Рубрика развивается при поддержке HP logo Advertisement

Пост Дурова за 10 января

По просьбам трудящихся перевожу пост за 10 января

Дуополия Apple-Google

Дуополия Apple и Google представляет собой гораздо большую проблему для свободы, чем Twitter (я подробно рассказывал об этом прошлым летом https://t.me/durov/122). Apple опаснее Google, потому что может полностью контролировать, какие приложения вы используете, в то время как на Android вы можете устанавливать приложения с помощью файлов APK – вот почему я призываю пользователей перейти с iOS на Android. Это самое малое, что они могут сделать для сохранения доступа к свободному потоку информации. Что касается iOS, мы работаем над многофункциональным веб-приложением, которое будет работать в Safari почти так же плавно, как и нативное приложение. Конечно это не то, но лучше, чем ничего.

Открытие исходного кода сервера

Публикация кода для сервера не гарантирует конфиденциальности, потому что, в отличие от кода клиента, нет возможности проверить, выполняется ли тот же код на серверах. Вам даже не нужен код сервера для проверки целостности секретных чатов — они надёжны независимо от работы серверов, в чём и заключается их смысл.

Иначе говоря, публикация кода для сервера не поможет проверить секретные или облачные чаты и будет просто маркетинговым ходом, не имеющим ничего общего с безопасностью.

Я: код приложений Telegram открыт. Это поддаётся проверке. Ни одно другое приложение не имеет возможности проверить сборки на всех мобильных платформах. Код WhatsApp закрыт и намеренно запутан.

Сбитый с толку пользователь: вывсёврёти, код ваших серверов закрыт!

Я: так почему бы просто не опубликовать серверный код, даже если это всего лишь маркетинговый ход? 3 года назад я узнал, что авторитарный режим (попробуйте догадаться, какой) искал способ заполучить код сервера Telegram. Их план состоял в том, чтобы запустить собственное приложение, а затем заблокировать все остальные социальные сети в стране.

Узнав об этом, я отложил наши планы по публикации кода сервера. Я не хотел давать диктаторам инструменты для порабощения их населения. Мы не готовы предать наши ценности, потому что несколько сбитых с толку пользователей думают, что публикация серверного кода каким-то образом улучшит его верифицируемость.

Рекламная платформа, заботящаяся о конфиденциальности

Мы никогда не будем заставлять вас смотреть 30-секундные ролики в Telegram. Если мы когда-нибудь добавим рекламу, она будет отображаться только в крупных каналах, которые дороги в обслуживании из-за затрат на сервера и трафик (например, канал @durov), и не будет таргетированной (в отличие от Facebook). То есть без сбора личных данных, профилирования пользователей и т.д. И если вы не подписаны на такие каналы (которых нет ни в одном другом приложении для обмена сообщениями), вы не увидите её.

Американские защищённые приложения

Я не понимаю, как можно сравнивать эти два приложения. Telegram - это многофункциональная платформа по типу социальных сетей, которую вы можете использовать во избежание монополии Facebook-WhatsApp. Signal представляет собой одну из функций Telegram – секретные чаты. Если вы считаете, что вам нужно отдельное приложение только для этой функции, значит в его установке есть смысл. Лично я считаю, что секретные чаты гораздо удобнее и безопаснее. После PRISM мне трудно доверять чему-либо из США, не говоря уже о криптографах, финансируемых правительством США. Я объяснил свои рассуждения ещё в 2017 году: https://t.me/durov/59

Защищённость секретных и удобство облачных чатов

Безопасное облако Telegram – это функция, которую хочет большинство наших пользователей, и одно из конкурентных преимуществ Telegram – оно обеспечивает бесшовную синхронизацию нескольких устройств с доступом к истории, огромным групповым чатам и каналам, отправку больших файлов, минимизацию использования пространства на вашем телефоне, отсутствие потери сообщений, даже если вы потеряете свой телефон и многие другие замечательные функции, которые снижают пропускную способность, потребление батареи и использование пространства на вашем устройстве.

Меньшинство, которое не хочет ничего из этого и хочет максимизировать безопасность, принося в жертву удобство использования, может использовать секретные чаты в Telegram или установить любое из приложений, в которых есть только секретные чаты и ничего кроме них. Но мы не собираемся кастрировать Telegram, удаляя десятки его замечательных функций, потому что некоторые люди попались на удочку маркетинговыми уловками наших конкурентов или слишком ленивы, чтобы пользоваться секретными чатами, когда они думают, что они им нужны. Я подробно рассказал об этом в 2017 году https://t.me/durov/57

Безопасное общение

Секретные чаты хранятся только на одном устройстве. Резервное копирование и синхронизация снижают безопасность, поскольку любая из конечных точек может быть взломана. Безопасная связь всегда должна зависеть от устройства - в идеале у вас должен быть дополнительный телефон с сим-картой, зарегистрированной на случайного человека, и нужно использовать его только там, где вы редко бываете со своим обычным телефоном, конечно же без использования личного аккаунта Google/Apple. Всё остальное - это лишь иллюзия безопасности, потому что и iOS, и Android имеют множество бэкдоров, которые могут использоваться спецслужбами для взлома вашего телефона и доступа к личным данным.

