Мысли о безопасных мессенджерах

[Gorg]

1 - у меня вместе с телегой пропали все остальные контакты, по которым я могу себя верефицировать? Бред

Ну и нахрена тогда ваще изначально использовать телеграм, смысл, типо модно или что?

2 - ну да, бывает, выпиливают акки. Ничего страшного от этого не происходит. Если ты конечно не используешь тележку как хранилище для сидок, паролей и прочего.

Ну да, действительно, все по КД меняют акки , это же ничего страшного, да так ничего страшного, что телегу запретили в сделках/арбитраже, ибо хрен проссышь кто есть кто, телега это рассадник кидка: https://xss.pro/threads/72747/

3 - полноценный комп иметь дорого и затратно? что?

Полноценный хороший комп (видяха нормальная + проц не самый унылый + SSD + 32gb оперативы) это уже около 100к набегает, мобильник можно взять за 10 тыщ и телега на нём будет работать. Впринципе да не затратно, всего то в 10 раз, фигня какая, в день больше подымаешь или всё таки не?)

после разового дела телегу можно больше не использовать

Да можно её впринципе не использовать не для какого дела.

 

[kosok11]

Ну и нахрена тогда ваще изначально использовать телеграм, смысл, типо модно или что?

Как ЕЩЕ ОДИН метод для общения. Можно чисто на форуме в лс, с шифрованием + одноразовыми записками от LockBitSupp общаться. Нахера другие контакты вообще заводить - не ясно....

Ну да, действительно, все по КД меняют акки , это же ничего страшного, да так ничего страшного, что телегу запретили в сделках/арбитраже, ибо хрен проссышь кто есть кто, телега это рассадник кидка: https://xss.pro/threads/72747/

Это вообще мимо темы обсуждения. Но раз уж на то пошло, то форум тоже получается рассадник для кидка. Вон всякие DABR0 регаются, за месяц набивают 150 сообщений и кидают на 50$...

Полноценный хороший комп (видяха нормальная + проц не самый унылый + SSD + 32gb оперативы) это уже около 100к набегает, мобильник можно взять за 10 тыщ и телега на нём будет работать. Впринципе да не затратно, всего то в 10 раз, фигня какая, в день больше подымаешь или всё таки не?)

Я еще раз повторю. Если хватает мозгов работать с трубки за 10к - то проблема раскрытия личности далеко не в телеге.

 

[baykal]

Для новичков https://xss.pro/threads/28608/
нууууу я даж не знаю
у меня все стало за 3 минуты - скачал kleopatra, скачал psi+, включил галочкой готовый плагин pgp в psi
и вуаля ) это в тысячу раз быстрее, чем покупать tdata для телеги

аааа, самое главное, xmpp можно пустить через tor, все это из коробки без знаний
в телегу через tor х..й зайдешь )

 

[Evil God]

Да можно её впринципе не использовать не для какого дела.

Предположим тебе нужно заказать пробив или какую то другую услугу и люди которые могут оказать эту услугу/услуги сидят к сожалению только в телеграме, так что ты не прав

 

[baykal]

Предположим тебе нужно заказать пробив или какую то другую услугу и люди которые могут оказать эту услугу/услуги сидят к сожалению только в телеграме, так что ты не прав

я в шоке с таких сервисов
сами пробивают данные, пробивают мыла, телеги, достают сканы пасов.... и сидят с телеги, ничего не боятся
что еще раз подтверждает, что все эти сервисы ментовские )

 

[Evil God]

я в шоке с таких сервисов
сами пробивают данные, пробивают мыла, телеги, достают сканы пасов

Единицы из этих сервисов используют жабу

и сидят с телеги, ничего не боятся

Я тебе больше скажу, некоторые "умные" пробивщики обмениваются голосовыми со своими сотрудниками которые делают пробивы

что еще раз подтверждает, что все эти сервисы ментовские )

Этого никто и не отрицал)

 

[Gorg]

Я еще раз повторю. Если хватает мозгов работать с трубки за 10к - то проблема раскрытия личности далеко не в телеге.

