La piattaforma di messaggistica Telegram è stata accusata di aver depistato i suoi utenti sulla sicurezza della piattaforma. Un articolo di Wired, commentato dal CEO di WhatsApp, ha svelato nuove informazioni.
di Lorenzo Tirotta pubblicata il 15 Febbraio 2023, alle 16:12 nel canale Web
DJI OSMO Mobile SE a 69€: il gimbal compatto che trasforma i video dello smartphone in riprese da pro
Scope elettriche da record su Amazon: due modelli potentissimi sotto i 120€, ecco perché piacciono così tanto
GTA 6 a 80 euro? Take-Two frena sul prezzo e punta tutto sul valore percepito
I 3 portatili più convenienti su Amazon: sono 2 tuttofare Lenovo e un HP Victus gaming con RTX 5060
AirPods Pro 2 a soli 199€: su Amazon anche AirPods 4 in sconto, ecco le differenze che contano
2 Smart TV 4K Hisense con doppio sconto su Amazon: sono OLED e QLED, 55" e 75", fateci un bel pensierino
Portatili Apple ai minimi: MacBook Pro con chip M4 a 1.648€ e Macbook Air 13 16GB7256GB, sempre M4, a 998€
Come mantenere Windows 10 sicuro dopo il 2025: tutto sul programma ESU
Finalmente è tornato su Amazon l'iPhone 16 128GB a 749€, in tutti i colori, ma ci sono anche i 16e e 16 Pro in offerta
Auto nuove? Per il 65% degli italiani sono troppo care, non dovrebbero costare oltre i 20.000 euro
Droni solari Airbus volano nella stratosfera grazie alle nuove batterie al silicio: test riusciti a oltre 20 km di quota
Colpo da 15 milioni di dollari: chi ha rubato un carico di prodotti AMD e Apple?
Elon Musk lancia l'allarme su GPT-5: 'OpenAI divorerà Microsoft'. Ma Nadella lo sfida con un sorriso
iPhone 17 Pro sarà più costoso, ma anche più conveniente
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
AMD ha aggiornato l'offerta di CPU HEDT con i Ryzen Threadripper 9000 basati su architettura Zen 5. In questo articolo vediamo come si comportano i modelli con 64...
BOOX Note Air4 C è uno spettacolo: il tablet E Ink con Android per lettura e scrittura
BOOX Note Air4 C rappresenta l'ultima incarnazione della categoria dei tablet E Ink a colori di Onyx, e combina le prestazioni di un dispositivo Android con l'ottima...
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento....
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
HPE Discover 2025: tra agenti intelligenti, infrastruttura AI-native e un futuro ibrido
Edge9 ha seguito da vicino HPE Discover 2025 con accesso esclusivo a keynote e interviste. Dalla Sphere di Las Vegas, la visione di un’infrastruttura AI-native e...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Roborock Saros Z70: un braccio meccanico per fare ordine in casa
Dotato di tutte le ultime innovazioni in tema di aspirazione della polvere e pulizia dei pavimenti di casa, Roborock Saros Z70 integra un braccio meccanico che promette...
Membro della European Hardware Association
BOOX Note Air4 C è uno spettacolo: il tablet E Ink con Android per lettura e scrittura
Recensione Sony Xperia 1 VII: lo smartphone per gli appassionati di fotografia
Attenti a Poco F7: può essere il best buy del 2025. Recensione
38 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoWhatsApp offre la crittografia end-to-end per tutti i messaggi personali inviati e ricevuti, per garantire che solo tu e la persona con cui stai comunicando possiate leggerli o ascoltarli. Con il backup crittografato end-to-end, puoi aggiungere lo stesso livello di protezione anche ai tuoi backup su iCloud e Google Drive.
Mi pare chiaro che il backup su icloud e google drive non sia cifrato e2e, ma solo con la crittografia in transito di apple e google.
L'immagine mi riferisco a questa, che TU hai condiviso, risale al 7 gennaio 2021
https://therecord.media/fbi-documen...messaging-apps/
E sono certo che sia tu quello che deve rileggere il testo, anzi te lo incollo io e ti evidenzio la parte
Quindi vedi bene chi deve leggere correttamente il testo che condivide
Il backup crittografato end-to-end adesso ci sta, se uno non lo attiva problemi suoi e di chi lo frequenta.
Ma, dato che parlavamo di Gennaio 2021, questo è del tutto irrilevante alla questione, così come interamente il link che hai postato.
Andando più sul rilevante, affermi:
"Mi pare chiaro che il backup su icloud e google drive non sia cifrato e2e, ma solo con la crittografia in transito di apple e google."
Ti rendi conto degli errori in questa frase?
1. Stiamo parlando di crittografia at-rest e zero-access e mi tiri in ballo la crittografia in transito, che è tutt'altra cosa
2. ignori completamente invece la crittografia at-rest che è ed era già presente da tempo sui backup Google, sia di Google stessa (relativamente inutile ovviamente), che del backup di WhatsApp che NON ERA A LIVELLO DI QUELLA ATTUALE (non E2E,e mai ho affermato che fosse tale, ho parlato semplicemente di crittografia) MA CI STAVA.
Basta che fai un giro su GitHub, ci sono progetti, non esattamente recenti come la il backup e2ee di WA, che servono proprio a decriptarlo
https://github.com/ElDavoo/WhatsApp...ypt15-Decrypter
Ed a conferma di ciò puoi leggere l'immagine da te stesso postata dove infatti parla dell'accesso solo tramite sistemi Cloud di Apple e non quello Google.
