[snvoronkov]

Ну ловите для аудита тот что лежит в f-droid: https://github.com/Telegram-FOSS-Team/Telegram-FOSS

Вот оригинал: https://github.com/DrKLO/Telegram

Самостоятельно прочитать - слабо? :-)

Changes:

 

Replacement of non-FOSS, untrustworthy or suspicious binaries or source code:

 

Do location sharing with OpenStreetMap instead of Google Maps (thermatk)

Use emojiOne emoji set instead of Apple's emoji (thermatk)

Google Play Services GCM replaced with always-on Telegram's push service (slp)

BoringSSL bundled source and binaries are replaced with upstream OpenSSL source code built at compile time (Bubu)

FFmpeg prebuilts are replaced with source code built at compile time (slp)

libtgvoip prebuilts are replaced with source code built at compile time (thermatk)

 

Removal of non-FOSS, untrustworthy or suspicious binaries or source code and their functionality:

 

Google Vision face detection

Bing image search (requires API key)

Foursquare map search (requires API key)

HockeyApp crash reporting and self-updates

 

Знатное количество мест для слива и закладок...

[rm_]

Знатное количество мест для слива и закладок...

Оно просит полный доступ к списку контактов, истории звонков, всем полученным SMS, возможности звонить по произвольным номерам, про такие мелочи как полный доступ к ФС, локации и вайфаю я уж и не говорю.

Еслиб было не из F-Droid, я бы например ни за что такое не поставил.

 

Учитывая что через SMS приходят коды подтверждения на операции интернет-банков, я вообще не пойму как можно ставить какой-то не опенсорс софт с запросом этого разрешения.

Изменено 30 июня, 2017 пользователем rm_

[AlexBT]

Не понимаю я ваших проблем с секретностью и конфидициальностью.

Ну какие проблемы показать всем дулю, сохранив свое в полном секрете, зашифровав любым способом?

Не верите в ГОСТ криптографию для не гостайны?

Пользуйтесь криптографией для гостайны, с грифом "Совершенно Секретно"

Пусть попробуют рассшифровать.

Не верите этой - пользуйтесь буржуйской.

Без проблем - все средства под руками - задаром можно сказать.

Сгенерили свои пары ключей на своем же компе, обменялись тайно посредством курьеров, голубинной почты, бумажной почты - и работайте с RSA & AES.

Не хотитет ассиметрии, пользуйтесь симметрией.

Тот же zip архив бесплатно шифруется на раз-два.

Взяли Л.Н.Толстого ПСС, согласовали график выбора абзацев по дням недели - и зашифруйтесь до упаду.

А можно пользоваться стенографиией, шифровать в картинки - обменивайтесь котиками и ми-ми-ми-шками, пусть враги ярятся!

 

Но с другой сторны, чего большинству то от окружающих прятать? Как водки вчера пережрал, или по случаю налево срулил?

Не пейте, не гуляйте. Или не рассказывайте окружающим.

Потому что то, что знают двое, уже не тайна, даже если это было зашифровано тремя шифрами...

 

Ну и главный враг по утечкам - это ваши же личные гаджеты, на которых все хранится в расшифрованном виде.

А логин и пароль вы отдадите сами, при чем очень очень даже добровольно, быстро и резво, и никакая защищающая вас статья Контституции вас от этого шага не остановит.

 

Так что не надо про Телеграмм, Гугл, Винду и Унбунту.

Пустое все это...

[rm_]

сохранив свое в полном секрете, зашифровав любым способом?

Суть в том (и так сказать нынешнее "поле битвы"), чтоб было секьюрно у всех и по дефолту, вкупе с простотой использования и массовой распространённостью этого средства общения.

 

А не о том что полтора гика предварительно договорившись могут всё там у себя зашифровать в три слоя (попутно пердолясь с неудобным ворохом софта). Они-то конечно могут, но речь не о том.

 

Не пейте, не гуляйте.

Опа. А следующее на очереди - не думайте (скажем так "о том и о сём", не углубляясь в политоту), а то ведь прознают.

 

А логин и пароль вы отдадите сами

Одно дело когда конкретно вас уже начали разрабатывать, и другое - возможность массово и незаметно следить сразу за всеми.

[snvoronkov]

Но с другой сторны, чего большинству то от окружающих прятать? Как водки вчера пережрал, или по случаю налево срулил?

