Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie
>> То, что ваше приложение можно считать безопасным вы должны доказать
Друг, ты здоров?
С каких это пор надо доказывать, что ты не розовый пони с Альдарана?
Доказывать должен тот, кто делает заявление, противоречащее наблюдению.
В нашем случае, бремя доказательства лежит на том, кто считает телегу небезопасной.
Взломай и покажи всем, что она небезопасная.
С тем же фейсбуком это проделывали минимум трижды и теперь да, уже им надо доказывать, что они безопасны, ибо наблюдаемая реальность подсказывает нам обратное.
А м телеграммом пока ровно наоборот.
Ведите себя вежливо. Я с вами достаточно вежлив и не грублю, не правда ли?
Вам ответили чуть ранее. Здесь дополню. Даже из Вики.
Telegram's security model has received notable criticism by cryptography experts. They criticized how the general security model permanently stores all contacts, messages and media together with their decryption keys on its servers by default and that it does not enable end-to-end encryption for messages by default. Cryptography experts have furthermore criticized Telegram's use of a custom-designed encryption protocol that has not been proven reliable and secure.
Ссылок много, даже в той же Википедии.
Всмысле? Разработчик телеграм утверждает, что его менеджер секьюрный, ему это и доказывать.
«On 9 June 2019, The Intercept released leaked Telegram messages exchanged between current Brazilian Minister of Justice and former judge Sérgio Moro and federal prosecutors.»
«On 2 August 2016, Reuters reported that Iranian hackers compromised more than a dozen Telegram accounts and identified the phone numbers of 15 million Iranian users, as well as the associated user IDs.»
+ 2019 Puerto Rico «Telegramgate»
Ну и ещё есть, если почитаете. На постсоветском особенно.
Протокол MTProto используется свой, написанный самостоятельно, а не надежный и проверенный, как принято в криптографии. Протокол был раскритикован в пух и прах в первых версиях.
см. https://eprint.iacr.org/2015/1177.pdf
https://courses.csail.mit.edu/6.857/2017/project/19.pdf
И аудита независимого нормального в последней версии (2.0) не проходил. В секретных чатах (где якобы end-to-end) предпросмотр гиперссылок выводил предупреждения, что будут задействоваться сервера Телеграма.
(см. https://securechatguide.org/images/telegram_link_preview.png)
Не говоря о том, что телеграм ранее критиковали за незашифрованные файлы на диске, что логаут из секретного чата сохранял фото, загруженные в секретном чате, на диске.
«Telegram stores regular cloud chats encrypted on their servers but they control all the encryption keys. All your contacts' phone numbers and names are stored on their servers. Android leaks files: found photos in Local Storage/Device Storage/Android/data/org.telegram.messenger. When you log out of Telegram it says that it will kill all your secret chats, however the photos remain saved on the device.»
Второе, уведомление о смене кода безопасности в Телеграм есть? Интересно, добавили ли…
Конечно. Пусть присылает исследователям по информационной безопасности. И пусть откроет серверный код. И перестанет собирать пользовательские метаданные и хранить их у себя до 12 месяцев. В том числе пользовательские ip.
И пусть заполнит transparency reports. А то до сих пор пустой. И пусть расскажет как борется с ботами-пробивщиками данных.
Бред. Презумпция невиновности хорошо работает в судопроизводстве, но в информационной безопасности действует ровно обратное: приложение считается небезопасным, пока не доказано обратное. Иначе любое мусорое приложение или написанное на коленке можно считать безопасным.
Пффф, это не доказательство, а пустые слова. Конспирологические теории о связях с ЦРУ и сливах данных им нужно чем-то подкреплять. Факты? Источник, данные которого подтверждены и который можно перепроверить?
Ну и факты слива данных спецслужбам официально, плиз.
Пруфы? Или жёлтая пресса и городские легенды? Кто такие наследники ЦРУ? И почему наследники?
И ещё момент. Причем тут от кого претензии. Если асфальт дырявый или криво уложен, вам не нужно обязательно быть дорожным рабочим, занимающимся укладкой асфальта, чтобы об этом сказать.
Снова верьте нам на слово. В информационной безопасности это так не работает. То, что ваше приложение можно считать безопасным вы должны доказать. А не наоборот.
Сообщения групповых чатов и обычных чатов хранятся на серверах? Хранятся. Я уже не говорю, что серверный код закрыт и т.д, ладно… Но если хранятся у них, а не у пользователей, то мы не знаем точно, что владелец данных далее с ними делает, передаст ли кому-то, в каком виде хранится, анализирует ли. Остаётся верить голым популистским заявлениям на слово. А это уже религия.
Факты есть. Но кидать нет желания в публичный форум. В информационной безопасности не действует презумпция невиновности. Наоборот, приложение считается небезопасным пока недоказано обратное. Вся вера в безопасность телеграм основана лишь на вере, не более.
То есть, вам или разработчикам доказывать, не мне.