Ripeto, non lo sto dicendo io, ma i tuoi stessi "documenti" che hai postato
Su questo, effettivamente, almeno quando lo usavo i dati erano fuori dal backup criptato.
Non è esattamente così la situazione.
Conosco bene la differenza tra cifratura del backup e quella della comunicazione. Ti ho riporto l'articolo scientifico che ho letto in modo approfondito proprio per mostrare come la crittografia e2e in realtà esista solo per le chat 1:1. Nella prime versioni di Signal e quando ancora si chiamava TextSecure, nel caso di gruppi venivano aperte N^2 connessioni e2e 1:1 e infatti i gruppi erano limitati a N molto piccolo invece di circa 1000 attuali.
Per questo Signal ha abbandonato tale implementazione a favore di una in cui ogni utente in un gruppo condivide con gli altri una chiave simmetrica in modo tale che non siano necessari N^2 scambi di chiavi come con il caso di connessioni e2e 1:1. La chiave simmetrica di ogni utente viene rinegoziata periodicamente.
nessun, attacco, semplicemente constatazione e ti sto rispondendo sul merito anche quindi, contrariamente a te che stai portando argomentazioni obsolete di anni.
Se conoscevi la differenza non mischiavi le due questioni insieme facendo un minestrone.
Che la crittografia esista solo per le chat 1:1, è un'altra castroneria, smentita dai fatti: chat e2ee di gruppo, checché tu ne dica, esistono e sono implementate dai vari client.
Altra castroneria, quella della singola chiave simmetrica, che ora hai edulcorato affermando che OGNI utente condivide una chiave simmetrica e periodicamente,e in ogni caso è sbagliata... facendo un mix delle due cose ti avvicini, forse, alla realtà seppur ipersemplificandola.
Ed è smentita direttamente dalle documentazioni ufficiale, anzi te la riporto, direttamente dal White Paper di WhatsApp (che usa il protocollo Signal) datato 24 febbraio 2023
End-to-end encryption of messages sent to WhatsApp groups utilize the
established pairwise encrypted sessions, as previously described in the
“Initiation Session Setup” section, to distribute the “Sender Key” component
of the Signal Messaging Protocol.
When sending a message to a group for the first time, a “Sender Key” is
generated and distributed to each member device of the group, using the
pairwise encrypted sessions. The message content is encrypted using the
“Sender Key”, achieving an efficient and secure fan-out for the messages
that are sent to groups.
The first time a WhatsApp group member sends a message to a group:
1. The sender generates a random 32-byte Chain Key.
2. The sender generates a random Curve25519 Signature Key
key pair.
3. The sender combines the 32-byte Chain Key and the public key from
the Signature Key into a Sender Key message.
4. The [B]sender [U]individually encrypts the Sender Key to each
member[/U] of the group, using the pairwise messaging protocol[/B] explained
previously.
For all subsequent messages to the group:
1. The sender derives a Message Key from the Chain Key, and updates
the Chain Key.
2. The sender encrypts the message using AES256 in CBC mode.
3. The sender signs the ciphertext using the Signature Key.
4. The sender transmits the single ciphertext message to the server, which
does server-side fan-out to all group participants.
The “hash ratchet” of the message sender’s Chain Key provides forward
secrecy. Whenever a group member leaves, all group participants clear their
Sender Key and start over.
In Chat Device Consistency information is included when distributing a
“Sender Key” and then excluded from the subsequent messages encrypted
with the Sender Key
https://www.whatsapp.com/security/W...-Whitepaper.pdf
Ti rendi conto di quanto hai banalizzato e semplificato un sistema ben più complesso?
La crittografia, a questi livelli non può essere ridotta ad un "Prendere fratelli questo chiave è il corpo di crypto"
Tranquillo, tra poco confinano anche Musk, è questione di tempo prima che lo cacciano a pedate dagli US, non lo sopporta più nessuno.
E comunque se vedi il tweet (che tra l'altre è anche antecedente alla questione degli username), è anche il primo a criticare Telegram sul fronte della sicurezza
Apprezzabile che non ha dato dati, ma se poi cambia idea in futuro non puoi saperlo, a meno che non hai una sfera di cristallo.
Ed in ogni caso la sua credibilità è compromessa con il blocco dei commenti alle critiche
Con whatsapp nel caso di chat 1:1 se entrambi gli utenti hanno attivo il backup con crittografia e2e, ti devi fidare solo di facebook (meta). Altrimenti per un gruppo, se c'è anche un solo utente senza backup e2ee, ti devi sempre fidare sia di facebook sia dei gestori del backup google e apple.
Si tutto quello che vuoi, il client open-source e quello che vuoi ma:
Il client open-source non ti permette di sapere cosa succede sul server. mentre le chat e2ee di Telegram:
-Non sono predefinite
-Non sono disponibile su desktop (o meglio solo su Mac, mi pare)
-Non sono disponibili su web
-Non è possibile farne un backup
Sono letteralmente INUSABILI per queste ragioni
Tuttavia, tra telegram e whatsapp, il primo è superiore dal punto di vista della sicurezza. Se parliamo di signal, li supera entrambi anche se il fatto di utilizzare gli enclave basati su intel sgx fallata e di avere i server su amazon, lascia qualche dubbio (per fortuna vengono salvati in cloud solo il grafo dei contatti e le impostazioni, niente messaggi).
