Opublikowane we wtorek śledztwo dziennikarskie portalu IStories, dla którego wypowiadałem się w charakterze eksperta, pokazuje powiązania Telegrama ze Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej – FSB....
Ponieważ XMPP nie jest na dzień dzisiejszy potencjalną alternatywą, przynajmniej nie w zakresie prywatnej, szyfrowanej komunikacji. Mówię to z żalem, jako osoba, która odpaliła i zarządzała kilkoma serwerami XMPP już ponad dekadę temu. XMPP znacznie się poprawiło przez te lata, ale jeszcze sporo mu brakuje do zapewnienia odpowiedniego poziomu bezpieczeństwa:
OMEMO is not the worst attempt at making XMPP encrypted (see: XEP-0027 for that), but it still doesn’t meet the bar for the kind of private messaging app that Signal is, and is not a viable competitor to Signal.
To understand why this is true, you only need check whether OMEMO is on by default (it isn’t), or whether OMEMO can be turned off even if your client supports it (it can).
Cały post jest wart lektury, nurkuje w problemy z XMPP znacznie głębiej. Warto też przeczytać bardziej ogólny post Soatoka (linkowałem go w tym wątku poprzednio): soatok.blog/…/what-does-it-mean-to-be-a-signal-co…
W artykule nie sugeruję też np. Cwtch, który moim zdaniem jest ciekawszym podejściem do stworzenia w pełni szyfrowanej, zdecentralizowanej alternatywy dla scentralizowanych komunikatorów – ponieważ artykuł w OKO.press kierowany jest do osób raczej nietechnicznych, a Cwtch nie jest jeszcze gotowy na takie osoby korzystające.
I bardzo dobrze. Szanse na wywrócenie stolika się pojawiają regularnie, tylko trzeba być na taką szansę gotowymi.
Fedi było sobie w cieniu i rozwijane po cichu przez dekadę zanim Musk przejął Twittera – a wtedy było już ~gotowe, i dużo na tym zyskało. Tak samo Lemmy.
Więc jak najbardziej taka praca u podstaw jest niezbędna i cenna.
Zdecentralizowane system też, choć oczywiście trudniej je kontrolować (o ile są wystarczająco rozproszone).
Nie można już w spokoju polecać usług komunikacyjnych, które nie są federowane.
Pewnie. Bardzo chciałbym, by istniała realna, zdecentralizowana alternatywa dla Signala, która zapewnia taki sam poziom prywatności i bezpieczeństwa. Ale jeszcze jej nie widziałem. Polecanie osobom korzystającym z Signala czegoś, co nie zapewni im podobnego bezpieczeństwa, jest nieodpowiedzialne.
Zdecentralizowane projekty, które wydają mi się obiecujące w tej przestrzeni (nie mówię, że inne nie istnieją, to bardzo subiektywna lista):
Pracowałem z dziennikarkami i dziennikarzami śledczymi oraz ich źródłami, w tym osobami zajmującymi się publikacją Panama Papers. Odpowiadałem za ich bezpieczeństwo cyfrowe. Z mojego doświadczenia wynika, że wspieranie w jednej aplikacji szyfrowania end-to-end i wiadomości nie szyfrowanych w ten sposób wcześniej czy później doprowadza do tego, że ktoś nie ogarnia różnicy i komunikuje się w sposób nie szyfrowany end-to-end będąc przekonanym, że komunikacja jest w pełni szyfrowana.
Mało tego, nawet jeśli dana osoba korzystająca jest w pełni uważna i nie popełni sama takiego błędu, sam fakt istnienia możliwości wysłania wiadomości nie szyfrowanej end-to-end oznacza możliwość przeprowadzenia tzw. “downgrade attacks”.
Moim zdaniem, podpartym ponad dekadą doświadczenia w cyberbezpieczeństwie, tworzenie aplikacji, która miesza szyfrowanie end-to-end z nieszyfrowanymi wiadomościami jest skrajnie nieodpowiedzialne.
Jeśli możliwe jest wsparcie szyfrowania end-to-end w danej aplikacji, nie ma żadnego powodu, by jakakolwiek komunikacja odbywała się w jakikolwiek inny sposób.
Autor blogu jednak stwarza wrażenie, że protokoły Matrix lub XMPP/OMEMO są słabe.
Nie “stwarza wrażenie”, a “oferuje swoją ekspercką opinię o tych protokołach, podpartą kupą doświadczenia i wiedzy, oraz dogłębną analizą.” To nie jakiś random z Internetów, a ekspert szeroko znany w kręgach związanych cyberbezpieczeństwem.
