Последнее редактирование:
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Выбор мессенджера
- Автор темы ShadowMan
- Дата начала
Да , зря посоветовал. Не существует оказывается менеджеров которые не собирают инфу .
Вкину немного мыслишек на счет всего этого. Начнем с определения требований для мессенджера.
1. Передача любых данных, включая вложения в шифрованном виде (E2EE)
2. Сокрытие ip-адреса отправителя от получателя, и наоборот
3. P2P или возможность поднятия своей приватной и не очень ноды (если федеративная модель)
4. Не нужен номер и другие идентификаторы, которые сложно подделать и поддерживать в таком состоянии
5. Наличие как мобильного так и десктопного клиента
6. Open-source (client/server)
7. (опционально) Проведенный аудит безопасности
8. (опционально) Сохраниние сообщений на сервере
9. (опционально) Наличие подмножества клиентов, так уязвимость в одном клиенте не повлияет на остальные
10. (опционально) Наличие встроенных средст анонимизации, считаю что такие вещи нельзя доверять мессенджеру, и это ваша забота
11. (опционально) Наличие API либо иного интерфейса, для написания ботов
12. (опционально) Сокрытие метаданных (факт/время отправки сообщения, онлайн и пользователь или нет и др.)
13. (опционально) Отсутсвие метрик
14. (опционально) Поддержка сообщества / обновления
Исходя из наличия этих требований произведем оценку доступных мессенджеров:
- Jabber/XMPP
Не проходит по пункту (1) Передача любых данных, включая вложения в шифрованном виде. Jabber/XMPP не шифрует передаваемые вложения (Даже при включенном OMEMO и других типах шифрования). Он шифрует только ссылку на них. Из этого следует что если кто-либо получит доступ к вашему серверу, он получит все вложения что вы отправляли. Вы можете сами проверить мои слова, подняв бота и поотправляв ему вложения с любого клиента.
Из этого так же следует что пункт (2) Сокрытие ip-адреса отправителя от получателя, и наоборот, так же не исполняется. Ибо чтобы другому пользователю скачать вложение, ему необходимо напрямую обратиться к серверу (Вероятно зависит от клиента. В этом моменте могу ошибаться, сейчас проверить нет возможности). Не нашел подтвержденный аудит безопасности.
- Telegram
Пункт (1) Передача любых данных, включая вложения в шифрованном виде (E2EE) проходит с натягом, ибо шифрование работает только в секретных чатах и может быть использовано только когда другой пользователь онлайн. Пункт (3) Возможность поднятия своей приватной и не очень ноды не является p2p, ноду поднять нельзя, не подходит. Как и пункт (4) Не нужен номер и другие идентификаторы, пункт (6) Open-source (client/server) так же идет нахуй, ибо открыта только клиентская часть.
- Signal
Проходит пункт (3) P2P или возможность поднятия своей приватной и не очень ноды. Но оффициальной документации на поднятие приватного сервера нет. (4) Не нужен номер и другие идентификаторы, не нужен если вы смогли поднять неподнимаему ноду из пункта (3), по умолчанию нужен.
- Session
Форк signal, проходит по всем основным пунктам.
(7) Проведенный аудит безопасности Проведен: тык.
(8) Сохраниние сообщений на сервере Сообщения сохраняются на сервере, но не на вашем!
(9) Наличие подмножества клиентов Только оффициальные
(10) Наличие встроенных средст анонимизации. tor
(11) Наличие API либо иного интерфейса, для написания ботов. Не обнаружен
(12) Сокрытие метаданных. Метаданные сохраняются на сервере разработчика.
(13) Отсутсвие метрик. Есть метрики.
(14) Поддержка сообщества / обновления. Средняя, проект в стадии допила
- Briar
Пункт (5) Наличие как мобильного так и десктопного клиента проходит с натягом, офиициально desktop-client в бетта-версии тык.
В нем так же пока не работает часть функций. Но все равно разберем его по опциональным пунктам.
Запустить десктоп у меня не вышло.
(7) Проведенный аудит безопасности Проведен: тык.
(8) Сохраниние сообщений на сервере ???
(9) Наличие подмножества клиентов Только оффициальные
(10) Наличие встроенных средст анонимизации. tor
(11) Наличие API либо иного интерфейса, для написания ботов. Устаревший (тык)
(12) Сокрытие метаданных. Средствами tor
(13) Отсутсвие метрик. ???