ПД. Просто ПД.

 

Тот-же кэш броузера после посещения тех-же ГУ, где ваши паспортные данные засветили.

Данные из форм ввода паролей (Во время ввода! Сохранять вообще - зло).

Куки и html5-хранилище для сайтов - на многих, зная это, можно много нехорошего понаделать.

Долбанные разовые "пароли по SMS".

...

Так что не надо про Телеграмм, Гугл, Винду и Унбунту.

Пустое все это...

Надо. Особенно про слив контактов, если такой был. Случаев перевешивания долгов с кредитников "Деньги на шару" на людей из его списка контактов уже полно.

[Черномазов]

Не для обычных людей - это надо калибр хотя бы губернатора. И то не всякого. :-)

Достаточно быть человеком, через которого можно достать губернатора. Сам-то "целевой объект" может быть достаточно осторожным (он-то всё про себя знает, разве что совсем зажрался), а вот другие могут быть полегкомысленнее.

Ну и интересы крупных корпораций нельзя скидывать со счетов. А им интересны не только губернаторы. У них достаточно денег, и в них работают бывшие сотрудники со старыми связями.

По условному центу с каждого = 500К долларов. В день.

Такие цифры тянут скорее на завлекуху инвесторов, чем на реальность. Но 0,5 млн баксов, к примеру, в месяц тоже неплохо.

Изменено 3 июля, 2017 пользователем Черномазов

[Черномазов]

Но с другой сторны, чего большинству то от окружающих прятать? Как водки вчера пережрал, или по случаю налево срулил?

В стране капитализм никак незавершающегося периода первичного накопления капитала. Кругом воруют направо и налево. Регулярно снимают губернаторов, мэров, глав районов, посёлков и ГУПов, а так же их заместителей. Про аналогичные события в частном корпоративном секторе просто не говорят по новостям. И прямо или косвенно в этом участвует туча народа. Большинство, конечно, просто на подхвате, но потому через них-то и можно выйти на "крупную рыбу". А для опера главное - найти ниточку, через которую можно начать распутывать клубочек... И вот тут поможет доступность масс.

[wanderer_from]

Ой, да началось опять.

Щяс объясню. У веб-сервисов есть такая штука - репутация.

Вот если репутация говно, то не нужно пользоваться. Все просто. Не понимаю только почему у MRG вообще остались пользователи - там, как раз, репутация не то-чтобы нулевая - она отрицательная. Не пользуйтесь никогда ни мыло.ру, ни вконтачем. Вот и не будут опера приходить

[ff.0xff]

Заманали со своей параноей - анализ мочи им не прислать в баночке...

[snvoronkov]

Ой, да началось опять.

Щяс объясню. У веб-сервисов есть такая штука - репутация.

Видимо, пошло со спора:

Предлагаю чуть более очевидную теорию: "...что апликуха Телеги и есть троян для ФСБ".

Ну хоть что то у нас появилось для участия в криптовойне.

На фоне венды, гугля с андройдом и мака это всё равно оч мало.

Ну ловите для аудита тот что лежит в f-droid: https://github.com/Telegram-FOSS-Team/Telegram-FOSS

Вот оригинал: https://github.com/DrKLO/Telegram

 

PS. Дочитал ветку...

Т.е., речь шла о самой возможности в официальной апликухе сидеть коням.

 

Ну, и традиционно - занесло в смежные вопросы. :-)))

[Черномазов]

Щяс объясню. У веб-сервисов есть такая штука - репутация.

Вот если репутация говно, то не нужно пользоваться. Все просто. Не понимаю только почему у MRG вообще остались пользователи - там, как раз, репутация не то-чтобы нулевая - она отрицательная.

Т.е. либо "репутация" меряется по-другому, либо не в "репутации" дело. Объяснение, не объясняющее большой частный случай,- не объяснение.

Не пользуйтесь никогда ни мыло.ру, ни вконтачем. Вот и не будут опера приходить

Опера приходят не из-за того, что пользуешься не тем, а из-за того, что не так. А в общем, смотрим пункты 1 и 2 по Nag'у.

Приватность приватностью, а думать надо своей головой. Вот и весь секрет.

[stas_k]

Я вот честно говоря поражаюсь - никого же не удивляет что законы РФ распространяются на всех кто находится на её территории(да и в других странах вряд ли иначе), так почему же удивляют поползновения в сторону правового регулирования и информационного пространства?