Хеширование телефонных номеров

К сожалению, хеширование телефонных номеров не панацея, поскольку их легко изменить. Вам даже не придётся перебирать все номера телефонов и хешировать их, потому что вы можете сначала получить номера всех людей, которые подписались на сервис в конкретной стране. В исследовании (https://encrypto.de/papers/HWSDS21.pdf) говорится, что в сентябре прошлого года исследователи определили номер телефона каждого пользователя Signal в США. Итак, вам нужно лишь захешировать результаты, и у вас появится довольно крупная база данных, чтобы найти каждый хешированный номер телефона, который вы перехватываете для расхеширования.

Команда Signal попыталась исправить этот баг, используя проприетарную функцию чипов Intel под названием SGX, но оказалось, что эти чипы неоднократно подвергались бэкдорингу и взламывались, последний раз в июне (https://arxiv.org/abs/2006.13353). С тех пор люди указывали (https://medium.com/@maniacbolts/signal-increases-their-reliance-on-sgx-f46378f336d3), что хеширование контактных номеров с помощью SGX далеко от надёжного и создаёт иллюзию безопасности, фактически не обеспечивая её.

Поскольку Signal хранит личные данные пользователей на Amazon, который сотрудничает с правительствами разных стран, списки контактов пользователей Signal сложно назвать неуязвимыми. Мы максимально повысили безопасность ваших данных, создав нашу собственную распределённую зашифрованную облачную инфраструктуру, о которой я писал здесь https://t.me/durovschat/544164 Мы постоянно изучаем новые способы для повышения защиты данных, но, на наш взгляд, номера телефонов, хешированные с помощью SGX, больше похожи на рекламный трюк, чем на то, на что можно положиться.

Как Telegram хранит данные

Telegram не использует сторонние облачные сервисы. Мы создали собственную безопасную облачную инфраструктуру, распределённую по всему миру. Нам потребовалось несколько лет, чтобы создать технологию для мгновенной синхронизации зашифрованных данных между нашими центрами обработки данных и для шифрования локального хранилища в каждом из них таким образом, чтобы сделать бесполезным взлом любого ЦОД и захват серверов. Ключи шифрования для защиты наших облаков разделены на части и никогда не хранятся в одном и том же месте, как и информация, которую они защищают.

Исходя из этого, наш подход более продвинутый и безопасный, чем то, что может предложить Amazon или любой из облачных сервисов общего назначения. А поскольку у нас есть собственная инфраструктура, поставщики вроде Amazon не могут нас заблокировать. К тому же у нас нет иллюзий по поводу Amazon. Когда Россия заблокировала Telegram в 2018 году, мы установили независимые прокси-сервера на AWS Amazon, чтобы наши российские пользователи могли свободно общаться в Telegram. Amazon довольно быстро отказал нам в доступе к своим услугам. Менеджеры Amazon сказали нам, что они должны были сделать это для защиты своего бизнеса, но в результате они также выступили на стороне цензуры. Другие провайдеры, такие как Digital Ocean, были гораздо более полезны, когда дело доходило до настройки прокси-серверов для защиты свободы слова в России и других странах.

{ "author_name": "Владимир Филатов", "author_type": "self", "tags": [], "comments": 37, "likes": 1, "favorites": 2, "is_advertisement": false, "subsite_label": "tech", "id": 325301, "is_wide": false, "is_ugc": true, "date": "Tue, 19 Jan 2021 00:49:10 +0300", "is_special": false }
Advertisement
0
37 комментариев
Популярные
По порядку
Написать комментарий...
3

дуополия блять

Запизделся Паша

Ответить
0

Ну а какая компания ещё имеет влияние на мобильном рынке приложений?

Ответить
2

 Узнав об этом, я отложил наши планы по публикации кода сервера.

Ну охуеть. Выйти в опен-сорс - это предоставить возможность сообществу делать аудит кода.

 Их план состоял в том, чтобы запустить собственное приложение, а затем заблокировать все остальные социальные сети в стране.

Это вообще дичь какая-то. У Дурова копирайтер - пятиклассник?

Пост - говно, хуёвый самопиар.

Ответить

Интеллигентный ящик

2

Я не понял, что конкретно нужно вынести из его сообщения? Сначала он пишет как же хорош телеграм и следующим же текстом разъебывает сам себя.

Ответить

Интеллигентный ящик

Владимир
2

Их план состоял в том, чтобы запустить собственное приложение, а затем заблокировать все остальные социальные сети в стране.