На DW есть статья про сроки за подписку на каналы, гляньте.
Perfect forward secrecy не завезли. Критикуют, что нет transparency reports… что ребята очень непубличны в обсуждении безопасности с журналистами/ответах на запросы.
Плюс
«Telegram's security model has received notable criticism by cryptography experts. They criticized how the general security model permanently stores all contacts, messages and media together with their decryption keys on its servers by default and that it does not enable end-to-end encryption for messages by default.»
Не говорю сколько раз его взламывали. См. Вики eng.
Ну и Дуров очень мутная личность с мутной биографией. Фамилия красноречивая.
Криптопротокол, где самый открытый сервер участвует в генерации закрытых ключей пользователей в том числе в секретных чатах. Жаль, что в других проверенных временем и экспертами криптопротоколах нет такой отеческой заботы о пользователях...
Как и хранение сообщений в телеграмме по-отечески в облачке. Заходи и читай сообщения сколько хочешь. И делай что хочешь с этими данными. Учитывая, что у телеграмма вся ваша записная книжка на сервере, IP, очень легко выстроить социальный граф.
Как раз Раша Тудэ Телеграм и продвигает. И вон высокие чины тоже.
С точки зрения секьюрити сплошной ужас: нет end-end по умолчанию. Секретные чаты (почему с издёвкой «секретные» называются кстати? Это стандартные должны быть) неудобно искать в меню, включать, а потом еще раз подтверждать.
Протокол MTProto используется свой, написанный самостоятельно, а не надежный и проверенный, как принято в криптографии. Протокол был раскритикован в пух и прах в первых версиях.
см. https://eprint.iacr.org/2015/1177.pdf
https://courses.csail.mit.edu/6.857/2017/project/19.pdf
И аудита независимого нормального в последней версии (2.0) не проходил. В секретных чатах (где якобы end-to-end) предпросмотр гиперссылок выводил предупреждения, что будут задействоваться сервера Телеграма.
(см. https://securechatguide.org/images/telegram_link_preview.png)
Не говоря о том, что телеграм ранее критиковали за незашифрованные файлы на диске, что логаут из секретного чата сохранял фото, загруженные в секретном чате, на диске.
«Telegram stores regular cloud chats encrypted on their servers but they control all the encryption keys. All your contacts' phone numbers and names are stored on their servers. Android leaks files: found photos in Local Storage/Device Storage/Android/data/org.telegram.messenger. When you log out of Telegram it says that it will kill all your secret chats, however the photos remain saved on the device.»
Второе, уведомление о смене кода безопасности в Телеграм есть? Интересно, добавили ли...
Боты-деаномизаторы есть и базы «пробива». Это что такое вообще?
Здесь речь про политику конфиденциальности и политику хранения пользовательских данных. А она у разных приложений может отличаться. Как и протоколы работы. Также может быть централизованная и децентрализованная система. Сообщения могут храниться на центральном сервере и на локальных устройствах в зависимости от реализации. А может и там, и там. Может быть разный алгоритм обмена ключами. Много может быть отличий.
Именно в плане конфиденциальности и приватности Телеграм плох. Это подтверждают базы пробива пользовательских данных с телефонами, закрытый серверный код, очень слабые настройки безопасности по дефолту, отсутствие end-to-end по умолчанию и невозможность применения его для групповых чатов. В основном переписка в ТГ идёт в облако, а это проблема с точки зрения privacy.
Связан не прямо, а относительно. Смотреть надо не на слова, а на дела Паши. Громче всех кричит про приватность и применяет грязный пиар в отношении конкурентов, а у самого мессенджер в плане security и конфиденциальности весьма слаб.
«Также Дуров добавил, что WhatsApp делится пользовательскими данными с рекламодателями. »
А сотрудники Телеграм имеют доступ к сообщениям, так как чаты, хранятся в облаке. И trasparency reports у телеграмм до сих пор пустой… Как так? https://t.me/transparency
Ответ 115601979532126081498@google на комментарий
Ведите себя вежливо. Я с вами достаточно вежлив и не грублю, не правда ли?
Вам ответили чуть ранее. Здесь дополню. Даже из Вики.
Telegram's security model has received notable criticism by cryptography experts. They criticized how the general security model permanently stores all contacts, messages and media together with their decryption keys on its servers by default and that it does not enable end-to-end encryption for messages by default. Cryptography experts have furthermore criticized Telegram's use of a custom-designed encryption protocol that has not been proven reliable and secure.
Ссылок много, даже в той же Википедии.
И расскажите, внедрили ли PFS.
«On 9 June 2019, The Intercept released leaked Telegram messages exchanged between current Brazilian Minister of Justice and former judge Sérgio Moro and federal prosecutors.»
«On 2 August 2016, Reuters reported that Iranian hackers compromised more than a dozen Telegram accounts and identified the phone numbers of 15 million Iranian users, as well as the associated user IDs.»
