль.

Домовых что, взломали?

А если скажу что ДА, ты тоже поверишь? Ты в бабаек веришь?

Телеграм еще никто, ни разу, не взломал.

Ну понятно, что у Дурова и ресурсы другие и персонал следит 24x7. И даже если кто, то пробрался, то аларм и выкинут.

А еще и GPG ключи утекли.

На https://github.com/matrix-org/matrix.org/issues взломщик (matrixnotorg) оставил результаты «исследования».

Аккаунт ожидаемо приморозили,копия доступна тут:

https://github.com/matrix-org/matrix.org/issues/371

Если матрикс работает так же как Wire, то взломав сервак ты можешь добавить дополнительный (подставной) девайс

Был прецедент?

Сейчас тебе скажут, что это не новомодная поделка от васянов, и что за децентрализацией будущее

«за децентрализацией будущее», но «это новомодная поделка от васянов».

Нет, просто такова логика работы Wire — когда ты добавляешь новый девайс, то ради шареной истории все новые сообщения подписываются всеми ключами, включая ключ нового девайса.

Какое развитие должно быть?

казалось бы есть XMPP + OTR OMEMO нет хотят юзать сырое недоработанное решение