Pull to refresh
356
31.6
Alex Efros @powerman

Systems Architect, Team Lead, Lead Go Developer

Send message

Вариант что микрофон на телефоне заблокирован через XPrivacy не рассматривается?


Вообще, если допускать использование рядом с собой шпионящих микрофонов, то спалишься намного раньше, чем сделаешь что-то "анонимно" в интернете — ещё на этапе продумывания и обсуждения планов это сделать. :)

Нельзя жить в страхе!


Да, всё это может случиться. Но если вести образ жизни покорной овцы и не делать ничего, что потенциально может расстроить ближайшего хищника — Вас всё-равно сожрут, потому что для этого им и нужны послушные овцы — чтобы кушать без проблем и напрягов. "Ты виноват уж тем, что хочется мне кушать" — помните? С тех пор ничего не изменилось, это всё ещё актуально.


Использование VPN пока что не нарушает никаких законов, а примут такие законы — найдутся другие способы их обходить. Так что вы имеете полное право скрывать свой трафик от любопытных соседей, провайдера и СОРМ — и глупо этого не делать из страха, что кому-то это может не понравиться.

А он чем-то подорвал это доверие? Чем конкретно?


P.S. Я вообще интересуюсь, безотносительно темы паролей — что пароли в браузере держать плохая идея это вполне очевидно, но это не вопрос (не) доверия.

Его можно где-то выключить. Я уже очень давно его не видел.

В данном случае децентрализуется скорее аналог гитхаба/гитлаба, а не гит.
Децентрализации самого гита на практике мешает исключительно то, что доступ к репо на стороннем сервере нужно как-то присобачивать ручками, при этом есть много вариантов как это сделать, и в результате обычно никто этого не делает вообще, потому что всем удобнее работать через центральный сервер гитхаба/гитлаба.


P.S. Если нужна не столько децентрализация, сколько по-настоящему приватные репо для команды, которые никто другой не может посмотреть и/или заблокировать — в Keybase есть поддержка гита.

Я в курсе официальной позиции насчёт ИГИЛ и в чём их обвиняют. Но поскольку лично с ними не общался, видео такие не смотрел и на подлинность не проверял — предпочитаю воздерживаться от обвинений в их адрес. Всегда надо давать возможность высказаться второй стороне, до того как принимать решение кто виноват. Кроме того, есть интересные теории кто этот ИГИЛ вообще изначально создал и поддерживал… Так что нет, лично я без понятия что ИГИЛ представляет из себя на самом деле.

Извините, но если Вы не хотите делиться своими контактами и местоположением — придётся немного потрудиться. Учитывая, насколько сильно все приложения пытаются получить эти данные, веры в то, что можно переключением галочки в самом приложении отобрать их у этого приложения — нет и быть не может. Поэтому это делается только самостоятельно — по крайней мере на андроиде есть XPrivacyLua, который отлично блокирует доступ любых приложений к этим, и многим другим личным данным. Это позволяет не сдать свои контакты ни ФБ, ни даже гуглу. Но это требует заметных усилий, плюс делать это когда контакты уже слиты приложениями смысла мало.


Но в целом описываемая Вами проблема в том, что Вы внезапно осознали, что "ваши" данные больше не принадлежат Вам. Ну, что тут скажешь, лучше поздно, чем никогда. Любой сайт может выпилить ваш аккаунт в любой момент, потерять ваши данные, продать их кому хочет… и большинство из них давно это практикуют, как явно так и скрытно. Кому это не нравится — не используют облачные сервисы, а используют аналогичные облачным сервисы на собственных серверах плюс бэкапят их в несколько разных (в т.ч. в облаках) мест в зашифрованном виде. Что, опять же, требует дополнительных усилий.


