LINUX.ORG.RU

Wire v3.35

 , , ,


4

2

Тихо и незаметно, несколько минут назад ― состоялся минорный релиз Wire версии 3.35 для Android.

Wire ― свободный кроссплатформенный месседжер c E2EE по умолчанию (то есть все чаты ― секретные), разрабатываемый Wire Swiss GmbH и распространяемый под лицензиями GPLv3 (клиенты) и AGPLv3 (сервер).

На данный момент месседжер является централизованным, но существуют планы для последующей федерации (см. блогпост по поводу предстоящего доклада на BlackHat 2019) на основе будущих стандартов IETF для Messaging Layer Security (MLS): архитектура, протокол, федерация, разрабатываемых совместно с сотрудниками Google, INRIA, Mozilla, Twitter, Cisco, Facebook и University of Oxford.

Изменения:

  • Новая реализация для отправки и получения файлов, изображений etc.
  • Лимит на размер групп увеличен до 500 пользователей.
  • Улучшена межплатформенная совместимость благодаря изменениям в обработке веб-сокетов.

Релиз также содержит множество небольших исправлений.

>>> Подробности

Deleted

Проверено: Dimez ()
Последнее исправление: CYB3R (всего исправлений: 3)

Ответ на: комментарий от hateyoufeel

Как я узнаю твой публичный ключ иначе?

Из твоего сообщения не было понятно, что имеется ввиду публичный ключ, ибо нить была о «ключе [рас]шифрования».

Публичный ключ на то и публичный ключ, чтобы не влиять на стойкость криптосистемы.

Я же не могу его аутентифицировать кроме как получив или проверив его по другому каналу.

В том сообщении, на которое ты отвечал ― речь не о аутентификации шла, а о том, «имеет ли сервер ключ для того, чтобы расшифровать сообщения» ― такого ключа в случае выполнения протокола у сервера нет.

Если не проверять отпечатки (что есть часть протокола), то возможен MITM, конечно.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Radjah

Да, электронные. Но 50 метров это не так страшно как текучий хромиум внутри.

turtle_bazon ★★★★★
()
Ответ на: комментарий от turtle_bazon

Я про андроид говорил. Десктопный клиент у меня работает.

hateyoufeel ★★★★★
()
Ответ на: комментарий от Deleted

Более того, оконечное шифрование исходит из того факта, что сервер скомпрометирован

Ну вот и хреново оно его обходит, на самом деле.

Сверка ключей происходит не от клиента к клиенту, а через загрузку ключей на сервер. Т.о., если люди не сверяют ключи при установлении соединения, есть возможность подменить ключи и осуществить классический MitM.

Кроме этого, возможна уязвимость на уровне реализации клиента. Если он тупо принимает ключи без дополнительной сверки, то атаку, описанную выше, можно совершить еще проще: добавить двум контактам фейковые ключи фейковых устройств, настоящие устройства подтянут эти фейковые ключи и при отправке сообщения они будут уходить на два устройства - настоящему получателю и прослушивающему переписку.

araks ★★
()
Ответ на: комментарий от araks

Сверка ключей происходит не от клиента к клиенту, а через загрузку ключей на сервер.

Даже если не было бы сервера (DHT, например) – проверять отпечатки ключей все равно бы было необходимо, так как это часть протокола.

По остальному – предполагать можно что угодно.

Deleted
()

Лимит на размер групп увеличен до 500 пользователей.

проверку вводимого значения увеличили до 500

anonymous
()
Ответ на: комментарий от admucher

будучи на руках у меня шифрованное письмо и код шифрования от него же, не смогу я прочитать эту записку?

Если под кодом шифрования подразумевается открытый ключ - нет, не сможешь. А вот если они закрытый ключ на сервер кладут(зачем?!), тогда да - ололо

Pinkbyte ★★★★★
()
Ответ на: комментарий от anonymous

Это вообще ноль безопасности, пришлёт сервер конкретно тебе изменённый жс и приехали. Ну для маркетолуховой приваси уровня воссап и телеграм сойдёт.

anonymous
()
Ответ на: комментарий от turtle_bazon

Так на андроиде там тоже электрон?

Нет, приложение нативное.

Deleted
()
Ответ на: комментарий от admucher

Я был бы очень рад

По будням не подаю.

zabbal ★★★★★
()
Ответ на: комментарий от Deleted

В таком случае на продуктивный разговор с тобой надежды нет.

Как и с тобой - ты ведь и дальше будешь игнорировать все вопросы на которые не можешь ответить, не опровергнув ненароком собственные бездоказательные утверждения.

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

Если ты сознательно игнорируешь прошлые ответы, то говорить с тобой не о чем – ты и так же будешь продолжать игнорировать последующие.

не опровергнув ненароком собственные бездоказательные утверждения

Все мои утверждения обоснованы либо мат. частью, либо моим личным опытом.

Deleted
()

Пытался вначале народ на это подсадить как альтернативу скайпу и телеграму/вайберу. В конечном итоге из 3 контаков в вайре у меня осталось только два, один из которых больше в телеграме сидит. Нельзя с таким сырым поделием выйти на рынок.

