Мессенджер Session

Ты бы хоть ссылки оставил

А с серверной частью что? А оплачивает работу серверов бескорыстный бескорыстник совершенно точно не связанный ни с ЦРУ, ни с Гуглом?

Ты бы хоть ссылки оставил

https://github.com/session-foundation

Там 2 репозитария - для андроида и для десктопа
Звезд с неба вроде не хватают

В AppStore кто-то написал в отзывах, что в России сервера Session заблокированы.

В AppStore кто-то написал в отзывах, что в России сервера Session заблокированы.

Да, на форумах пишут, что для России нужен квн для того, чтобы им пользоваться
Получается, блокируют все, что только может шевелиться
Причем втихушку

Мессенджера без телефона не существует, да и не нужно.

Мессенджера без телефона не существует, да и не нужно.

Да ладно

Во-первых забанен в блинолопатной. Во-вторых,

https://soatok.blog/2025/01/14/dont-use-session-signal-fork/

https://soatok.blog/2025/01/20/session-round-2/

Вижу вы следите за темой.
Коротенько можете рассказать как сейчас обстоят дела с месенжерами? Чем, например, не устроил Jabber, как у него дела с шифрованием?

Что именно интересует?

Signal - золотой стандарт.

Session - обсудили выше.

SimpleX chat - без идентификаторв вообще. Тоже забанен.

Это три стандартных варианта.

TeleGuard - из более новых тоже, декларирует e2e, нне забанен, но кода его не нашел (и не особо искал). Не требует номера.

Чем, например, не устроил Jabber

https://soatok.blog/2024/08/04/against-xmppomemo/

См также https://www.privacyguides.org/en/real-time-communication/

Да, это интересная дискуссия
Суть в том, что разработчики Session клонировали Сигнал
И какой-то сторонний чувак обнаружил, что при этом они якобы сломали криптографию
В Сигнале она работает таким образом, что если гипотетически кто-то ломает ключ, то это позволяет расшифровать только текущее сообщение и не позволяет получить все предыдущие
В Session раработчики выкинули из криптографии некий функционал, который позволяет якобы вообще прочитать всю историю

Разработчики мессенджера Session использовали код Signal Protocol (криптографическую основу Signal) в своей реализации, но внесли ряд изменений, которые вызвали критику со стороны экспертов в области криптографии.
Основные проблемы:

1. Удаление номеров одноразовых сессий (session IDs):
В Signal каждый сеанс шифрования имеет уникальный идентификатор, который помогает предотвратить атаки повторного воспроизведения (replay attacks).
В Session эти идентификаторы были удалены, что теоретически делает протокол уязвимым к replay-атакам.

2. Изменение механизма пропущенных сообщений (ratchet):
Signal использует двойной ratchet (Double Ratchet Algorithm), который обеспечивает постоянное обновление ключей даже при потере сообщений.
В Session упростили этот механизм, что потенциально снижает стойкость к компрометации долгосрочных ключей (хотя разработчики утверждают, что их модификация безопасна).

3. Самописная криптография в части onion-маршрутизации:
Session использует onion-маршрутизацию (аналогично Tor) для анонимности, но их реализация не была так тщательно проверена, как Signal Protocol.
В Signal маршрутизация сообщений не является частью криптографии, а в Session она интегрирована, что добавляет новые векторы атак.

Получается, что Session - это не просто форк Signal — это отдельный мессенджер с модификациями, которые могут снижать криптографическую стойкость.
Session - это другое, он делает ставку на анонимность через onion-маршрутизацию и отсутствие привязки к номеру телефона, о чем я писал в самом начале.

Меня интересует вопрос: насколько это действительно открыто, устанавливал ли кто-то этот мессенджер, на каких платформах оно действительно работает ?

А с кем там общаться, с самим собой? На бумаге оно может быть сколь угодно замечательным (хотя уже написали что нет), толку-то

С семьей, если члены ценят привтность. Если у вас нет таких членов и знакомых - проходите мимо, это не для вас мессенджер.

Вообще если вы видете инструмент и не знаете зачем он вам - просто проходите мимо.

Дружище, давай я без тебя разберусь куда и как мне идти, пунктуация, окей, авторская, но «видете» это уже перебор

Создатели всех этих сверхзащищённых мессенджеров забывают выкинуть главное слабое звено - человеков. Давно пора сделать самый супер-пупер защищённый мессенджер, населить его нейросетками, создающими иллюзию общения, и на этом успокоиться.

спасибо, но это всё на typescript :S

С семьей

От как раз с семьей в последнюю очередь. Это в бизнесе можно всякую дичь пихать под соусом «ну они же написали».

Мессенджера без телефона не существует

Meshtastic.