Потому что информационное пространство - над национальное понятие, как космос, межзвездный эфир.

 

Подозреваю что что то подобное постепенно будет во всех странах.

Был уже один такой, приказал солнцу погаснуть.

[Черномазов]

Потому что информационное пространство - над национальное понятие, как космос, межзвездный эфир.

Или океан. Что не мешает наличию общепринятых норм судоходства.

И по космосу есть попытки урегулирования (хотя бы по неразмещению там средств нападения).

Т.е. аналогия верная, а вывод, на мой взгляд, наивный.

Был уже один такой, приказал солнцу погаснуть.

Контроль интернета - это не борьба с неподвластной стихией, а всего лишь сражение интеллектов и порождаемых ими технологий.

Ну и эффекты глобализации могут быть разными.

[stas_k]

Учитывая что через SMS приходят коды подтверждения на операции интернет-банков, я вообще не пойму как можно ставить какой-то не опенсорс софт с запросом этого разрешения.

Хватит уже дрочить опенсорсом. Познакомься с девушкой...

 

Авторы опенсорса НЕ НЕСУТ ОТВЕТСТВЕННОСТИ, вообще никакой, за софт собранный из их исходников, а качество опенсорса как и скорость с которой фиксятся дыры безопасности нам всем хорошо известны на недавних примерах тех же OpenSSL SSH и др.

Тем более что "обычный пользователь" не обладает достаточной квалификацией для маломальского анализа кода, не говоря уж о квалифицированном аудите.

 

В этой ситуации пользователю даже предпочтительнее использовать программу с закрытым кодом, так как если она будет делать не то что обещано и пользователь понесет ощутимые потери, он [пользователь] может через суд нагнуть авторов программы на полную компенсацию и моральные издержки.

[rm_]

может через суд нагнуть авторов программы на полную компенсацию и моральные издержки.

Ржака. Лицензионные соглашения программ с закрытым (да и открытым) кодом читали?

Секцию "Отказ от ответственности". Её сложно пропустить, обычно она вся капсом.

[karpa13a]

[пользователь] может через суд нагнуть авторов программы на полную компенсацию и моральные издержки.

ШТА?

[stas_k]

Или океан. Что не мешает наличию общепринятых норм судоходства.

В океане НЕТ НОРМ СУДОХОДСТВА. Нормы есть в очень узкой прибрежной полосе территориальных вод, а даже в экономических водах есть только рекомендации.

А МППСС (который, возможно, ты имеешь в виду) это совсем о другом.

 

И по космосу есть попытки урегулирования (хотя бы по неразмещению там средств нападения).

Т.е. аналогия верная, а вывод, на мой взгляд, наивный.

В космосе запрещено размещать оружие нападения на земные государства. Размещать оружие нападения на другие небесные тела не запрещено.

Есть еще соглашение-просьба "а давайте не будем проводить ядерные испытания в космосе и на небесных телах", но тонкость в том, что государства подписавшие это соглашение не имеют технической возможности такие испытания проводить.

[stas_k]

Лицензионные соглашения программ с закрытым (да и открытым) кодом читали?

Читали.

Еще читали как авторов, не смотря на отказ от ответственности написанный самым большим капсом, штрафовали и сажали.

Оно даже в новости просачивается иногда, не смотря на то, что тут между началом истории и решением суда по пять-шесть-девять лет, а читателям СМИ нужна краткая история, как вспышка. желательно в 160 символов "недобросовестного написателя программ убило пикселями!" .

[fhunter]

Ну ловите для аудита тот что лежит в f-droid: https://github.com/Telegram-FOSS-Team/Telegram-FOSS

Вот оригинал: https://github.com/DrKLO/Telegram

Самостоятельно прочитать - слабо? :-)

------8<------8<------

Знатное количество мест для слива и закладок...

Я как раз это прочитал, и отдал для сравнения. (Писать в описании можно что угодно, покажите код). Список разрешений отдельных андроидных софтин вгоняет, мягко говоря, в ступор.

(До этапа установки Xposed моя паранойя пока не доросла).

Изменено 30 июня, 2017 пользователем fhunter

[Sergey Gilfanov]

а качество опенсорса как и скорость с которой фиксятся дыры безопасности нам всем хорошо известны на недавних примерах тех же OpenSSL SSH и др.