Ну и чем же у нас отличается трубка за 10к от трубки за 100к или к чему это вообще было сказано?
Я лично имел ввиду, что мне как пользователю ПК этот ваш тилиграм вместе с фанатиками дурова в не упёрлись. Мне он тупо неудобен. Я в реальной жизни то мобильником почти не пользуюсь, буду я тут ещё со всякими номерами заморачиваться...

Предположим тебе нужно заказать пробив или какую то другую услугу и люди которые могут оказать эту услугу/услуги сидят к сожалению только в телеграме, так что ты не прав

Ну во-первых сидят не только в телеграме, там как правило есть другие контакты, а во-вторых правильно ответили выше, если только в телеге то есть смысл задуматься, а не мусора ли пасут...

 

[kosok11]

я в шоке с таких сервисов
сами пробивают данные, пробивают мыла, телеги, достают сканы пасов.... и сидят с телеги, ничего не боятся
что еще раз подтверждает, что все эти сервисы ментовские )

Вот тебе другой пример. Где в жабе или еще где-то найти такой же удобный и быстрый сервис как у Verificator ? Чтобы все было автоматизированно, а не переписываться с кем-то, договариваться, заливать, выпрашивать статус и тд

 

[kosok11]

Ну и чем же у нас отличается трубка за 10к от трубки за 100к или к чему это вообще было сказано?

Никакой принципиальной разницы нет. Сказано было к тому, что работать со смартфона = заранее выписать себе приговор.

 

[Knew100]

 

[baykal]

Вот тебе другой пример. Где в жабе или еще где-то найти такой же удобный и быстрый сервис как у Verificator ? Чтобы все было автоматизированно, а не переписываться с кем-то, договариваться, заливать, выпрашивать статус и тд

Согласен, удобно
но удобство обратно пропорционально безопасности. макось, винда и айфон тоже очень удобные ) а в европе жить лучше, чем в мурманске, зп и пенсии выше )
а почему никто не пишет ботов для xmpp?

GitHub - horazont/xmpp-echo-bot: XMPP/Jabber echo bot (written in sed)

XMPP/Jabber echo bot (written in sed). Contribute to horazont/xmpp-echo-bot development by creating an account on GitHub.

github.com

 

[Evil God]

а почему никто не пишет ботов для xmpp?

Такой же вопрос, либо хотя бы сайт в клире/onion, телеграмчик любимый привычнее, удобнее))

 

[Knew100]

 

[kosok11]

Согласен, удобно
но удобство обратно пропорционально безопасности. макось, винда и айфон тоже очень удобные ) а в европе жить лучше, чем в мурманске, зп и пенсии выше )
а почему никто не пишет ботов для xmpp?

GitHub - horazont/xmpp-echo-bot: XMPP/Jabber echo bot (written in sed)

XMPP/Jabber echo bot (written in sed). Contribute to horazont/xmpp-echo-bot development by creating an account on GitHub.

github.com

Не знаю, связанно это с серверами жабы или самим протоколом, но заливать файлы в жабе - это тот еще приключение. Если это проблема протокола, то подобный бот стал бы не удобством, а издевательством

 

[Gorg]

Сказано было к тому, что работать со смартфона = заранее выписать себе приговор.

Таак, минуточку, вот с этого момента поподробнее:

Спойлер: Минуточка информации

Telegram запретил авторизацию через SMS на ПК и в браузере

Telegram Desktop и все официальные веб-версии (Webogram, WebK, WebZ, React) перестали отправлять код для авторизации в мессенджере через SMS. Теперь, если у пользователя нет других активных сессий, для входа можно использовать только мобильное устройство с активным Интернет-соединением, на котором уже выполнена авторизация, так как код можно получить только в приложение. SMS продолжают работать в мобильных клиентах и неофициальных сборках Telegram Desktop.

