LINUX.ORG.RU

Briar Beta

 , ,


5

2

Briar — это приложение для обмена сообщениями, созданное для людей, которым необходимо средство безопасного и простого способа общения. В отличии от популярных на данный момент средств обмена сообщениями, Briar не зависит от центрального сервера — сообщения синхронизируются напрямую между устройствами пользователя. Если Интернет становится недоступным, то Briar может обеспечивать связь посредством Bluetooth или Wi-Fi.

После внутреннего тестирования и проведения независимого аудита безопасности проект становится доступен для тестирования неограниченному количеству пользователей (обратная связь). В связи с тем, что после проведения бета теста возможны изменения протокола, то аккаунты пользователей будут несовместимы с финальной версией протокола.

В числе разработчиков есть люди, которые приложили свою руку к таким проектам, как I2P, Freenet и LimeWire.

Больше информации доступно на wiki страницах проекта. Например, там можно найти модель угроз, а также зачем нужны привилегии приложению.

Сборки Briar доступны в Google Play, а также в виде apk для тех пользователей, которые предпочитают не использовать Google Play. Подробнее о установке и использованию можно прочитать в официальном руководстве пользователя.

На данный момент разработчики сконцентрированы на мобильном приложении под Android, но для имплементации протокола в рамках приложения для десктопа нет никаких преград, так как (цитата) «Briar был создан модульным настолько, насколько это возможно».

Исходные коды проекта распространяются по лицензии GNU GPLv3.

>>> Подробности

★★☆☆☆

Проверено: JB ()

> В числе разработчиков есть люди, которые приложили свою руку к таким проектам, как I2P, Freenet и LimeWire.

Кстати о LimeWire. В какой-то момент все копии программы внезапно взяли и исчезли. Разве не должно было сработать правило «то, что единожды попало в интернет, удалить оттуда уже невозможно»? Тем более, для такой популярной программы. Никогда не видел такой жёсткой реакции ФБР на что бы то ни было: по всем остальным вопросам цифрового права их борьба безуспешна.

ZenitharChampion ★★★★★ ()
Ответ на: комментарий от jollheef

Сервер можно выпустить как отдельного демона, которого можно поднять на скольки угодно нодах. И выложить в паблик. И пущай себе люди ставят. Ну и серверы могут вести между собой синхронизацию уже зашифрованных данных. Это как раздача торрентов - держать ноду для всеобщего блага. В целом, проблема блокировки имеет решения. А вот проблема потребления ресурсов p2p приложениями на mobile, к сожалению, не имеет решений без сервера в том или ином виде.

anonymous ()
Ответ на: комментарий от jollheef

Через трояна в телефоне.

И как сосед Вася мне его установит? Определим, что Вася тут высококвалифицированный специалист по информационной безопасности, но не имеет физического доступа к устройству.

Удалённые эксплоиты не отменяли. А в самом слове троян заключено то, что пользователь его сам себе устанавливает, думая, что это на самом деле что-то, что ему нужно.

Если Андроид на смартфоне актуальный, и хранитель экрана с действенно блокировкой, то как раз физическим доступом к нему ничего не сделаешь, чтобы незаметно было.

Сосед? Прекрасно - можно поднять GSM-базовую станцию с бОльшим уровнем сигнала, чем провайдерские, беспарольную WiFi-точку доступа. А если нет - то и других способов, наверняка, хватает. Попросить тебя зайти на сайт кое-что посмотреть для соседа.

gag ★★★★★ ()
Ответ на: комментарий от anonymous

Да, это абсолютно разумное решение, где-то я описывал такое же почти 1 в 1. Но проблемы все равно есть, к сожалению, и одна из них — серые адреса.

А вот проблема потребления ресурсов p2p приложениями на mobile, к сожалению, не имеет решений без сервера в том или ином виде.

Потребление ресурсов выше, безусловно. Но текущий клиент уже можно держать в фоне, что для меня было несколько удивительно.

jollheef ★★☆☆☆ ()
Ответ на: комментарий от anonymous

p2p означает постоянный обмен состоянием со всеми контактами с списке, что крайне плохо скажется на автономности моб. устройства.

И Ring на этот счёт ругают.

Нужен подход с другой стороны - через сервер, но всё шифрование всегда на клиенте. А с сервера пуши зашифрованных данных на моб. девайсы. Но да, прийдётся копировать свои ключи вручную между девайсами.

Такое уже сделали: matrix. А ещё раньше для джаббера (омемо): даже ключи копировать не надо: новый девайс - новый ключ под твоим аккаунтом. Проблема с девайсом - тебе и твоим контактам нужно просто пометить ключ как «более не доверяю».

gag ★★★★★ ()
Ответ на: комментарий от gag

Удалённые эксплоиты не отменяли

Осталось сравнить стоимость RCE в Android со стоимостью информации, которой ты обмениваешься. Hint: RCE в Android это очень, очень дорого.

