• XSS.stack #1 – первый литературный журнал от юзеров форума

SimpleX

Отслеживать
xChimera

xChimera

Malware...
Пользователь
Регистрация
19.08.2024
Сообщения
778
Реакции
552
Гарант сделки
2
Депозит
0.0282
Поначитавшись на форуме я решил скачать мессенджер SimpleX, очень порадовал интерфейс, гораздо новее токса

В мессенджере нет аккаунтов, ид и тд, он полностью анонимен, база данных переписок шифруется ключом

Как телега, только лучше и безопаснее)

Проект является опенсорсным, есть возможность поднять свой сервер

1743458266917.png

1743458235367.png
 
Последнее редактирование:
Конечно, задвигай Simplex.

Продуманный и грамотный выбор. Я сам к такому же выбору пришел еще полгода назад, когда Пашу Дурова во Франции крепили и мы обсуждали мессенджеры.

Simplex разработан с прицелом на безопасность. Команда опытная. Погуглите, спросите у LLm, почитайте. Децентрализованный протокол SMP, где серверы не знают ни отправителя, ни получателя, только очередь шифрованных сообщений e2ee. Клиенты на все устройста, что важно. (чуть ли не через день же топики "А как мне xmpp на мобильном юзать сейчас?", а никак уже, поезд ушел давно, а ты остался на пероне тормозить)

Независимые аудиты, это важно? Черт возьми, конечно, важно, чего тупить то. Это сразу отсекает кучу вопросов к надежности кода.

Все больше и больше людей в последнее время тестят Simplex:

1.png


(вот только не надо тут что-то про bratva накидывать, не вздумайте флудить, смещая фокус с сабжа).
Кстати, почитайте этот топик полностью, он сформировывался модераторами из нескольких (видимо, коротких тем) разбросанных по разным углам форума сообщений, и так получилось, случайно ли), что здесь собран концентрат здравых высказываний относительно xmpp, матрикс, и возможно по токс.

И вот еще момент – разработка на Haskell. Ну кто из вас на нем может, а? Он радикально снижает вероятность целых классов уязвимостей, которые так часто стреляют в Cи и плюсах.

Я никому и не навязываю ничего, сидите в дырявом Tox, значит, вы просто не в курсе за него. А в соседнем топике не стеснясь накидывают

В моду ввел использовать TOX один красный товарищ с ником на L, вот все и используют

Просто ответьте честно себе на простой вопрос: вы намазались на Tox, или это был проверенный выбор? Вот...
А тут чел начитался форума и прошаренно выбрал, и в ногу со временем и технологиями, а главное - криптографией.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Стало интересно, почитал про SimpleX, посмотрел его GitHub, даже приложение поставил. Я сейчас не буду вдаваться в технические подробности, расскажу о нем со стороны обывателя, так сказать, поверхностный взгляд, про технические подробности они сами нам расписали на своем лендинге уверенно рассказывая что это безопаснее всего на свете, не стесняясь называть прямых своих конкурентов.