(14) Поддержка сообщества / обновления. Средняя, проект в стадии допила
- Matrix
Проходит по всем основным пунктам. Поэтому разберем опциональные.
(7) Проведенный аудит безопасности Вот аудит: тык.
(8) Сохраниние сообщений на сервере Сообщения сохраняются на сервере (на вашем и получателя)
(9) Наличие подмножества клиентов Их много: тык.
(10) Наличие встроенных средст анонимизации. Встроенных средств анонимизации нет.
(11) Наличие API либо иного интерфейса, для написания ботов. Есть, много: тык.
(12) Сокрытие метаданных. Нет
(13) Отсутсвие метрик. Сам протокол их не описывает. Зависит от клиента.
(14) Поддержка сообщества / обновления. Высокая, сейчас пишут p2p клиент
- Tox
Проходит по всем основным пунктам. Поэтому разберем опциональные.
(7) Проведенный аудит безопасности Не нашел.
(8) Сохраниние сообщений на сервере Сообщения не сохраняются на сервере, необходимо чтобы собеседник был онлайн
(9) Наличие подмножества клиентов Всего 5. тык
(10) Наличие встроенных средст анонимизации. Есть, tor
(11) Наличие API либо иного интерфейса, для написания ботов. Нет оффициальных
(12) Сокрытие метаданных. Средствами tor
(13) Отсутсвие метрик. Зависит от клиента. Например qtox проверяет обновления на сервере, куда переодически стучит.
(14) Поддержка сообщества / обновления. Низкая, обновлений нет.
Возможно что-то забыл, но вы не обижайтесь. А сейчас подведем итоги:
Из того что прошло основные требования выбор не велик. Tox морально устарел, из-за того что его не обновляют, уязвимости в нем не исправляют, мало клиентов (хотябы есть). Аудит безопасности я найти не смог, ботов тоже не попиешь, и лично бля меня tor это оверхед.
Session выглядит именно как комерческий продукт, для продажи анонимности, аля Signal v2.
Briar выглядит неплохо, но отсутствие sdk и других клиентов мне не очень нравится, как и то что десктоп клиент в бетке
Matrix, как по мне самый разумный вариант на сегодняшний день, много клиентов, есть sdk, без проблем поднимается свой приватный сервер. Уже достаточно зрелый проект, по сравнению с остальными вариантами.
1. Передача любых данных, включая вложения в шифрованном виде (E2EE)
2. Сокрытие ip-адреса отправителя от получателя, и наоборот
3. P2P или возможность поднятия своей приватной и не очень ноды (если федеративная модель)
4. Не нужен номер и другие идентификаторы, которые сложно подделать и поддерживать в таком состоянии
5. Наличие как мобильного так и десктопного клиента
6. Open-source (client/server)
7. (опционально) Проведенный аудит безопасности
8. (опционально) Сохраниние сообщений на сервере
9. (опционально) Наличие подмножества клиентов, так уязвимость в одном клиенте не повлияет на остальные
10. (опционально) Наличие встроенных средст анонимизации, считаю что такие вещи нельзя доверять мессенджеру, и это ваша забота
11. (опционально) Наличие API либо иного интерфейса, для написания ботов
12. (опционально) Сокрытие метаданных (факт/время отправки сообщения, онлайн и пользователь или нет и др.)
13. (опционально) Отсутсвие метрик
14. (опционально) Поддержка сообщества / обновления
Исходя из наличия этих требований произведем оценку доступных мессенджеров:
- Jabber/XMPP
Не проходит по пункту (1) Передача любых данных, включая вложения в шифрованном виде. Jabber/XMPP не шифрует передаваемые вложения (Даже при включенном OMEMO и других типах шифрования). Он шифрует только ссылку на них. Из этого следует что если кто-либо получит доступ к вашему серверу, он получит все вложения что вы отправляли. Вы можете сами проверить мои слова, подняв бота и поотправляв ему вложения с любого клиента.
Из этого так же следует что пункт (2) Сокрытие ip-адреса отправителя от получателя, и наоборот, так же не исполняется. Ибо чтобы другому пользователю скачать вложение, ему необходимо напрямую обратиться к серверу (Вероятно зависит от клиента. В этом моменте могу ошибаться, сейчас проверить нет возможности). Не нашел подтвержденный аудит безопасности.
