Здравствуйте, vsb, Вы писали:
vsb>А у whatsapp есть два больших плюса: во-первых это западный проект и его ключи не утекут местным ментам, во-вторых в нём e2e шифрование по умолчанию, включая чаты.
DO>Телефон так и не нашли, кстати. А симку отдала одноклассникам.
Тогда это или просто вранье, или переписку забрали у тех, с кем девочка переписывалась. Потому что WhatsApp, с чего, собственно, и начался этот тред, переписку на серверах не хранит. Это ж не Messenger, и не Telegram.
Здравствуйте, vsb, Вы писали:
vsb>Это истории венского леса, сорри. Протокол ватсапа безопасен и был аудирован серьёзными компаниями. Максимум, что мог сделать следователь это найти друзей этой девочки и попросить их скинуть разговор. https://www.rbc.ru/society/29/10/2019/5db898099a79470aefb98e82?ysclid=lam3upqakg190152139
Ну и т.д., верить в то что твои данные в безопасности, во время когда окно овертона провернуто почти до дна в плане персональных данных пользователя, это очень самонадеянно, корпорации создают программные продукты с заранее заложенными бэкдорами. vsb>во-первых это западный проект и его ключи не утекут местным ментам
Еще более наивное предположение, просто ключи утекут и западным ментам и местным
Ну уязвимости бывают. Их фиксят. У обычных ментов к такому софту доступа нет.
I>Ну и т.д., верить в то что твои данные в безопасности, во время когда окно овертона провернуто почти до дна в плане персональных данных пользователя, это очень самонадеянно, корпорации создают программные продукты с заранее заложенными бэкдорами.
Пока теория про бэкдоры это только конспирология.
А слив персональных данных к делу не относится. Государство прекрасно знает все мои персональные данные.
vsb>>во-первых это западный проект и его ключи не утекут местным ментам I>Еще более наивное предположение, просто ключи утекут и западным ментам и местным
S>Зачем они вообще нужны такие, если есть полноценные, у которых финансов хватает на хранение данных у себя?
по твоей логике получается наоборот – viber и whatsapp для богатых, у которых есть деньги на облачные хранилища чтобы бэкапить туда данные своих мессенжеров, а не нищебродов за которых бэкапы хранит телега
Здравствуйте, vsb, Вы писали:
vsb>Они ничего открыть не могут. e2e означает, что на моём телефоне сообщение зашифровалось, на твоём расшифровалось. Фейсбук руками разведёт.
А вы их код проверили? Сейчас разгорается скандал, что не смотря на галочки
"не следить за мной" в Android и iOS Apple и Google делали ровно противоположное.
А у facebook вообще никакой положительной репутации нет, с чего вдруг их заявлениям
e2e стоит верить?
Здравствуйте, Zhendos, Вы писали:
Z>А вы их код проверили? Сейчас разгорается скандал, что не смотря на галочки Z>"не следить за мной" в Android и iOS Apple и Google делали ровно противоположное. Z>А у facebook вообще никакой положительной репутации нет, с чего вдруг их заявлениям Z>e2e стоит верить?
Я доверяю неизвестным хакерам, для которых выхлоп дизассемблера понятней, чем мой код на жаве, а без сниффера они даже в туалет не ходят. И если бы whatsapp делал что-то подозрительное, про это бы уже написали на хабре со всеми нужными выдержками из гидры и ваершарка.
Между прочим протокол телеграма многим экспертам по безопасности кажется странным. И в его реализации даже находили детские уязвимости. И хотя сам протокол не взломали, но тот факт, что Дуров придумал свои протоколы вместо общепринятых сто раз проверенных, вызывает смутное беспокойство.
Ибо на моих устройствах крутится столько гигабайтов кода, который я даже не компилировал, что делать упор на ватсапе просто странно.
Здравствуйте, SkyDance, Вы писали:
DO>>Телефон так и не нашли, кстати. А симку отдала одноклассникам.
SD>Тогда это или просто вранье, или переписку забрали у тех, с кем девочка переписывалась. Потому что WhatsApp, с чего, собственно, и начался этот тред, переписку на серверах не хранит. Это ж не Messenger, и не Telegram.
