Nadaljnje ranljivosti v Zoomu

poweroff je 7. apr 2020 ob 18:30 izjavil:

MrStein je 7. apr 2020 ob 17:53 izjavil:

poweroff je 7. apr 2020 ob 14:28 izjavil:

vuego: v peakih imamo danes preko 100 sočasnih userjev.

Ni to nekam malo, glede na situacijo?
To je na oko tam 5 razredov. To je še za eno OŠ premalo.

Si spregledal besedo "sočasnih"?

Ja. Šola ima sočasno tam 10 razredov. Vsaka.
Ali sem kaj spregledal?

SeMiNeSanja je 7. apr 2020 ob 18:31 izjavil:

Tak odnos pa me zelo moti.

Odnos akademikov te pa ne moti? Postavili so jitsi, pac , samo da deluje parim ljudem. Isto spletne ucilnice(vemo samo cifro 6000(hkratnih?vseh?) od 285.000+).
Mogoce prileti gor kaksen akademik, pa mal vec tehnicnega ozadja prilepi, pa ne jamranja(da nimajo denarja/resourcov za skalabilnost).
Jim bo vec koristilo da razkrijejo, da so tehhnicno sposobni razsirit
Bolje kot da oglasujejo storitve, ki jim ne delujejo.

poweroff je 7. apr 2020 ob 18:40 izjavil:

Drugače kolikor vidim pri otrocih nimajo šole stalno meetingov, pač pa se dobijo samo enkrat, dvakrat dnevno za nekaj deset minut. Ostalo delajo preko mailov/spleta.

Šole bi imele stalne meetinge. Otroci tudi. Ker bi ucitelji poucevali se na star nacin.

poweroff je 7. apr 2020 ob 18:40 izjavil:

Aja, ko se sedaj kritizira Arnes... bi rad videl slovensko IT firmo, ki bi bila v takem času sposobna postaviti pol manj kompleksen sistem...

Če nisi sposoben zagotovit storitve, zakaj bi sel to delat??

poweroff je 7. apr 2020 ob 18:40 izjavil:

Ja, meni Munin statistika kaže 100+ max uporabnikov. Je pa res, da mi je kazala 1,6k sočasnih videostreamov. Ampak to so Munin grafi, nisem se zakopal v to kaj dejansko merijo.

Sicer glede na to, da Mavrik trdi, da je to isto kot tisto kar je Zoom pošiljal Facebooku... no, mogoče se je pa malo zmotil.

Nisem se. Ampak ti kar naprej nadaljuješ s ponavljanjem svojih neumnosti Tako težko je priznati, da si si par stvari malo... zmislil?

Težava tule je sicer tudi nekoliko grozljivo podcenjevanje - postaviti sistem, ki preživi par sto, morda tisoč streamov je "srednješolska naloga" kot je nekdo rekel. Postaviti sistem, ki zanesljivo prenaša video za par deset-, stotistoč ali več milijonov streamov kot to delata Zoom, Teams in Meet pa je čisto druga pesem in zahteva fundamentalno drugačen miselni pristop in implementacijo. Nekako tako kot je zahtevnost organizacije družinske večerje za 150 ljudi bistveno drugačna raven kot pa organizacija koncerta za 80.000 ljudi.
Fundemantalno zahteva drugačen pristop, omrežno in strojno opremo, monitoring (oprostite, "krajo in prodajo podatkov" kot pravi Matthai) ter ekipe sposobnih ops ljudi, ki imajo s takimi sistemi izkušnje. V Sloveniji to znanje gotovo imamo - samo večina takih znalcev trenutno skrbi za svoje sisteme, ki so tudi pod precejšnjim pritiskom.

Tako da Jitsi je odlična rešitev za manjši scale - recimo na nivoju manjših šol bi se ga verjetno dalo poshardati tako, da dela vredu. Je sicer bistveno manj odporen na slabe linije, tako da bodo otroci v regijah s slabo internetno povezljivostjo pač brez (majhna žrtev za opensource a ne? ;) ), ampak recimo da se da. Bo pa potrebno več kot ena kolokacija da bo taka rešitev zrasla v nekaj kar lahko uporablja cel šolski sistem ene države.

Da smo si jasni - s postavitvijo takih manjših storitev ni prav nič narobe. Še več, vredno je vsake pohvale in imajo zelo dobro mesto pri manjših sestankih in klicih. Ampak to ne pomeni da so brez večje investicije pripravljeni za vsedržavno uporabo ali da je potrebno zato blatiti konkurenco s podtikanji in osebno žaliti učitelje, ki imajo zdaj res večje probleme kot pa delanje podrobnih analiz video konferenčnih sistemov.