Узнав об этом, я отложил наши планы по публикации кода сервера. 

Паша же боролся с блокировкой телеги. Вот смысл этого абзаца я вообще не понял.
К сожалению, хеширование телефонных номеров не панацея, поскольку их легко изменить.

Это может показаться безумием, но можно не использовать телефонные номера.
Как Telegram хранит данные

Как у нас "читали" телеграм. Заходишь в папку к пользователю и копировали весь профиль. Ты в чужом телеграме. Где он там что шифрует то? Какие ключи нахой? То, что нужно задавать еще пароль, чтобы блочить профиль это такой же необязательный шаг как и создание секретных чатов.

Ответить

Интеллигентный

Интелли…
1

Signal представляет собой одну из функций Telegram – секретные чаты. Если вы считаете, что вам нужно отдельное приложение только для этой функции, значит в его установке есть смысл.

Ответить

Интеллигентный

Интелли…
3

Блять да весь этот текст можно копировать и под всем подписывать wat.

Ответить

Хрупкий украинец

Интелли…
0

Комментарий удален по просьбе пользователя

Ответить

Интеллигентный

Хрупкий
0

Ну я вроде за сигнал и не тащу, а с этим пусть сигнал разбирается. Может быть Паша думает, что сигнал все в плейнтексте хранит, не знаю, к чему он на амазон наехал.

Ответить

Хрупкий украинец

Интелли…
0

Комментарий удален по просьбе пользователя

Ответить

Интеллиген

Хрупкий
1

А поскольку у нас есть собственная инфраструктура, поставщики вроде Amazon не могут нас заблокировать.

Об этом он в последнем абзаце пишет и это скорее про независимость от амазона. Он называет уязвимостью то, что могут закрыть доступ к серверам на амазоне? Я что-то сомневаюсь, что его дата-центры без электричества например долго протянут, которое внезапно тоже можно отключить. Или он у Маска солнечных батарей закупил?

Ответить

Условный Влад

2

Комментарий удален по просьбе пользователя

Ответить
0

Дуров, пост или телеграм?

Ответить

Условный Влад

Владимир
0

Комментарий удален по просьбе пользователя

Ответить
0

Ну сегодня выкатил новый пост, так что вероятно да.

Ответить

Условный Влад

Владимир
1

Комментарий удален по просьбе пользователя

Ответить
0

Он и до этого не светился

Ответить

Условный Влад

Владимир
1

Комментарий удален по просьбе пользователя

Ответить
0

А, ну видимо боится коронавируса.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Так он вроде не так давно про кремниевую долину писал

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Ну волосы уже давно заменили.

Ответить
1

оригинал погиб или был уничтожен в 2005 году

Ответить
0

Что касается iOS, мы работаем над многофункциональным веб-приложением, которое будет работать в Safari почти так же плавно, как и нативное приложение.

Как он будет делать пуш уведомления из мобильного браузера?

Ответить
0

@Павел Дуров к ответу

Ответить
2

Наверное никак, на деле это будет кастрированный способ общения

Ответить
0

Ну вот он об этом и пишет чуть позже, что это лучше чем ничего.

Ответить
0

Ну он сделал все, что мог. Кто ж виноват, что яблоко так не любит своих юзеров. То одно заблочит, то другое, по желанию левой пятки.

Ответить
0

через апп прокладку, помню было такое

Ответить
0

Так апп же нельзя будет скачать, или че это?

Ответить
0

апп, функция которого слать пуши своих сайтов клиентов)

Ответить
0

На iOS такое есть?

Ответить
0

был стартап на wc лет 5 назад на эту тему, да, оно шлёт пуши от себя, содержимое пушей может же быть любым

Ответить

Хрупкий украинец

0

Комментарий удален по просьбе пользователя

Ответить
Обсуждаемое
Технологии
Прямая трансляция: апрельская презентация Apple-2021
Компания впервые за несколько лет показывает что-то весной.
Интернет
Роскомнадзор потребовал от ФБК удалить видео с анонсом акции 21 апреля
YouTube сообщил авторам, что может заблокировать ролик, если они его не удалят.
Новости
Зеленский предложил Путину встретиться «в любой точке украинского Донбасса, где идёт война»
Президент Украины предложил встречу на фоне новостей о стягивании российских войск к границе двух стран.
Популярное за три дня
Интернет
Краснодарцы создали «правдивый» аккаунт местного водоканала. В организации это посчитали «цифровым экстремизмом»
Настоящий водоканал города обратился в полицию из-за фейкового профиля в инстаграме.
Новости
В книге издательства «Эксмо» нашли сноску о том, что американцы не высаживались на Луну
Редактор книги утверждает, что примечание добавил литературный редактор по своей инициативе.
Животные

Комментарии

null