Мысли о безопасных мессенджерах

[Quake3]

Как известно , для переписки я использую jabber, потому что он относительно удобный, безопасный , привык и так далее. В основном, с шифрованием OTR, т.к. ничего серьезного обычно не обсуждаю, этого хватает. Но недавно понадобилось пообщаться с человеком по жабе, а он признает только PGP. Как бы это правильно, поэтому пошел включать его себе. В теории, оно все выглядит просто - генерим в консоле ключ , импортируем его в клиент, отправляем собеседнику, получаем его ключ , присваиваем его контакту и все. Но это в теории, и было бы так все хорошо, не было бы данной темы. На практике оно вышло так (события по хронологии).
- у собеседника более новая версия gpg , где не только RSA , а и другие типы ключей.
- обновляю gpg4win, оно выводит в консоль какой-то мусор и завершается.
- удаляю, ставлю с нуля, удаляю опять, делаю нового юзера, удаляю , добавляю - один фиг, выводит мусор.
- методом тыка выясняю, что оно хочет англоязычную винду. Ок, ставлю туда, генерирую ключ.
- wime импортирует ключ и уходит в небытие, попытки зайти в настройки теперь крашат прогу. Ставлю Psi.
- добавляю ключ , софт его не видит, переподключаюсь, перезахожу,перезагружаю винду, так раз 5, в конце концов заработало; правда требует раз в Х минут вводить пароль от ключа, но это мелочи.

К чему пишу эти все жалобы здесь? К тому, что я , имея опыт в айти в 10+ лет убил неск . часов на настройку этой ерунды. И настраивая это понял одну истину - почему люди выбирают телегу. Потому что реально, жаба это кривое говно, как и весь этот опенсорц.
Знаю, что сейчас напишут в ответ - "это тебе так не повезло, а у меня встало за 5 минут!", "цени труд людей, кодят бесплатно, как умеют!" , "юзай линупс, там искоробки все работаит!". Это все понятно и писать такое не надо. Вопрос в том, что никакой новичок не будет вникать во все это! Он увидит одну, другую ошибку, плюнет и поставит телегу, и другим посоветует. Потому что телега удобная из коробки работает, и есть стикеры с котиками, а это все - см. выше.

Хз что делать с жабой, как мы собрались популяризировать ее среди новичков, с такими багами. И альтернативы ведь нет. Токс еще более убогое говно, вообще мусор полный, где хрен поймешь или собеседник офнулся или инет пропал; матрикс неплохой, но надо доверять серверу-владельцу, и есть риск компрометации; телега дырявая и требует симки. Жаба это идеальная вещь, но действительно, надо как-то сделать удобную , легкую сборку, где бы все работало сразу. Была попытка Wime, но увы,проект умер. А нового ничего нет.

 

[N3tSh4d0w]

и есть стикеры с котиками

Чем больше флудим тем веселее жить. Да и в конце концов нужно использовать дополнительные контакты
на всякий случай.

Плюс токса в том, что есть андроид приложения, по идее более менее защищено.
Рассматривал еще briar под андроид, но не сумел собрать из исходов - печалька,
если кто расскажет как это с явой делается то будет плюс в карму.

 

[alex778]

Улыбнуло.
1. Не смог настроить pgp.
2. Зачем то поставил экзотический странный клиент. Его ФБР что-ли хакирам советует? Тоже не смог его настроить.
3. ЖАББЕР ПЛАХОЙ!111

ЗЫ: Лет 5-10 не пользовался мирандой, но на 95% уверен, что она всё ещё работает и плагин для пыгыпэ там есть.

 

[N3tSh4d0w]

как мы собрались популяризировать ее среди новичков, с такими багами

А если просто плагин otr поставить на пингина? Или это не то?

 

[товарищ_майор]

жаба это кривое говно, как и весь этот опенсорц.

Иногда испытываю такие же эмоции. Но, обычно, если перетерпеть наплыв эмоций, можно, покрасноглазив, решить проблемы.

Жаба это идеальная вещь, но действительно, надо как-то сделать удобную , легкую сборку, где бы все работало сразу.

Разрабов иногда реально не понять. Например, у Гаджимов на гитлабе уже пять лет висят репорты пользователей о том, что conversations-like настройки для OMEMO (always on, on by default, off) - это маст хэв фича номер один, ведь сейчас нужно вручную включать шифрование для каждого нового чата, и, если забыть это сделать, сообщения полетят в виде плэйнтекста. Но разрабы отвечают, что у них сейчас в приоритете более важные задачи - они пилят новый UI. Спустя пять лет шифрование по дефолту для всех чатов так и не завезли, но тема у разрабов "на повестке".

 

[RedDragon]

А что если сделать простой мессенджер на подобии привнот.ком? Прочитал, исчезло.

 

[товарищ_майор]

Спустя пять лет шифрование по дефолту для всех чатов так и не завезли

Глянул свежую версию Гаджима - таки завезли, есть в настройках аккаунта. Ещё совсем недавно не было.

 

[bigheadguy]

впечатление, что все кроме реда не уловили посыл))
у меня лет 5 назад умерла жаба, после смены пк и тп, начал на новое все ставить. после 5 попыток, забил. подумал, что если буду что то делать серьезное-поставлю. а потрепаться и в тг можно. это я еще имею представление, как все сделать. как выше квейк подметил, новичку, нах ничего подобного не нужно. они и в ВК готовы диалог вести, в личном. зайдите на зеленку. у многих юзеров в контактах есть ВК))))
а вопрос очень правильный, тоже много раз задумывался.
как приучить молодых к безопасности?
возможно ли сделать безопасный мессенджер?
а главное, как доверять тому, кто его сделает?