пользователь его сам себе устанавливает, думая, что это на самом деле что-то, что ему нужно

К слову, в случае с Briar подобное внесено в модель угроз, и даже в том случае, если есть доступ к экрану — подобное приложение ничего плохого сделать не сможет.

Но в общем случае от пользователя-идиота не спасет ничего, он и так расскажет соседу все, без телефона.

Сосед? Прекрасно - можно поднять GSM-базовую станцию с бОльшим уровнем сигнала, чем провайдерские, беспарольную WiFi-точку доступа

И... дальше что? Коммуникации остаются в безопасности.

jollheef ★★☆☆☆ ()
Последнее исправление: jollheef (всего исправлений: 1)
Ответ на: комментарий от jollheef

В p2p есть нюанс один: я когда поднял сервер матрикса и подключился к крупной и активной комнате то база постгреса сразу около 100 мегабайт в весе прибавила. А теперь представь такое на смарт затягивать. Мне кажется, что федеративные сервера в этом плане по лучше будут. Например, если ты ставишь себе softether vpn, то можешь в одну галку стать волонтером для проекта vpngate. Вот если бы каждый мог в 2 клика установить себе на комп сервер матрикса и из коробки были бы средства для обхода ограничений серых адресов именно для федерации, а потом свои портативные устройства к своему серверу подключаешь и все. Такой себе гибрид р2р и федеративного сервера. Что думаешь?

anonymous ()
Ответ на: комментарий от jollheef

Hint: RCE в Android это очень, очень дорого.

На большинстве андроид-смартфонов версия не актуальная.

И... дальше что? Коммуникации остаются в безопасности.

Дальше удалёный эксплоит. Ведь RCE легче всего сделать через подмену популярного сайта в браузере или даже только вывода рекламы или встройки какого-то элемента. А если коммуникация идёт через подконтрольную точку, то главное препятствие уже устранено.

gag ★★★★★ ()
Ответ на: комментарий от jollheef

Я так понимаю, что Briar хороший, потому что у него есть мобильный клиент. Но нет десктопного. Но десктопный пилят.

А Tox плохой, потому что у него нет мобильного клиента. Но есть десктопный. Но мобильный пилят.

Aceler ★★★★★ ()
Ответ на: комментарий от gag

На большинстве андроид-смартфонов версия не актуальная.

Если пользователю безразлична безопасность, и он использует устаревшее, то это его проблемы, как мне кажется. Это как обсуждать безопасность пользователя с Windows XP.

Покупать раз в три года (время, когда прилетают апдейты безопасности) Nexus не такая большая проблема.

jollheef ★★☆☆☆ ()
Последнее исправление: jollheef (всего исправлений: 1)
Ответ на: комментарий от Aceler

antox вполне себе, поддержка av частями заработала, можно побаловаться, групчаты пока отодвинули в сторонку, со словами ну поломали понимаешь, вернем обратно как починим.

Morin ()
Ответ на: комментарий от jollheef

И в чем проблема безопасности пользователя виндовс икспи?

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\888>systeminfo | find "Дата"
Дата установки:                   06.07.2009, 9:49:03

C:\Documents and Settings\888>

Morin ()
Ответ на: комментарий от jollheef

Ну как бы я тебе выше уже все сказал. А баги есть везде и чем популярнее среда тем больше дыр по этим багам. Да начнется срач в линуксах вирусов нет.

Morin ()

Briar the first public beta Release
July 21 2017

Внезапно:

Release of Ring 1.0
21 July 2017

Это совпадение? Вот бы точное время публикации узнать. Надёжней было бы через mailing list:

Briar: 2017-07-21 13:40:16

Ring: Fri, 21 Jul 2017 11:01:26 -0400 (EDT)

Осталось найти заголовок письма от sourceforge, чтобы понять, что там за точное время.

gag ★★★★★ ()
Ответ на: комментарий от Morin

Ну как бы я тебе выше уже все сказал.

Не вижу, чтобы ты говорил выше что-то по этому поводу. Ткни носом, пожалуйста.

А баги есть везде и чем популярнее среда тем больше дыр по этим багам.

Понимаешь, тут дело совсем не в том, что баги где-то есть. Тут дело в том, что где-то они найдены и исправлены, а где-то они найдены и никогда уже не будут исправлены на консьюмерских девайсах, а также к ним доступны публичные эксплоиты.

jollheef ★★☆☆☆ ()
Ответ на: комментарий от jollheef

Мда, ну 0 так 0.

ман банкбот, очередная версия и активность прямо сейчас, первые версии почти 10 лет назад. Угадай под какую платформу и при чьем попустительстве. Шифруйтесь дальше, товарищ майор привык к картинкам.

Morin ()
Ответ на: комментарий от Aceler

А Tox плохой, потому что у него нет мобильного клиента. Но есть десктопный. Но мобильный пилят.

Раз, там речь не о десктопном/мобильном клиенте. В tox в протоколе нет поддержки нескольких устройств в принципе.

