FireTalks
Надыбал любопытную програмку для быстрого анонимного общения – FireTalk: https://firetalks.com/
С одной стороны, привлекает принцип работы: поговорили – разбежались – концы в воду. По крайней мере, так декларируется. Плюс еще открытый код.
С другой – никаких авторов, никакого развития, бездарная сборка, в которой нет ни описания (файл Readme обозначен, но он равен 0), ни малейших намеков на системные требования и процедуру инсталляции.
Но с третьей – на главной странице выложены аж 3 кошелька Webmoney (указывает на славянское происхождение) – типа "Желающие могут отблагодарить творцов гениального продукта!".
В-общем, по этим косвенным признакам тотального пофигизма и безответственности "продукт" не внушает никакого доверия, хотя в Интернете встречается множество его хвалебных описаний. Кстати, тоже без намека на установку и реальное использование.
Что скажут знатоки об этой программе?
При открытии https://firetalks.com у меня идёт переадресация на http. Дальше не
читалсмотрел.Всех означенных недостатков лишён https://crypto.cat.
Sattva, а чем криптокошка лучше торчата?
Некорректный вопрос. Для сравнений нужны какие-то критерии. Проекты слишком разные, но cryptocat предпочтительнее по крайней мере из-за формально обоснованной архитектуры.
А доверять этому Crypto.cat примерно так, как мы доверяем Tor, можно?
Понятно, что задачи у них разнятся, и тем не менее.
В смысле аутентичности софта? В новой версии можно — клиент представляет собой браузерное расширение, а не эфемерный джаваскрипт, закачиваемый с центрального сервера, за что cryptocat критиковали.
Не только, еще в смысле общей информационной безопасности при использовании этого Crypto.cat.
А еще этот Crypto.cat несколько сложноват для использования, т.к. надо генерировать ключи, что для неподготовленных пользователей не слишком понятно.
мне кажется вы слишком преувеличиваете. нет там никаких сложностей. нужно знать только название разговора и ввести свое имя. ключ генерируется без участия пользователя.
Выше:
малость не в тему, но чтбы не плодить новые, как вам вот это для приватного общения? http://fastzone.net/
понравилось что не надо ничего генерить
никак. это просто защищенный канал для общения, как заявлено, через SSL. снова вся магия происходит на бэйз-сервера, о которой ничего не известно.
а SSL это слабо?
нет, дело не в SSL, а в том что мы не знаем что делает сервер с нашими сообщениями. SSL же просто шифрует канал ДО сервера и от. А что там дальше – уже не известно. SSL больше про аутентификацию сервера, а уже потом шифрование канала, НО не сообщений между пользователями. Простой пример – ВК использует SSL, но это не помешает владельцу прочесть вашу переписку с "друзьями" или злоумышленнику, взломавшего ваш аккаунт.
куда катится ресурс, коли такие вещи столь серьёзно обсуждаются :)
Почитал FAQ, чтото в этом таки есть – создать "ssl-песочницу для своих", т.е. тех участников, которые априори доверяют друг другу, включая админа сервера, и хотят переписыватся – почему бы и нет?
Там в faq[link1] есть ссылка на интересную статью[link2] в духе ещё одного ответа «мне нечего скрывать». Кажется, на pgpru она ещё не упоминалась.
Они пишут о том, что почтовые гиганты только тем и занимаются, что прослушкой, и для этого были созданы, но есть и аргумент против: на крупных площадках есть какой-никакой регламент для доступа к базе данных, сами площадки обязаны соблюдать законы и отчитываться перед пользователями, случись что. Маленький же сайт, созданных «для своих» никому и ничем не обязан, пользователей там может быть немного, и каждый из пользователей может быть прослушан администрацией хотя бы на уровне «создать примерное досьё». Не нужно читать всю переписку, достаточно её грепнуть по ключевым словам. Думаю, есть и автоматические программы, которые классифицируют пользователей по их интересам в зависимости от упоминания ключевых слов.
С точки зрения законодательства США (что можно с некоторыми поправками перенести на законоприменительные реалии разных стран) выводы такие[link3]:
Другое дело, как действовать, если принимать в модель угрозы противников такого уровня, защита законом от которых малоэффективна.
Tor и PGP решают большую часть задач, поэтому проблема не в этом, проблема в другом: как действовать, если большая часть адресатов ничего не слышала, не знает и не хочет слышать о шифровании и анонимности, не хочет ставить дополнительные программы или же попросту не использует их, а использует другие каналы связи (Зачем мне джаббер, если у меня все абоненты в Skype? Запускать джаббер каждый раз только ради тебя одного?). Как я понимаю, обсуждаемые в этой ветке проекты как раз пытаются решить эту задачу.
Если человек не понимает или не видит потребности защищать какие-то данные, то использование сколь угодно удобных средств канального шифрования не решит проблему общего плана — как была его машина проходным двором, а язык помелом, так и останутся. Не доверяйте секретов таким людям.
Да, с этим трудно не согласиться. Однако, даже если не сообщать никаких критичных данных по открытому каналу, всё равно невольно хоть что-то, да сообщаешь. И этот минимум, хоть он и не такой секретный, лучше бы шифровать, а не слать в открытую, если есть выбор.
Люди не злонамеренны, они просто не знают матчасти, не имеют много свободного времени, и у них нет гуру под рукой. Если им объяснить, как сделать то-то и то-то, что делается парой кликов — это одно, а вот установить их руками jabber и подключить PGP — это уже другое. Т.е. установить gnupg, запомнить путь, прописать в переменных винды, сгенерировать ключи, импортировать ключи собеседника, указать ключи в psi — это всё очень много действий и много часов работы для неподготовленного обывателя. В среднем на полную настройку чужими руками уходит несколько часов, что непростительно много. Вот поэтому юзеры и чураются всего этого, ведь многие вещи могли бы быть сделаны намного проще и не требовать лишних телодвижений от пользователя (к примеру, в Linux с этим куда проще).
Ну, и по поводу я бы не был столь категоричным. Расскажу два примера из реальной жизни.
- Человек пользуется tkabber. PGP-ключ для jabber'а у него давно протух. Пишу ему: как же так, обнови. Обновляет, всё равно не работает. В чём проблема? Говорит, что после обновления отвалились костыли к tkabber'у, отвечающие за поддержку PGP. Мессенджер ради меня одного никто менять не будет, тем более, если переписываемся не часто. Я ему такой говорю: ты же гуру, продвинутый Linux'оид, содержишь сайты по безопасности, а с собственным джаббером такая фигня, ну как так? Неужели поддержка PGP в IM — это не feature уровня must have? Я, например, сразу отсекаю все IM, где PGP нативно не поддерживается, сколь хороши они бы в другом ни были.
- Человек пользуется bittlebee. PGP оно не умеет. OTR — только через плагины и пляски. Ну, хорошо, человек пропялсал, настроил OTR, только вот в оффлайн ничего не напишешь. Вот привык он к bittlebee, и всё на том, ни шагу ни назад, ни вперёд. И бесполезно объяснять, что есть такие фичи, без которых IM не имеет особого смысла.
Если кто-то здесь узнал себя, прошу считать совпадение чистой случайностью. :):D Point taken.