Переворот в Tox. Чё за движ? Код красный?!

[MaFio]

Я не пользуюсь Tox, отдавая предпочтения более старым и проверенным способам связи, но присматривался к новому протоколу, его клиентам и видел как широко и охотно он стал применяться в сообществе.

Если вы пользуетесь им, и не в танке, то вы должны были заметить существенные изменения, произошедшие, буквально, на прошлой неделе. Речь идет о смене основной команды разработчиков, ядра протокола и основного клиента, а также связанных с этим изменениях в кодовой базе и инфраструктуре проекта.


Протокол Tox и клиент qTox, являвшийся де-факто основным клиентом Tox, перестал получать обновления с 2022 года. Это вызвало обоснованные опасения относительно безопасности и дальнейшей жизнеспособности проекта, а также всякие разные закулисные набросы на вентилятор, якобы, там уязвимость на 20 btc...

И вот новая команда, идентифицирующая себя как TokTok и параллельные разработчики ядра и клиента взяли на себя управление проектом. Зайдите на официальный сайт, посмотрите изменения сами. Сайт https://tox.chat/ теперь перенаправляет пользователей на репозитории TokTok (c-toxcore: https://github.com/TokTok/c-toxcore, qTox: https://github.com/TokTok/qTox). Старые ссылки на оригинальные репозитории irungentoo/toxcore и qTox/qTox более не являются основными. Команда TokTok пишет код протокола на C++. Оригинальный на С. TokTok также заменили код основного клиента, оставив (на минуточку) то же самое название - qTox, выкинули uTox и заменили оригинальный qTox в каталоге F-Droid собственным форком.

А знаете еще что? Некоторые странные изменения в википедию (en), ее переписали с основательными изменениями! Якобы TokTok посорились в 2016 году с irungentoo (основной разработчик) из-за какой-то детской фигни на 100 баксов и теперь давай его сливать из всех шлангов. Все это вызывает недоверие, критическое отторжение что ли. TokTok не объявляли открытым диалог с сообществом по поводу перемен, что затрудняет объективную оценку их действий и намерений. И еще возможно в их коде серьезные криптографические уязвимости.


Ситуация с Tox была и остается неопределенной. Смена контроля над проектом и масштабные изменения в кодовой базе вызывают серьезные опасения. Все как всегда?
Думайте сами, решайте сами.

 

[Kushanashvili]

наоборот надеюсь что из токса сделают нормальный клиент а не это чудо чудное которое было невозможно нормально адекватно юзать

 

[holynet]

Я не пользуюсь Tox, отдавая предпочтения более старым и проверенным способам связи, но присматривался к новому протоколу, его клиентам и видел как широко и охотно он стал применяться в сообществе.

Если вы пользуетесь им, и не в танке, то вы должны были заметить существенные изменения, произошедшие, буквально, на прошлой неделе. Речь идет о смене основной команды разработчиков, ядра протокола и основного клиента, а также связанных с этим изменениях в кодовой базе и инфраструктуре проекта.


Протокол Tox и клиент qTox, являвшийся де-факто основным клиентом Tox, перестал получать обновления с 2022 года. Это вызвало обоснованные опасения относительно безопасности и дальнейшей жизнеспособности проекта, а также всякие разные закулисные набросы на вентилятор, якобы, там уязвимость на 20 btc...

И вот новая команда, идентифицирующая себя как TokTok и параллельные разработчики ядра и клиента взяли на себя управление проектом. Зайдите на официальный сайт, посмотрите изменения сами. Сайт https://tox.chat/ теперь перенаправляет пользователей на репозитории TokTok (c-toxcore: https://github.com/TokTok/c-toxcore, qTox: https://github.com/TokTok/qTox). Старые ссылки на оригинальные репозитории irungentoo/toxcore и qTox/qTox более не являются основными. Команда TokTok пишет код протокола на C++. Оригинальный на С. TokTok также заменили код основного клиента, оставив (на минуточку) то же самое название - qTox, выкинули uTox и заменили оригинальный qTox в каталоге F-Droid собственным форком.

А знаете еще что? Некоторые странные изменения в википедию (en), ее переписали с основательными изменениями! Якобы TokTok посорились в 2016 году с irungentoo (основной разработчик) из-за какой-то детской фигни на 100 баксов и теперь давай его сливать из всех шлангов. Все это вызывает недоверие, критическое отторжение что ли. TokTok не объявляли открытым диалог с сообществом по поводу перемен, что затрудняет объективную оценку их действий и намерений. И еще возможно в их коде серьезные криптографические уязвимости.


