Briar Beta

А вот власти эрефии так не считают.

Briar может обеспечивать связь посредством Bluetooth или Wi-Fi

Если запилить модули типа знакомств, то сабж нехило взлетит.

Полноценно это как, сообщения передает? (: Ты не поверишь...

Посоветуй клиент Tox для Android, который поддерживал бы групповые чаты.

Сервер можно заблокировать, и скажи прощай своему месседжеру !p2p.

> В числе разработчиков есть люди, которые приложили свою руку к таким проектам, как I2P, Freenet и LimeWire.

Кстати о LimeWire. В какой-то момент все копии программы внезапно взяли и исчезли. Разве не должно было сработать правило «то, что единожды попало в интернет, удалить оттуда уже невозможно»? Тем более, для такой популярной программы. Никогда не видел такой жёсткой реакции ФБР на что бы то ни было: по всем остальным вопросам цифрового права их борьба безуспешна.

Сервер можно выпустить как отдельного демона, которого можно поднять на скольки угодно нодах. И выложить в паблик. И пущай себе люди ставят. Ну и серверы могут вести между собой синхронизацию уже зашифрованных данных. Это как раздача торрентов - держать ноду для всеобщего блага. В целом, проблема блокировки имеет решения. А вот проблема потребления ресурсов p2p приложениями на mobile, к сожалению, не имеет решений без сервера в том или ином виде.

Через трояна в телефоне.

И как сосед Вася мне его установит? Определим, что Вася тут высококвалифицированный специалист по информационной безопасности, но не имеет физического доступа к устройству.

Удалённые эксплоиты не отменяли. А в самом слове троян заключено то, что пользователь его сам себе устанавливает, думая, что это на самом деле что-то, что ему нужно.

Если Андроид на смартфоне актуальный, и хранитель экрана с действенно блокировкой, то как раз физическим доступом к нему ничего не сделаешь, чтобы незаметно было.

Сосед? Прекрасно - можно поднять GSM-базовую станцию с бОльшим уровнем сигнала, чем провайдерские, беспарольную WiFi-точку доступа. А если нет - то и других способов, наверняка, хватает. Попросить тебя зайти на сайт кое-что посмотреть для соседа.

Да, это абсолютно разумное решение, где-то я описывал такое же почти 1 в 1. Но проблемы все равно есть, к сожалению, и одна из них — серые адреса.

А вот проблема потребления ресурсов p2p приложениями на mobile, к сожалению, не имеет решений без сервера в том или ином виде.

Потребление ресурсов выше, безусловно. Но текущий клиент уже можно держать в фоне, что для меня было несколько удивительно.

Привет, анон! Ты только что принцип работы matrix.org описал. Посмотри, может понравиться.

p2p означает постоянный обмен состоянием со всеми контактами с списке, что крайне плохо скажется на автономности моб. устройства.

И Ring на этот счёт ругают.

Нужен подход с другой стороны - через сервер, но всё шифрование всегда на клиенте. А с сервера пуши зашифрованных данных на моб. девайсы. Но да, прийдётся копировать свои ключи вручную между девайсами.

Такое уже сделали: matrix. А ещё раньше для джаббера (омемо): даже ключи копировать не надо: новый девайс - новый ключ под твоим аккаунтом. Проблема с девайсом - тебе и твоим контактам нужно просто пометить ключ как «более не доверяю».

Привет, анон! Ты только что принцип работы matrix.org описал. Посмотри, может понравиться.

Имеется ввиду не федерация, а некий p2p-бутстрап.

серые адреса

Можешь почитать про STUN/TURN и WebRTC. Это один из вариантов решения.

Удалённые эксплоиты не отменяли

Осталось сравнить стоимость RCE в Android со стоимостью информации, которой ты обмениваешься. Hint: RCE в Android это очень, очень дорого.

пользователь его сам себе устанавливает, думая, что это на самом деле что-то, что ему нужно

К слову, в случае с Briar подобное внесено в модель угроз, и даже в том случае, если есть доступ к экрану — подобное приложение ничего плохого сделать не сможет.

Но в общем случае от пользователя-идиота не спасет ничего, он и так расскажет соседу все, без телефона.

Сосед? Прекрасно - можно поднять GSM-базовую станцию с бОльшим уровнем сигнала, чем провайдерские, беспарольную WiFi-точку доступа

И... дальше что? Коммуникации остаются в безопасности.

