|
|
|
![]() |
|
Strumenti |
![]() |
#61 | |
Senior Member
Iscritto dal: Jan 2016
Messaggi: 320
|
Quote:
|
|
![]() |
![]() |
![]() |
#62 | ||||
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Questo significa che utilizzano sia la crittografia asimmetrica RSA sia quella simmetrica AES. La differenza è solo una: il client è open source quindi puoi vedere l'implementazione del codice per la connessione e la crittografia end-to-end mentre il server è closed source e quindi non puoi vedere l'implementazione del codice per la connessione e la crittografia client-server. Un implementazione di un sistema di crittografia closed source non è affidabile per definizione e la connessione client-server non è affidabile. Quote:
Quote:
Quote:
|
||||
![]() |
![]() |
![]() |
#63 | |
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Vedi tu. Io non ho più niente da dire. |
|
![]() |
![]() |
![]() |
#64 | |||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26110
|
Quote:
Lo dimostrano pure le recentissime falle venite fuori dopo diversi anni esclusivamente grazie al lavoro di review di Google e Red Hat (che sono aziende che hanno precisi interessi). Quote:
Quote:
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|||
![]() |
![]() |
![]() |
#65 |
Senior Member
Iscritto dal: Jan 2016
Messaggi: 320
|
Le chat normali di Telegram non sono insicure perché il server è closed source, lo sono perché la crittografia client-server (a differenza di quella end-to-end) non impedisce al server di poter leggere in chiaro i contenuti delle conversazioni, open/closed non c'entra nulla in questa circostanza.
|
![]() |
![]() |
![]() |
#66 | ||
Senior Member
Iscritto dal: Jan 2016
Messaggi: 320
|
Quote:
Quote:
At Open Whisper Systems, our goal is to make private communication simple. For the past three years, we’ve been developing a modern, open source, strong encryption protocol for asynchronous messaging systems, designed to make seamless end-to-end encrypted messaging possible. Today we’re excited to publicly announce a partnership with WhatsApp, the most popular messaging app in the world, to incorporate the TextSecure protocol into their clients and provide end-to-end encryption for their users by default. Ultima modifica di matteop3 : 16-03-2016 alle 22:13. |
||
![]() |
![]() |
![]() |
#67 |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 6671
|
Io attendo l'effettiva e conclusa implementazione per esprimere giudizio, chi vivrà vedrà, attualmente sono solo leggermente scettico, anche conoscendo Zuckerotto e la mission del suo core business.
C'è comunque una cosa che sinceramente mi scoccia (che impongono un po' tutti, tranne skype, hangouts, viber e qualche altro) e cioè il registrarsi/accedere solo fornendo obbligatoriamente il numero telefonico. I messagersinternet oriented sono usatissimi anche da chi non usa in alcun modo la rete cellulare (per limiti tecnici, vedi tanti tablet basici con solo wifi, oppure per inutilità di spendere maggiormente perché magari si è sempre coperti da wifi, per esempio scuola, casa, lavoro). |
![]() |
![]() |
![]() |
#68 | |
Senior Member
Iscritto dal: Jan 2014
Messaggi: 3826
|
[quote=Erotavlas_turbo;43483227]
Un implementazione di un sistema di crittografia closed source non è affidabile per definizione e la connessione client-server non è affidabile. [/QUOT] Allora dimostra (nel senso matematico del termine) che il poter leggere il sorgente sia GARANZIA di affidabilità. I programmi si sviluppano nello stesso, identico, modo, indipendentemente dal tipo di licenza con cui vengono distribuiti. Quote:
Senza dimenticare che la sicurezza di un algoritmo nel settore della sicurezza è una caratteristica matematica, al netto, ovviamente, di SEMPRE possibili errori nell'implementazione, open o closed che sia. |
|
![]() |
![]() |
![]() |
#69 | |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 14736
|
Quote:
Lui non difende WhatsApp (anzi...), ma ritiene il protocolo TextSecure ottimo e si felicita della sua adozione in WhatsApp. Sui problemi di sicurezza di Telegram ci sono in rete diversi documenti da leggere (anche io in passato ne ho linkato qualcuno) che evidenziano problemi nell'intera architettura e mostrano come certi tipi di test (in cui Telegram ne esce bene) siano anche essi concettualmente fallati (ossia non ci sia una corrispondenza tra il risultato del test e la sicurezza reale). Non chiedermi di linkarli anche qui perchè non ho davvero il tempo di cercarli di nuovo. Il fatto che venga usato per WhatsApp direi che è possibilissimo. GPLv3 non è totalmente chiusa al software commerciale e il software può essere integrato (alle dovute condizioni), senza contare che nulla vieta ai programmatori di Signal, che ne sono i fautori, di rilasciare il codice direttamente a WhatsAPP sotto altra licenza (del resto se c'è una collaborazione...). Mi sembra che tu non abbia affatto colto il punto del discorso. Non si parlava della qualità del software (e citare problemi e bug non serve a nulla, dato che tutti sanno