» »

Tudi Viber dobil šifriranje pogovorov

1
2
»

BlaY0 ::

OT: Zdaj rabimo samo še nekaj/nekoga da premakne IPv6 v začrtano smer...

poweroff ::

Hja, IPv6 se bo že premaknil, fino bi bilo, če bi dobili mandatory DNSsec, pa še kaj, kar bi otežilo MITM napade...
sudo poweroff

BlaY0 ::

DNSsec-a se praktično vsi večji ponudniki otepajo. DNS promet je v zadnjih dveh letih eksponentno zrasel...

poweroff ::

ja, ampak z DNSsecom bi zelo hitro rešili probleme MITM napadov, probleme SSL/TLS certifikatov, SPAMa,... Praktično v trenutku.
sudo poweroff

BlaY0 ::

Vem, ampak koliko je dejnasko recimo takih MITM napadov? Imaš kakšne statistike tega? Največji DNS _spamerji_ so v bistvu antivirusna/antispam podjetja, ki izkoriščajo DNS za svoje RBL implementacije...

Komplikacije z upravljanjem podpisanih domen bi bile precejšnje DNS promet pa bi se podeseteril če ne celo postoteril. Že zdaj ko ima folk večinoma nepodpisane, jim ni nič jasno, da bi jim pa vsilil še en layer, bi bila pa štala toliko večja. Folk ne ve še čisto točno kaj je to certifikat oziroma da je to nekaj kar moraš čuvat kot ključ od stanovanja. Ni še te percepcije. Pri enih ušivih pogovorih to ne igra neke vloge... pač _izgubiš_ ključ, izgubiš pogovore, pa kaj, narediš novega in četaš dalje.

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

AndrejO ::

poweroff je izjavil:

Tole je odličen trend. In po mojem mnenju v veliki meri posledica Schneierjevega poziva inženirjem. Seveda tukaj Schneier ni povedal ničesar novega, je samo jasno izrazil duh časa.


Duh časa morda, ampak inženirji pri tem niso imeli kaj veliko za opraviti. Potrošniki so spremenili svoje navade in industrija jim je sledila. Samo trajalo je nekaj časa, da je sprememba postala opazna. Če tega ne bi bilo, tudi sprememb ne bi bilo. Še vedno bi nekaj zanesenjakov ganjalo svoje derivate PGP-ja, potrošniki pa bi še vedno mirno živeli naprej tako.

BigWhale ::

matijadmin je izjavil:

BigWhale je izjavil:

PGP/GPG sta uporabna samo takrat, ko ga ima tudi prejemnik in svoj mail si kriptiral s prejemnikovim kljucem. Ne s svojim. :)


Pri WhatsAppu in Signalu je še vedno tako, šifriraš s ključem prejemnika sporočil. Kaj je to tako neobičajnega za asimetrično šifriranje?


Prav nic. Samo ne mores kar 'kriptirati svojih mailov'. Uporaba GPG/PGP je precej bolj komplicirana kot uporaba WhatsAppa ali Signala in Viberja. Pri slednjih ti program sam zgenerira kljuce in jih sam uporabi.

Uporabnike PGPja, ki jih jaz poznam pa lahko nastejem na prste ene roke. :)

matijadmin ::

BigWhale je izjavil:

matijadmin je izjavil:

BigWhale je izjavil:

PGP/GPG sta uporabna samo takrat, ko ga ima tudi prejemnik in svoj mail si kriptiral s prejemnikovim kljucem. Ne s svojim. :)


Pri WhatsAppu in Signalu je še vedno tako, šifriraš s ključem prejemnika sporočil. Kaj je to tako neobičajnega za asimetrično šifriranje?


Prav nic. Samo ne mores kar 'kriptirati svojih mailov'. Uporaba GPG/PGP je precej bolj komplicirana kot uporaba WhatsAppa ali Signala in Viberja. Pri slednjih ti program sam zgenerira kljuce in jih sam uporabi.

Uporabnike PGPja, ki jih jaz poznam pa lahko nastejem na prste ene roke. :)

To je sicer res, vendar prav ta enostavnost Viberja in WhatsAppa ali pa denimo Signala je kriva, da ti niso nič bolj varni od nešifrirane e-pošte! No, če smo iskreni, za spoznanje ... A kdo preverja prstne odtise javnih ključev sogovornikov? Poleg tega pa ne vemo, kakšno shemo ali pristop uporablja Viber. Za WhatsApp vemo, vendar je še vedno velik del kode popolnoma zaprt in pristrana kraja ključev pri viru ni tako nemogoča. Zato še vedno svetujem roke proč od Viberja in WhatsAppa in priporčam Signal, pri čemer je potrebno istovetnost sogovornika venomer preverjati, pri dopisovanju pa vsaj prvič. No, tudi jaz poznam samo za prste ene roke ljudi, ki to dejansko počnemo. :)

Saj se strinjam, da je med asimetričnim PFS zakon in se ga tudi sam poslužujem, sprva sem se ga na ChatSecure-ju, zdaj pa na Jitsiju in predvsem Signalu. Fino je, ker je Signal dostopen tudi kot desktop app (za Chrome app, ali če ga sam prevedeš kot standalone).
Vrnite nam techno!