В p2p есть нюанс один: я когда поднял сервер матрикса и подключился к крупной и активной комнате то база постгреса сразу около 100 мегабайт в весе прибавила. А теперь представь такое на смарт затягивать. Мне кажется, что федеративные сервера в этом плане по лучше будут. Например, если ты ставишь себе softether vpn, то можешь в одну галку стать волонтером для проекта vpngate. Вот если бы каждый мог в 2 клика установить себе на комп сервер матрикса и из коробки были бы средства для обхода ограничений серых адресов именно для федерации, а потом свои портативные устройства к своему серверу подключаешь и все. Такой себе гибрид р2р и федеративного сервера. Что думаешь?

Hint: RCE в Android это очень, очень дорого.

На большинстве андроид-смартфонов версия не актуальная.

И... дальше что? Коммуникации остаются в безопасности.

Дальше удалёный эксплоит. Ведь RCE легче всего сделать через подмену популярного сайта в браузере или даже только вывода рекламы или встройки какого-то элемента. А если коммуникация идёт через подконтрольную точку, то главное препятствие уже устранено.

Я так понимаю, что Briar хороший, потому что у него есть мобильный клиент. Но нет десктопного. Но десктопный пилят.

А Tox плохой, потому что у него нет мобильного клиента. Но есть десктопный. Но мобильный пилят.

А кстати, раз там есть «блоги», значит они решили проблему с доставкой offline сообщений, или тоже «отложенная отправка»?

Но мобильный пилят
Latest commit 4e080bb 20 days ago

Я бы не сказал.

UPD. Это просто правки .md файлов, сам кот уже давно не трогают.

На большинстве андроид-смартфонов версия не актуальная.

Если пользователю безразлична безопасность, и он использует устаревшее, то это его проблемы, как мне кажется. Это как обсуждать безопасность пользователя с Windows XP.

Покупать раз в три года (время, когда прилетают апдейты безопасности) Nexus не такая большая проблема.

antox вполне себе, поддержка av частями заработала, можно побаловаться, групчаты пока отодвинули в сторонку, со словами ну поломали понимаешь, вернем обратно как починим.

И в чем проблема безопасности пользователя виндовс икспи?

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\888>systeminfo | find "Дата"
Дата установки:                   06.07.2009, 9:49:03

C:\Documents and Settings\888>

И в чем проблема безопасности пользователя виндовс икспи?

Ну как бы тебе сказать…

Ну как бы я тебе выше уже все сказал. А баги есть везде и чем популярнее среда тем больше дыр по этим багам. Да начнется срач в линуксах вирусов нет.

Именно так. Нафига нужен мессенджер без мобильного клиента? Телефон у тебя всегда с собой и там это мастхэв, десктоп нет, можно пережить.

Какой смешной троль)))

Бывают люди, которые смартфонами не пользуются

Briar the first public beta Release
July 21 2017

Внезапно:

Release of Ring 1.0
21 July 2017

Это совпадение? Вот бы точное время публикации узнать. Надёжней было бы через mailing list:

Briar: 2017-07-21 13:40:16

Ring: Fri, 21 Jul 2017 11:01:26 -0400 (EDT)

Осталось найти заголовок письма от sourceforge, чтобы понять, что там за точное время.

Ну как бы я тебе выше уже все сказал.

Не вижу, чтобы ты говорил выше что-то по этому поводу. Ткни носом, пожалуйста.

А баги есть везде и чем популярнее среда тем больше дыр по этим багам.

Понимаешь, тут дело совсем не в том, что баги где-то есть. Тут дело в том, что где-то они найдены и исправлены, а где-то они найдены и никогда уже не будут исправлены на консьюмерских девайсах, а также к ним доступны публичные эксплоиты.

Они вроде раньше разваливались, если все участники оказывались оффлайн

Бывают люди, которые смартфонами не пользуются

Бывают. Но редко :) Факт, что сегодня вся массовость общения в IM — на мобильных.

Разве не должно было сработать правило «то, что единожды попало в интернет, удалить оттуда уже невозможно»?

С этим к ZeroNet :)

Мда, ну 0 так 0.

ман банкбот, очередная версия и активность прямо сейчас, первые версии почти 10 лет назад. Угадай под какую платформу и при чьем попустительстве. Шифруйтесь дальше, товарищ майор привык к картинкам.

А Tox плохой, потому что у него нет мобильного клиента. Но есть десктопный. Но мобильный пилят.

Раз, там речь не о десктопном/мобильном клиенте. В tox в протоколе нет поддержки нескольких устройств в принципе.

