FireTalks


Надыбал любопытную програмку для быстрого анонимного общения – FireTalk: https://firetalks.com/

С одной стороны, привлекает принцип работы: поговорили – разбежались – концы в воду. По крайней мере, так декларируется. Плюс еще открытый код.
С другой – никаких авторов, никакого развития, бездарная сборка, в которой нет ни описания (файл Readme обозначен, но он равен 0), ни малейших намеков на системные требования и процедуру инсталляции.
Но с третьей – на главной странице выложены аж 3 кошелька Webmoney (указывает на славянское происхождение) – типа "Желающие могут отблагодарить творцов гениального продукта!".

В-общем, по этим косвенным признакам тотального пофигизма и безответственности "продукт" не внушает никакого доверия, хотя в Интернете встречается множество его хвалебных описаний. Кстати, тоже без намека на установку и реальное использование.

Что скажут знатоки об этой программе?

Комментарии
— SATtva (12/01/2013 09:49)   
При открытии https://firetalks.com у меня идёт переадресация на http. Дальше не читалсмотрел.

Всех означенных недостатков лишён https://crypto.cat.
Гость (12/01/2013 19:46)   
Sattva, а чем криптокошка лучше торчата?
— SATtva (12/01/2013 23:18)   
Некорректный вопрос. Для сравнений нужны какие-то критерии. Проекты слишком разные, но cryptocat предпочтительнее по крайней мере из-за формально обоснованной архитектуры.
Гость (13/01/2013 02:40)   
А доверять этому Crypto.cat примерно так, как мы доверяем Tor, можно?
Понятно, что задачи у них разнятся, и тем не менее.
— SATtva (13/01/2013 09:06)   
В смысле аутентичности софта? В новой версии можно — клиент представляет собой браузерное расширение, а не эфемерный джаваскрипт, закачиваемый с центрального сервера, за что cryptocat критиковали.
Гость (13/01/2013 19:39)   
В смысле аутентичности софта?

Не только, еще в смысле общей информационной безопасности при использовании этого Crypto.cat.

А еще этот Crypto.cat несколько сложноват для использования, т.к. надо генерировать ключи, что для неподготовленных пользователей не слишком понятно.
Гость (13/01/2013 22:53)   
т.к. надо генерировать ключи, что для неподготовленных пользователей не слишком понятно.
мне кажется вы слишком преувеличиваете. нет там никаких сложностей. нужно знать только название разговора и ввести свое имя. ключ генерируется без участия пользователя.
— SATtva (14/01/2013 00:07, исправлен 14/01/2013 00:08)   
В смысле аутентичности софта?

Не только, еще в смысле общей информационной безопасности при использовании этого Crypto.cat.

Выше:

cryptocat предпочтительнее по крайней мере из-за формально обоснованной архитектуры.
Гость (22/01/2013 21:21)   
малость не в тему, но чтбы не плодить новые, как вам вот это для приватного общения? http://fastzone.net/
понравилось что не надо ничего генерить
— ierixon (22/01/2013 21:39)   
Гость (22/01/2013 21:21)
малость не в тему, но чтбы не плодить новые, как вам вот это для приватного общения?

никак. это просто защищенный канал для общения, как заявлено, через SSL. снова вся магия происходит на бэйз-сервера, о которой ничего не известно.
Гость (22/01/2013 22:47)   
а SSL это слабо?
— ierixon (22/01/2013 22:55)   
нет, дело не в SSL, а в том что мы не знаем что делает сервер с нашими сообщениями. SSL же просто шифрует канал ДО сервера и от. А что там дальше – уже не известно. SSL больше про аутентификацию сервера, а уже потом шифрование канала, НО не сообщений между пользователями. Простой пример – ВК использует SSL, но это не помешает владельцу прочесть вашу переписку с "друзьями" или злоумышленнику, взломавшего ваш аккаунт.
Гость (22/01/2013 23:56)   
куда катится ресурс, коли такие вещи столь серьёзно обсуждаются :)
Гость (23/01/2013 15:25)   
Почитал FAQ, чтото в этом таки есть – создать "ssl-песочницу для своих", т.е. тех участников, которые априори доверяют друг другу, включая админа сервера, и хотят переписыватся – почему бы и нет?
Гость (26/01/2013 21:37)   
чтбы не плодить новые, как вам вот это для приватного общения? http://fastzone.net/

Там в faq[link1] есть ссылка на интересную статью[link2] в духе ещё одного ответа «мне нечего скрывать». Кажется, на pgpru она ещё не упоминалась.

создать "ssl-песочницу для своих", т.е. тех участников, которые априори доверяют друг другу, включая админа сервера, и хотят переписыватся – почему бы и нет?

