WhatsApp non è sicuro, ha backdoor e usa 'trucchi da maghi': le dure parole di Durov
Il fondatore di Telegram usa parole pesantissime contro il client concorrente WhatsApp, soprattutto nella gestione dell'argomento privacy degli utenti
di Nino Grasso pubblicata il 03 Febbraio 2020, alle 19:21 nel canale Telefonia
29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDove sta la verità? Probabilmente nel mezzo
Si, senza quella verifica ti devi fidare del server anche se è tutto open source.
Dove sta la verità? Probabilmente nel mezzo
Leggi questo articolo ci sono tutte le risposte alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?
In breve, telegram ha sede a Dubai ed è bloccato in Russia dal 2018 anche se continua a funzionare grazie a MTproxy.
I fratelli Durov sono dovuti fuggire dalla Russia e tutte le allusioni nei confronti dei legami con Mosca sono false.
Telegram, differentemente dalla maggioranza delle altre applicazioni più note, non è quotato in borsa e non deve produrre profitti. Al momento è mantenuto da Durov, ma in futuro sarà gestito attraverso la TON da una fondazione.
se le parole erano tenere? morbidov?
Il numero l'eventuale interlocutore già lo ha solitamente, quindi non vedo il problema (a meno che non vuoi chattare in totale anonimato, il quel caso Signal non fa al caso tuo: privacy, anonimato e sicurezza sono tre cose diverse: Signal è per la prima e per la terza, non per la seconda)
Poi i dettagli del profilo non vengono inviati a terzi senza autorizzazione dell'utente
https://signal.org/blog/signal-profiles-beta/
I contatti restano in locale, ed usa un sistema particolare per il rilevamento
https://signal.org/blog/private-contact-discovery/
Signal periodicamente invia i numeri di telefono troncati crittograficamente hashati per scoprire i contatti. I nomi non sono mai trasmessi e le informazioni non sono memorizzate sui server. I server rispondono con i contatti che sono utenti Signal ed elimina immediatamente questa informazione. Il tuo telefono ora sa quali tuoi contatti sono utenti Signal e ti notifica se un tuo contatto ha iniziato a utilizzare Signal.
https://support.signal.org/hc/it/ar...-miei-contatti-
La crittografia e2e è migliore della crittografia client-server poiché non necessità di alcuna fiducia in terze parti. Questo è vero solo in teoria e quasi mai in pratica. Quasi tutti i servizi e2e (signal, wire, whatsapp, etc.) sono Trust On First Use (TOFU) ovvero al primo utilizzo ti devi comunque fidare dei gestori del servizio. La fiducia rimane se non sei in grado di verificare le chiavi di crittografia dei tuoi interlocutori. Supponi di avere un gruppo con N utenti, devi verificare personalmente N-1 chiavi. In assenza di verifica c'è il rischio di attacco MITM. Quindi in pratica anche la crittografia e2e richiede la fiducia nel server che serve per consegnare i messaggi.
Nota: signal, wire, telegram chat segrete, matrix, etc. sono tutte TOFU. Solo keybase e jami non lo sono.
Un ottimo articolo sulla sicurezza e riservatezza delle applicazioni di messaggistica più note: whatsapp, telegram, signal e wire: Quali sono le caratteristiche di un servizio di comunicazione sicuro e riservato?
Un ottimo articolo che analizza e risponde alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?
Non è esattamente così, anzi, sono due cose completamente diverse
Innanzitutto la fiducia in Signal non è necessaria in quanto è e2e ed è open source, insomma: lo vedi nel codice che il messaggio viene crittografato prima di essere inviato al server, che non ha le chiavi
La fiducia semmai è necessaria all'interlocutore, ed è di quello che si parla, usando il codice di verifica discusso anche nel post di keybase e per il resto è la stessa identica cosa
Signal e Wire ti disabilita la spunta di verifica visibile vicino al contatto, chiedendo dunque conferma se continuare a chattare o meno
Keybase ti invia solo l'avviso più grande con richiesta di autorizzazione, ma il succo è lo stesso
(Solo WhatsApp ti manda solo l'avviso in chat)
Poi per essere precisi il problema citato in keybase è per quanto concerne i gruppi, ma è diverso perché i gruppi di keybase sono, seppur e2e, salvate in cloud, mentre quelli signal sono e2e locali: se esce l'avviso di chiave cambiata, smetti di discutere fino a verifica.
(e keybase lamenta l'eccessivo numero di verifiche, visto che avviene in molteplici casi sulle altre chat)
Mentre su keybase, essendo in cloud, chiede, suppongo agli admin del gruppo se far accedere ad uno dopo il cambio della chiave/reset dell'account, in quanto se accede uno che ha preso possesso illegittimo dell'account questo avrà accesso a tutta la cronologia di messaggi, cosa che non avviene su Signal in quanto i messaggi sono in locale
Tra l'altro l'avviso ti esce, a quanto leggo, solo una volta cambiati tutti dispositivi e non quando aggiungi un nuovo dispositivo... il che ti porta seriamente a rischio
The net result is that you don't need to trust the server or meet in person when a partner or teammate gets a new device. Similarly, you don't need to trust the server or meet in person when they remove a device, unless it was their last. The only time you need to see a warning is when someone truly loses access to all their installs. And in that case, you're met with a serious warning, the way it should be:
ti protegge se perdi il dispositivo e revochi la chiave, ma che succede se qualcuno riesce ad accedere all'account aggiunge un dispositivo e non te ne accorgi?
Onestamente, uso anche keybase, ma trovo il suo post del tutto irrilevante per un confronto con Signal o qualsiasi chat che abbia un e2e non-cloud
Ed è più un alternativa a, come dicono loro anche Slack (visti anche git integrato) e forse Matrix, che a Signal, Wire o per le chat segrete di Telegram
Ero rimasto al fatto che in Telegram i sorgenti ci sono solo per il client (e per le versioni più recenti vengono rilasciati con un bel ritardo) e lato server è tutto closed/proprietario: è cambiato qualcosa? Telegram va bene per le cose di tutti i giorni sotto il sole e funzionalmente è mille volte meglio di WA, ma anche lui è da evitare quando si cerca una privacy degna di tal nome.
Leggi questo articolo ci sono tutte le risposte alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?
In breve, telegram ha sede a Dubai ed è bloccato in Russia dal 2018 anche se continua a funzionare grazie a MTproxy.
I fratelli Durov sono dovuti fuggire dalla Russia e tutte le allusioni nei confronti dei legami con Mosca sono false.
Telegram, differentemente dalla maggioranza delle altre applicazioni più note, non è quotato in borsa e non deve produrre profitti. Al momento è mantenuto da Durov, ma in futuro sarà gestito attraverso la TON da una fondazione.
L'avevo gia' letto, ma quell'articolo è nettamente di parte. La maggiorparte delle risposte si basano su affermazioni di Durov, oppure su evoluzioni future del software che nessuno ci assicura avverranno realmente.
Altre risposte invece aggirano la domanda, come quella legata al protocollo di crittografia non collaudato. Se veramente Durov fosse in buona fede rilascerebbe il codice sorgente della parte server oggi stesso.
In breve i dubbi rimangono.
E gli USA dove li mettiamo?
Semmai è il paese principale che richiede backdoor ai produttori
se le parole erano tenere? morbidov?
Fratello, hai la mia stima!
Ma al di là delle app quanto sono poi sicuri Android e iOS?
Dove sta la verità? Probabilmente nel mezzo
Scrivono app e le distribuiscono gratuitamente per il bene dell'umanità.
Nianca el can mena la coa par niente!
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".