- Telegram
Пункт (1) Передача любых данных, включая вложения в шифрованном виде (E2EE) проходит с натягом, ибо шифрование работает только в секретных чатах и может быть использовано только когда другой пользователь онлайн. Пункт (3) Возможность поднятия своей приватной и не очень ноды не является p2p, ноду поднять нельзя, не подходит. Как и пункт (4) Не нужен номер и другие идентификаторы, пункт (6) Open-source (client/server) так же идет нахуй, ибо открыта только клиентская часть.
- Signal
Проходит пункт (3) P2P или возможность поднятия своей приватной и не очень ноды. Но оффициальной документации на поднятие приватного сервера нет. (4) Не нужен номер и другие идентификаторы, не нужен если вы смогли поднять неподнимаему ноду из пункта (3), по умолчанию нужен.
- Session
Форк signal, проходит по всем основным пунктам.
(7) Проведенный аудит безопасности Проведен: тык.
(8) Сохраниние сообщений на сервере Сообщения сохраняются на сервере, но не на вашем!
(9) Наличие подмножества клиентов Только оффициальные
(10) Наличие встроенных средст анонимизации. tor
(11) Наличие API либо иного интерфейса, для написания ботов. Не обнаружен
(12) Сокрытие метаданных. Метаданные сохраняются на сервере разработчика.
(13) Отсутсвие метрик. Есть метрики.
(14) Поддержка сообщества / обновления. Средняя, проект в стадии допила
- Briar
Пункт (5) Наличие как мобильного так и десктопного клиента проходит с натягом, офиициально desktop-client в бетта-версии тык.
В нем так же пока не работает часть функций. Но все равно разберем его по опциональным пунктам.
Запустить десктоп у меня не вышло.
(7) Проведенный аудит безопасности Проведен: тык.
(8) Сохраниние сообщений на сервере ???
(9) Наличие подмножества клиентов Только оффициальные
(10) Наличие встроенных средст анонимизации. tor
(11) Наличие API либо иного интерфейса, для написания ботов. Устаревший (тык)
(12) Сокрытие метаданных. Средствами tor
(13) Отсутсвие метрик. ???
(14) Поддержка сообщества / обновления. Средняя, проект в стадии допила
- Matrix
Проходит по всем основным пунктам. Поэтому разберем опциональные.
(7) Проведенный аудит безопасности Вот аудит: тык.
(8) Сохраниние сообщений на сервере Сообщения сохраняются на сервере (на вашем и получателя)
(9) Наличие подмножества клиентов Их много: тык.
(10) Наличие встроенных средст анонимизации. Встроенных средств анонимизации нет.
(11) Наличие API либо иного интерфейса, для написания ботов. Есть, много: тык.
(12) Сокрытие метаданных. Нет
(13) Отсутсвие метрик. Сам протокол их не описывает. Зависит от клиента.
(14) Поддержка сообщества / обновления. Высокая, сейчас пишут p2p клиент
- Tox
Проходит по всем основным пунктам. Поэтому разберем опциональные.
(7) Проведенный аудит безопасности Не нашел.
(8) Сохраниние сообщений на сервере Сообщения не сохраняются на сервере, необходимо чтобы собеседник был онлайн
(9) Наличие подмножества клиентов Всего 5. тык
(10) Наличие встроенных средст анонимизации. Есть, tor
(11) Наличие API либо иного интерфейса, для написания ботов. Нет оффициальных
(12) Сокрытие метаданных. Средствами tor
(13) Отсутсвие метрик. Зависит от клиента. Например qtox проверяет обновления на сервере, куда переодически стучит.
(14) Поддержка сообщества / обновления. Низкая, обновлений нет.
Возможно что-то забыл, но вы не обижайтесь. А сейчас подведем итоги:
Из того что прошло основные требования выбор не велик. Tox морально устарел, из-за того что его не обновляют, уязвимости в нем не исправляют, мало клиентов (хотябы есть). Аудит безопасности я найти не смог, ботов тоже не попиешь, и лично бля меня tor это оверхед.
Session выглядит именно как комерческий продукт, для продажи анонимности, аля Signal v2.
Briar выглядит неплохо, но отсутствие sdk и других клиентов мне не очень нравится, как и то что десктоп клиент в бетке
Matrix, как по мне самый разумный вариант на сегодняшний день, много клиентов, есть sdk, без проблем поднимается свой приватный сервер. Уже достаточно зрелый проект, по сравнению с остальными вариантами.
