cat_mucius: (Default)
Коллега порадовал сообщением, что Whatsapp безопаснее, чем SMS, поскольку сообщения в нём шифруются. Верно, шифруются, и юзерам даже дали возможность ключи сравнить (прочие скайпы до таких высот не дошли).

Да вот только беда в том, что шифрование это производится между клиентами, написанными Whatsapp, и серверами Whatsapp, по протоколам Whatsapp, и любая из этих составляющих может быть изменена в любой момент - включая саму схему этого шифрования, даже если на данный момент описана она аккуратно. Никакой ясности, никаких гарантий, никаких открытых протоколов и независимых способов верификации подписей на ключах не предусмотрено, здесь вам не SSL. Даже если проверочные циферки на обоих сторонах и сходятся - это не означает совершенно ничего.

Поэтому когда компания гордо заявляет: да мы сами не можем расшифровать ваши сообщения, даже если захотим! - то это враньё в чистом виде. Для того, чтобы это было правдой, надо, чтобы любой желающий мог написать свой клиент Whatsapp с гарантией, что он будет работать, покуда он придерживается заранее определённых и открытых для всех правил. Точно так же, как любой желающий может написать свой клиент для электронной почты или для WWW. С возможностью для юзера проверить подпись на любом ключе самостоятельно, не полагаясь на честное слово программы.

А пока эти заверения означают не больше, чем "мамой клянёмся, мы не подсматриваем". Если даже законодательство не обязывает компанию обеспечивать органы специально проверченными дырками для "lawful interception", полагаться всерьёз на это слово после Сноудена, Lavabit, и так далее...

Разумеется, к iMessage, скайпу и прочим вайберам это всё относится в той же мере.


Вообще впечатляет, насколько при мощных успехах опен-сорса на многих фронтах, безрадостна ситуация на рынке мобильных аппликаций. Особенно касаемо мессенджеров - децентрализации ноль, открытости ноль, полная зависимость от малого числа компаний. Феодализм, как сказал Брюс Шнайер.
cat_mucius: (Default)
Все обсуждают "дело о рубашке", побегу и я за коллективом.

Вот скажите, товарищи - как вам кажется, то, что произносит Мэтт Тейлор в начале этого видео, выглядит больше похожим на:
a.) искреннее извинение человека, узнавшего, что он кому-то случайно сделал неприятно,
б.) или на совершённое под давлением показательное покаяние?

Если вы склоняетесь ко второй версии - то как, на ваш взгляд, это давление может осуществляться? Какова его механика? Что было бы, если б он не поддался?

Мне это кажется наиболее интересным аспектом этой истории.
cat_mucius: (Default)
Фейсбуку удалось меня крепко удивить. То ли там обнаружили, что после сноуденовских откровений народ всё же с меньшей готовностью сообщает свои имена-явки, то ли от жадности в зобу совсем дыханье спёрло - но они решили, что чем ждать, покуда граждане добровольно выложат о себе и близких всю подноготную, лучше их к тому попросту принудить.

Делается так: в один прекрасный день юзеру объявляют, что во имя безопасности его аккаунт залочен, и, стало быть, необходимо подтвердить его, владельца, подлинность. После чего к стандартному паролю и капче прибавляется ещё квест: юзеру показывают набор фотографий, как в полицейском участке - "опознайте ваших друзей и укажите их имена". Не хочешь указывать? Ну и пожалуйста - только скажи своему аккаунту гудбай, мы тебя не пустим.

Богатая мысль. И это ведь лишь имена, а сколько ещё занимательных вопросов можно бы задать! А фамилии? А телефоны? А где живут? Работают? Политические симпатии? Како веруют? Есть ли золото в деревне? Где лорд Берик Дондаррион?

Да, если кому подумается, что это и вправду заради безопасности мера: указание липовых имён прохождению квеста не помеха - на этом этапе, по крайней мере. Так что не в стремлении установить законность юзера это делается - просто расчёт на то, что большинство хитрить не станет.

Думается мне, что от такого замечательного сервиса ноги уносить надо как можно быстрее и дальше.

Profile

cat_mucius: (Default)
cat_mucius

August 2017

S M T W T F S
  1234 5
678 9101112
131415161718 19
202122232425 26
27282930 31  

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 26th, 2017 06:03 pm
Powered by Dreamwidth Studios