Matrix капитально прохудился

Очередной раз шерето, а впрочем ничего нового.

был irc, был jabber, был matrix.

ждём очередного поделия которое уж вот точно выстрелит и придёт им всем замену потому что его придумал аж какой-нибудь консорциум как официальный штандарт, ага, да.

«Ален ноби, ностра алис! Что означает - ежели один человек построил, другой завсегда разобрать может!» ©«Формула любви» :))

Matrix предупредили о выявлении критических уязвимостей в библиотеках matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, позволяющих администраторам серверов выдавать себя за других пользователей и читать сообщения в чатах со сквозным шифрованием (E2EE)

Уязвимости вызваны ошибками в отдельных реализациях протокола Matrix и не являются проблемами самого протокола.

Как это может быть проблемой SDK, если протокол такое в принципе допустил? Если я пойду наговнокожу свой клиент и смогу читать чужие сообщения — это будет проблемой моей реализации, а не их протокола?

Может в сообщении упущен какой-то важный нюанс?

Я так понял, что проблема в sdk клиентов, которая позволяет админам серверов читать переписку этих клиентов. Т.е. это не в смысле, что на клиентах протокол реализован правильно, а третья сторона может реализовать протокол не правильно и получит доступ к клиентам, у которых все ок.

Вот для этого и нужен аудит.

Аудит никому не нужен, ибо создаёт просто видимость верификации по причине наличия ошибок, которые никакой аудит не выявит (проявляющихся в сложных ситуациях, либо просто достаточно нетривиальных, чтобы человеческий глаз не зацепился)

Херовенький аудит получается :^) Вообще это всё давно решенные проблемы мне кажется, плохо читаемый/понимаемый код должен просто проваливать аудит автоматом, для всяких краевых случаев придумали фазз-тестинг, ещё есть математически доказуемая корректность и т.п.

Ну вот именно, что только формальная верификация даст однозначный результат, а вот эти все аудиты, краевые случаи - это способ для одних попилить бабла, для других - с важной мордой утверждать лохам, что мы де аудит прошли.

Другое дело поделки типа матрицы скорей всего математически доказать невозможно ввиду ущербности используемых технологий.

Я если что в подобных аудитах участвовал и знаю, какая эта сраная профанация (хинт: в аудиторах работают далеко не всезнающие гении).

Поясни за ущербность используемых технологий? А то тут на ЛОРе половина диванные архитекторы, а вторая половина диванные криптографы по ходу.

Долго пробовал разные свободные мессенджеры. В целом Matrix хоть как-то работал (десктоп - мобилки), остальные вообще худо. Жаль, что всплывают в матриксе такие косяки.

Администратор Matrix-сервера может нарушить работу верификации на основе emoji

Лол, похоже на закладку, никто искать уязвимости в эмодзях не станет :D