+ 2019 Puerto Rico «Telegramgate»
Ну и ещё есть, если почитаете. На постсоветском особенно.
Протокол MTProto используется свой, написанный самостоятельно, а не надежный и проверенный, как принято в криптографии. Протокол был раскритикован в пух и прах в первых версиях.
см. https://eprint.iacr.org/2015/1177.pdf
https://courses.csail.mit.edu/6.857/2017/project/19.pdf
И аудита независимого нормального в последней версии (2.0) не проходил. В секретных чатах (где якобы end-to-end) предпросмотр гиперссылок выводил предупреждения, что будут задействоваться сервера Телеграма.
(см. https://securechatguide.org/images/telegram_link_preview.png)
Не говоря о том, что телеграм ранее критиковали за незашифрованные файлы на диске, что логаут из секретного чата сохранял фото, загруженные в секретном чате, на диске.
«Telegram stores regular cloud chats encrypted on their servers but they control all the encryption keys. All your contacts' phone numbers and names are stored on their servers. Android leaks files: found photos in Local Storage/Device Storage/Android/data/org.telegram.messenger. When you log out of Telegram it says that it will kill all your secret chats, however the photos remain saved on the device.»
Второе, уведомление о смене кода безопасности в Телеграм есть? Интересно, добавили ли…
И пусть заполнит transparency reports. А то до сих пор пустой. И пусть расскажет как борется с ботами-пробивщиками данных.
Ну и факты слива данных спецслужбам официально, плиз.
И ещё момент. Причем тут от кого претензии. Если асфальт дырявый или криво уложен, вам не нужно обязательно быть дорожным рабочим, занимающимся укладкой асфальта, чтобы об этом сказать.
Сообщения групповых чатов и обычных чатов хранятся на серверах? Хранятся. Я уже не говорю, что серверный код закрыт и т.д, ладно… Но если хранятся у них, а не у пользователей, то мы не знаем точно, что владелец данных далее с ними делает, передаст ли кому-то, в каком виде хранится, анализирует ли. Остаётся верить голым популистским заявлениям на слово. А это уже религия.
То есть, вам или разработчикам доказывать, не мне.
На DW есть статья про сроки за подписку на каналы, гляньте.
Плюс
«Telegram's security model has received notable criticism by cryptography experts. They criticized how the general security model permanently stores all contacts, messages and media together with their decryption keys on its servers by default and that it does not enable end-to-end encryption for messages by default.»
Не говорю сколько раз его взламывали. См. Вики eng.
Ну и Дуров очень мутная личность с мутной биографией. Фамилия красноречивая.
Как и хранение сообщений в телеграмме по-отечески в облачке. Заходи и читай сообщения сколько хочешь. И делай что хочешь с этими данными. Учитывая, что у телеграмма вся ваша записная книжка на сервере, IP, очень легко выстроить социальный граф.
С точки зрения секьюрити сплошной ужас: нет end-end по умолчанию. Секретные чаты (почему с издёвкой «секретные» называются кстати? Это стандартные должны быть) неудобно искать в меню, включать, а потом еще раз подтверждать.
Протокол MTProto используется свой, написанный самостоятельно, а не надежный и проверенный, как принято в криптографии. Протокол был раскритикован в пух и прах в первых версиях.
см. https://eprint.iacr.org/2015/1177.pdf
https://courses.csail.mit.edu/6.857/2017/project/19.pdf
И аудита независимого нормального в последней версии (2.0) не проходил. В секретных чатах (где якобы end-to-end) предпросмотр гиперссылок выводил предупреждения, что будут задействоваться сервера Телеграма.
(см. https://securechatguide.org/images/telegram_link_preview.png)
Не говоря о том, что телеграм ранее критиковали за незашифрованные файлы на диске, что логаут из секретного чата сохранял фото, загруженные в секретном чате, на диске.
«Telegram stores regular cloud chats encrypted on their servers but they control all the encryption keys. All your contacts' phone numbers and names are stored on their servers. Android leaks files: found photos in Local Storage/Device Storage/Android/data/org.telegram.messenger. When you log out of Telegram it says that it will kill all your secret chats, however the photos remain saved on the device.»
Второе, уведомление о смене кода безопасности в Телеграм есть? Интересно, добавили ли...
Боты-деаномизаторы есть и базы «пробива». Это что такое вообще?
Именно в плане конфиденциальности и приватности Телеграм плох. Это подтверждают базы пробива пользовательских данных с телефонами, закрытый серверный код, очень слабые настройки безопасности по дефолту, отсутствие end-to-end по умолчанию и невозможность применения его для групповых чатов. В основном переписка в ТГ идёт в облако, а это проблема с точки зрения privacy.
А сотрудники Телеграм имеют доступ к сообщениям, так как чаты, хранятся в облаке. И trasparency reports у телеграмм до сих пор пустой… Как так? https://t.me/transparency