И это происходит не только в интернете. Меня вот недавно банк точно так же попытался выпилить — внезапно, в ночь с пятницы на субботу прислали кучу сообщений о том, что они "оценили тысячи факторов, и решили больше со мной не работать, поэтому закрыли все мои счета". Потом оказалось, что "это ошибка", извинились и всё восстановили. Но, очень может быть, если бы я в той ситуации повёл себя как-то иначе — никакой "ошибки" бы не было, и всё так и осталось. Что характерно, я никаких "сомнительных" операций не делал, и, разумеется, мне никто так и не сказал, из-за чего случилась эта "ошибка". А ведь у других банков в анкете обычно есть пункт "отказывали ли вам в обслуживании другие банки" — т.е. если бы всё так и осталось, то резко увеличивается вероятность, что мне после этого открыть счёт в другом банке стало бы значительно сложнее (это как пример-параллель относительно связи между ФБ и Whatsapp).


За последние годы было немало случаев, когда людям отказывали в кредитах или выгоняли с работы и т.п. из-за данных, которые о них собрали на совершенно посторонних сайтах.


В общем, хорошо, что Вы проснулись, но вообще-то абсолютно ничего (ну, в контексте обсуждаемой статьи) не изменилось! Хотите защитить свои данные — это возможно, но защищать их придётся самостоятельно. Хотите чтобы ваши данные защищали все эти компании — ну, боюсь, не в этом мире, так что лучше засыпайте обратно и не напрягайтесь по этому вопросу, просто чтобы не нервничать зря.


P.S.


Мало кто здесь серьезно считает, что эти ведомства будут читать наши незащищенные чаты в ТГ.

Вы не поверите… но все эти ведомства активно борются с E2E шифрованием по всему миру. Наверняка это потому, что они совершенно не хотят читать нашу переписку.

Я всё внимательно читал. И я согласен насчёт "хорошим тоном" и "дурные примеры". Но. Пока так почти никто не делает в случае apt (а это, к сожалению, именно так), то формально "хороший тон" начинает звучать как "извините, у нас тут команда работающая только в маргинальном дистре, у вас она почти наверняка не сработает, и вообще не понимаю зачем я её тут вообще пишу, и ещё раз извините пожалуйста".


По-хорошему, если статья не на сайте/форуме конкретного дистра, и её будет читать широкая аудитория, то в ней нужно приводить примеры дистро-специфичных команд хотя бы для 2-3 популярных дистров. Заметьте, не любимого автором дистра. И не того, который у него сейчас установлен. А тех, которые у большинства читателей. Плюс к этому уже можно добавить любое количество альтернатив для менее популярных дистров, если есть такое желание. Вот это — хороший тон. Но это требует дополнительных усилий, которые мало кто делает.


А то, что предложили Вы — бессмысленно. Пользователи Gentoo команду опознают и без уточнения, что она для Gentoo, а у остальных она не сработает, и наличие уточнения что она работает но в каком-то неизвестном им дистре никому из них не поможет. Иными словами, даже сделав уточнение насчёт Gentoo автор всё-равно полагает, что читатели использующие другие дистрибутивы в состоянии самостоятельно выявить аналогичную команду работающую для них — но упоминание Gentoo этому никак не способствует, потому что всё-равно никто не будет отдельно гуглить "что делает emerge в Gentoo", вместо этого или догадаются из контекста или забьют и пройдут мимо.

А Вы так, как будто это что-то хорошее. Я без понятия что из себя представляет ИГИЛ на самом деле, может их и надо было забанить. Но правила должны быть одни для всех, они должны быть достаточно однозначно трактуемыми хотя бы большинством и работать одинаково для всех без исключений — пока это не так я лично против вообще любой цензуры и блокировок. В сомнительных ситуациях, когда формально в тексте нет явного "призыва к насилию", но большинство читателей его там всё-равно различают — пусть решает суд и эксперты — да, это помешает заблокировать быстро, но лучше так, чем произвол отдельных компаний. И чтобы это работало обязательно должен быть механизм обратной связи — штрафы компаний в пользу заблокированных если блокировку по суду признают не соответствующей правилам.