No li riporti in modo sbagliato, pure ancora a tirare la questione intel sgx vecchia di anni e smentita.
Intel SGX per Signal è un poco come IGE per Telegram
Entrambe sono tecnologie notoriamente fallate ma non nelle loro implementazioni.
No è come funziona la crittografia, se cambi dispositivo, senza ripristinare il backup, ti genera una nuova chiave. (E, no, non è il server direttamente a richiederlo)
Nessuna backdoor, nessun attacco MITM, semplice funzionamento base della crittografia utilizzata.
E no., i server di WhatsApp non hanno le chiavi generate dai dispositivi (ufficialmente, se poi se le mandano di nascosto e hai prove di questo possiamo procedere con l'inchiesta)
Tutto il resto è puro complottismo spicciolo basato su aria fritta.
Per me l'analisi di privacyspy è sostanzialmente corretta.
Non ha nessuno dei problemi riportati.
La questione del marketing non ha nulla a che vedere con la chat, come ho già detto.
Ed è normale che non ci sia un punto che specifica l'avviso, visto che è obbligatorio, non è che ti fanno un favore.
Sul fatto che manca 2.3, verificherò, ma non ha comunque nulla a che vedere con la questione del GDPR, che infatti si trova nel 2.1.
E, a maggior ragione, il punto 2 è anche intitolato "Access to your data" quindi non idoneo per l'eventuale violazione dei dati che andrebbe in una categoria.
https://therecord.media/fbi-documen...messaging-apps/
Ok, intendevi l'altro link.
Quindi vedi bene chi deve leggere correttamente il testo che condivide
Io ho letto benissimo, non ho capito di quale link tu parlassi.
Ma, dato che parlavamo di Gennaio 2021, questo è del tutto irrilevante alla questione, così come interamente il link che hai postato.
Invece è molto rilevante perché il 90% degli utenti ha le impostazioni predefinite e quindi il backup e2ee disattivato.
"Mi pare chiaro che il backup su icloud e google drive non sia cifrato e2e, ma solo con la crittografia in transito di apple e google."
Ti rendi conto degli errori in questa frase?
1. Stiamo parlando di crittografia at-rest e zero-access e mi tiri in ballo la crittografia in transito, che è tutt'altra cosa
2. ignori completamente invece la crittografia at-rest che è ed era già presente da tempo sui backup Google, sia di Google stessa (relativamente inutile ovviamente), che del backup di WhatsApp che NON ERA A LIVELLO DI QUELLA ATTUALE (non E2E,e mai ho affermato che fosse tale, ho parlato semplicemente di crittografia) MA CI STAVA.
Non ci sono errori. I backup sono protetti dalla crittografia in transito, una loro parte è crittografata in modo simmetrico con AES e una parte è in chiaro. La chiave di crittografia è in mano a facebook. Quindi google e apple accedono a buona parte del backup di whatsapp per impostazione predefinita e con la complicità di facebook a tutto (leggi qui).
Se attivi il backup con crittografia e2e, non possono più accedervi.
https://github.com/ElDavoo/WhatsApp...ypt15-Decrypter
Ed a conferma di ciò puoi leggere l'immagine da te stesso postata dove infatti parla dell'accesso solo tramite sistemi Cloud di Apple e non quello Google.
Ripeto, non lo sto dicendo io, ma i tuoi stessi "documenti" che hai postato
Rileggi questo.
Menomale.
Allora spiegami come funziona, con link validi che supportino le affermazioni.
Se conoscevi la differenza non mischiavi le due questioni insieme facendo un minestrone.
Che la crittografia esista solo per le chat 1:1, è un'altra castroneria, smentita dai fatti: chat e2ee di gruppo, checché tu ne dica, esistono e sono implementate dai vari client.
Altra castroneria, quella della singola chiave simmetrica, che ora hai edulcorato affermando che OGNI utente condivide una chiave simmetrica e periodicamente,e in ogni caso è sbagliata... facendo un mix delle due cose ti avvicini, forse, alla realtà seppur ipersemplificandola.
Non capisco perché tu non voglia capire. Conosco la differenza molto bene e te l'ho spiegata (penso che la capisci bene anche tu). L'unica vera crittografia e2e nei gruppi con N membri è quella in cui ogni client apre N-1 connessioni e2ee con gli altri. Il problema di questo approccio utilizzato anche dalle prime versioni di Signal è la scalabilità poiché per N grande occorrono N^2 scambi di chiavi tra i client (lo scambio viene fatto periodicamente, troppo overhead).
La soluzione adottata, spiegata bene qui (pag. 19, ma vedo che non lo hai letto), è quella di condividere una chiave simmetrica tra per ogni utente tra i membri delle chat di gruppo al fine di ridurre gli scambi di chiave a N.
https://www.whatsapp.com/security/W...-Whitepaper.pdf
Questa parte che hai riportato conferma quanto ho scritto in precedenza.
When sending a message to a group for the first time, a “Sender Key” is generated and distributed to each member device of the group, using the pairwise encrypted sessions. The message content is encrypted using the “Sender Key”, achieving an efficient and secure fan-out for the messages that are sent to groups.
Sto spiegando in modo semplice per persone non tecniche, se vuoi capire, puoi farlo. Il succo della questione è quello scritto sopra e nei messaggi precedenti. La vera crittografia e2e nei gruppi è solo quella con N-1 sessioni 1:1 per ogni client, il resto è un compromesso per questioni di efficienza computazionale.