In to je bistvo. Zoom deluje že včeraj. GEANT-ova rešitev pa nekje jutri.

Ales je 8. apr 2020 ob 00:02 izjavil:

Čakaj, čakaj no... Hočeš reči, da mora zbiranje telemetrije z namenom izboljšanja delovanja zajemati vse to, kar je zajemal in potem s tem počel (ali pa še počne) Zoom?

Ne vem no, meni se ne zdi.

In ne pravi tega samo Matthai, sprenevedaš se malo tukaj...

Po mojih izkušnjah (ki so zadnjih ~10 let večinoma s client sistemov) je tako, da se tile SDKji znajdejo v aplikacijah večinoma predvsem zaradi analitike in monitoringa. To večinoma vključuje analitiko delovanja (število napak, kvaliteta video streamov, velikost sestankov, itd), uporabe UI vmesnika (število pritiskov na gumb, uporaba določenih nastavitev in ostale metrike uporabe aplikacije) ter uporabniške metrike (št. dnevnih uporabnikov, vračanje nazaj, itd.). Večina, in res večina, aplikacij uporablja SDKje od Googla (Analytics/Firebase) in Facebooka, ker imajo zaradi svojega poslovnega modela za to pač najboljša orodja in jim tako zbiranje podatkov direktno koristi. Na žalost.

Ampak večina podjetij teh orodij ne uporablja zato, ker bi želela "krasti" podatke in jih "prodajati" Facebooku. Uporabljajo jih, ker ne razmišljajo o posledicah in so ta orodja uporabna. Zato je pač govoriti da je FB Analytics v Zoomovem binaryu posledica nekega dobička s krajo podatkov, oprosti, bikoc drek. Je neumnost, ki si je Zoom ne bi smel privoščiti, ampak je neumnost iste vrste, kot so Google Analytics skripte na spletnih straneh.

Je pa "kraja podatkov" precej udarnejši naslov kot pa "štetje klikov na gumb", se strinjam in posledično sem jaz tudi uporabil nekoliko udarnejši termin. Saj paše v taka pretiravanja a ne? ;)

Ales je 8. apr 2020 ob 00:02 izjavil:

Sicer pa imaš seveda prav, pristop za 150 ali 80.000 ljudi mora biti drugačen ali pa vsaj mora vertikalen ali horizontalen scaling omogočati in eno in drugo...

Ampak ne odprtokodnost kot taka, ne zajemanje in preprodaja osebnih podatkov, nista neposreden pogoj da kak softwer to zmore ali ne.

Tu se pa čisto strinjava. Da sem čisto jasen - nikomur niti približno ne zamerim, da noče uporabljati Googlovih, Facebookovih in Zoomovih storitev. Še več, brez težav pomagam in sem pomagal ljudem spraviti Googlove storitve z Android telefonov (verjetno je še kje kakšno predavanje v arhivu :) ) - če pač produkti niso dovolj dobri, da bi si jih ljudje sami želeli uporabljati, potem si morda ne zaslužijo obstoja.
Ampak to velja tudi v drugo smer - takele debate imamo z Matthaijem in še parimi že leta in leta, odkar so se začele okoli prehodov JU na Linux in takrat OpenOffice. In vedno so polne takih pretiravanj (pa najsi o Windowsih ali Googlu), ki čisto diskreditirajo kakšne resne spremembe in, pomembneje, preprečujejo OSS communityu, da bi se resno zagledali v svojo programsko opremo in ugotovili vse probleme, zaradi katerih ljudje raje plačajo za komercialno opremo. Posledično končamo v tem bizarnem svetu, kjer ti Google, Intel, RedHat, Apple in še par ostalih korporacij vodi razvoj večine uspešnih OSS projektov, manjši projekti pa ležijo na svojih lovorikah in krivijo za težave vse druge.

Tako da... Jitsi je super, eden najboljših OSS projektov kar sem jih videl v zadnjem času. Ampak, prekleto, naši učitelji pa res niso "nesposobni" ker niso takoj ga laufali deployat na svoje šolske prenosnike in so namesto tega zbrali rešitve, ki so se dokazale kot sposobne voditi neprekinjen učni proces za milijone ljudi z nekaj preprostimi kliki.

Mavrik je 8. apr 2020 ob 00:35 izjavil:

Ampak večina podjetij teh orodij ne uporablja zato, ker bi želela "krasti" podatke in jih "prodajati" Facebooku. Uporabljajo jih, ker ne razmišljajo o posledicah in so ta orodja uporabna. Zato je pač govoriti da je FB Analytics v Zoomovem binaryu posledica nekega dobička s krajo podatkov, oprosti, bikoc drek. Je neumnost, ki si je Zoom ne bi smel privoščiti, ampak je neumnost iste vrste, kot so Google Analytics skripte na spletnih straneh.