Он решил, что это цитата, потому, что он знает кто автор цитаты. :)

Может я не понимаю о чём Вы, но звучит всё это очень странно.
Метаданные обычно нужны мессенджеру для работы.
Лишние, без которых можно обойтись для реализации активированного юзером функционала — лучше вообще не собирать и не хранить. Но чего ради их подделывать?
Не лишние, без которых мессенджер не сможет нормально работать, подделывать тоже не получится, как и не использовать их вообще. Такие метаданные (напр. IP юзера) "подделать" можете только Вы сами, используя Tor/VPN, виртуалки, и подключаясь запуская мессенджер на сторонних серверах, используя разные аккаунты в самом мессенджере. Что из этого мессенджер может подделать за вас сам?

Проблема с телегой и Дуровым в том, что E2E не используется для 99.9% чатов, поэтому вся "безопасность" держится на доверии словам одного человека. Завтра он продаст телегу, и доступ к переписке получат все желающие. Ну или найдётся несколько нечистоплотных сотрудников, которые продадут переписку по личной инициативе (ну или какая-нибудь трёхбуквенная контора возьмёт в заложники семью чистоплотного сотрудника и он всё-равно всё им сольёт).


Ну и опять же. Свою крипту телега так и не запустила, потому что США это не понравилось, и рисковать выпиливанием из сторов Дуров не стал. Соответственно, теперь точно известно, что у США есть рычаг давления, которым можно принудить Дурова ещё к чему-то (напр. банить за фразы высказанные на другом ресурсе) — причём этот же рычаг по своему желанию вполне могут использовать и сами гугл/эппл. Таким образом, даже если Дурову можно доверять, и он сам лично против, и никому телегу не продал — он всё-равно может начать делать то, чего не хочет и что обещал не делать.

Как раз с точки зрения пользователя wireguard проще и удобнее в установке/настройке, лучше и быстрее работает — и это сложно назвать плохой ситуацией, даже если где-то UX и не идеален.


Я, в принципе, согласен, что отлаживать wireguard не так удобно, как OpenVPN. Но идея в том, что там особо нечего отлаживать, если ключи и IP корректные, и его трафик по дороге никто не режет — то wireguard обычно просто работает. Сравнить пару ключей и один IP — не так сложно. Если с ними всё ок — дальше надо смотреть трафик на предмет а приходят ли вообще ответные пакеты на клиенте и отправляются ли они на сервере.

А ещё не у всех убунта — но кого это останавливало от публикации примеров команд запускающих apt без уточнения что это не везде сработает? У нас тут опять кто-то "равнее" других, и что дозволено убунтоводам не дозволено гентушникам?

А как конкретно Вы пытались понять, установлено ли соединение? Я вот обычно это без проблем вижу, как на линухе в командной строке (вывод wg показывает как давно был последний handshake и статистику переданных байт), так и в UI андроид-клиента (там показывается статистика, и количество принятых байт 0 вполне однозначно намекает).

Номер ровно так же легко, как и IP+время. IP скрытый VPN-ом вычисляется чуть сложнее, но имея возможности СОРМ это возможно (так же, как отслеживают внутри Tor). С учётом всего этого, что меняет (не) использование номера?

Приватность, анонимность и безопасность — всё это разные вещи. В целом, проблема даже не в самом номере телефона — потому что в идеальном случае всё, что при этом разглашается — что владелец данного телефона использует данное приложение, и не более того.


Учитывая, что мы обсуждаем популярные мессенджеры, использование таких приложений определённо не является секретом, который необходимо скрывать. Проблемы начинаются когда помимо этого факта можно добраться и до других — если не самой переписки (предположим, она надёжно зашифрована E2E), то до метаданных, в которых написано кто с кем (а в худшем случае ещё и когда и как много) общался. И реализация этого момента сильно отличается в разных мессенджерах.


