Briar 1.0.1

телеграмм

Он не анонимен от слова «вообще».

tox

Наверное, в большей степени, так как не зависит от супернод и имеет проведённый аудит.

спасибо

1) почему ваше приложение не представляет из себя отдельно транспортный уровень, отдельно приложения (блог, чат, какая-нить передача файлов и тд) обращающиеся к транспортному уровню?

например у токс есть реализации впн-через-токссеть, хотя там увы каждому приложению требуется подключаться к токссети, хотя можно было бы просто поднимать транспортное подключение, как тунельне брокеры ип6 например

в вашем приложении же уже используются общесистемный прокси Tor/I2P в качестве одного из подвидов транспорта - почему другой подвид «прямые подключения через блютус» не вынесен в такую же общесистемную прокси?

телеграмщики весьма адекватно обещают именно такую систему https://habr.com/post/354366/ не радует что их ересь не опенсорс (и в целом подозрительна)

2) у вас можно указать вручную бутстрапноду?

3) возможно загрузить чужой qr-код (или другой вид айдишника) без непосредственно фотографирования? (например я получу его с https-сайта или pgp-письма)

$POST → Google Translate → https://code.briarproject.org/akwizgran/briar/issues.

4) планируются ли шифрованные постоянные чаты?

5) планируется ли мультидевайс (и синхронизация истории)?

6) планируются ли оффлайнсообщения?

У каждого клиента свой hidden service который используется для связи с ним.

т.е. клиент однозначно идентифицируется? тохда о какой секурности/анонимности могёт идти речь?

т.е. клиент однозначно идентифицируется?

Ну есть у тебя адрес hidden service в .onion. Найди мне где он хостится.

почему приложение не представляет из себя отдельно транспортный уровень, отдельно приложения (блог, чат, какая-нить передача файлов и тд) обращающиеся к транспортному уровню?

https://code.briarproject.org/akwizgran/briar/wikis/home

можно указать вручную бутстрапноду?

Спроси у авторов. Если в этом есть необходимость — сделают.

возможно загрузить чужой qr-код без непосредственно фотографирования?

Можно передавать контакты известные тебе другим людям.

Или лично. Иначе от MITM не спастись. А они вроде хотят давать возможность использовать спокойно и простым людям, которые не способны оценить риски.

4) планируются ли шифрованные постоянные чаты?

Уже есть.

5) планируется ли мультидевайс (и синхронизация истории)?

Пока рано об этом говорить, ибо кроме Android ничего не поддерживается.

6) планируются ли оффлайнсообщения?

Да, на данный момент идёт разработка. Но и сейчас сообщения нормально доставляются при использовании по умолчанию, зарядку кушает при постоянной работе относительно мало.

как Briar по уровню анонимности с телеграмм

Примерно как маленькая точка с размером вселенной. Telegram не анонимен от слова совсем, потому что у него такой цели и не было никогда.

можно указать вручную бутстрапноду?

Спроси у авторов. Если в этом есть необходимость — сделают.

это всегда надо, если бы телеграм не получал свежие ноды через пуши которые роскомнадзор почему-то не забанил целиком (пуши гугла - централизованная точка входа, как и список бутстрапнод) - он бы не работал уже на второй день блокировок

возможно загрузить чужой qr-код без непосредственно фотографирования?

Можно передавать контакты известные тебе другим людям.
Или лично. Иначе от MITM не спастись.

https без добавочных государственных/фирменных сертификатов в системе вполне защищает от MITM, так же как и общение через местный жаббер на 25 ананимусов или передача tox-хеша через смс

зы: вообще система доверия (сопровождаемая системой зонированого рейтинга/авторитета) это полезно, но явно не главное в добавлении контактов

5) планируется ли мультидевайс (и синхронизация истории)?

Пока рано об этом говорить, ибо кроме Android ничего не поддерживается.

вот допустим у меня планшет (для фильмов, и вообще как бы маленький ноутбук) и телефон (для поездок), всё Android - мне уже нужны мультидевайсы и синхронизация

это всегда надо, если бы телеграм не получал свежие ноды через пуши которые роскомнадзор почему-то не забанил целиком (пуши гугла - централизованная точка входа, как и список бутстрапнод) - он бы не работал уже на второй день блокировок

Wrong. Telegram использует обычные сервера, это не bootstrap. Это первое. Второе — после процедуры bootstrap, которая может совершаться легко при личном обмене контактами, никакие дополнительные сервера не нужны.

https без добавочных государственных/фирменных сертификатов в системе вполне защищает от MITM, так же как и общение через местный жаббер на 25 ананимусов или передача tox-хеша через смс

TLS клиент-клиент требует точно такого же обмена. Доверенность не может взяться из ниоткуда — обычно это краеугольный камень всех систем.

вот допустим у меня планшет (для фильмов, и вообще как бы маленький ноутбук) и телефон (для поездок), всё Android - мне уже нужны мультидевайсы и синхронизация

Полистай issues, подбрось денег, может и запилят быстрее эту фичу. Без донейтов/грантов развития не будет, ибо тут ни личными данными нельзя торговать, как это могут делать централизованные мессенджеры, ни даже рекламу встроить.