Ni zgolj neumnost. Sodi v kategorijo uporabe ECB pri šifriranju. Schneier je lepo povedal. ECB (electronic codebook) mode indicates that there is no one at the company who knows anything about cryptography.

In to je to. Enako torej velja za uporabo teh knjižnic. Pač ne obvladajo svojega posla. Pa preden kdo skoči - govorim o tem, da se hvalijo, da so varni in da uporabljajo E2E šifriranje. Tega dela posla preprosto ne obvladujejo.

Mavrik je 8. apr 2020 ob 00:35 izjavil:

Ampak to velja tudi v drugo smer - takele debate imamo z Matthaijem in še parimi že leta in leta, odkar so se začele okoli prehodov JU na Linux in takrat OpenOffice. In vedno so polne takih pretiravanj (pa najsi o Windowsih ali Googlu), ki čisto diskreditirajo kakšne resne spremembe in, pomembneje, preprečujejo OSS communityu, da bi se resno zagledali v svojo programsko opremo in ugotovili vse probleme, zaradi katerih ljudje raje plačajo za komercialno opremo.

No, to ni čisto res. Ko jaz "pretiravam" samo nastavljam ogledalo closed sourcašem. Se spomnim, kako so jokali da OpenOffice ni OK, ker ima drugačen izgled kot MS Office. In ni zaleglo prepričevanje, da je to stvar parih dni, da se ljudje navadijo... potem je pa Microsoft dal ven totalno prenovljen uporabniški vmesnik MS Offica.

Guess what. Nobenega jokanja o izgubljenih urah in izgubljeni produktivnosti ker se bodo ubogi userji morali navaditi na nov UI. Ampak ko to izpostavim, sem jaz bad guy.

SeMiNeSanja je 8. apr 2020 ob 02:00 izjavil:

Ne vem, kakšna so bila priporočila Ministrstva. So sploh podali kakšna priporočila?

Seveda ne! In sem jaz očitno tudi edini, ki si upa na to opozoriti. Ministrstvo bi za začetek moralo predpisati enotno digitalno identiteto za učence. Kot drugo pa projekte izpeljati do konca, in učitelje prisiliti/motivirati/plačati, da izpeljejo digitalizacijo šolstva do konca.

Ampak nobena ministrica tega ne bo naredila. Ker se boji učiteljskega lobija in gleda na svojo ... ponovno izvolitev. Zato je en del problema ministrstvu, drugi del problema pa učiteljstvo, ki jim je v interesu, da se dela čim manj. Da ne govorimo o tem, da je celoten sistem že v osnovi precej koruptiven, saj nima sistemskih varovalk z omejevanje arbitrarnosti in korupcije. Tole, kar se je zgodilo sedaj je samo eden od indikatorjev, kje so še e-gradiva, CC licence, snemanje učiteljev, spodbujanje inovativnosti in - boh ne daj! - podjetništva med mladimi,...

To so vse učiteljski lobiji zabremzali. Ampak očitno sem jaz res edini, ki si upa o tem kaj na glas povedati.

Evo, malo feedbacka.

Pri nas je lepo delalo do 50 ljudi v konferenci, potem je začelo "štekat" (visoka poraba CPU in RAMa na strani clientov). Jih je imelo pa več kamero prižgano. Arnes pravi da je z 70+ uporabniki delalo OK, dokler je imel samo 1 prižgano kamero. Ko je kamero prižgalo več uporabnikov, je postalo slabo.

Skratka, Jitsi se obnese tudi pri večjem številu udeležencev, ampak žal brez videa.

Anyway, na ravni EU se bo po moje skušalo močno pushniti tole rešitev: https://edumeet.org/. Dobili so tudi H2020 financiranje, zadevo pa že uporablja Geant: https://edumeet.geant.org/

Na prvi pogled se mi zdi, da je tole malo potweakan Jitsi... ampak s kar nekaj zelo koristnimi dodatki (recimo file sharing in browser only tudi na mobile je fajn funkcija). Tule je primerjava teh sistemov: https://edumeet.org/technical-overview/

Ko bodo TURN serverji (oz. videobridgi) deployani po celi EU, bo pa veselo... upam, da je v institucijah dovolj pametnih glav, da se v EU ne bomo do konca prodali ameriškim in kitajsko-ameriškim korporacijam.

Torej praviš, da jitsi ni primeren za šole?

Ker samo srednješolskih dijakov je skoraj 100 tisoč.
Potem so tu osnovne šole, višje in visoke in še kaj.