Но, честно говоря, так себе замена.

Вау, мессенджер!

Чувак, мессенджер - это штука в которой общаются люди =)

Все эти матриксы, жаберы, мешастики с 3.5 задротами - явно не мессенджеры.

это штука в которой общаются люди

Т.е. по твоему т.н. «задроты» это не люди?

Т.е. по твоему т.н. «задроты» это не люди?

Люди - это люди, задроты - это задроты. Среди людей, айтишных задротов которым кишки мессенджера важнее общения с себе подобными - от силы 1%.

Среди людей, айтишных задротов которым кишки мессенджера важнее общения с себе подобными - от силы 1%.

Много раз я приводил в спорах о матрицах этот постулат, но ни разу ко мне не прислушались. Наоборот, начинали убеждать, что всех остальных нужно перетягивать в матрицу.

Много раз я приводил в спорах о матрицах этот постулат, но ни разу ко мне не прислушались. Наоборот, начинали убеждать, что всех остальных нужно перетягивать в матрицу.

Как по мне, все зависит от конечных целей разработчика\владельца мессенджера, и уже цели достигаются тем или иным способом.

Если цель: сделать так чтобы этим пользовалось много людей - то начинать нужно явно не с кишок, а с хорошей рекламы, которая донесет до людей причину, почему им нужно как минимум поставить еще один мессенджер на мобильник, а в идеале вообще снести остальные три.

Вот нашел интересную статейку...

1. Использует сквозное шифрование

2. Скрывает IP-адреса и метаданные пользователей по умолчанию (на момент только в переписке, в будущем также во время звонков)

3. Не требует номер телефона, электронной почты или любых других данных для регистрации

4. Имеет открытый исходный код

5. Использует (децентрализованную) onion-маршрутизацию с некоторыми ключевыми отличиями, улучающими приватность пользователя

6. Не имеет возможности логгировать данные пользователя, в следствие чего ежемесячно отказывает десяткам судебных требований выдать данные пользователя (в силу отсутствии возможности сделать это)

7. Поддерживает групповые чаты

8. Устойчив к атакам MITM и Сивиллы

9. Использует надежную и широко одобренную систему шифрования Libsodium, также имеющую открытый исходный код

10. Клиенты Session для ПК, Android и iOS прошли аудит информационной безопасности от Quarkslab

11. Доступен для установки на все операционные системы (Windows, Mac, Linux, iPhone, iPad, Android)

12. Стоит также отметить, что команда разработчиков Session (OPTF) является некоммерческой организацией и полностью прозрачна в финансировании

1. Если мессенджеры без сквозного шифрования тоже покажут котиков или лучше киску - это не фича;

2. А что, есть мессенджеры которые не скрывают IP-адреса?

3. С чего они взяли что это преимущество? Когда этим чудом будет пользоваться больше чем 3.5 человека, и их 8-летним дочерям поприлетают фото\видеозвонки от мастурбеков в боевой готовности - тогда задроты поймут, для чего нужны телефоны и IP-адреса

4. Если мессенджеры с закрытым исходным кодом тоже покажут котиков или лучше киску - это не фича;

5. Если мессенджеры без децентрализованной(onion) тоже покажут котиков или лучше киску - это не фича;

6. Как только этим станут пользоваться больше чем 3.5 задрота - обяжут, а не согласятся - найдут где-нибудь в аэропорту Парижа и предьявят хранение ЦП оптом;

7. А что, есть мессенджеры что не поддерживают?

8. Если мессенджеры без устойчивости к атакам MITM и Сивиллы тоже покажут котиков или лучше киску - это не фича;

9. Если мессенджеры без надежной и широко одобренной системы шифрования Libsodium тоже покажут котиков или лучше киску - это не фича;

10. Если мессенджеры без пройденного аудита информационной безопасности от Васянконторы тоже покажут котиков или лучше киску - это не фича;

11. Без Гайки ну вообще не тру;

12. То есть может загнуться в любой момент, когда не будет бабла на оплату электричества.

Как-то так =)

Мессенджер Session использует onion-маршрутизацию (через свою децентрализованную сеть Oxen и сервис Lokinet), и тем не менее его заблокировали в России в 2024 году.

У него фиксированные входные узлы (seed nodes), для первоначального подключения клиенты обращаются к известным seed-узлам.
Публичные IP-адреса естественно Роскомнадзор быстренько заблокировал.
В отличие от Tor (где тысячи узлов), у Session ограниченное количество точек входа.

В Tor есть obfs4 и Snowflake для обхода блокировок, а у Session пока нет даже аналогов.

Понятно, что на западе нет таких проблем с блокировкой, поэтому разработчики и не заморачиваются.
Но это до поры до времени.