Два, этим никто не занимается (тыц https://github.com/TokTok/c-toxcore/issues/466 )

Три, токсом сейчас вообще никто не занимается (итог про состояние toxcore на январь 2017 https://github.com/TokTok/c-toxcore/issues/426#issuecomment-272638753 )

минус потому что у меня куча людей с которыми общаюсь живут в других городах и странах, к каждому не поедешь для добавления

http://s019.radikal.ru/i633/1205/5f/89a056066d5a.jpg

Они вроде раньше разваливались, если все участники оказывались оффлайн

И сейчас так - это нормальное поведение. Где чат должен сохраняться, если все участники оффлайн и сервера нет? Поэтому сажают бота.

ZeroNet, емнип, в этом плане не надёжней торрентов?

Связь посредством БТ, интересно. Насколько я знаю, БТ ловит не более, чем на пару метров, мне кажется, проще будет на ухо шепнуть.

Полноценно это как, сообщения передает?

Файлы не передает, значит полноценно!

antox прекрасно работает с файлами

Это не нормальное поведение. Это значит что если пользователям нужен групчат, нужно арендовать свой сервер. Такая хрень никогда не взлетит, к этому можно ещё добавить невозможность использовать его совместно на мобилке и десктопе.

Собственно, даже разработчики токса не пользовались токсом для групчатов, а использовали канал на freenode, настолько там всё плохо.

ZeroNet, емнип, в этом плане не надёжней торрентов?

А что не так с надёжностью торрентов? :)

А в общем случае — надёжнее. Торренты редко оставляют на месте закачки и на долго. Многие поюзали и снесли. Или перенесли в другое место. А в ZeroNet раз посмотрел — остаётся на раздаче, пока специально не снесёшь. Психологически получается доступность выше.

Но, вообще, это я так, гиперболизируя. ZeroNet, всё же, не для раздачи файлов служит, в первую очередь для обмена информацией. Теми же торрентами/магнетами или IPFS-хешами.

БТ ловит не более, чем на пару метров

10 метров для Class 2, 100 метров для Class 1.

Class 1 + Class 2 дают обычно около 30 метров дальности.

А так слышал про адаптеры с дальностью до 20-30 км :)

Дык, разработчики FreeNet в деле, они любят жабку ;)

даже разработчики токса не пользовались токсом для групчатов, а использовали канал на freenode, настолько там всё плохо.

IRC-канал для поддержки и общения - это уже давно стандарт для разработчиков разных open source проектов.

Вот именно, плохой/мертвый/уязвимый/неполноценный(нужное дописать) tox может передавать файлы, и совершать аудиозвонки между десктопом и телефоном(недавно проверяли, при этом один аккаунт может иметь разные никнеймы на разных аппаратах).
Сабж-же нихера не умеет но он совершенен. Явно из-за облачков и лучших эмоджи в чате.

серые адреса
Можешь почитать про STUN/TURN и WebRTC. Это один из вариантов решения.

дело не в «серых адресах» как таковых, а в приватных сетях. подсети никуда не денутся потому что во-первых это удобно, во-вторых повышает безопасность подсети, в-третьих очень часто подсеть просто нужна: в ней живут свои сервисы, свои устройства и т.д.

поэтому даже с наступлением полного ipv6-ца, нат никуда не денется. «серый адрес» - это вообще что-то из девяностых, так интернет-провайдеры говорили своим пользователям чтобы не рассказывать про подсети и всё остальное. куча ipv6-адресов всегда будет «серой», хотя они конечно никакие не серые, а просто всегда будут находиться в приватной сети за файрволом.

stun/turn/poop/puke и т.д - это всё полумеры, они не гарантируют того, что нат пробьётся. единственный надёжный способ - промежуточный сервер через который направляется трафик.

вообще мессенджеры не должны таким париться, им прямое соединение при живом end-to-end encryption не нужно.

Насколько я знаю, БТ ловит не более, чем на пару метров

Это распространенное заблуждение. Bluetooth 4.2 это до 10 метров в помещении и до 50 метров на улице. С Bluetooth 5.0 будет до 40 метров в помещении и до 200 метров на улице.

И это при том, что Bluetooth постоянно развивается в сторону уменьшения потребления энергии.

им прямое соединение при живом end-to-end encryption не нужно

В современном мире, к сожалению, появляется проблема не только безопасной передачи данных между пользователями, но и передача данных вообще, то есть необходимо средство, которое нельзя будет успешно блокировать.

Различные анализаторы трафика уже умеют находить и блокировать всякие VPN'ы и прочие torrent-сети. Научиться детектить даже шифрованный трафик нового мессенджера можно. Собственно, и заблокировать его на уровне провайдера. А, в остальном, общение в LAN никто, конечно же, не заблочит.

ну да ! ,можно же общаться жэпегами jpg ,с изображениями природы ,а на самом деле это видеопоток с совсем другим содержимым )) классно я придумал да.