Ситуация с Tox была и остается неопределенной. Смена контроля над проектом и масштабные изменения в кодовой базе вызывают серьезные опасения. Все как всегда?
Думайте сами, решайте сами.

Скорее всего это только к лучшему, надеемся что разработчики продумают всё и сделают красивый, удобный и многофункциональный клиент и наконец возродят Tox, сделав его более обширным, популярным и защищённым.

 

[Undergrowth]

Токс максимально удобный даже сейчас, если общаться по делу и не отправлять тупые стикеры...

 

[nightly]

Tox умёр ещё на стадии когда там не фиксили одну уязвимость (сейчас её уже нет). До этого он медленно подыхал. Код уже нужно обновить на PQE (NoiseIK), аудит, с нодами вообще проблема там бл#ть допишись чтобы твои ноды вписали туда. В списке где ты подписывался вообще уязвимость была что все мыла можно было посмотреть.
Сраный Qt - просто убожество. Я лично общался с 2 разрабами чтобы за шекели решить дизайн хотя бы. На моменте обсуждения уже был задний ход, а на моменте: "давайте я скину донат (условные xxK$ для начала) и Вы займетесь этим" - оба ушли в офф (удалили).
Так что вопрос: когда Вам дают чистую крипту чтобы Вы просто делали софт для всех и вы "независимые разрабы которые все делают на свои бабки", какой толк морозить?
В голову приходит что sponsorship там другого уровня. Не стоит забывать о том что уже был не один десяток запросов от службы где 3 буквы к компашкам вроде: "начните использовать open-source библиотеку по нашей рекомендации для поддержания безопасности ... бла-бла-бла..."

Я бы его никогда бл#ть не юзал, но что поделать если тут все такие hard-core хацкеры и Tox это супер вещь которая всем поможет говорить о делишках. SimpleX, Briar, TFC и дургие - где аудиты, юзер база,
разрабы которые СЫЛШАТ и ОТВЕЧАЮТ. Не, не... Tox

 

[MaFio]

Токс максимально удобный даже сейчас, если общаться по делу и не отправлять тупые стикеры...

Ты имеешь ввиду "старый" еще клиент https://github.com/qTox/qTox и реализацию irungentoo/toxcor? Или ты пользуешь из под линукса (почему -то мне так кажется) toxic

---------------------------

Я бы его никогда бл#ть не юзал.
...
SimpleX

Хотел начать предложение , написав, "представь", а тут же и представлять не надо, аотому что Локбит на своих ресурсах публично зовет сотрудников 3Букв агенств (и даже директоров) пообщаться в Tox. Да ладно бы "звал", а то же по-русски: "Иди сюда, лох, тебе взятку , а тебя - в клочья". Картина? Смех смехом, а ключевое слово: Tox ...

Но и параллельно тут читал у кого-то примерно такое : что в основном нормальные заказы (по-моему, кодинг у него) и вообще деловое общение идет в большинстве своем сейчас в Tox.

Вот я думал подраскидаюсь немного ,
SimpleX узел свой подыму, а кто придет общаться?, полтора тех, кто настроил себе Матрикс?

 

[NMZ]

qTox в этом плане максимально приятный к использованию

 

[altairscore]

Удобнее telegram пока ничего не встречал

 

[Datnope]

Tox умёр ещё на стадии когда там не фиксили одну уязвимость (сейчас её уже нет). До этого он медленно подыхал. Код уже нужно обновить на PQE (NoiseIK), аудит, с нодами вообще проблема там бл#ть допишись чтобы твои ноды вписали туда. В списке где ты подписывался вообще уязвимость была что все мыла можно было посмотреть.
Сраный Qt - просто убожество. Я лично общался с 2 разрабами чтобы за шекели решить дизайн хотя бы. На моменте обсуждения уже был задний ход, а на моменте: "давайте я скину донат (условные xxK$ для начала) и Вы займетесь этим" - оба ушли в офф (удалили).
Так что вопрос: когда Вам дают чистую крипту чтобы Вы просто делали софт для всех и вы "независимые разрабы которые все делают на свои бабки", какой толк морозить?
В голову приходит что sponsorship там другого уровня. Не стоит забывать о том что уже был не один десяток запросов от службы где 3 буквы к компашкам вроде: "начните использовать open-source библиотеку по нашей рекомендации для поддержания безопасности ... бла-бла-бла..."