Он жрет больше ресурсов чем телеграм, имеет меньше фич, а те что есть реализованы топорно. В добавок он не всегда синхронизирует сообщения(по крайней мере на андроиде), приходится убивать процесс и опять запускать, чтоб увидеть новое сообщение(вроде пофиксили хз, нискем уже там не чатился, только изредка ссылками перекидывался). Если интернета нет и ты запустил его не факт, что когда он появится эта зараза начнет работать, приходилось его выключать, включать сеть и опять его запускать. Вообщем на андроиде оно было не юзабельно. Разработчики живут в оторванной от нашей вселенной или не пользуются им сами. Я был сильно разочарован.

anonymous
()
Ответ на: комментарий от anonymous

Разработчики живут в оторванной от нашей вселенной или не пользуются им сами.

Да ты их сайт глянь - они ж на корпоративных чатиках зарабатывают. Срать они хотели на обычных пользователей - им главное слак выдавить с корпоративных гейфонов, а что там у убычных пользователей им до одного места.

zabbal ★★★★★
()
Ответ на: комментарий от Deleted

Если ты сознательно игнорируешь прошлые ответы, то говорить с тобой не о чем

Именно так - раз ты игнорируешь все неудобные вопросы, то говорить с тобой и вправду не о чем.

zabbal ★★★★★
()

Google, INRIA, Mozilla, Twitter, Cisco, Facebook ..

не хватает мулору в этом списке

Deleted
()
Ответ на: комментарий от zabbal

Именно так - раз ты игнорируешь все неудобные вопросы, то говорить с тобой и вправду не о чем.

Если бы они были еще неудобными, то ладно.

А так просто нелепые попытки троллинга с твоей стороны.

Сначала тебе нужно убрать проприетарные зависимости (которых нет), потом у тебя зависимо все от GCM (хотя без gapps оно работает), теперь у тебя не собирается. Для тебя может это и «неудобные вопросы», но со стороны это больше выглядит как либо нежелание разбираться, либо неспособность.

Deleted
()

Разработчики Wire какие-то странные люди: сделали супер-крутой аудио-кодек, а нормальное эхо-подавление не осилили. Позор.

В десктопной версии баг примерно годовной давности: при переключении рус-eng по Alt-Shift вылетаешь в меню. И пол гига в оперативной памяти. Они точно не из нашей реальности...

Windows ★★★
()
Последнее исправление: Windows (всего исправлений: 4)
Ответ на: комментарий от Deleted

gpl не запрещает продавать бинарники.

Да знаю я, но...

Вот где на их сайте можно скачать не-«бинарники»?? И насколько они работоспособны и удобоваримы. в сравнении с «не»?

Somebody
()

Интересно, особо если можно поставить свой сервер.

gard
()
Ответ на: комментарий от Windows

В десктопной версии баг примерно годовной давности: при переключении рус-eng по Alt-Shift вылетаешь в меню. И пол гига в оперативной памяти. Они точно не из нашей реальности…

Что ты хочешь от электрона…

mandala ★★★★★
()
Ответ на: комментарий от Deleted

Сначала тебе нужно убрать проприетарные зависимости (которых нет), потом у тебя зависимо все от GCM (хотя без gapps оно работает), теперь у тебя не собирается.

Сначала у тебя проприетарные зависимости куда-то исчезают (при том что сами разработчики о них открытым текстом говорят), потом оно у тебя внезапно начинает работать без гуглоапи, хотя для этого надо специально собирать, но ответить собирал-ли ты пакет ты почему-то не можешь, ну и как вишенка на торте ты зачем-то начинаешь приписывать мне свой бред и тут же гордо его опровергать.

Не вижу ни одной причины вмешиваться в твой диалог с голосами в голове.

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

Сначала у тебя проприетарные зависимости куда-то исчезают

А где они в wire-android?

потом оно у тебя внезапно начинает работать без гуглоапи, хотя для этого надо специально собирать

Тебе уже ответили, что без gapps оно работает, даже с дефолтной бинарной сборкой с сайта.

ответить собирал-ли ты пакет ты почему-то не можешь

Почему «не могу»? Не хочу. Ты ни один ответ ранее не воспринял, из чего следует, что ты либо тролль, либо идиот. Ни на тех, ни на других – тратить время я не хочу.

Deleted
()

Хорошая штука, но почему-то на некоторых телефонах в предыдущем релизе сломали уведомления. Родители с гнусмасами получают их через раз.