1. В целом что могу сказать - с дизайном ребята явно не дружат, когда в школе были уроки рисования они надеюсь хотя бы посещали математику. Bubble в чате однако меня улыбнул «Сообщения, файлы и звонки защищены квантово-устойчивым end-to-end шифрованием с идеальной прямой секретностью, правдоподобным отрицанием и восстановлением от взлома», думаю тут только заговора от сглаза не хватает))
2. Они не идентифицируют пользователей, то есть простым пользователям будет труднее вас найти используя ваш username, зачем это сделано - неясно. Как они пишут - чтобы было сложнее проводить идентификацию кто с кем общается.
3. Из второго пункта вытекает и этот, идентификацию порой произвести настолько сложно, что ты вообще не понимаешь кому ты пишешь, толи кенту толи менту.
4. На лендинге написано Out of band key exchange - почему нельзя было использовать алгоритм хеллмана например лично для меня не ясно, хотя я лично не заметил что мне нужно было передавать какой-то ключ кому нибудь, чтобы пообщаться. Написано что таким образом система противостоит MITM, но так и я MITM бы противостоял, отправляя ключ своему собеседнику на бумажке, непонятный пункт в общем.
5. Сеть децентрализованная, но сервера между собой никак не общаются. Что будет если я общаюсь со своим собеседником и сервер просто решит закрыться например? Условно мой клиент выберет один сервер, а собеседник выберет другой. Как мы тогда снова встретимся? Останется только на передачу «жди меня» идти))
6. На самом деле не сильно опять же изучал, но как быть с тем что сервера начнут использоваться не как планировали их использование авторы, условно ронять пакеты (сообщения не будут доходить) и так далее?
7. Как для обывателя, из первого пункта вытекает маленькое количество пользователей, а соответственно практически не возможно его использовать в своих коммерческих целях.
8. Как для обывателя опять же, синхронизация переписок отсутствует, то есть я пообщался с компьютера, потом отошел и хочу продолжить общаться с телефоном - не получится (или я не нашел как синхронизироваться?)

В целом желаю ребятам успеха, но, как для обывателя, опять же, сыровато. При чем это можно было сделать удобнее (почему не сделали?), а сделали на пол шишечки, вроде как безопасность - но остальные вопросы не решены, хотя синхронизацию можно было сделать, гоняя например бд сообщений между устройствами.


UPD: еще дополнительный на мой взгляд самый интересный пункт! сервер при разговоре с собеседником ты не выбираешь, его выбирает твой собеседник (в специальной ссылке он закодирован), таким образом, собеседник, подняв свой сервер, и просто скинув вам QR код может собрать о вас некоторую интересную информацию (например IP-адрес)
 
Lumma сказал(а):
может собрать о вас некоторую интересную информацию (например IP-адрес)
ой напугал)) айпи адрес ахаха. ну будет у него айпишка моя и что? если пример приводишь - то что тл серьезное надо. ну да и пример того как сервер поднимаешь и инфу собираешь, а то пустой воздух
 
Lumma сказал(а):
1. В целом что могу сказать - с дизайном ребята явно не дружат, когда в школе были уроки рисования они надеюсь хотя бы посещали математику. Bubble в чате однако меня улыбнул «Сообщения, файлы и звонки защищены квантово-устойчивым end-to-end шифрованием с идеальной прямой секретностью, правдоподобным отрицанием и восстановлением от взлома», думаю тут только заговора от сглаза не хватает))
лучше чем в matrix клиентах

Lumma сказал(а):
2. Они не идентифицируют пользователей, то есть простым пользователям будет труднее вас найти используя ваш username, зачем это сделано - неясно. Как они пишут - чтобы было сложнее проводить идентификацию кто с кем общается.
так это одна из фич мессенджера, отсутсвие идентификаторов пользователей, никакого спама не будет, как по мне только плюс

Lumma сказал(а):
3. Из второго пункта вытекает и этот, идентификацию порой произвести настолько сложно, что ты вообще не понимаешь кому ты пишешь, толи кенту толи менту.
насколько помню ренейминг есть профилей, хз как там можно выписаться

Lumma сказал(а):
4. На лендинге написано Out of band key exchange - почему нельзя было использовать алгоритм хеллмана например лично для меня не ясно, хотя я лично не заметил что мне нужно было передавать какой-то ключ кому нибудь, чтобы пообщаться. Написано что таким образом система противостоит MITM, но так и я MITM бы противостоял, отправляя ключ своему собеседнику на бумажке, непонятный пункт в общем.
Ну очевидно чтобы при обмене ключами их не подменили

Lumma сказал(а):
5. Сеть децентрализованная, но сервера между собой никак не общаются. Что будет если я общаюсь со своим собеседником и сервер просто решит закрыться например? Условно мой клиент выберет один сервер, а собеседник выберет другой. Как мы тогда снова встретимся? Останется только на передачу «жди меня» идти))
челу надо будет выбрать другой сервер насколько знаю и сообщить на твой что он его сменил

Lumma сказал(а):
6. На самом деле не сильно опять же изучал, но как быть с тем что сервера начнут использоваться не как планировали их использование авторы, условно ронять пакеты (сообщения не будут доходить) и так далее?
ну во первых ты можешь свои ноды держать для SMQ, во вторых вроде как и планировалось что сервера могут быть вредоносными.