Неясны намерения такого изменения, так как это не усилят безопасность: спамеры запросто могут воспользоваться другим клиентом. Разработчики Telegram никак не комментируют эту ситуацию, но указывают на то, что это изменение остаётся навсегда. Зато очевидны негативные последствия этого изменения: чтобы войти, не имея уже авторизированных устройств рядом, нужно иметь телефон с включённым Интернетом, а если на телефоне нет Telegram — его придётся сначала скачать (если ваше устройство вообще поддерживает Telegram), затем пройти в нём авторизацию, и только после этого можно получить код для входа на ПК.

Т.е. получается для того, что бы зарегаться в телеге сейчас я должен юзать всякие Котатограммы, Юниграммы и прочие "непонятные" форки? Очень удобный мессенджер ничего не скажешь, рега с левого номера на левые клиенты и общаться исключительно в секюрити чатах которые с ПК почему-то не поддерживаются, лол штА ?)

Вы серьёзно сейчас?) Ещё раз - В чём удобство непойму, оно есть тут ваще?)

 

[kosok11]

Таак, минуточку, вот с этого момента поподробнее:

Спойлер: Минуточка информации

Telegram запретил авторизацию через SMS на ПК и в браузере

Telegram Desktop и все официальные веб-версии (Webogram, WebK, WebZ, React) перестали отправлять код для авторизации в мессенджере через SMS. Теперь, если у пользователя нет других активных сессий, для входа можно использовать только мобильное устройство с активным Интернет-соединением, на котором уже выполнена авторизация, так как код можно получить только в приложение. SMS продолжают работать в мобильных клиентах и неофициальных сборках Telegram Desktop.

Неясны намерения такого изменения, так как это не усилят безопасность: спамеры запросто могут воспользоваться другим клиентом. Разработчики Telegram никак не комментируют эту ситуацию, но указывают на то, что это изменение остаётся навсегда. Зато очевидны негативные последствия этого изменения: чтобы войти, не имея уже авторизированных устройств рядом, нужно иметь телефон с включённым Интернетом, а если на телефоне нет Telegram — его придётся сначала скачать (если ваше устройство вообще поддерживает Telegram), затем пройти в нём авторизацию, и только после этого можно получить код для входа на ПК.

Т.е. получается для того, что бы зарегаться в телеге сейчас я должен юзать всякие Котатограммы, Юниграммы и прочие "непонятные" форки? Очень удобный мессенджер ничего не скажешь, рега с левого номера на левые клиенты и общаться исключительно в секюрити чатах которые с ПК почему-то не поддерживаются, лол штА ?)

Тебе не нужно ничего регать, чтобы пользоваться телегой, ты можешь купить готовый акк.
Если сильно хочется регаться - на эмуле все делается за пару минут.

 

[Gorg]

Тебе не нужно ничего регать, чтобы пользоваться телегой, ты можешь купить готовый акк.

И как я могу доверять сервисам у которых этот акк буду покупать, а чем оплачивать? Вот например тот же ЧипСМС https://cheapsms.ru открытым текстом у себя на главной пишут:

""Обращаем ваше внимание, что использовать сайт cheapsms запрещено в любой противоправной деятельности, которая противоречит законодательству РФ. При запросах со стороны государственных структур, все данные будут отданы.""

Вот это да, т.е. меня ещё и сдадут с потрохами если что...

Если сильно хочется регаться - на эмуле все делается за пару минут.