Deleted
()
Ответ на: комментарий от turtle_bazon

Не понимаю, это что, новая форма паранойи? Что плохого, когда концептуально графическое приложение использует встроенный браузер - стандартизированное, документированное, максимально переносимое с гарантированной поддержкой, средство отображения документов. Я понимаю, была бы альтернатива современным веб-технологиям. Но опять же, весила бы она тоже прилично, судя по тому что творится с Qt. Да и сам Qt - довольно сильно заимствует идеи веб-технологий, css для стилей и т. д. Я сам сторонник оптимизации и минимализма, но считаю что веб браузер давно стал главной программой настольного компьютера, и уж лучше пусть на нём пишут сложные гуи, чем криво-косо на коленках пытаются настругать поделия, которые трудоёмко отладить, выявить утечки памяти, убедиться что оно работает на всех поддерживаемых платформах, а так же необходимо самому поддерживать для иксов, вейлендов, и прочих софтовых полуфабрикатов, безвременно заменяющих нормальную, понятную гуи-библиотеку.

svyatozar ★★
()
Ответ на: комментарий от Deleted

Даже если не было бы сервера (DHT, например) – проверять отпечатки ключей все равно бы было необходимо, так как это часть протокола.

Бесспорно. Но это делают единицы. А без сверки ключей всё это чудесное оконечное шифрование, спроектированное исходя из того факта, что сервер скомпрометирован, де-факто равнозначно plain-text.

araks ★★
()
Ответ на: комментарий от mandala

5 электронов легко займут около 1 гига. Но ведь и 5 окон браузера тоже легко займут минимум 1 гиг... Всё-таки Raspberry Pi трудно назвать настольной системой, как ни крути.

svyatozar ★★
()
Ответ на: комментарий от araks

Бесспорно. Но это делают единицы.

И что ты предлагаешь? Использовать VK, Telegram и одноклассники, где история на сервере в clear text?

Если кто-то не проверяет отпечатки ― это плохо, но это не делает E2EE бесполезным.

де-факто равнозначно plain-text

Равнозначно было бы при условии того, что сервер бы делал man-in-the-middle для каждого клиента по умолчанию, что на деле не так. Да и про PFS не забывай.

Deleted
()
Ответ на: комментарий от Deleted

убрать проприетарные зависимости уже давно можно было.

Их в wireapp/wire-android и нет.

https://gitlab.com/fdroid/rfp/issues/108#note_105056096

If there's no chance of getting a FOSS flavor established, I'd say we should close this issue.

Ты им напиши, если это уже не так.

gag ★★★★★
()
Ответ на: комментарий от gag

Клиентские библиотеки трекеров – open-source.

Для F-droid нужен в любом случае форк, который убрал бы трекеры из сборки (тут стоит отметить, что телеметрия включается и отключается из приложения), не использовал бы prebuilt для open-source библиотек, а также использовал бы websocket по умолчанию.

btw, тут exodus privacy почему-то начал показывать, что «0 tracker», лол.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от araks

Бесспорно. Но это делают единицы. А без сверки ключей всё это чудесное оконечное шифрование, спроектированное исходя из того факта, что сервер скомпрометирован, де-факто равнозначно plain-text.

Сверка ключей - это в любом случае забота пользователя. Никакой мессенджер её решить не может.

Harald ★★★★★
()
Ответ на: комментарий от Harald

Сверка ключей - это в любом случае забота пользователя. Никакой мессенджер её решить не может.

В Briar нельзя пока еще добавить контакт, не встретившись лично и не отсканировав QR код. То есть решение все-таки есть.

Другое дело, что пользовательскую базу из-за таких решений не набрать.

Deleted
()
Ответ на: комментарий от svyatozar

В целом, я с тобой согласен. В частностях - встроенный браузер, который течёт.

turtle_bazon ★★★★★
()

Когда в последний раз пробовал на десктопе, оно не умело подхватывать подключаемую веб камеру, если она была физически отключена. Например, если подключать вебкамеру только во время звонка. Надо было перезапускать Wire. В отличие от Скайпа, который так умеет. Для параноиков, вроде меня, которые держат камеру отключённой не подходит(

anonymous
()
Ответ на: комментарий от Deleted

В Briar нельзя пока еще добавить контакт, не встретившись лично и не отсканировав QR код. То есть решение все-таки есть.

что мешает скопировать этот QR код и послать собеседнику, чтобы он отсканировал его со своего экрана (а NSA по пути подменило его)

Harald ★★★★★
()
Ответ на: комментарий от Harald

что мешает скопировать этот QR код и послать собеседнику, чтобы он отсканировал его со своего экрана (а NSA по пути подменило его)

А QR там (насколько я помню) только для того, чтобы после подсоединиться через bluetooth.

В общем, отстрелить ногу довольно сложно.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

да и удлинитель bluetooth-а тоже можно запилить при желании, если он там для передачи ключей используется

или MITM организовать, из припаркованного рядом фургона с мощными направленными антеннами :)

так что только кабель, только хардкор

Harald ★★★★★
()
Ответ на: комментарий от Harald

на расстоянии работы bluetooth-а можно и голосом общаться вживую, нужность поделки сомнительна

А с чего ты вообще решил, что оно работает только через Bluetooth?

https://briarproject.org/manual/

Deleted
()

Как изменить звуковое оповещение о входящем сообщении? Слишком тихое.

Wire 3.9.2895 2019.07.11.1318.

Искал что-нибудь похожее на звуковые файлы в /opt/Wire/, но ничего не нашёл или не там искал, или оно системный звук использует.

Подскажите, кто знает.

Allakka ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.