Lumma сказал(а):
7. Как для обывателя, из первого пункта вытекает маленькое количество пользователей, а соответственно практически не возможно его использовать в своих коммерческих целях.
Зависит от "комерческих целей", если вам нужен безопасный канал связи чтобы с братками мутить темки, то почему нет, общаться с клиентами никто не запрещает тоже, но обычно при продаже кучу мессенджеров держат, так что не вижу проблем держать на 1 больше

Lumma сказал(а):
8. Как для обывателя опять же, синхронизация переписок отсутствует, то есть я пообщался с компьютера, потом отошел и хочу продолжить общаться с телефоном - не получится (или я не нашел как синхронизироваться?)
Ну можно десктоп линковать с мобилой (Whatsapp way). Некоторые на десктоп регают вторую учетку

Lumma сказал(а):
UPD: еще дополнительный на мой взгляд самый интересный пункт! сервер при разговоре с собеседником ты не выбираешь, его выбирает твой собеседник (в специальной ссылке он закодирован), таким образом, собеседник, подняв свой сервер, и просто скинув вам QR код может собрать о вас некоторую интересную информацию (например IP-адрес)
Ну это я хз откуда ты сделал такие залупные выводы, не думал что сообщения до сервера получателя проксируются через твой?

Но я бы все равно его использовать не стал, альтернативных клиентов нет и сурцы на хаскеле который знают полтора землекопа.
 
Тестировали симплекс десктоп
Написан на джаве с использованием Compose Multiplatform фреймворка - еще хуже чем электрон
Различие баги ловили, от написания сообщений, до отправки медиа

Из плюсов - история чатов хранится полностью локально
При удалении сообщений - у участников чата сообщение помечается как "Помечено к удалению"
Если нажать на сообщении ПКМ->Информация - будет показаны все изменения сообщений, и также содержимое, в случае если его удалил собеседник
Проект сырой, не спорю, но имеет место быть

При должном использовании и нормальном подходе к безопасности - токс и жаба вполне хорошие решения: отдельные виртуалки под мессенджеры, код и тд
 
Пожалуйста, обратите внимание, что пользователь заблокирован
lee3mon сказал(а):
ой напугал)) айпи адрес ахаха. ну будет у него айпишка моя и что? если пример приводишь - то что тл серьезное надо. ну да и пример того как сервер поднимаешь и инфу собираешь, а то пустой воздух
Я несколько раз написал, что тестировал симплекс в качестве обычного пользователя, обывателя, как я там указал.
Я наверное неправильно выразился там, правильнее было бы сказать: я думаю, что это может работать, потому что в QR коде закодирован еще и адрес сервера, но сам лично я не проверял.
G1fl3x сказал(а):
лучше чем в matrix клиентах


так это одна из фич мессенджера, отсутсвие идентификаторов пользователей, никакого спама не будет, как по мне только плюс


насколько помню ренейминг есть профилей, хз как там можно выписаться


Ну очевидно чтобы при обмене ключами их не подменили


челу надо будет выбрать другой сервер насколько знаю и сообщить на твой что он его сменил


ну во первых ты можешь свои ноды держать для SMQ, во вторых вроде как и планировалось что сервера могут быть вредоносными.


Зависит от "комерческих целей", если вам нужен безопасный канал связи чтобы с братками мутить темки, то почему нет, общаться с клиентами никто не запрещает тоже, но обычно при продаже кучу мессенджеров держат, так что не вижу проблем держать на 1 больше


Ну можно десктоп линковать с мобилой (Whatsapp way). Некоторые на десктоп регают вторую учетку


Ну это я хз откуда ты сделал такие залупные выводы, не думал что сообщения до сервера получателя проксируются через твой?