BigWhale ::

Ok, ne mores rect, da sta Viber in WhatsApp s svojim sifriranjem tolk varna kot nekriptiran email. To je pretiravanje. Precejsnje. Stvar je dovolj dobra, da ti vsak smrkovc ali pa ZlobniDelodajalecTM ne more prebirat sporocil. In to je v osnovi dovolj dobro za slehernika.

Ce se pa bojis, da to bo vlada dihala za ovratnik, potem si bo pa treba kaj drugega omisliti, se strinjam.

ChatSecure je tako sranje, da grozn.

poweroff ::

AndrejO je izjavil:

Duh časa morda, ampak inženirji pri tem niso imeli kaj veliko za opraviti. Potrošniki so spremenili svoje navade in industrija jim je sledila. Samo trajalo je nekaj časa, da je sprememba postala opazna. Če tega ne bi bilo, tudi sprememb ne bi bilo. Še vedno bi nekaj zanesenjakov ganjalo svoje derivate PGP-ja, potrošniki pa bi še vedno mirno živeli naprej tako.

Hmm, to je tipično vprašanje ali je bila prej kura ali jajce.

Jaz kar malo dvomim, da so potrošniki tisti, ki izbirajo.

Če se nekdo od šefov v Facebooku/Viberju ne bi odločil da uporabnikom ponudi to opcijo, bi uporabniki še vedno uporabljali nezaščitene povezave. Večine ljudi zaščita komunikacij ne zanima, dokler se jim seveda osebno ne zgodi kaj hudega. Bodo pa zaščito seveda uporabljali, če jim jo prineseš na pladnju oz. vsiliš.

Koliko ljudi izbira svojo banko glede na varnost, ki jo banka nudi?
sudo poweroff

matijadmin ::

BigWhale je izjavil:

Ok, ne mores rect, da sta Viber in WhatsApp s svojim sifriranjem tolk varna kot nekriptiran email. To je pretiravanje. Precejsnje. Stvar je dovolj dobra, da ti vsak smrkovc ali pa ZlobniDelodajalecTM ne more prebirat sporocil. In to je v osnovi dovolj dobro za slehernika.

Ce se pa bojis, da to bo vlada dihala za ovratnik, potem si bo pa treba kaj drugega omisliti, se strinjam.

ChatSecure je tako sranje, da grozn.


Hja, pri zdravi pameti ne morem trditi niti, da sta WhatsApp in zlasti Viber kaj bolj varna kot nešifrirana e-pošta. Viber že zato ne, ker o šifriranju in implementaciji ne vemo praktično ničesar. In ob takem produktu gre ravnati kot, da gre za golo besedilo v etru, oprosti. WhatsApp pa ima mikaven okrasek (Moxijevo implemetacijo axolotla) okoli vagine (aplikacije same), ki ne vemo, kako zdrava je.

Se strinjam, da je pri ChatSecure samo OTR funkcionalnost fajn, pa še ta je vprašljivo implementirana. Zato sem raje za namizno rabo testiral Jitsi in Tox, na mobilnih pa ostaja Signal prva izbira.
Vrnite nam techno!

matijadmin ::

poweroff je izjavil:

AndrejO je izjavil:

Duh časa morda, ampak inženirji pri tem niso imeli kaj veliko za opraviti. Potrošniki so spremenili svoje navade in industrija jim je sledila. Samo trajalo je nekaj časa, da je sprememba postala opazna. Če tega ne bi bilo, tudi sprememb ne bi bilo. Še vedno bi nekaj zanesenjakov ganjalo svoje derivate PGP-ja, potrošniki pa bi še vedno mirno živeli naprej tako.

Hmm, to je tipično vprašanje ali je bila prej kura ali jajce.

Jaz kar malo dvomim, da so potrošniki tisti, ki izbirajo.

Če se nekdo od šefov v Facebooku/Viberju ne bi odločil da uporabnikom ponudi to opcijo, bi uporabniki še vedno uporabljali nezaščitene povezave. Večine ljudi zaščita komunikacij ne zanima, dokler se jim seveda osebno ne zgodi kaj hudega. Bodo pa zaščito seveda uporabljali, če jim jo prineseš na pladnju oz. vsiliš.