а сейчас разве tox не хранит список свежих пиров в качестве добавки к бутстрапнодам? и после рестарта ж оправшивает последние запомненные пиры?

Telegram использует обычные сервера, это не bootstrap. Это первое.

да какая разница, что бутстрапноды, что сервера - точка отказа, через которую надо подключиться

Второе — после процедуры bootstrap, которая может совершаться легко при личном обмене контактами, никакие дополнительные сервера не нужны.

вот у вас есть адекватный роскомнадзор который поднял 100500 виртуалок клиентом и скриптом блочит айпишники свежеполучаемых бутстрапнод/серверов и простых нод/клиентов а вы выключили клиент на ночь, утром включили, а всё забанено но есть форум который роскомнадзор ещё не нашёл (или он на майкрософт.ком хостится) где выкладывают свежие ноды списком что вы будете делать - поедете в 8 утра к другану пить пыво обмениваясь нодами или вобьёте в поле/текстовой файлик клиента ноду?

https без добавочных государственных/фирменных сертификатов в системе вполне защищает от MITM, так же как и общение через местный жаббер на 25 ананимусов или передача tox-хеша через смс

TLS клиент-клиент требует точно такого же обмена. Доверенность не может взяться из ниоткуда — обычно это краеугольный камень всех систем.

я не понял ваш ответ доверенность https держится на честном слове центров сертификации и «миллионов глаз» во всяких фаерфоксах/хромиумах следящих за их деятельностью если вы не столман - скорее всего ради вашего qr-кода не будут «уговаривать» Let’s Encrypt выдать сертификат для имени linux.org.ru чтоб заменить код так что для простого смертного https обеспечивает отсутствие mitm

да какая разница, что бутстрапноды, что сервера - точка отказа, через которую надо подключиться

Разница огромная. RTFM.

По остальному — клиентов в динамических префиксах не забанишь особо.

Про последнему и не только — RTFM.

Я не помню, как именно токс делает.

Зачем вашему briar разрешение на просмотр действий на телефоне и выполняющихся приложениях, доступ к истории посещения сайтов и вебзакладкам?

Мне вот кажется что месенджеру это совершенно не нужно.

https://code.briarproject.org/akwizgran/briar/wikis/permissions

http://i.cubeupload.com/8aELcl.png

Android 8.1.0.

p2p с таким расходом батареи — это просто праздник какой-то!

http://i.cubeupload.com/s3IR3a.png

вот у вас есть адекватный роскомнадзор который поднял 100500 виртуалок клиентом и скриптом блочит айпишники свежеполучаемых бутстрапнод/серверов и простых нод/клиентов а вы выключили клиент на ночь, утром включили, а всё забанено но есть форум который роскомнадзор ещё не нашёл (или он на майкрософт.ком хостится) где выкладывают свежие ноды списком что вы будете делать …?

Буду звонить провайдеру и спрашивать почему не работает интернет, вообще весь не работает, включая форум со списком новых нод

Больше пи-ту-пишек хороших и разных! Пусть паша брат коли пример берёт.

А вообще как у Briar с безопасностью?
Кто ни-будь исходники смотрел или проверял анализатором кода7

Оно всё так же окирпичивает андроид от самого факта установки?

То, что у криворукого тебя там что-то окирпичилось в одном экземпляре не значит, что так должно быть у всех. Всё ставится, всё пашет, так что не вводи норот в заблуждение.

1) почему ваше приложение не представляет из себя отдельно транспортный уровень, отдельно приложения (блог, чат, какая-нить передача файлов и тд) обращающиеся к транспортному уровню?

Очнись! Это готовое решение для мобилочек! Оно нужно как экстренное средства развёртывания связи, а не как средство построения сети.

пуши которые роскомнадзор почему-то не забанил целиком

Вообще-то известно, почему: мобильные приложения перестанут функционировать полноценно.

Обмен файлов не добавили до сих пор?

Не не всё, просто популярность не обрел

То, что у криворукого тебя там что-то окирпичилось в одном экземпляре не значит, что так должно быть у всех.

Я поставил бета-версию приложения штатными средствами. Воскрешать работоспособность мобильника пришлось через ADB. Так что я тут самый пряморукий.

Он там не нужен. Круг задач не тот. От Briar требуется в первую очередь независимый чатик, а не мегакомбайновый даркнет.

нода!=сервер. Клиенты к конкретным нодам не привязаны и сколько не блокируй можно новые поднимать, плюс ноды можно в tor(возможно и i2p) прятать

У каждого клиента свой hidden service который используется для связи с ним.

https://ricochet.im/ напоминает

Тоесть при общении с рандомным собеседником у тебя не возникает необходимости перекинуть(принять) пару файлов? Ну ок.

Тоесть при общении с рандомным собеседником у тебя не возникает необходимости перекинуть(принять) пару файлов?

Briar не для рандомных собеседников. На сайте юзкейсы описаны. Самый главный - обход цензуры для общения.