che nessun softare è totalmente sicuro da questo punto di vista, né quello open, né quello close), ma del fatto che in un software closed source non si è in grado di verificare come di fatti utilizzi questa sicurezza. Certo, se hai totale fiducia in una casa software per te può essere lo stesso, ma per chi è un po' più diffidente la differenza è abissale. In altre parole, se io ho la competenza, posso controllare il codice del software e verificare se in effetti i miei dati cifrati non vengano letti da chi non deve o rimangano scoperti durante qualche passaggio. Più in generale, dato che questa competenza non è certo alla portata di tutti, il rilascio del codice sorgente garantisce che chi ha competenza e interesse (anche i tuoi "avversari", che ovviamente avrebbero tutto l'interesse a far emergere il problema) possa di fatto verificare che le cose siano state fatte come si deve, e denunciare la cosa in caso contrario. Ultima modifica di calabar : 17-03-2016 alle 09:02. |
|
![]() |
![]() |
![]() |
#70 | ||
Senior Member
Iscritto dal: Jan 2016
Messaggi: 320
|
Quote:
Qui due post molto interessanti a riguardo: http://www.cryptofails.com/post/7054...alysis-contest http://www.thoughtcrime.org/blog/tel...pto-challenge/ Quote:
|
||
![]() |
![]() |
![]() |
#71 | |||
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Il codice closed source non ti garantisce questo aspetto. Quote:
Quote:
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile. Ultima modifica di Erotavlas_turbo : 17-03-2016 alle 17:48. |
|||
![]() |
![]() |
![]() |
#72 | |||
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Quote:
Certo, ripeto dato lo stesso algoritmo con due implementazioni open source e closed source, solo la prima è trasparente e ti consente di vedere l'implementazione. La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa. |
|||
![]() |
![]() |
![]() |
#73 | ||||
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Quote:
Quote:
Quote:
|
||||
![]() |
![]() |
![]() |
#74 | |
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software! Mi dovrei fidare di questo privato che chiede soldi e non della EFF? Mi fai ridere... Riportami qualcosa di serio... |
|
![]() |
![]() |
![]() |
#75 | |
Senior Member
Iscritto dal: Jan 2016
Messaggi: 320
|
Ma dai, ma sei serio?
Quote:
Ma per curiosità, hai aperto il post del blog di Open Whisper Systems che ti ho linkato prima? Ho anche riportato qui sul forum l'estratto chiave. L'hai letto? http://www.hwupgrade.it/forum/showpo...8&postcount=66 Ultima modifica di matteop3 : 17-03-2016 alle 18:05. |
|
![]() |
![]() |
![]() |
#76 | |
Senior Member
Iscritto dal: Jan 2016
Messaggi: 320
|
Quote:
|
|
![]() |
![]() |
![]() |
#77 | ||||||||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26110
|
Quote:
Premesso questo, non è vero che il software closed non si possa verificare. Intanto c'è il reverse engineering che ho citato prima. Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli. Quote:
![]() Quote:
Quote:
- ci lavorano (banale e ovvio); - ci fanno reverse engineering; - ci fanno analisi (vedi sopra). Quote:
I sorgenti disponibili non sono di per sé garanzia di ciò. Vedi gli esempi che ho fatto prima. Quote:
Quote:
Ma puoi sempre dimostrare il contrario, se ci riesci. ![]() Quote:
nVidia, se non ricordo male, per Linux ha uno stub open source con licenza GPL, che carica un blob binario che contiene il vero codice dei driver.
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
||||||||
![]() |
![]() |
![]() |
#78 | |
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Si mi pare che tu voglia per forza sostenere whatsapp e criticare telegram senza aver argomentazioni valide in tale senso.
Quote:
|
|
![]() |
![]() |
![]() |
#79 | |
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Queste parole: Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software! Prese dalla pagina about del sito che hai riportato |
|
![]() |
![]() |
![]() |
#80 | ||||
Senior Member
Iscritto dal: Jun 2007
Messaggi: 768
|
Quote:
Quote:
Quote:
Per il secondo tipo di prodotto alimentare ci sono persone: - che ci lavorano (banale e ovvio); - ci fanno reverse engineering (cercando di capire gli ingredienti); - ci fanno analisi (capendo il contenuto chimico se alterato, nocivo, etc.). Alla fine rimane sempre un prodotto per cui il consumatore deve avere fiducia del produttore. Open source -> trasparenza anche se non esente da bug Closed source -> fiducia Dopo lo scandalo Prism in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source. Quote:
The fourth section for version 2 of the license and the seventh section of version 3 require that programs distributed as pre-compiled binaries are accompanied by a copy of the source code, a written offer to distribute the source code via the same mechanism as the pre-compiled binary, or the written offer to obtain the source code that the user got when they received the pre-compiled binary under the GPL Informati... |
||||
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 16:17.