Ну вообще-то потом автор признался, что оказывается у него другая учетная запись
Z>А у facebook вообще никакой положительной репутации нет, с чего вдруг их заявлениям
Во-первых, при чем тут facebook? WhatsApp — отдельная компания.
Во-вторых, signal protocol, который и реализован в WhatAapp — open source, https://github.com/signalapp/libsignal
Говорю ж, это не Телеграм, где более-менее надежно реализованы только "секретные 1:1 чаты".
Здравствуйте, vsb, Вы писали:
vsb>Здравствуйте, Zhendos, Вы писали:
vsb>Я доверяю неизвестным хакерам, для которых выхлоп дизассемблера понятней, чем мой код на жаве, а без сниффера они даже в туалет не ходят. И если бы whatsapp делал что-то подозрительное, про это бы уже написали на хабре со всеми нужными выдержками из гидры и ваершарка.
Ну если "хакерам", которые за вас все изучили то: > Тут есть только одна проблема — т.к. это централизованная система, то и передача ключей идёт через сервера WhatsApp, так что чисто технически нет никаких препятствий для разработчиков мессенджера передать подставные ключи шифрования и полностью читать переписку
Так что скорее всего логи e2e пишутся и сохраняются,
и что есть этот e2e, что нет, никакой разницы.
Здравствуйте, Zhendos, Вы писали:
Z>Так что скорее всего логи e2e пишутся и сохраняются, Z>и что есть этот e2e, что нет, никакой разницы.
e2e означает end to end. Т.е. ключи шифрования на моём устройстве и на устройстве получателя и нигде более. Поэтому писать логи не намного полезней, чем записывать выхлоп /dev/random.
Здравствуйте, Shmj, Вы писали:
S>Попробуй с Андройдом переедь в другую страну. Вот приезжаю я такой в РФ — а такси вызвать не могу. Только яндекс такси — а это приложение не доступно в стране моего проживаня. Менять страну можно раз в год и то ждать 3 суток. Ну пришлось у барыг за 3 цены брать.
я в такой ситуации с компа ставил приложения — google play из браузера автоматом поднял текущую страну по ip и дал установить местные приложения ...
SD>>Во-вторых, signal protocol, который и реализован в WhatAapp — open source, https://github.com/signalapp/libsignal
УП>При чем тут протокол? Приложение может много чего делать помимо этого протокола, например, отправлять твои ключи куда следует.
Предположим к официальному приложению у нас доверия нет.
Что же мешает написать свое или провести ревью кода сторонней реализации?
При этом убедиться, что e2e (Signal) применяется правильно, согласно документации от разработчиков библиотеки Signal.
Если ограничиться текстовыми сообщениями, без аудио/видео, то это не особо трудоемко.
Для pidgin, например, есть два плагина, реализующих whatsapp протокол.
Здравствуйте, m2user, Вы писали:
M>Предположим к официальному приложению у нас доверия нет. M>Что же мешает написать свое или провести ревью кода сторонней реализации?
Отсутствие достаточной мотивации подойдет? Во-первых, тут большинство — неуловимые Джо. Во-вторых, большинство и так сумеют передать чувствительную информацию, не пользуясь программами от плохо зарекомендовавших себя фирм. Ну и в третьих, никто не готов нам платить за разработку еще одного мессенджера и ревью того кода.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, SkyDance, Вы писали:
SD>Тогда это или просто вранье, или переписку забрали у тех, с кем девочка переписывалась. Потому что WhatsApp, с чего, собственно, и начался этот тред, переписку на серверах не хранит. Это ж не Messenger, и не Telegram.
Коллега, я пытаюсь донести простую мысль, протокол не имеет значения и его защищенность тоже. Повторю еще раз:
Не хочешь, чтобы твоя переписка попала кому-то на глаза — не пиши ничего, что может как-то тебя скомпроментировать.
vsb>Не, я верю, что если я сворую миллиард долларов у белого дома и АНБ откроет за мной охоту, Цукерберг и билд специальный для меня сделает и аппстор его мне подсунет. Но тут уже другой уровень возможностей. Не бытовой.
Это излишне. Достаточно всего лишь иметь возможность "подкручивать энтропию", делая генератор случайных чисел не совсем случайным, и превращая e2e в фарс.