Кроме того, даже если номер телефона не требуется, это может послужить не таким уж принципиальным препятствием: в тех же метаданных всё-равно будет имя аккаунта, будет возможность с ним связаться (т.е. в конечном итоге IP или как минимум сам факт передачи данных этому/этим пользователем в определённое время определённого размера — что имя возможности СОРМ можно привязать к трафику конкретного юзера, даже если он использует VPN в другой стране).


Конечно, без необходимости указывать номер телефона чувствуешь себя "спокойнее"… но факт в том, что если есть необходимость надёжно скрываться, и для этого уже используется всё необходимое (напр. Whonix с Tor плюс дополнительный VPN), то и SIMку левую для регистрации добыть обычно не трудно. А если такой необходимости нет, то даже не сообщая номер телефона "спалишься" сам, либо забыв поднять VPN, либо сообщив о себе что-то собеседнику, etc.


При этом с точки зрения мессенджеров, требование номера телефона — это один из самых простых способов блокировать спам, что довольно важно. Так что всё не так однозначно… хотя, конечно, разглашение своего номера — бесит.

TOS никто не читает, это "самая большая ложь в интернете". Даже браузерный плагин показывающий краткое резюме TOS понятным языком не особо помогает (стоял у меня когда-то такой). Сервисы выбирают либо по цене, либо по "карме". Бесплатный сервис имеет больше моральных прав зарабатывать на тех данных, которые он собирает о клиентах, плюс ему это нередко необходимо для выживания, плюс он меньше беспокоится о своей репутации, потому что даже если он потеряет пользователей которые "выбирают по карме", то останется ещё много тех, кто просто любит халяву. Из этого следует, что если нет желания вычитывать TOS — следующая оптимальная стратегия выбирать платные сервисы с хорошей репутацией.


В теории, вычитывать TOS было бы правильнее, конечно. Но проблема с этим подходом в том, что их мало прочитать — нужно ещё адекватно перевести с юридического, суметь увидеть потенциальные "ловушки", плюс так же внимательно отслеживать все изменения TOS (а далеко не все сервисы уведомляют об изменении TOS). И даже если всё это сделать — толку будет не очень много, потому что сервисов с "приемлемыми" TOS всё-равно (почти) не существует, и выбирать придётся между степенью "неприемлемости" TOS — а это, опять же, лишние нервы. Но даже если преодолеть это всё, то потом выясняется, что выбранный сервис для VPN, в TOS которого было написано "мы не ведём логи" — всё-таки их ведёт… и что дальше? Обращаться в суд, и тратить нервы, время и деньги ещё и на это?


Надо отметить, что лично у меня есть привычка внимательно читать все документы, которые я подписываю. И я много раз отказывался подписать, если мне что-то не нравилось. Проблема в том, что это работает только если либо во мне сильно заинтересованы (напр. меня нанимают на работу), либо я не сильно заинтересован (есть много альтернатив и мне проще не работать с данной компанией вообще). В остальных случаях, напр. при открытии аккаунта в банке или подключении к сотовому оператору (или при регистрации на "обязательных" гос.сайтах) — никто не будет переделывать договор "под вас", и у всех остальных банков/операторов договора обычно не лучше этого.


Иными словами: да, никто не читает TOS, и на это есть объективные причины.

Я в это время ещё им пользовался — всё нормально работало.

Скорее всего этот "последний раз" был довольно давно. Pigdin на компе (плагин lurch) и Conversations на андроиде поддерживают OMEMO вполне нормально. Но стандартная беда XMPP — слишком много XEP-ов и слишком разная их поддержка везде, поэтому шифрование-то работало, а вот чтобы сообщения ещё и на все устройства нормально приходили, да ещё и чтобы история на всех устройствах сохранялась — это уже требует вдумчиво подбирать как клиенты, так и сервер. И когда я от этого цирка устал — я перешёл на Keybase, который всё это (и многое другое) делает из коробки.

Information

Rating
155-th
Location
Харьков, Харьковская обл., Украина
Date of birth
Registered
Activity