LINUX.ORG.RU
Ответ на: комментарий от hateyoufeel

Юзабилити не страдает

Страдает же. А поскольку телеграм - это мессенджер рассчитанный на массовую аудиторию, то юзабаилити в нём важнее безопасности.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Страдает же. А поскольку телеграм - это мессенджер рассчитанный на массовую аудиторию, то юзабаилити в нём важнее безопасности.

Единственный вариант, где тут страдает юзабилити, это если ты просрал вообще все девайсы и логинишься с нового. Тогда ты просто не получишь доступ к старой переписке. Но это ничем не отличается от варианта, когда твой пароль и код из смс украли и за тебя логинится кто-то другой.

hateyoufeel ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Ты видел, как работают секретные чаты в телеге? Между каждой парой устройств отдельный чат.

Да, и? То, что телега не умеет синхронизировать историю между твоими девайсами для шифрованных чатов, это косяк телеги. Потому что другие это умеют, и проблемы сделать это нет вообще.

…которые в телеге не используются.

Ну.. кто же им запрещает-то использовать? Кроме собственной Дурости.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Ну.. кто же им запрещает-то использовать?

Запрещает то что у них уже есть свой собственный протокол, который никаким боком не совместим с названными реализациями.

eternal_sorrow ★★★★★
()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

Ну как давай расскажи, как это сделать при условии что шифрованные сообщения не хранятся на сервере.

Ээээ… а в чём проблема? Твой девайс пересылает твои сообщения другим твоим девайсам. С т.з. протокола нет различия между твоим девайсом и девайсом собеседника, это просто публичный ключ и ratchet, и поэтому вообще насрать, отсылать только одному девайсу собеседника или пачке твоих и его девайсов.

Запрещает то что у них уже есть свой собственный протокол, который никаким боком не совместим с названными реализациями.

ССЗБ? Перейти на libolm не то чтобы сложно будет. Ну и опять же, никто не мешает прикрутить libolm поверх обычных чатов в телеге. Вот же хохма-то будет!

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от eternal_sorrow

Что тебя смущает? Девайсы заранее генерируют одноразовые prekey bundles, подписывают их и шарят друг с другом. Они дешёвые и маленькие, их хоть по тыще на каждый девайс можно нагенерить. Если хочешь создать чатик, берёшь prekey для нужного девайса и пофигачили.

Ещё раз повторю: все эти проблемы E2EE давно решены (кроме масштабирования на сотни-тысячи девайсов). Даже восстановление истории при просранных девайсах возможно через сохранённый на бумажке ключ. Просто телега днище и не может.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Всё это работает только при условии хранения сообщений на сервере или если два устройства онлайн одновременно. Иначе откуда новое устройство возьмёт сообщения из уже существующих чатов?

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Иначе откуда новое устройство возьмёт сообщения из уже существующих чатов?

Из твоих других устройств. Ты подключаешь новый девайс, на старом всплывает диалог для подтверждения, после чего история синхронизируется. Сервер нужен только если ты хочешь по оффлайновому ключу историю шифровать, но это вообще не обязательная фишка, плюс чтобы хранить prekey bundles (опционально).

Сейчас сервер телеги в любом случае участвует в обмене ключами и секретные чаты так же через него проходят, хоть и не сохраняются. Иначе как ты NAT обойдешь?

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel

Сейчас сервер телеги в любом случае участвует в обмене ключами

Как недоверенная среда в алгоритме выработки общего секрета (DH). Т.е. ключ не покидает клиентские устройства, нет обмена.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)
Ответ на: комментарий от vvn_black

Как недоверенная среда в алгоритме выработки общего секрета (DH). Т.е. ключ не покидает клиентские устройства, нет обмена.

Да, и? Эта роль никак не изменится от нормальной реализации E2EE. Менять нужно только клиентский код. Опционально можно хранить на сервере prekeys, чтобы не нужно было обоим пользователям одновременно быть в сети для начала чата. Т.к. они подписаны, сервер не сможет тут поднасрать. Разве что только подменой списка девайсов и их публичных ключей, но от этого технически никак не защититься вообще.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

Ну я же говорю, значит другое устройство тоже должно быть онлайн.

Не обязательно. Если ты готов к тому, что сервер временно будет хранить шифрованные сообщения – прочитать он их всё равно не сможет – то онлайн быть не требуется.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Обрати внимание, я об этом говорил в самом начале этого (бессмыссленного) диалога. Либо оба устройства должны быть одновременно онлайн либо сообщения хранятся на сервере. Третьего не дано.