Два, этим никто не занимается (тыц https://github.com/TokTok/c-toxcore/issues/466 )

Три, токсом сейчас вообще никто не занимается (итог про состояние toxcore на январь 2017 https://github.com/TokTok/c-toxcore/issues/426#issuecomment-272638753 )

Gary ★★★★★ ()
Последнее исправление: Gary (всего исправлений: 1)
Ответ на: комментарий от Gary

Они вроде раньше разваливались, если все участники оказывались оффлайн

И сейчас так - это нормальное поведение. Где чат должен сохраняться, если все участники оффлайн и сервера нет? Поэтому сажают бота.

anonymous ()
Ответ на: комментарий от anonymous

Это не нормальное поведение. Это значит что если пользователям нужен групчат, нужно арендовать свой сервер. Такая хрень никогда не взлетит, к этому можно ещё добавить невозможность использовать его совместно на мобилке и десктопе.

Собственно, даже разработчики токса не пользовались токсом для групчатов, а использовали канал на freenode, настолько там всё плохо.

Gary ★★★★★ ()
Ответ на: комментарий от Gary

ZeroNet, емнип, в этом плане не надёжней торрентов?

А что не так с надёжностью торрентов? :)

А в общем случае — надёжнее. Торренты редко оставляют на месте закачки и на долго. Многие поюзали и снесли. Или перенесли в другое место. А в ZeroNet раз посмотрел — остаётся на раздаче, пока специально не снесёшь. Психологически получается доступность выше.

Но, вообще, это я так, гиперболизируя. ZeroNet, всё же, не для раздачи файлов служит, в первую очередь для обмена информацией. Теми же торрентами/магнетами или IPFS-хешами.

KRoN73 ★★★★★ ()
Ответ на: комментарий от shikata_ga_nai

БТ ловит не более, чем на пару метров

10 метров для Class 2, 100 метров для Class 1.

Class 1 + Class 2 дают обычно около 30 метров дальности.

А так слышал про адаптеры с дальностью до 20-30 км :)

KRoN73 ★★★★★ ()
Ответ на: комментарий от Gary

даже разработчики токса не пользовались токсом для групчатов, а использовали канал на freenode, настолько там всё плохо.

IRC-канал для поддержки и общения - это уже давно стандарт для разработчиков разных open source проектов.

anonymous ()
Ответ на: комментарий от anonymous

Вот именно, плохой/мертвый/уязвимый/неполноценный(нужное дописать) tox может передавать файлы, и совершать аудиозвонки между десктопом и телефоном(недавно проверяли, при этом один аккаунт может иметь разные никнеймы на разных аппаратах).
Сабж-же нихера не умеет но он совершенен. Явно из-за облачков и лучших эмоджи в чате.

aplay ★★★★ ()
Ответ на: комментарий от anonymous

серые адреса
Можешь почитать про STUN/TURN и WebRTC. Это один из вариантов решения.

дело не в «серых адресах» как таковых, а в приватных сетях. подсети никуда не денутся потому что во-первых это удобно, во-вторых повышает безопасность подсети, в-третьих очень часто подсеть просто нужна: в ней живут свои сервисы, свои устройства и т.д.

поэтому даже с наступлением полного ipv6-ца, нат никуда не денется. «серый адрес» - это вообще что-то из девяностых, так интернет-провайдеры говорили своим пользователям чтобы не рассказывать про подсети и всё остальное. куча ipv6-адресов всегда будет «серой», хотя они конечно никакие не серые, а просто всегда будут находиться в приватной сети за файрволом.

stun/turn/poop/puke и т.д - это всё полумеры, они не гарантируют того, что нат пробьётся. единственный надёжный способ - промежуточный сервер через который направляется трафик.

вообще мессенджеры не должны таким париться, им прямое соединение при живом end-to-end encryption не нужно.

anonymous ()
Ответ на: комментарий от shikata_ga_nai

Насколько я знаю, БТ ловит не более, чем на пару метров

Это распространенное заблуждение. Bluetooth 4.2 это до 10 метров в помещении и до 50 метров на улице. С Bluetooth 5.0 будет до 40 метров в помещении и до 200 метров на улице.

И это при том, что Bluetooth постоянно развивается в сторону уменьшения потребления энергии.

jollheef ★★☆☆☆ ()
Ответ на: комментарий от anonymous

им прямое соединение при живом end-to-end encryption не нужно

В современном мире, к сожалению, появляется проблема не только безопасной передачи данных между пользователями, но и передача данных вообще, то есть необходимо средство, которое нельзя будет успешно блокировать.

jollheef ★★☆☆☆ ()
Ответ на: комментарий от jollheef

Различные анализаторы трафика уже умеют находить и блокировать всякие VPN'ы и прочие torrent-сети. Научиться детектить даже шифрованный трафик нового мессенджера можно. Собственно, и заблокировать его на уровне провайдера. А, в остальном, общение в LAN никто, конечно же, не заблочит.

anonymous ()