Paragonare Musk a Durov è come paragonare lupi e agnelli, non c'è alcuna somiglianza.
Se intendi gli username su telegram, c'erano da oltre 3 anni prima del tweet dell'aprile 2018.
Conosco bene quello che dice Snowden su telegram e cosa pensa sulla crittografia e2e (lo condivido), ti ho solo mostrato che il tuo paragone sulla credibilità tra Durov-Musk non ha alcun senso.
Ed in ogni caso la sua credibilità è compromessa con il blocco dei commenti alle critiche
Certo, ma su whatsapp sei certo che facebook prenda i dati (visti gli N precedenti), su telegram ancora non ci sono precedenti.
Nemmeno io sono d'accordo, ma non diciamo falsità. Tutti sbagliano, anche Durov.
Il client open-source non ti permette di sapere cosa succede sul server. mentre le chat e2ee di Telegram:
-Non sono predefinite
-Non sono disponibile su desktop (o meglio solo su Mac, mi pare)
-Non sono disponibili su web
-Non è possibile farne un backup
Sono letteralmente INUSABILI per queste ragioni
Su questo ti posso dare ragione, ma non sulle motivazioni precedenti su quale dei due sia più sicuro.
Intel SGX per Signal è un poco come IGE per Telegram
Entrambe sono tecnologie notoriamente fallate ma non nelle loro implementazioni.
Da quanto ne sappiamo intel sgx è ancora fallato. Molti ricercatori di sicurezza affermano che l'implementazione di signal non sia sicura proprio a causa della fiducia nella tecnologia link1 e link2. Hai qualche link che afferma il contrario?
Nessuna backdoor, nessun attacco MITM, semplice funzionamento base della crittografia utilizzata.
E no., i server di WhatsApp non hanno le chiavi generate dai dispositivi (ufficialmente, se poi se le mandano di nascosto e hai prove di questo possiamo procedere con l'inchiesta)
Tutto il resto è puro complottismo spicciolo basato su aria fritta.
Che fatica quando non vuoi capire. Il server di whatsapp può effettuare/richiedere un cambio di chiave senza notificare i due interlocutori (per impostazione predefinita, poi se uno attiva l'opzione verrà notificato). Mai scritto che sia una backdoor, ma un attacco MITM.
Dal "tuo" link che era incluso nell'articolo "mio" link:
[I]WhatsApp could try to “man in the middle” a conversation, just like with any encrypted communication system, but they would risk getting caught by users who verify keys.
The fact that WhatsApp handles key changes is not a “backdoor,” it is how cryptography works. Any attempt to intercept messages in transit by the server is detectable by the sender, just like with Signal, PGP, or any other end-to-end encrypted communication system.
The only question it might be reasonable to ask is whether these safety number change notifications should be “blocking” or “non-blocking.” In other words, when a contact’s key changes, should WhatsApp require the user to manually verify the new key before continuing, or should WhatsApp display an advisory notification and continue without blocking the user.[/I]
Questo è falso? Perché quando non sai cosa dire tiri in ballo argomentazioni inutili e al limite dell'intelligenza come il complottismo?
La questione del marketing non ha nulla a che vedere con la chat, come ho già detto.
Ed è normale che non ci sia un punto che specifica l'avviso, visto che è obbligatorio, non è che ti fanno un favore.
Sul fatto che manca 2.3, verificherò, ma non ha comunque nulla a che vedere con la questione del GDPR, che infatti si trova nel 2.1.
E, a maggior ragione, il punto 2 è anche intitolato "Access to your data" quindi non idoneo per l'eventuale violazione dei dati che andrebbe in una categoria.
Mi sembra che tu neghi l'evidenza dei dati raccolti dall'istanza ufficiale di element. Leggiti la loro privacy policy (non stiamo parlando della tua istanza o di altro). No, non è normale che non sia specificato. L'articolo 33 del GDPR richiede di notificare gli utenti->garante entro 72 ore da un data breach. Se un servizio non prevede un protocollo per la gestione dello stesso, come pensi li contatterà? Gli invia un messaggio?
Io ho letto benissimo, non ho capito di quale link tu parlassi.
Non direi, visto che ti ho citato anche la data, e continuavi a capire il link su WhatsApp.
Segno che non hai letto approfonditamente neanche il link da te stesso condiviso.
Mi confermi i tuoi problemi nella lettura.
Ho detto che è irrilevante perché si parlava di un documento di quando l'attuale crittografia e2e non era ancora presente su WhatsApp.
Se attivi il backup con crittografia e2e, non possono più accedervi.
Ci sono errori e continui a spararne.
Che i backup sono protetti in transito non l'ho mai negato (ma pure le castronerie che spari qui sono criptate in transito eh, non serve scomodare protocolli enormemente avanzati di comunicazione per esserlo), il problema è che stiamo parlando della crittografia at-rest dei backup, e dunque non di come ci arrivano sul server, ma di come vengono conservati.
Quindi facendo, nuovamente, un minestrone.
.
Allora spiegami come funziona, con link validi che supportino le affermazioni.
A parte che il link da te postato già smentisce il fatto che avevi affermato che il backup fosse protetto solo dalla crittografia "in transito" (che poi sarebbe at-rest, ma vabbè soprassediamo su questa tua enorme lacuna, altrimenti non ne usciamo più
La chiave è sui server di WhatsApp, ma è in modo crittografato e non accessibile dove Meta non ha accesso
https://engineering.fb.com/2021/09/...p-e2ee-backups/
Si certo devi fidarti della loro parola, ma come detto e ripetuto (ma che fatichi a comprendere), per me WhatsApp è bocciato, così come Telegram.
Tu vuoi esaltarlo ed esserne un fan privo di razinalita, libero di farlo.
I preferisco altro (che no, non è WhatsApp, meglio ripeterlo visto che fatichi a comprendere le cose), il tempo dirà chi avrà avuto ragione. E se i messaggi sono più sicuri in un backup locale o in sui server di un tizio che ha dimostrato di non saper mantenere le promesse.
La soluzione adottata, spiegata bene qui (pag. 19, ma vedo che non lo hai letto), è quella di condividere una chiave simmetrica tra per ogni utente tra i membri delle chat di gruppo al fine di ridurre gli scambi di chiave a N.
(unificato un paio di punti che tanto ripetono la supercazzola del N1 e N2 connessioni, chiave simmetrica sessioni 1:1, ecc..)
Con il tuo atteggiamento mi hai fatto ricordare una frase citata da Beppe Grillo agli esordi "Se una cosa non è vera, ripetetela 10, 100, 1000 volte e diventerà vera",.
No mi spiace per te e per Grillo, la supercazzola che hai scritto (che tra l'altro varia anche ogni volta che la scrivi), puoi ripeterla anche 1000 volte, sempre supercazzola resta.
Sei tu che pretendi di sapere cose che stai dimostrando di non sapere assolutamente.
Basta il tuo mischiare:
-Post su Stack Exchange del 2016
-Articolo di ArsTechnica del 2017
-Articolo del 2020
-Documento FBI di febbraio 2021
-Documento scientifico di aprile 2021
-Documentazione WhatsApp del 2023
Se tu fossi VERAMENTE esperto di crittografia/sicurezza come affermi, o anche semplicemente programmatore, non andresti mai a prendere articoli obsoleti e di epoche diverse come stai facendo. Visto che dal 2016 ad oggi non ci sta un solo software di messaggistica che non sia variato completamente a livello di codice e tecnologia su tutti i fronti.
Stai facendo un minestrone di epoche differenti che solo uno inesperto che non ne capisce una mazza in merito può fare.
Seguiti adeguatamente tutti i client di messaggistica, come faccio io da anni, e solo dopo, forse, puoi considerarti minimamente esperto, anziché improvvisarti tale raccattando link obsoleti a destra e a manca.
When sending a message to a group for the first time, a “Sender Key” is generated and distributed to each member device of the group, using the pairwise encrypted sessions. The message content is encrypted using the “Sender Key”, achieving an efficient and secure fan-out for the messages that are sent to groups.
Si, il problema, infatti, è che hai tagliato fuori tutti gli altri passaggi, connessioni e scambi di chiave che avvengono DOPO che smontano, di fatto, completamente la tua argomentazione.
Entrambi predicano libertà ma poi la tolgono al primo dissenso. Libertà finché fa comodo a loro.
O vuoi negare anche questo?
Conosco bene quello che dice Snowden su telegram e cosa pensa sulla crittografia e2e (lo condivido), ti ho solo mostrato che il tuo paragone sulla credibilità tra Durov-Musk non ha alcun senso.
Intendo la vendita degli username*, stavamo parlando di quello, ma contestualizzare le frasi, neanche?
* infatti ho parlato di "questione degli username", non solo di "username" nell'ultimo messaggio
Come già detto il paragone ha perfettamente senso.
Se condividi cosa pensa sulla crittografia Snowden, che ha fatto un esplicito endorsement a Signal (di cui WhatsApp ne condivide il protocollo), significa che soffri di personalità multiple, visto che sono svariati post che stai affermando di non condividere quanto detto da Snowden (che per l'appunto ha criticato il modello di sicurezza di Telegram).
Nemmeno io sono d'accordo, ma non diciamo falsità. Tutti sbagliano, anche Durov.
Su questo ti posso dare ragione, ma non sulle motivazioni precedenti su quale dei due sia più sicuro.
Mi sa che a te non hai letto bene una cosa che ho affermato prima, te la riposto, così leggi meglio:
Quindi per quanto mi riguarda mi limito a vedere ed esporre solo i fatti. E per me sono bocciati entrambi
È ufficiale. O non sai leggere, o fai finta di non saper leggere.
Ho affermato che è fallato, ma NON NELLA IMPLEMENTAZIONE DI SIGNAL (è in uno dei thread sul forum di Signal, cercatelo da solo)
Così come IGE è ancora fallato (ed è anche Telegram stesso a dirlo, ti ho postato il link), ma non nella implementazione di Telegram.
Dal "tuo" link che era incluso nell'articolo "mio" link:
[I]WhatsApp could try to “man in the middle” a conversation, just like with any encrypted communication system, but they would risk getting caught by users who verify keys.
The fact that WhatsApp handles key changes is not a “backdoor,” it is how cryptography works. Any attempt to intercept messages in transit by the server is detectable by the sender, just like with Signal, PGP, or any other end-to-end encrypted communication system.
The only question it might be reasonable to ask is whether these safety number change notifications should be “blocking” or “non-blocking.” In other words, when a contact’s key changes, should WhatsApp require the user to manually verify the new key before continuing, or should WhatsApp display an advisory notification and continue without blocking the user.[/I]
Questo è falso? Perché quando non sai cosa dire tiri in ballo argomentazioni inutili e al limite dell'intelligenza come il complottismo?
Si ma guarda che quello che hai evidenziato, smentisce completamente quanto hai affermato te fino adesso eh.
Certo poi se di un intero paragrafo ti leggi solo la frase "man in the middle" ignorando o non comprendendo tutto il resto, ovvio che pensi di aver ragione.
Ma così non è.
Infatti, non sto parlando di istanze terze, ma di Element.io / Matrix.org: Quei dati NON LI RACCOGLIE CON LA CHAT, ma con LE CAMPAGNE PUBBLICITARIE SUI SOCIAL, sono due cose distinte e separate.
E ad Element / Matrix dell'azienda in questione. puoi REGISTRARTI IN TOTALE ANONIMATO, senza fornire né nome, né email né numero di telefono (cosa non possibile con Telegram, se non di recente, pagando)
richiede di notificare non richiede di inserire l'avviso che notificheranno nella privacy policy.
Tra l'altro la pagina da te postata
"Notification of a personal data breach to the supervisory authority"
"supervisory authority", non "users"
Quindi hai letto nuovamente male, tanto per cambiare, e sbagliato dunque pure l'articolo della GDPR in questione
E, in ogni caso, tieni, così visto che proprio vuoi un testo a riguardo, tieni: Element ha un documento intero, di 46 pagine, dedicato esclusivamente al data processing
https://static.element.io/pdfs/data...g-agreement.pdf
Ora mi fai però tu una cortesia, mi trovi dove parla si data breach nella privacy policy di Telegram? Perché la parola "breach" non la vedo neanche nominata mezza volta.
https://telegram.org/privacy
E neanche nelle FAQ, pur parlando di GDPR, di breach e simili non ci sta traccia.
https://telegram.org/faq#d-per-quel...iguarda-il-gdpr
Segno che non hai letto approfonditamente neanche il link da te stesso condiviso.
Non avevo capito a quale figura ti riferissi. Quando commetto un errore lo riconosco, differentemente da te.
Ho detto che è irrilevante perché si parlava di un documento di quando l'attuale crittografia e2e non era ancora presente su WhatsApp.
No, qui ti sbagli. Il fatto di aver introdotto il backup e2ee successivamente all'articolo relativo al FBI, non risolve il problema poiché è disabilitato di default e permangono i problemi visto che il 90% dell'utenza non le modifica (è sufficiente un solo membro per gruppo senza backup e2ee per invalidarla a tutti).
Che i backup sono protetti in transito non l'ho mai negato (ma pure le castronerie che spari qui sono criptate in transito eh, non serve scomodare protocolli enormemente avanzati di comunicazione per esserlo), il problema è che stiamo parlando della crittografia at-rest dei backup, e dunque non di come ci arrivano sul server, ma di come vengono conservati.
Quindi facendo, nuovamente, un minestrone.
Nessun minestrone, quello forse ti piace a te
Ciò che ho scritto è la semplificazione di quanto riportato nei link. Li ho riletti e non ho trovato errori. Riportameli.
La chiave è sui server di WhatsApp, ma è in modo crittografato e non accessibile dove Meta non ha accesso
https://engineering.fb.com/2021/09/...p-e2ee-backups/
Se parli della chiave del backup e2ee ok (su questo ti sto dicendo che è vero dall'inizio), se parli di quella del backup di default facebook (meta) ha l'accesso completo è scritto anche nel tuo link oltre che nel mio.
Di lacune ne vedo solo lato tuo, hai la possibilità di capire, ma non vuoi farlo.
Tu vuoi esaltarlo ed esserne un fan privo di razinalita, libero di farlo.
I preferisco altro (che no, non è WhatsApp, meglio ripeterlo visto che fatichi a comprendere le cose), il tempo dirà chi avrà avuto ragione. E se i messaggi sono più sicuri in un backup locale o in sui server di un tizio che ha dimostrato di non saper mantenere le promesse.
Anche io preferisco altro, ma tra whatsapp e telegram, in termini di sicurezza e privacy, molto meglio il secondo lo dimostrano i fatti. Un qualunque software closed source con binario offuscato non può essere verificato e viola il principio Kerckhoffs alla base della crittografia.
Se stai parlando di signal al momento è meglio di telegram, ma per via delle falle di intel sgx e di essere su cloud amazon, non è comunque affidabile.
Con il tuo atteggiamento mi hai fatto ricordare una frase citata da Beppe Grillo agli esordi "Se una cosa non è vera, ripetetela 10, 100, 1000 volte e diventerà vera",.
No mi spiace per te e per Grillo, la supercazzola che hai scritto (che tra l'altro varia anche ogni volta che la scrivi), puoi ripeterla anche 1000 volte, sempre supercazzola resta.
Sei tu che pretendi di sapere cose che stai dimostrando di non sapere assolutamente.
Basta il tuo mischiare:
-Post su Stack Exchange del 2016
-Articolo di ArsTechnica del 2017
-Articolo del 2020
-Documento FBI di febbraio 2021
-Documento scientifico di aprile 2021
-Documentazione WhatsApp del 2023
Di supercazzole ne vedo molte lato tuo. Quando non sai più come argomentare tiri in ballo questioni farlocche, è già la seconda-terza volta. Inoltre, invece di dimostrare i fatti con riferimenti validi di terzi esperti, la butti in caciara. Tipico di chi non sa cosa dire.
Riportami delle fonti autorevoli che smentiscono i vari articoli di ricercatori e giornalisti sopra e ne possiamo parlare.
Stai facendo un minestrone di epoche differenti che solo uno inesperto che non ne capisce una mazza in merito può fare.
Seguiti adeguatamente tutti i client di messaggistica, come faccio io da anni, e solo dopo, forse, puoi considerarti minimamente esperto, anziché improvvisarti tale raccattando link obsoleti a destra e a manca.
Io non sono esperto, mai affermato. Conosco dei fatti e riporto pareri di esperti che contraddicono le tue affermazioni. Ci sono articoli di tutti i periodi, non mi risulta che il protocollo di signal alla base di whatsapp sia cambiato dal 2016. Pronto a cambiare idea con fatti, non con le tue barzellette su Grillo o altro.
Va bene. Rileggiti l'articolo recente che ti ho riportato varie volte.
O vuoi negare anche questo?
Di predicatore ne vedo solo uno, tu. Per me rimangono lontani anni luce, ma questo è solo un mio parere. Uno vive in esilio e combatte i governi per la democrazia, l'altro è al soldo dei governi.
* infatti ho parlato di "questione degli username", non solo di "username" nell'ultimo messaggio
Cerca di essere più preciso. Comunque, se ti interessa, Durov ha riattivato le reazioni proprio ieri.
Solo nella tua mente, ma rispetto i pareri degli altri.
Dove avrei scritto di non condividere cosa afferma Snowden? Riportamelo.
Signal e whatsapp sono lontani anni luce pur avendo lo stesso protocollo. Sia per il fatto che il secondo è closed source con binari offuscati sia perché salva tutto in cloud in chiaro di default (ci siamo capiti cosa intendo, è cifrato ma leggibile da facebook (meta) che possiede le chiavi oltre ai pericoli di google e apple riportati in precedenza) e opzionalmente con crittografia e2e (in questo caso nessuno può leggerlo, salvo backdoor nel codice non analizzabile pubblicamente).
È ufficiale. O non sai leggere, o fai finta di non saper leggere.
Ho affermato che è fallato, ma NON NELLA IMPLEMENTAZIONE DI SIGNAL (è in uno dei thread sul forum di Signal, cercatelo da solo)
Così come IGE è ancora fallato (ed è anche Telegram stesso a dirlo, ti ho postato il link), ma non nella implementazione di Telegram.
I tre ricercatori (uno, due e tre) di sicurezza affermano il contrario, ma l'esperto sei tu.
Certo poi se di un intero paragrafo ti leggi solo la frase "man in the middle" ignorando o non comprendendo tutto il resto, ovvio che pensi di aver ragione.
Ma così non è.
I fatti e le prove sono li, negare l'evidenza non serve.
E ad Element / Matrix dell'azienda in questione. puoi REGISTRARTI IN TOTALE ANONIMATO, senza fornire né nome, né email né numero di telefono (cosa non possibile con Telegram, se non di recente, pagando)
Dove ho scritto che le raccoglie con l'analisi della chat? Dato che è cifrato e2e non è in grado di farlo. Ho scritto che nelle privacy policy sono chiaramente riportati i dati raccolti e non sono pochi.
Tra l'altro la pagina da te postata
"Notification of a personal data breach to the supervisory authority"
"supervisory authority", non "users"
Quindi hai letto nuovamente male, tanto per cambiare, e sbagliato dunque pure l'articolo della GDPR in questione
Si, hai ragione, errore mio, ho scritto male. Garante non utenti.
https://telegram.org/privacy
E neanche nelle FAQ, pur parlando di GDPR, di breach e simili non ci sta traccia.
https://telegram.org/faq#d-per-quel...iguarda-il-gdpr
Infatti, non c'è ed è una mancanza quella di non prevedere un protocollo pubblico di notifica in caso di data breach.
Tutti raccolgono i dati che ve lo dicano oppure no.
Telegram è russa, indipendentemente da dove abbia la sede e ovviamente i dati dove volete che li invii ? In Tanzania ?
Il DB di Whatsapp è criptato ? Ah e pensate che non siano in grado di decriptarli ?
No, qui ti sbagli. Il fatto di aver introdotto il backup e2ee successivamente all'articolo relativo al FBI, non risolve il problema poiché è disabilitato di default e permangono i problemi visto che il 90% dell'utenza non le modifica (è sufficiente un solo membro per gruppo senza backup e2ee per invalidarla a tutti).
Nessun minestrone, quello forse ti piace a te
Ciò che ho scritto è la semplificazione di quanto riportato nei link. Li ho riletti e non ho trovato errori. Riportameli.
Se parli della chiave del backup e2ee ok (su questo ti sto dicendo che è vero dall'inizio), se parli di quella del backup di default facebook (meta) ha l'accesso completo è scritto anche nel tuo link oltre che nel mio.
Di lacune ne vedo solo lato tuo, hai la possibilità di capire, ma non vuoi farlo.
Anche io preferisco altro, ma tra whatsapp e telegram, in termini di sicurezza e privacy, molto meglio il secondo lo dimostrano i fatti. Un qualunque software closed source con binario offuscato non può essere verificato e viola il principio Kerckhoffs alla base della crittografia.
Se stai parlando di signal al momento è meglio di telegram, ma per via delle falle di intel sgx e di essere su cloud amazon, non è comunque affidabile.
Di supercazzole ne vedo molte lato tuo. Quando non sai più come argomentare tiri in ballo questioni farlocche, è già la seconda-terza volta. Inoltre, invece di dimostrare i fatti con riferimenti validi di terzi esperti, la butti in caciara. Tipico di chi non sa cosa dire.
Riportami delle fonti autorevoli che smentiscono i vari articoli di ricercatori e giornalisti sopra e ne possiamo parlare.
Io non sono esperto, mai affermato. Conosco dei fatti e riporto pareri di esperti che contraddicono le tue affermazioni. Ci sono articoli di tutti i periodi, non mi risulta che il protocollo di signal alla base di whatsapp sia cambiato dal 2016. Pronto a cambiare idea con fatti, non con le tue barzellette su Grillo o altro.
Va bene. Rileggiti l'articolo recente che ti ho riportato varie volte.
Di predicatore ne vedo solo uno, tu. Per me rimangono lontani anni luce, ma questo è solo un mio parere. Uno vive in esilio e combatte i governi per la democrazia, l'altro è al soldo dei governi.
Cerca di essere più preciso. Comunque, se ti interessa, Durov ha riattivato le reazioni proprio ieri.
Solo nella tua mente, ma rispetto i pareri degli altri.
Dove avrei scritto di non condividere cosa afferma Snowden? Riportamelo.
Signal e whatsapp sono lontani anni luce pur avendo lo stesso protocollo. Sia per il fatto che il secondo è closed source con binari offuscati sia perché salva tutto in cloud in chiaro di default (ci siamo capiti cosa intendo, è cifrato ma leggibile da facebook (meta) che possiede le chiavi oltre ai pericoli di google e apple riportati in precedenza) e opzionalmente con crittografia e2e (in questo caso nessuno può leggerlo, salvo backdoor nel codice non analizzabile pubblicamente).
I tre ricercatori (uno, due e tre) di sicurezza affermano il contrario, ma l'esperto sei tu.
I fatti e le prove sono li, negare l'evidenza non serve.
Dove ho scritto che le raccoglie con l'analisi della chat? Dato che è cifrato e2e non è in grado di farlo. Ho scritto che nelle privacy policy sono chiaramente riportati i dati raccolti e non sono pochi.
Si, hai ragione, errore mio, ho scritto male. Garante non utenti.
Infatti, non c'è ed è una mancanza quella di non prevedere un protocollo pubblico di notifica in caso di data breach.
Sai cosa? Hai ragione
(Ma perché mi sono stancato pure di risponderti, non per altro... Le discussioni che vanno per le lunghe rimanendo sempre sullo stesso punto e ripetendo sempre le stesse cose mi annoiano)
(Ma perché mi sono stancato pure di risponderti, non per altro... Le discussioni che vanno per le lunghe rimanendo sempre sullo stesso punto e ripetendo sempre le stesse cose mi annoiano)
Chi ha ragione lo devono stabilire gli altri utenti. Ognuno ha riportato i fatti più o meno supportati da riferimenti e le proprie idee, gli altri utenti faranno le proprie valutazioni.
Alla prossima!
Alla prossima!
Ma infatti saranno gli utenti a fare le valutazioni.
(Mi sa che neanche comprendere sarcasmo ed ironia è il tuo forte...)
Certo parlare prima esplicitamente di "come pensi li contatterà gli utenti in caso di breach, gli invia un messaggio?" , e poi ripiegare e dire che parlavi del garante (il garante lo contatti con i suoi appositi recapiti, no ti serve un protocollo per sapere come contattarlo...) quando ti sei reso conto che avevi sparato una castroneria, tra le tante, non depone assolutamente a tuo favore.
Saluti
(Mi sa che neanche comprendere sarcasmo ed ironia è il tuo forte...)
Certo parlare prima esplicitamente di "come pensi li contatterà gli utenti in caso di breach, gli invia un messaggio?" , e poi ripiegare e dire che parlavi del garante (il garante lo contatti con i suoi appositi recapiti, no ti serve un protocollo per sapere come contattarlo...) quando ti sei reso conto che avevi sparato una castroneria, tra le tante, non depone assolutamente a tuo favore.
Saluti
Errore mio, dovuto al non rileggere bene quello che ho scritto. Nel link da dove ho preso la frase era chiaro.
Tu i tuoi errori tu non li hai ammessi e ce ne sono diversi. Ciao.
I tuoi errori tu non li hai ammessi e ce ne sono diversi.
Non è solo un errore, è una totale incoerenza ed incongruenza tra le tue affermazioni.
Errore è quando sbagli una parola, non una frase intera, infatti se prendiamo l'intera frase dal post dove ora hai "corretto" per l'appunto la "parola"
L'intera frase ha ancora meno senso di prima, e vengono ancor di più fuori le incongruenze tra quello che dici
-"li contatterà", plurale, quando il garante da contattare è uno
-Si, gli invia esattamente un messaggio al garante, è quello che devono fare per legge.
Dulcis in fundo, su PrivacySpy, di cui parlavamo in origine, si parlava di utenti, perché sei passato improvvisamente al garante?
Ti piacciono i minestroni?
Vuoi un consiglio? Tagliamola qui, perché così io evito di perdere tempo inutile a risponderti e tu ti risparmi l'inutile arrampicata sugli specchi in cui ti stai ficcando.
Semplicemente io non ho errori da ammettere perché, a differenza tua, mi informo adeguatamente e non dico nulla senza averlo verificato approfonditamente ed esserne certo.
Saluti.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".