Офигенное "удобство", качать эмулятор, на него ставить приложение, и всё ради того, что бы на ПК завести приложение тилиграма, на котором отсутствует секюрити чаты, вот это да, огонь!) А на самом деле это мозгоё.... ещё то и блевота кривая и неудобная

Надо быть мазохистом что бы "топить" за такое "удобство"

 

[nightly]

Simplex is a dishonest protocol that lies by omission about its characteristics. They're pretending a simple asymmetric programming paradigm of using queues inside the server's software has a meaningful impact on the overall metadata protection on packets passing to and from the server. They either themselves have no understanding, or they don't want their users to have any understandings of networking 101 which is this:
ALL TCP and UDP packets that transit across the network have Source IP and Destination IP headers. These headers are absolutely mandatory for packet routing. SimpleX uses a single-entity managed (de)centralized network topology, meaning there is a central entity with access to IP addresses of every packet that flows in and out of the system. They pretend their 'temporary pairwise anonymous identifiers' provide sufficient metadata protection, without disclosing on the front page the fact they know which IP addresses are communicating.
The actual security you get is they pinky promise to look the other way wrt the IP addresses the protocol leaks by default by design. The only way you could get rid of this, if the protocol would route with Tor by default to anonymize the IP-address of every user.
But even that has a problem: there can not be a temporary identifier on server side, the server must either

1. Broadcast every received packet to every recipient, or
2. Have some form of identifier to which packets are routed. This identifier must either be

a) some persistent value for every connection. IP-address would probably do, but it can change so something more persistent is more reliable.
b) some cookie-like object that's provided from the client to the server, or unlocked by the client with persistent credentials.
It doesn't matter what the exact details are, the principles of caching ciphertexts on server and yielding them to appropriate (Simplex) clients on the network hasn't changed at all for decades. If there wasn't such a system, I could DoS random Simplex clients by just querying the server for ciphertext intended for them. So there must be some form of authentication that checks what you're allowed to fetch from the server, and that cookie/token/credential or whatever they choose to call it, must work between sessions. And that credential allows them to tie sessions, and thus queues together.
The standard way to think about sever-side anonymity is NOT what is the server doing, but what CAN the server do. We've heard the same correct thing a million times here on r/privacy, there's no way to verify what the server is actually doing, at least without trusted third parties like Intel SGX, and you don't see that being used in SimpleX.
With proper security design, we must always assume the server is being malicious and argue security from the PoV of what the open source client does to protect us from the malicious server. What does the server's maliciousness mean in this case? It means it is building a table that contains ciphertext, IP-address of both participants, and timestamps.
So are they being up-front about this? No. Are they being honest about the internal use of queues in the server side SW having no security effect on Simplex? Again, fuck no.
I'd be fine if they advertised what they actually have, but the thing is, they argue their system is superior to platforms like cwtch.im that have worked really hard, and actually managed to make it easy to manage multiple anonymous user-account client, where you can link individual peers to each account, and thus create actual privacy-by-design, technically enforced pair-wise anonymous identifiers, with no third party server in the middle that has access to sensitive metadata. This is because Cwtch always uses Tor Onion Services, and can not be misconfigured.
Discussion about these obvious issues led the founder telling me here on Reddit, that "security is also a feeling". So they're selling you bogus feeling of security, not actual security.

Создатель: https://github.com/maqp/tfc

 

[kosok11]

И как я могу доверять сервисам у которых этот акк буду покупать, а чем оплачивать? Вот например тот же ЧипСМС https://cheapsms.ru открытым текстом у себя на главной пишут:

""Обращаем ваше внимание, что использовать сайт cheapsms запрещено в любой противоправной деятельности, которая противоречит законодательству РФ. При запросах со стороны государственных структур, все данные будут отданы.""

Вот это да, т.е. меня ещё и сдадут с потрохами если что...

Я не совсем понимаю, ты намеренно извращаешь реальность или ты правда такой странный?
Что ты им должен доверять? Ты собрался деньги или сенситив информацию в телеге хранить? Тогда это диагноз
Ты на такие сервисы заходишь с домашнего ip и оплачиваешь с личной карты? Тогда это второй диагноз

 

[Evil God]

Вот это да, т.е. меня ещё и сдадут с потрохами если что...

А ещё каждая биржа это такой же ханипот и твой любимый обменник, они тоже тебя сдадут с потрохами, как страшно жить