Ker tu ves čas slišimo "100 uporabnikov" in podobno.
To je 0,1% dejanskih potreb.

A 100 jih gre, ostale pa damo v čakalno vrsto?

MrStein, daj preberi kaj sem napisal, no. Mimogrede, danes zjutraj, ko je potekala tista konferenca s 50+ ljudmi sem imel tudi jaz svojo, kjer nas je bilo 7 (iz celotne Evrope), in je delalo brez težav. Vmes pa v sobi s 50+ z videom težave.

Skratka, video je nekaj, kar bo treba definitivno še urediti. Vprašanje pa je, kako pomemben je video za vse. Jaz mislim, da je najbolj smiselno, da se treama samo video ali zaslon predavatelja, ne vidim potrebe po tem, da se streama video vseh uporabnikov. Mimogrede,isto "omejitev" ima kolikor se spomnim tudi MiTeam...

Razumem pa, da je video zdaj izrednega pomena. Samo zato, ker ga ima Zoom.

MrStein je 8. apr 2020 ob 12:28 izjavil:

... Ker tu ves čas slišimo "100 uporabnikov" in podobno.
To je 0,1% dejanskih potreb. ...

Po moje, da si narobe predstavljaš, kako Jitsi dela. Ne vem, ugibam.

Nihče ne pričakuje, da bodo vsi dijaki v državi hkrati v eni video konferenci. Vsaj zaenkrat ne vidim potrebe po čem takem. Osnovna potreba je trenutno IMHO en razred v eni konferenci in pa en učiteljski zbor v eni konferenci. Al sem kaj pozabil..?

Bolj je zanimiva ugotovitev, da so težave pri več prižganih video virih v isti konferenci. To bi pojasnilo težave, ki sem jih sam srečal. Čas za nov test...

BTW, po moje da si si teh 100 uporabnikov zapomnil, ko je Matthai govoril o trenutnem številu priključenih konkretno na meet.ustavimokorono.si? To je bil samo podatek o trenutnem stanju na enem specifičnem strežniku, ni to odraz tega, kar Jitsi zmore ali ne zmore. Ne pozabit tudi, da je Jitsi horizontalno skalabilen in da tudi ni prav nobne potrebe, da bi ena instanca Jitsi imela čez cel šolski sistem, kaj šele, da bi cel šolski sistem bil v eni video konferenci.

Imamo dve osnovni šoli, ena v MB, ena v LJ
1-9 razred na eni šoli, 20 povprecno v razredu, hiter izracun cca 200 userjev.
Hkratnih? Po mojem ja. In video(jitsi),in moodle.
Posebej če se bo vleklo to, ali ce bo jeseni še kaksen drug virus izbruhnil, bo trend šel v to smer.

Omrezna infrastruktura je omenjena na https://www.arnes.si/infrastruktura/
Kaj pa aplikativna infrastruktura? En data center v LJ?
"CDN" po Sloveniji za Arnes? Kaj serverjev na "vozliscih"?

So še kakšne druge zahteve? Data od Arnesa mora biti v Sloveniji? Je mozno imeti aplikativni streznik na "public" cloudu , podatki pa se proxyirajo iz Arnesovih streznikov?

Dovoljenja uciteljev, da se jih posname?

Ales je 8. apr 2020 ob 13:48 izjavil:

Po moje, da si narobe predstavljaš, kako Jitsi dela. Ne vem, ugibam.

Ah, MrStein si nič ne predstavlja... malo pametuje, to je pa tudi vse.

Ales je 8. apr 2020 ob 13:48 izjavil:

Nihče ne pričakuje, da bodo vsi dijaki v državi hkrati v eni video konferenci.

MrStein to pričakuje. Kako bodo pa izvedli ples četvork? Z Zoomom, seveda. In država naj kupi licence za vse državljane, kajne?

Ales je 8. apr 2020 ob 13:48 izjavil:

BTW, po moje da si si teh 100 uporabnikov zapomnil, ko je Matthai govoril o trenutnem številu priključenih konkretno na meet.ustavimokorono.si? To je bil samo podatek o trenutnem stanju na enem specifičnem strežniku, ni to odraz tega, kar Jitsi zmore ali ne zmore. Ne pozabit tudi, da je Jitsi horizontalno skalabilen in da tudi ni prav nobne potrebe, da bi ena instanca Jitsi imela čez cel šolski sistem, kaj šele, da bi cel šolski sistem bil v eni video konferenci.

Saj to sem skušal MrSteinu povedat, pa "ni razumel".