 

[coder]

Безопасность не бывает удобной, нужно к этому привыкнуть и забить. Реально безопасные проекты не имеют должного финансирования, это бесперспективно, а сильным мира сего из нашей сферы хватает и токса, несмотря на кучу секурити проблем и неудобство. Хотите крутой и удобный мессенджер - скидывайтесь и нанимайте кодера, только вот загвоздка в том что в даркнете люди не постоянны и никакого доверия нет и быть не может, реализация настолько крупного проекта выльется в кучу проблем. А белый кодер такое пилить просто откажется. Замкнутый круг получается

 

[RedDragon]

впечатление, что все кроме реда не уловили посыл))

Lol. Да я так, мимо просто проходил

 

[bigheadguy]

Lol. Да я так, мимо просто проходил

и я так же) ну ведь нужно понимать то, что читаешь и какова суть)
а вообще, на счет привнота интересная мысль. я первое время в тг привнотами общался

 

[DildoFagins]

Нам срочно нужен новый ANOM: https://en.m.wikipedia.org/wiki/ANOM

По сабжу: ну по большому счету, если всем хочется прям безопасной безопасности безопасного вида, обменивайтесь криптоконтейнерами без всякой глубокой интеграции с какими-то мессенджерами. Понятно, что это неудобно, но поскольку приватные ключи будут у вас хранится отдельно от самого мессенджера, вероятность того, что они утекут "крайне мала". Такое шифрование можно и самому реализовать при желании.

 

[RedDragon]

и я так же) ну ведь нужно понимать то, что читаешь и какова суть)

+

 

[RedDragon]

а вообще, на счет привнота интересная

Нужно делать)

 

[Whisper]

Квейк ты же кодер, тряхни стариной, ты же квейк в конце концов.
Накодь нам секурный клиент на питоне, с отром и пгп.
PS. Тряси с осторожностью.

 

[Gorg]

А нового ничего нет.

Да да, ничего нет, прям НИЧЕГО, продолжайте юзать телегу, ничего же нету, только централизованное г... с обязательной привязкой номера телефона и закрытыми серверными исходниками, главное убеждать себя и кушать причмокивая это ложечкой

P.S. Кто хочет тот ищет возможности, ну а кто не хочет, можно и в ВК зарегаться, чё такого то, все же сидят, да, или всё таки не все?)

 

[gliderexpert]

как приучить молодых к безопасности?

Поколение хацкеров которое не может справиться с установкой жабы - зачем оно нужно и для чего их к чему-то приучать?
Пытаться упростить нормальный и хорошо работающий мессенджер до уровня тг со стикерами котиков - это подмена понятий, "приучить безопасности" - не значит подсунуть программу под винду которая поставится за 2 клика мышкой.

Вопрос в том, что никакой новичок не будет вникать во все это! Он увидит одну, другую ошибку, плюнет и поставит телегу, и другим посоветует. Потому что телега удобная из коробки работает, и есть стикеры с котиками, а это все - см. выше.

Естественный отбор никто не отменял. Если у человека нет мозгов и мотивации, чтобы разобраться в технологии досконально - нефиг лезть в блэк.
И да, про ANOM тут совершенно правильно вспомнили...

Жаба это идеальная вещь, но действительно, надо как-то сделать удобную , легкую сборку, где бы все работало сразу.

Виртуальная машина с сильно урезанными никсами, из нее выпилить абсолютно все кроме tor/hidden service и жабы с gpg + luks для шифрования контейнера вм. Думаю весь дистрибутив можно мегабайт в 100 упихать, может даже меньше. Этакий whonix, но не для вебсерфинга, а только мессенджер.
В любом случае безопасный мессенджер и его окружение нужно как-то изолировать от винды, проще всего это сделать средствами виртуализации.
Соответственно новичкам, если уж на то пошло - достаточно будет поставить свой любимый вмварь и запустить контейнер, в котором все предварительно настроено, сделана правильная маршрутизация на случай отвала vpn и так далее.

 

[Whisper]

Этакий whonix, но не для вебсерфинга, а только мессенджер.

Дай угадаю, лично ты так не делаешь.
Общение не про погоду, обычно сопровождается линками на что то.

 

[bigheadguy]

Поколение хацкеров которое не может справиться с установкой жабы - зачем оно нужно и для чего их к чему-то приучать?

ну как же? есть таланты, которые полезны. не обязательно он хацкер. это может быть просто надежный человек, полезный в какой либо работе.

Пытаться упростить нормальный и хорошо работающий мессенджер до уровня тг со стикерами котиков - это подмена понятий, "приучить безопасности" - не значит подсунуть программу под винду которая поставится за 2 клика мышкой.

не нужно упрощать до уровня тг и что бы ставилось в 2 клика. нужно только, чтобы было легко понять как все поставить.

Естественный отбор никто не отменял. Если у человека нет мозгов и мотивации, чтобы разобраться в технологии досконально - нефиг лезть в блэк.

ну, я бы так не сказал. все со временем придет. и понимание и знание. вопрос опыта. суть ведь в другом.
как сделать так, чтобы молодой понял важность безопасности?

 

[gliderexpert]

Дай угадаю, лично ты так не делаешь.
Общение не про погоду, обычно сопровождается линками на что то.

Не очень понял твой вопрос. Я высказал свое предложение и точку зрения на фразу "надо как-то сделать удобную , легкую сборку, где бы все работало сразу.". Как мне кажется проще всего это реализовать в виде контейнера для ВМ с преднастроенной жабой, а не собирать еще один мессенджер чуть-ли с нуля.

Лично я работаю под никсами (не из-за анонимности или "понтов", просто нужного мне софта под винду не существует) - поэтому особой проблемы запустить жабу не испытываю.