Но я бы все равно его использовать не стал, альтернативных клиентов нет и сурцы на хаскеле который знают полтора землекопа.
Честно говоря не совсем понял к чему твой ответ. Обрати внимание, я его ни с чем не сравнивал. Я просто сказал что его дизайн оставляет желать лучшего (тестировал десктоп версию на мак). По поводу, как ты выразился, выводов, я немного не так выразился, мой просчет, посмотри мой ответ предыдущему комментатору.
 
Lumma сказал(а):
В целом желаю ребятам успеха, но, как для обывателя, опять же, сыровато. При чем это можно было сделать удобнее (почему не сделали?), а сделали на пол шишечки, вроде как безопасность - но остальные вопросы не решены, хотя синхронизацию можно было сделать, гоняя например бд сообщений между устройствами.

Бд можно гонять между устройствами, но синхронизированного разговора не получиться, опять-таки, на первом месте безопасность (безоблачная).
Еще есть терминал на Haskell (но похоже, эт неудобно уже в 2025 для актив общения при большой аудитории).

У них все строится на ссылках (на основной или инкогнит профиль). Каждому клиенту можно (и нужно) давать одноразовую ссылку. В целом можно неплохо заприватиться, да еще потом раскидать эти чаты по разным серверам общения (их можно менять). Есть ряд и других: как интересных, так и обломных вещей, но я хочу спросить о другом, раз уж ты залетел "на огонек".

Вы (команда) сейчас занимаете лидирующие позиции на рынке, что, несомненно, подразумевает серьезные объемы взаимодействия с клиентами. Если сделать срез прямо сейчас, то какие мессенджеры/платформы для связи с основными клиентами являются востребованными? Интересует своего рода топ по популярности.

Допустим:
-личные сообщения на форумах (42%)
-токс (38%)
- и т.д.

Поделитесь, если это не конф информация. Заранее благодарен.
Интересно увидеть реальную картину, а не только теорию и холивары при выборе мессенджера.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MaFio сказал(а):
Бд можно гонять между устройствами, но синхронизированного разговора не получиться, опять-таки, на первом месте безопасность (безоблачная).
Еще есть терминал на Haskell (но похоже, эт неудобно уже в 2025 для актив общения при большой аудитории).

У них все строится на ссылках (на основной или инкогнит профиль). Каждому клиенту можно (и нужно) давать одноразовую ссылку. В целом можно неплохо заприватиться, да еще потом раскидать эти чаты по разным серверам общения (их можно менять). Есть ряд и других: как интересных, так и обломных вещей, но я хочу спросить о другом, раз уж ты залетел "на огонек".

Вы (команда) сейчас занимаете лидирующие позиции на рынке, что, несомненно, подразумевает серьезные объемы взаимодействия с клиентами. Если сделать срез прямо сейчас, то какие мессенджеры/платформы для связи с основными клиентами являются востребованными? Интересует своего рода топ по популярности.

Допустим:
-личные сообщения на форумах (42%)
-токс (38%)
- и т.д.

Поделитесь, если это не конф информация. Заранее благодарен.
Интересно увидеть реальную картину, а не только теорию и холивары при выборе мессенджера.
Очень грамотный вопрос. В основном идут в телеграм (это в первую очередь связано с тем, что у нас он как бы везде и указан), потом сообщения на форуме, потом токс.
Было бы классно, если бы был такой же удобный мессенджер как телега (он очень удобный и в плане дизайна и в плане функционала) и при этом безопасный - думаю все бы перешли туда на раз, в том числе и мы, а пока не вижу достойных решений на замену, где все было бы так же удобно разного калибра юзерам.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Штука прикольная, но пока есть некоторые опасения, мне кажется лучше подождать)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх