Email or username:

Password:

Forgot your password?
Umnik's posts Post Back to profile
Umnik

Почему некоторые указывают на то, что закрыт код сервера при открытом коде клиента и считают это недостатком? При честном оконечном шифровании с обменом ключами по второму каналу сервер может хоть весь трафик сливать напрямую майору.

Шифр, длина ключа, способ его хранения - всё проверяется на клиенте. Если в клиенте всё в порядке, все требования выполнены, сервер не играет никакого значения в плане безопасности.

@rf

8 Jan 2021 at 9:03 | Open on lor.sh
22 comments
Шуро
@rf @umnik Потому что это обычно автоматически означает централизованную закрытую систему, которая может в любой момент закрыться, начать блокировать какую-нибудь страну или конкретно тебя и так далее.

Ну и вообще, раз скрывают - значит, есть что. Может, там сервер занимается сбором и аналитикой метаданных (открытый код, конечно, ни разу не гарантия чего-то, но всё же).
8 Jan 2021 at 9:23 | Open on friends.deko.cloud
Vovanium
@shuro @rf @umnik Наличие исходников сервера ничего не гарантирует, пока невозможно доказать, что именно они работают на сервере, причём без изменений.
Единственное, что это даёт — поднять аналогичный сервер.
8 Jan 2021 at 10:08 | Open on nerdica.net
Шуро
@rf @umnik @vovanium Это единственное - довольно-таки неслабое преимущество.

Ну и вообще это позволяет оценить саму платформу. Например, если по коду ясно, что решение очень ресурсоёмкое и нужно быть Гуглом, чтобы её поддерживать - возникают вопросы о монетизации. Или там могут быть какие-то дыры, которые замалчиваются или не обнаружены. Или какое-то явно слабое место, позволяющее легко вывести систему из строя целиком или для конкретных абонентов.
@rf @umnik @vovanium Это единственное - довольно-таки неслабое преимущество.

Ну и вообще это позволяет оценить саму платформу. Например, если по коду ясно, что решение очень ресурсоёмкое и нужно быть Гуглом, чтобы её поддерживать - возникают вопросы о монетизации. Или там могут быть какие-то дыры, которые замалчиваются или не обнаружены. Или какое-то явно слабое место, позволяющее легко вывести систему...
8 Jan 2021 at 11:10 | Open on friends.deko.cloud
Vovanium
@shuro @rf @umnik
Оценка платформы это по большому счёту спекуляции, предположения. На этом не построишь доказательство каких-то действий компании.
Вот конкретные дыры или, например, слив данных — это можно увидеть в исходниках, но с другой стороны, компания может и скрыть эти места, модифицировав исходники или какими-то внешними средствами.
В сухом остатке у нас только поиски случайных проколов и предположения. Не так уж и много.
@shuro @rf @umnik
Оценка платформы это по большому счёту спекуляции, предположения. На этом не построишь доказательство каких-то действий компании.
Вот конкретные дыры или, например, слив данных — это можно увидеть в исходниках, но с другой стороны, компания может и скрыть эти места, модифицировав исходники или какими-то внешними средствами.
8 Jan 2021 at 15:15 | Open on nerdica.net
Шуро
@rf @umnik @vovanium Чтобы скрыть - надо о них знать. Если это именно дыра, то обычно нет смысла знать о ней, но скрывать, если можно закрыть её.
8 Jan 2021 at 15:27 | Open on friends.deko.cloud
Vovanium
@shuro @rf @umnik Намеренная дыра это бэкдор. Может использоваться, например, для расшифровки переписки третьими лицами. Но я как раз и о том, что подобные вещи ты в исходниках не увидишь, если компания не настолько глупа, чтобы ими светить.
8 Jan 2021 at 15:49 | Open on nerdica.net
Шуро
@rf @umnik @vovanium Она не обязательно намеренная.
8 Jan 2021 at 15:51 | Open on friends.deko.cloud
Vovanium
@shuro @rf @umnik Про ненамеренные дыры ты сам всё написал. Их действительно нет смысла скрывать.
8 Jan 2021 at 16:13 | Open on nerdica.net
Шуро
@rf @umnik @vovanium Соответственно, закрывать код особого смысла нет :)
8 Jan 2021 at 16:27 | Open on friends.deko.cloud
Umnik

@vovanium
Нет. Ты про централизацию и децентрализацию. А вопрос был в ином. Можно ли знать, что сервер технически не способен слить твою переписку без доступа к его исходникам? Да.
@shuro @rf

8 Jan 2021 at 12:40 | Open on lor.sh
Шуро
@rf @umnik @vovanium Так не обязательно речь про слив именно переписки.

Это самое критичное, но можно придумать много всякой нежелательной хрени, которая с этим прямо не связана.
8 Jan 2021 at 12:42 | Open on friends.deko.cloud
Umnik

@shuro
Нет, это другой вопрос. Ноют именно про сам факт закрытых исходников сервера и считают, что это означает "есть что скрывать", "закладки".

Централизация же одинаково себя проявляет вне зависимости от закрытости и открытости.
@rf

8 Jan 2021 at 12:35 | Open on lor.sh
Шуро
@rf @umnik Отчасти это так и есть, я же написал выше. Может, там дыра, которая позволит пробивать что-то по номеру телефона - статус онлайн, например. Или вообще айпи.
8 Jan 2021 at 12:39 | Open on friends.deko.cloud
Umnik

@shuro
Айпи все и так видят. Для этого не нужны исходники, ты абсолютно точно знаешь, что твой айпи серверу известен. И хостеру тоже. На этом Интернет работает.

Онлайн _примерно_ тоже известен и снова для этого не надо иметь исходники сервера. Это просто факт и нужно его принять. Если с сервером установилась сетевая сессия, то это онлайн. Если сессия разорвалась по таймауту - это оффлайн. Он/офф для сервера, имеется в виду.
@rf

8 Jan 2021 at 12:45 | Open on lor.sh
Шуро
@rf @umnik Ты не понял меня.

Предположим, Маша пользуется сервисом. Сервис собирает её техническую информацию - когда было последнее соединение и айпи, например. А ещё номер телефона и кому она последний раз писала. Это само по себе нормально.

У сервиса есть API. А в нём есть дыра. И третье лицо, используя её, может заставить сервис выплюнуть эту накопленную информацию о Маше. Это, конечно, не так страшно, как доступ к её переписке, но может быть достаточно для того, чтобы у неё были неприятности.

Если код будет открыт, эту дыру найдут раньше, а найдя - проверят, что патч её действительно закроет.
@rf @umnik Ты не понял меня.

Предположим, Маша пользуется сервисом. Сервис собирает её техническую информацию - когда было последнее соединение и айпи, например. А ещё номер телефона и кому она последний раз писала. Это само по себе нормально.
8 Jan 2021 at 12:59 | Open on friends.deko.cloud
Umnik

@shuro
Закрытый код не означает отсутствие аудита кода. Я не понимаю, почему это заблуждение тиражируется. У нас закрытый код, но аудит кода регулярен.
Понятное дело, что конкретный сервиса может не делать аудит внешний, т.к. это дорого и не рекламируемо. Но сами исходники тоже не гарантируют аудит. Весь ф-дроид открыт, но кому это помогает?
@rf

8 Jan 2021 at 18:28 | Open on lor.sh
Шуро
@rf @umnik Конечно нет, но открытый код повышает доверие. А если продукт популярный, то и аудит ему проводят разные заинтересованные лица :)

При этом - открытый код не отменяет возможности аудита внутреннего. Вывод всё тот же - раз закрывают, значит, есть что скрывать.
8 Jan 2021 at 19:40 | Open on friends.deko.cloud
Umnik

@shuro
Его не закрывают, а не открывают. Я написал несколько причин, почему открывать код сервера коммерческим организациям не выгодно. И в этом нет злого умысла и попытки скрыть общение с органами. Потому что если организация существует, то она подчиняется законам. Она сотрудничает с органами.

Если к тебе придут погоны на твой сервер и запросят все данные, ты их выдашь.
@rf

8 Jan 2021 at 20:06 | Open on lor.sh
Шуро
@rf @umnik Согласен с многим из того, что изложено тобой в длинном комментарии, но - это всё преимущества для самой организации. Для пользователя же - нет.

Т.е. условно говоря, если будет Whatsapp с закрытым кодом и примерно идентичный ему Wazzopp с открытым кодом, то последний будет иметь преимущество для пользователей. Но не для разработки.

А вообще, на мой взгляд, это имеет смысл обсуждать только в разрезе коммерческих систем, т.е. тех, которые пользователи лицензируют за деньги. Так как я стал абсолютно убеждён, что публичные системы обмена сообщениями должны быть в первую очередь децентрализованными, во вторую - свободными (хотя бы на уровне протокола и основных реализаций, как электронная почта). Всё остальное - рак и не нужно.
@rf @umnik Согласен с многим из того, что изложено тобой в длинном комментарии, но - это всё преимущества для самой организации. Для пользователя же - нет.

Т.е. условно говоря, если будет Whatsapp с закрытым кодом и примерно идентичный ему Wazzopp с открытым кодом, то последний будет иметь преимущество для пользователей. Но не для разработки.
8 Jan 2021 at 21:37 | Open on friends.deko.cloud
Umnik

@shuro

Так есть же тонна свободных решений. Где их популярность? У свободных решений нет ресурсов на популяризацию. Поверь, я бы сам с удовольствием пользовался исключительно свободными мессенджерами и удалил остальные.

Но ресурсы на популяризациют есть только у коммерческих. А раз так, то надо прикинуть, опасен или нет конкретный коммерческий продукт. Отсюда и открытость клиентов.

Итого, если мы точно знаем, что клиенты мессенджера Х написаны с соблюдением всех правил, то он пригоден. Мы можем им пользоваться и рекомендовать другим.

@rf

@shuro

Так есть же тонна свободных решений. Где их популярность? У свободных решений нет ресурсов на популяризацию. Поверь, я бы сам с удовольствием пользовался исключительно свободными мессенджерами и удалил остальные.

Но ресурсы на популяризациют есть только у коммерческих. А раз так, то надо прикинуть, опасен или нет конкретный коммерческий продукт. Отсюда и открытость клиентов.

8 Jan 2021 at 21:50 | Open on lor.sh
Шуро replied to Umnik
@rf @umnik Да, примерно так.
8 Jan 2021 at 21:55 | Open on friends.deko.cloud
Григорий Клюшников

Так и есть. Но раз речь, видимо, про телеграм, мне в нём не нравится использование номеров телефонов в качестве основных идентификаторов. Номер телефона тебе не принадлежит, он принадлежит оператору, и ещё и привязан к конкретной стране.

8 Jan 2021 at 9:27
Go Up