Koliko ljudi izbira svojo banko glede na varnost, ki jo banka nudi?

Dodal bi, da je tovrstno masovno zagotavljanje šifriranja v duhu časa, ki ga živimo, dobro izrabljena priložnost ali tržna niša, ki so jo največji ponudniki internetnih storitev izvohali in z njo pospešujejo rabo (ker neposredno o prodaji tu ne govorimo) svoje ponudbe. Ne smemo pozabiti; povpraševanje se da s pravimi prijemi pri potrošnikih tudi masovno ustvariti!
Vrnite nam techno!

Zgodovina sprememb…

kiFni ::

zanima me kakšne izkušnje imate z lociranjem pri viberju.
ali je možno da je napaka v lociranju, recimo 50km stran, kot pravi oseba kje se trenutno nahaja?
ali oseba laže, ker se ne zaveda da ima vklopljeno pošiljanje lokacije sogovorniku.

matijadmin ::

Te zadeve so zelo natančne, (na račun naše zasebnosti) še preveč. Načeloma je običajna napaka za podobne storitve največ nekaj deset metrov. Ni pa nikoli za izključiti 'neobičajne' napake, ki ni nemogoča in ta jo lahko pošteno zagode. Je sicer mala verjetnost, da to drži v tem primeru, sploh, če konkretno sumiš, da je oseba nekje, razdalja pa sovpada, vendar za popolnoma izključiti možnost napake pa ni.
Vrnite nam techno!

poweroff ::

No, ampak dejstvo je, da im GPS na telefonu v mestih (zlasti tam, kjer so visoke stavbe) zaradi odbojev natančnost tam okrog nekaj 10 metrov. Celo 100 metrov se lahko zmoti. Obstajajo algoritmi, ki to izboljšajo do 30%, ampak se zaenkrat še ne uporabljajo (vem, ker enega najbolj naprednih razvija moj sodelavec).

Še to, za Android obstaja aplikacija, ki posameznim aplikacijam pošilja fake podatke - med drugim tudi fake GPS podatke. Se pravi lahko dejansko nastaviš, da bo Viber dobival lažne GPS podatke.
sudo poweroff

Mavrik ::

Ja, sam pozabljaš da se na modernih telefonih že dolgo ne uporablja samo GPS in je večino časa natančnost bistveno boljša od 10m če je vklopljeno polno procesiranje. Drugače navigacije ne bi glih delale tako zanesljivo :)
The truth is rarely pure and never simple.

Brane22 ::

Sem par dni nazaj pripravljal materiale za Signal, Riot etc.

Jebeš Viber.

matijadmin ::

GPS, tisti čisto poceni, komercialni so zelo natančni. Na pol metra ali meter recimo. Američani sistema ne motijo več namerno (zato so pred leti navigacijski imeli 3 sprejemnike in računali povprečje, da so zmanjšali napako), mulipath pa tudi ni problem, ker dobiš korekcijske podatke zraven (čas). Sicer ne barke ne avti ne bi vozili po cestah. Morda si, Matthai red velikoati, danes pri GPS npr. geodetskih aplikacijah mm štejejo.

Jaz sem imel prejle bolj v mialih lociranje po celicah in wifi omrežjih, kar lokacijske storitve prav tako nucajo.
Vrnite nam techno!

Mavrik ::

Brane22 je izjavil:

Sem par dni nazaj pripravljal materiale za Signal, Riot etc.

Jebeš Viber.


Problem je da ti Signal pojebe SMSe na telefonu in ti nehajo delati druge stvari, ki se na njih zanašajo (pushbullet, backup SMSov, airdroid in vse ostalo).
The truth is rarely pure and never simple.

poweroff ::

Meni kombinacija Signal/Silence lepo dela. Kaj pa če Signal uporabljaš samo za Signal sporočila in ne za SMS-e?
sudo poweroff

matijadmin ::

Meni dela vse, tudi SMS sporočila na Signalu. Ne razumem, kje je težava.
Vrnite nam techno!
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tudi Viber dobil šifriranje pogovorov (strani: 1 2 )

Oddelek: Novice / Zasebnost
7025249 (20006) matijadmin
»

Facebook Messenger bo dobil šifriranje pogovorov

Oddelek: Novice / Zasebnost
105567 (4176) Saul Goodman
»

WhatsApp šifrira vso komunikacijo (strani: 1 2 )

Oddelek: Novice / Zasebnost
6526857 (23522) čuhalev
»

Ta... Skype in (dobesedno) nesposoben Microsoft

Oddelek: Pomoč in nasveti
4112267 (10912) poweroff
»

WhatsApp bo povsem brezplačen

Oddelek: Novice / Ostale najave
2913113 (11098) smihael

Več podobnih tem