Они пишут о том, что почтовые гиганты только тем и занимаются, что прослушкой, и для этого были созданы, но есть и аргумент против: на крупных площадках есть какой-никакой регламент для доступа к базе данных, сами площадки обязаны соблюдать законы и отчитываться перед пользователями, случись что. Маленький же сайт, созданных «для своих» никому и ничем не обязан, пользователей там может быть немного, и каждый из пользователей может быть прослушан администрацией хотя бы на уровне «создать примерное досьё». Не нужно читать всю переписку, достаточно её грепнуть по ключевым словам. Думаю, есть и автоматические программы, которые классифицируют пользователей по их интересам в зависимости от упоминания ключевых слов.
— unknown (26/01/2013 22:40)   
С точки зрения законодательства США (что можно с некоторыми поправками перенести на законоприменительные реалии разных стран) выводы такие[link3]:

Не позволяйте какому-нибудь другу с собственным почтовым сервером в домашнем подвале поддерживать ваш почтовый ящик, если только он не пользуется вашим безоговорочным доверием — в отличие от обычного интернет-провайдера или публично доступной почтовой службы, нет никаких правовых ограничений на то, с кем ваш друг может делиться вашей почтой.


Другое дело, как действовать, если принимать в модель угрозы противников такого уровня, защита законом от которых малоэффективна.
Гость (27/01/2013 04:27)   
как действовать, если принимать в модель угрозы противников такого уровня, защита законом от которых малоэффективна.

Tor и PGP решают большую часть задач, поэтому проблема не в этом, проблема в другом: как действовать, если большая часть адресатов ничего не слышала, не знает и не хочет слышать о шифровании и анонимности, не хочет ставить дополнительные программы или же попросту не использует их, а использует другие каналы связи (Зачем мне джаббер, если у меня все абоненты в Skype? Запускать джаббер каждый раз только ради тебя одного?). Как я понимаю, обсуждаемые в этой ветке проекты как раз пытаются решить эту задачу.
— SATtva (27/01/2013 10:50, исправлен 27/01/2013 10:51)   

Если человек не понимает или не видит потребности защищать какие-то данные, то использование сколь угодно удобных средств канального шифрования не решит проблему общего плана — как была его машина проходным двором, а язык помелом, так и останутся. Не доверяйте секретов таким людям.

Гость (28/01/2013 01:39)   
Да, с этим трудно не согласиться. Однако, даже если не сообщать никаких критичных данных по открытому каналу, всё равно невольно хоть что-то, да сообщаешь. И этот минимум, хоть он и не такой секретный, лучше бы шифровать, а не слать в открытую, если есть выбор.

Люди не злонамеренны, они просто не знают матчасти, не имеют много свободного времени, и у них нет гуру под рукой. Если им объяснить, как сделать то-то и то-то, что делается парой кликов — это одно, а вот установить их руками jabber и подключить PGP — это уже другое. Т.е. установить gnupg, запомнить путь, прописать в переменных винды, сгенерировать ключи, импортировать ключи собеседника, указать ключи в psi — это всё очень много действий и много часов работы для неподготовленного обывателя. В среднем на полную настройку чужими руками уходит несколько часов, что непростительно много. Вот поэтому юзеры и чураются всего этого, ведь многие вещи могли бы быть сделаны намного проще и не требовать лишних телодвижений от пользователя (к примеру, в Linux с этим куда проще).

Ну, и по поводу
Если человек не понимает или не видит потребности защищать какие-то данные, то использование сколь угодно удобных средств канального шифрования не решит проблему общего плана
я бы не был столь категоричным. Расскажу два примера из реальной жизни.
  1. Человек пользуется tkabber. PGP-ключ для jabber'а у него давно протух. Пишу ему: как же так, обнови. Обновляет, всё равно не работает. В чём проблема? Говорит, что после обновления отвалились костыли к tkabber'у, отвечающие за поддержку PGP. Мессенджер ради меня одного никто менять не будет, тем более, если переписываемся не часто. Я ему такой говорю: ты же гуру, продвинутый Linux'оид, содержишь сайты по безопасности, а с собственным джаббером такая фигня, ну как так? Неужели поддержка PGP в IM — это не feature уровня must have? Я, например, сразу отсекаю все IM, где PGP нативно не поддерживается, сколь хороши они бы в другом ни были.
  2. Человек пользуется bittlebee. PGP оно не умеет. OTR — только через плагины и пляски. Ну, хорошо, человек пропялсал, настроил OTR, только вот в оффлайн ничего не напишешь. Вот привык он к bittlebee, и всё на том, ни шагу ни назад, ни вперёд. И бесполезно объяснять, что есть такие фичи, без которых IM не имеет особого смысла.
Если кто-то здесь узнал себя, прошу считать совпадение чистой случайностью. :)
— SATtva (28/01/2013 08:56)   
:D Point taken.

Ссылки
[link1] https://fastzone.net/node/4

[link2] http://sergeytroshin.ru/articles/internet-privacy/

[link3] https://www.pgpru.com/biblioteka/osnovy/ssd/dannyeutretjihlic/gosudarstvo/zaschischennajainformacija