Интересны отзывы от тех кто реально пользуется этим мессенджером
Что скажете про эти мессенджеры?
Zangi https://zangi.com/
Speek https://speek.network/
WireMin https://wiremin.org/
НН = потенциально ханипотыЧто скажете про эти мессенджеры?
Zangi https://zangi.com/
Speek https://speek.network/
WireMin https://wiremin.org/
Нету смысла уходить от привычных матрикс, жаба, токс, simplex, etc
Простите а почему Ноу Нейм?
Zangi - старый мессенджер, как я понимаю они сделали перезапуск, раньше там было что-то типо Signal'а c регистрацией по номеру телефона, сейчас рега без любых номеров и почт
Speek - это форк ricochet.im
WireMin - нашёл упоминание на пикабу и на vc, утверждают, что в отличие от SimpleX Chat'а он не был на кормушке у Microsoft'а https://vc.ru/u/2160811-informacionnaya-bezopasnost/779086
а откуда инфа, что SimpleX Chat был на кормушке у Microsoft'a?
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/67489/
TFC, Quiet
- Автор темы
- Добавить закладку
- #110
Matrix он конечно хорош, но как мессенджер, как-то не очень, больше как сеть-экосистема,
а вот Signal мне понравился. Но того что есть у телеги, нет ни у кого, хотя казалось бы, сделай форк.
Вот так они и жили, кажется огромный выбор, а глаз не ложится..
а вот Signal мне понравился. Но того что есть у телеги, нет ни у кого, хотя казалось бы, сделай форк.
Вот так они и жили, кажется огромный выбор, а глаз не ложится..
Рикошет отрабатывали BKK (немецкая полиция) в рамках атаки временного анализа против педофилов из Boystown, тут мы собрали довольно много материала по данному случаю (и всему связанному): https://xss.pro/threads/123042/
Команда оригинального Рикошета была полностью распущена и проект был передан одному из ключевых разработчиков Тор [pospeselr / morganava], который является американским гражданином, живет в США и возможно сам является сотрудником спецслужб. Существует сейчас на деньги голландского фонда с корнями в Германии [1: https://nlnet.nl/project/Rico/, 2: https://www.blueprintforfreespeech.net/en/about-us/team]. Аудит был проведен только для первой версии [2016: https://public.opentech.fund/documents/ricochet-ncc-audit-2016-01.pdf], но не для Ricochet Reborn и не для Speek.
Я бы не стал им пользоваться
В Zangi нашли критическую ошибку, которая позволяла получать доступ к перепискам, ссылаются на то, что при регистрации, он меняет номер на свой собственный, таким образом, люди, как-то получали доступ. Точно не утверждаю, могу ошибаться, ну где-то видел тут статью, касаемо этого. (ссылка ниже).
А что касаемо самого Zangi, так приложение вовсе не плохое, сам пользовался до поры, до времени. А что касаемо wickr думаете? Он вообще живой?
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/124520/
wickr отключил сервера для некоммерческих пользователей ещё года 2 назад наверное, мессенджер был отличный, но увы, видимо не окупился...
Так они сейчас его переделали, там больше нету реги по номеру телефона, вот что там сейчас красуется на главной сайта:
The New Era Messenger
No Registration
No Data Collection
Посоветуйте пожалуйста,актуальный jabber клиент на мобилу
Speek is open sourceЧто скажете про эти мессенджеры?
Zangi https://zangi.com/
Speek https://speek.network/
WireMin https://wiremin.org/
But other 2 are so full with redflags
zangi specially, new Anom
Какие есть минусы и плюсы у Signal?
plus:
- post-quantum encryption
- open-source
minus:
- centralized servers rented from Amazon AWS
- phone number used for registration
Если вас не смущают хлопоты, вы можете использовать onionshare? Но для меня я открыт для любых экспериментов, у меня очень сильное любопытство, а любопытство - это движущая сила всех вопросов!
матрицу надо просто грамотно настраивать, ограничивать федерацию, автоудаление там тоже можно настроить, открытие/закрытие реги есть
можно клауд натянуть чтобы ип скрыть
можно фф вообще натянуть
можно клауд натянуть чтобы ип скрыть
можно фф вообще натянуть
Да, даже два:
Mixin - Financial Privacy and Security
Mixin Network is a free and lightning fast peer-to-peer transactional network for digital assets. Launched in 2017, the network is now securing more than $1B BTC, ETH and other popular cryptocurrencies.
mixin.one