V glavnem, pomembno je, da rešitev ni taka, da bi požrla ogromno davkoplačevalskega denarja, da ni taka, da bi kradla podatke uporabnikov, da bi se podatki pretakali v ZDA in na Kitajsko,... ampak, ja, nekaterim to niso pomembni kriteriji. Saj bo plačala država, ne?

xandros je 8. apr 2020 ob 14:22 izjavil:

Imamo dve osnovni šoli, ena v MB, ena v LJ
1-9 razred na eni šoli, 20 povprecno v razredu, hiter izracun cca 200 userjev.
Hkratnih? Po mojem ja. In video(jitsi),in moodle.

Ja, ampak mi govorimo o hkratnih uporabnikih v ENI SOBI. 200 dijakov v eni sobi hkrati pač ne bo.

Ales je 8. apr 2020 ob 14:42 izjavil:

Kakorkoli, če je hkraten vklop večih videov res problem za delovanje, potem mora Jitsi v vmesniku onemogočiti vklop videa za vse, razen za predavatelja. Oz. mora nadalje omogočati, da admin konference izklopi en in vklopi video nekega drugega člana konference, ki bi ga morali vsi videti.

To se sicer da narediti v konfiguraciji.

poweroff je 8. apr 2020 ob 16:12 izjavil:

Ah, MrStein si nič ne predstavlja... malo pametuje, to je pa tudi vse.

Preprosto ne gre brez pljuvanja po sogovorniku, kajne?

kot vedno...

poweroff je 8. apr 2020 ob 16:12 izjavil:

MrStein to pričakuje.

A zdaj že podtikaš?

Glede na to koliko se v zadnjem casu pise o Jitsi Meet, sem ga tudi sam preizkusil par dni nazaj:

- Odprem zadevo v Brave, ki je trenutno moj primarni brskalnik, in mu ne uspe spraviti zvoka do mojih bluetooth slusalk.
- Odprem zadevo v Safariju, tezi mi da browser ni podprt, zvok ne deluje.
- Odprem zadevo v Firefoxu, podobna zgodba.
- Prenesem macOS client, ugotovim da je to nek VoIP client, in nikakor ne najdem opcije za konektanje na Jitsi Meet sobo.
- Po obupanju odprem zadevo se v Chromeu, kjer vse deluje v prvem poizkusu.

Desktop client imenovan Jitsi v bistvu sploh ne podpira Jitsi Meet, in je edini macOS software, ki sem ga uspel na njihovi strani najti. Obstaja sicer Electron client, ampak o nekem linku za download lahko samo sanjam. Lahko grem na GitHub pod Releases, ampak ne vem ce lahko to pricakujemo od povprecnega uporabnika.

Mozno, da je tole glede BT slusalk kaksna posebnost pri interakciji med brskalnikom in OSom, ampak Google Meet mi naceloma deluje brez problema. Prav tako Zoom desktop client.

V Chrome mi je zadeva delovala, ampak ce imas vklopljen video (kar je sicer privzeti nacin), ti precej porablja procesor.

poweroff je 5. apr 2020 ob 17:36 izjavil:

Kot prvo, s kolegi smo postavili https://ustavimokorono.si/videokonferen...

Zanimivo. Je že kdo to priporočal kakšnemu učitelju, ki ima večkrat seanse s celim razredom? So bile izkušnje ok? Ker zdaj so že neke starejše učiteljice začele mulariji te Zoom povezave pošiljat in bi se seveda rad temu izognil...

Še Google jih ne mara.
https://www.theverge.com/2020/4/8/21213...

SeMiNeSanja je 8. apr 2020 ob 23:49 izjavil:

Medtem Mozilla raje svetuje kako ga (bolj) varno uporabljati.

Gre za common sense zadeve, priporočljive za vsako konferenco.

MrStein je 10. apr 2020 ob 11:06 izjavil:

SeMiNeSanja je 8. apr 2020 ob 23:49 izjavil:

Medtem Mozilla raje svetuje kako ga (bolj) varno uporabljati.

Gre za common sense zadeve, priporočljive za vsako konferenco.

Seveda gre za common sense.
Gre se pa tudi za konkretno izrečen "Don't panic!".

Dejstvo je, da se Zoom prikazuje v veliko bolj temačni luči, kot bi bilo potrebno.
Na Secplicity 443 podcastu sta sogovornika presneto lepo razložila vse, kar velja vedeti o "Zoom problemih".

Kakorkoli že, ne priporoča se oponašati Borisa Johnsona, ki je na Twitterju objavil screenshot konference kabineta - kjer se levo zgoraj lepo vidi Meeting ID......
https://pbs.twimg.com/media/EUcUBu6XgAc...