В телеграме же не реализовано ни то ни другое. Зашифрованные сообщения не хранятся на сервере и обмен данными между двумя клиентами одного аккаунта когда они оба онлайн - тоже отсутствует.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Зашифрованные сообщения не хранятся на сервере

Хранятся. Оба устройства должны быть в сети для начала чата и обмена ключами, а дальше можно писать друг другу без проблем. Т.е. сообщения хранятся на сервере до доставки. Что на сервере не хранится, так это ключи.

В любом случае, речь о том, чтобы заменить обычные сообщения. Которые сейчас хранятся на серверах телеграма вообще в чистом виде, и их там может читать кто угодно.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

Страдает же. А поскольку телеграм - это мессенджер рассчитанный на массовую аудиторию, то юзабаилити в нём важнее безопасности.

При этом запрещены секретные чаты на десктопе. Типа из-за безопасности, хотя как раз с точки зрения безопасности еще большой вопрос где безопаснее.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

При этом запрещены секретные чаты на десктопе.

Что значит запрещены? Просто нет их поддержки в официальных десктоп - веб-клиентах. Это запрет?

API есть, в TDLib методы для создания секретных чатов есть, т.е. в стороннем приложении добавить их можно на какой угодно платформе.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)
Ответ на: комментарий от vvn_black

API есть, в TDLib методы для создания секретных чатов есть, т.е. в стороннем приложении добавить их можно на какой угодно платформе.

Вроде обсуждали же, что такие сторонние клиенты будут баниться, где-то там требования есть на этот счет (не смотрел).

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Т.е. дать API, дать и поддерживать свою реализацию JSON API на плюсах, и всё для того, чтобы банить клиентов их использующих?

Так-то Telegram X одно время (а может и сейчас) считавшийся вторым официальным мобильным клиентом использует TDLib.

Я от телеги видел одно предупреждение, в момент запуска рекламных фишек, что сторонние клиенты которые их не реализуют будут заблокированы. Больше про блокировки сторонних клиентов не видел ничего.

vvn_black ★★★★★
()
Ответ на: комментарий от praseodim

Вроде обсуждали же, что такие сторонние клиенты будут баниться, где-то там требования есть на этот счет (не смотрел).

У Телеграма фактически нет ToS нормального.

https://telegram.org/tos

4. Termination
4.1. Compliance with the Terms

Failure to comply with the Telegram Terms of Service may result in a temporary or a permanent ban from Telegram or some of its services. In such instances, you might lose the benefits of Telegram Premium and we will not compensate you for this loss.

4.2. Unilateral Termination

Telegram can decide to stop offering subscriptions at any time, including in response to unforeseen circumstances beyond our control, or to comply with a legal requirement; in this case we will cancel your subscription and refund the prorated portion of any prepaid subscription fee equal to the remaining unused term of the subscription.

Т.е. тебя могут забанить просто потому что. Как показывает практика, пользователи сторонних клиентов получают бан сильно чаще, чем пользователи официальных.

hateyoufeel ★★★★★
()
Ответ на: комментарий от praseodim

На маке в десктопном клиенте доступны. В некоторых неофициальных клиентах для венды доступны. Нету в кроссплатформенном клиенте telegram desktop.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от hateyoufeel

Речь идёт не о бане пользователей сторонних клиентов, а о бане самих клиентов, то есть их API ключей. Авторы таких клиентов очень этого боятся, как показывает практика.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

а о бане самих клиентов, то есть их API ключей.

Я вот не пойму, а что мешает выдрать ключи из официального клиента и заюзать их? И пусть банят, хе-хе =)

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Не осилили использовать такой же штатный key storage винды (Credential Storage) и Линукса (freedesktop-keyring).

Ну и да, маковский кистор искаропке аппаратно-плечеван, вендовой и линуксовый - лишь после некоторого пердолинга.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 1)
Ответ на: комментарий от praseodim

Ничего не мешает. Neko X при логине позволяет выбрать ключ. Можно ввести свой или же выбрать один из ключей от официальных клиентов. Но авторы других форков почему то боятся так делать.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от praseodim

Ничем, но для венды и линукса нет отдельных клиентов, есть только tdesktop, в котором секретных чатов нет (на маке тоже нет).

eternal_sorrow ★★★★★
()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)