Я бы его никогда бл#ть не юзал, но что поделать если тут все такие hard-core хацкеры и Tox это супер вещь которая всем поможет говорить о делишках. SimpleX, Briar, TFC и дургие - где аудиты, юзер база,
разрабы которые СЫЛШАТ и ОТВЕЧАЮТ. Не, не... Tox

с радостью бы пересел на SimpleX, но очень многие используют только телегу, максимум ТОХ ( уверенно при этом думая - что это гарантия безопасности )

 

[Tr0jan_Horse]

Не разу не использовал TOX, всегда хватало телеграмма, форума, а если что-то важное использовал Zangi, так как считаю очень удобным решением и практичным.
Щас свой мессенджер разрабатываю для переговоров со своими или потом для публики.

 

[rwxrwx]

Под Токсом вы можете открыть Wireshark и пронюхать IP-адрес собеседника, с которым вы общаетесь. Эта простая техника была использована в недавнем расследовании.

 

[kidkdk]

Под Токсом вы можете открыть Wireshark и пронюхать IP-адрес собеседника, с которым вы общаетесь. Эта простая техника была использована в недавнем расследовании.

прямо америку открыл, все кто пользовались и так в курсе и вряд ли открывают на хосте без прокладок и носка от тора

 

[rwxrwx]

прямо америку открыл, все кто пользовались и так в курсе и вряд ли открывают на хосте без прокладок и носка от тора

Я согласен, это базовый OpSec, но все же некоторые люди недостаточно осознают важность своего собственного OpSec... Если прокси или vps, которые вы используете, не пуленепробиваемые, то одна маленькая ошибка приведет к тому, что вы

 

[ordinaria1]

Если прокси или vps, которые вы используете, не пуленепробиваемые, то одна маленькая ошибка приведет к тому, что вы

...истечёте кровью в результате обстрела? Логи может выдать и ДЦ, зачем покупать оверпрайс "антиабуз" сервера под впны/соксы... Они ведь используются в большинстве для того, что бы держать малварь/фиши/незаконное или сомнительное, где обычный хостинг за такое блокирует сразу.

 

[secidiot]

Мы сняли кстати smartscreen с qTox (SHA1: 7ADA79A1D6298AC406E64236E33AB6433C591F1A), до 05.03.2025 на нем висел смартскрин, потому что файл был без подписи. Сейчас и без EV нет смарта.
И как не странно но всего qTox был установлен на 2 устройствах (с актуальной версии Defender`a) с 25.02 - 05.03.2025

Спойлер: смарт

Спойлер: инсталлы из панели

P.S это панель от разрботчика драйверов уровня kernel mode (под ав, edr), которые проходят личную сертификацию от майкрософта (сорс код), получить доступ к ней простому смертному почти что анрилл.
(Панель не продаю и не даю в аренду и т.п.)

 

[nightly]

qTox в этом плане максимально приятный к использованию

UI на уровне 2015 года.

SimpleX узел свой подыму, а кто придет общаться?, полтора тех, кто настроил себе Матрикс?

Никто, потому что Telegram <3 Jabber, Tox. GayHack-сообщество)


А так без разницы. Сижу тоже в Tox, мне туда уже написало человек 20 которые сразу отправляют файл, звонки. Основная работа и так не там.
Dedic+NymVPN+Tor. Хз иначе не могу представить как работать.

 

[kidkdk]

Dedic+NymVPN+Tor

Мне этот Nym постоянно при запуске пытался установить какой-то хелпер (без него тоже работал), через несколько дней использования. Есть кто делал аудит? Интересно почитать, пока выглядит весьма специфически

 

[HikMbed]

Под Токсом вы можете открыть Wireshark и пронюхать IP-адрес собеседника, с которым вы общаетесь. Эта простая техника была использована в недавнем расследовании.

Этой техники уже туева туча годов. Не надо тут ляля. Такая фишка была ещё в тг, можно было узнать не то что ip, но и тереториальную точку.

 

[mrx2909]

По любому потом станет платным, если дойдет до этого

 

[MaFio]

Мы сняли кстати smartscreen с qTox (SHA1: 7ADA79A1D6298AC406E64236E33AB6433C591F1A), до 05.03.2025 на нем висел смартскрин, потому что файл был без подписи. Сейчас и без EV нет смарта.
И как не странно но всего qTox был установлен на 2 устройствах (с актуальной версии Defender`a) с 25.02 - 05.03.2025

Просто так SmartScreen не перестает предупреждать о неподписанном файле, особенно о новом...
Если честно, я не совсем понял твой поинт, но зато сразу виден весьма экслюзивный доступ к данным

Основная работа и так не там.

Ничему не доверяй, кроме своего