<смотрит на недавние эпидемии криптолокеров на закрытой винде с эксплуатацией дыры воооооот такой древности> Аргумент давно протух. И там и там плохо бывает.

 

В этой ситуации пользователю даже предпочтительнее использовать программу с закрытым кодом, так как если она будет делать не то что обещано и пользователь понесет ощутимые потери, он [пользователь] может через суд нагнуть авторов программы на полную компенсацию и моральные издержки.

<troll mode on>И кто-то уже успел или попытался хоть сколько-то успешно нагнуть по этому поводу Microsoft?

[snvoronkov]

Я как раз это прочитал, и отдал для сравнения. (Писать в описании можно что угодно, покажите код). Список разрешений отдельных андроидных софтин вгоняет, мягко говоря, в ступор.

(До этапа установки Xposed моя паранойя пока не доросла).

Код не смотрел, если честно, а вот по коммитам пробежался немного. Отличий от описанного в ридмях не нашёл. Чел реально выпиливал подозрительное.

 

Да, а вот моя паранойя андроид переросла. Я его только для чтения новостей/навигации/ползанья по этому форуму использую. :-) Там даже контактов больше нет.

 

Для всего остального: кнопочный телефон, комп, фотик, видеокамера, ридер, телевизор...

[Черномазов]

А МППСС (который, возможно, ты имеешь в виду) это совсем о другом.

МППСС - это только приложение к Конвенции ООН по морскому праву. Например, положения части VII её применяются непосредственно к открытому морю. А другие части регулируют общие положения и по территориальным водам, и по континентальному шельфу, и т.д.

И я не говорю о том, что всё поведение в море зарегулировано. Но регулирование есть.

Есть еще соглашение-просьба "а давайте не будем проводить ядерные испытания в космосе и на небесных телах", но тонкость в том, что государства подписавшие это соглашение не имеют технической возможности такие испытания проводить.

Есть Договор о запрещении испытаний ядерного оружия в атмосфере, в космическом пространстве и под водой от 1963 года. Он подписан 2мя главными по объёму вооружений ядерными державами мира - США и РФ. Да, США, Китай и ряд других стран не подписали Договор о нераспространении ядерного оружия. Но это совершенно не отменяет договора 1963 года.

В любом случае, я писал о попытках регулирования. Попытки есть и уже достаточно давние.

[stas_k]

<смотрит на недавние эпидемии криптолокеров на закрытой винде с эксплуатацией дыры воооооот такой древности> Аргумент давно протух. И там и там плохо бывает.

Во первых, пользователи недостаточно квалифицированы, почему увидев однажды компьютер на фотографии они считают что уже являются опытными пользователями, НО увидев в кино работу пилота самолета не бегут за штурвал?

Во вторых, MS решил "один хрен они все пользуются антивирусом касперского с фаерволом, он дыру закроет, можно не фиксить и творить десятку".

В третьих, тот кто принимает решение о финансировании эксплуатации информационных систем, сэкономил на обученном персонале, сэкономил на покупке дополнительных средств защиты (антивирусы), использовал просроченные средства и т.п.

 

Как всегда, недостаток ума и скупердяйство. Нет других причин.

 

<troll mode on>И кто-то уже успел или попытался хоть сколько-то успешно нагнуть по этому поводу Microsoft?

В свободном доступе информации не много, насколько я помню, дела решались "полюбовно, в досудебном порядке". По слухам MS частично компенсировал потери, частично дал преференции на приобретение нового ПО.

Они не заинтересованы в широкой огласке, потому что тогда каждый мелкий глюк будет приводить к судебному иску. MS придется держать армию юристов, чтобы отпинываться от алчных дебилов.

[Черномазов]

И там и там плохо бывает.

Это и есть основной правильный аргумент. Уж очень много криков по поводу защищённости опенсорса только потому, что он открытый.

И кто-то уже успел или попытался хоть сколько-то успешно нагнуть по этому поводу Microsoft?

ТНК вообще сложно нагнуть. По любому поводу.

 

пользователи недостаточно квалифицированы, почему увидев однажды компьютер на фотографии они считают что уже являются опытными пользователями

Поведение "опытных пользователей ПК" регулярно вводит в шок.

Изменено 30 июня, 2017 пользователем Черномазов

[SergoINFOLAN]

а телега тут причём?