Aplikacja może bardzo dobrze uniemożliwić obniżenie poziomu komunikacji do postaci niezaszyfrowanej i odmówić przyjęcia komunikacji niezaszyfrowanej, nawet jeśli protokół pozwala również na pisanie komunikatorów bez szyfrowania
Może, ale jest to dodatkowa rzecz, która musi być dobrze, poprawnie zaimplementowana, i nie zepsuta przypadkiem w następnych wersjach. Kolejny skomplikowany element i tak już nieprawdopodobnie skomplikowanego systemu. A Matrix nie ma zbyt dobrej historii nie popełniania durnych błędów w implementacji własnego protokołu: arstechnica.com/…/matrix-patches-vulnerabilities-…
Mało tego, musi to też być dobrze zakomunikowane dla osób korzystających, które będą musiały zrozumieć to, że jakaś część komunikacji w danej aplikacji może być nieszyfrowana, i uważać na to, czy w danym momencie komunikują się w sposób szyfrowany, czy nie.
Powtarzam: tworzenie takich aplikacji jest nieodpowiedzialne. To zastawianie pułapek na osoby implementujące, oraz na osoby korzystające. Nie ma tu absolutnie żadnego usprawiedliwienia.
W powiązanym temacie, bezpieczne aplikacje internetowe są możliwe, nawet w świecie, w którym przeglądarki rozumieją niezaszyfrowany protokół HTTP.
Tak, i ataków downgrade na HTTPS były dziesiątki. Dekady zajęło doprowadzenie HTTPS to stanu jako takiego bezpieczeństwa. Zamiast powtarzać ten błąd i wystawiać się na takie ryzyko, lepiej po prostu nie wspierać wysyłania nieszyfrowanych wiadomości.
Chociaż nie poprawia to niczego dla prywatnego użytkownika końcowego, fakt, że siły zbrojne ufają niestandardowemu komunikatorowi opartym na Matrix z poufnymi informacjami
Masz rację, to nie poprawia niczego dla prywatnego użytkownika końcowego. Bundeswehra korzysta z własnej wersji klienta Matriksa (BwMessenger) – o ile się założymy, że tryb nieszyfrowany jest kompletnie wycięty? Mało tego, korzysta z niego we własnej, zamkniętej sieci. Idę o zakład, że ta sieć jest dodatkowo szyfrowana na niższym poziomie.
może wskazywać, że sam protokół nie implikuje słabego szyfrowania.
Sam protokół niczego nie “implikuje”, on po prostu dopuszcza możliwość komunikowania się w sposób nieszyfrowany. I to jest problem, którego porządny protokół komunikacji w 2025r. po prostu nie powinien mieć.
Prawdziwym żalem jest to, że obecnie nie wydaje się istnieć żadna aplikacja końcowego użytkownika, która byłaby otwarta, federacyjna, przyjazna dla użytkownika i bezpieczna.
Albo wystąpiłyby techniczne wady, albo byłaby scentralizowana, co narażałoby użytkowników na ryzyko uzależnienia od dostawcy i gównowacenia.
Ryzyko zgównowacenia istnieje zawsze, decentralizacja je zmniejsza. Zmniejsza je również na przykład nie bycie startupem mającym generować zyski dla inwestorów. Signal zarządzany jest przez fundację, która takim startupem bardzo mocno nie jest. Więc akurat nie mam problemu z polecaniem Signala, choć chciałbym, by był federowany rzecz jasna.
Takie gadanie, że wszystko do dupy, tylko utwierdza ludzi w przekonaniu, że to nie ważne, z czego korzystają, skoro wszystko syf. I zostają na Telegramie. Nie wiem, czy to jest efekt, na którym Ci zależy.
Z Facebooka zniknął zdobywający popularność fanpage “Streszczam clickbaitowe artykuły, żebyś nie musiał klikać”. Jego twórcy często wytykali mediom pogoń za klikalnością, absurdalne nagłówki i manipulacje. – W końcu ktoś się za nas wziął i zaczął nas straszyć procesem sądowym – mówią nam...
No jestem ciekaw, jaka jest skuteczność tego narzędzia. Jak wygląda skuteczność w przypadku kobiet? Jak wygląda skuteczność w przypadku osób czarnoskórych? Albo osób z Azji? Idę o zakład, że ta skuteczność będzie bardzo, bardzo różna w zależności od tych charakterystyk.
Ale spoko, Onet, piszcie sobie, że “badacze opracowali algorytm, który potrafi X”.
O borze, to jest jeszcze większa bzdura, niż sądziłem!
Nowy model sztucznej inteligencji może wywnioskować wiek biologiczny osoby na podstawie selfie. Model, nazwany FaceAge, szacuje, na ile lat wygląda dana osoba w porównaniu do jej wieku chronologicznego. Jego twórcy twierdzą, że może on pomóc lekarzom w podejmowaniu decyzji odnośnie do najlepszego sposobu leczenia pacjentów. Na przykład, lekarze mogą zdecydować, że pacjent, który wygląda młodziej i jest w lepszej formie jak na swój wiek, będzie lepiej tolerował agresywne leczenie niż pacjent, który wygląda starzej i jest słabszy, nawet jeśli obaj mają ten sam wiek chronologiczny.
Co dokładnie zatem ten model mierzy? W jaki sposób można zmierzyć jego skuteczność?..
“Algorytm” może sobie wypluwać w zasadzie dowolne wyniki, i nikt nie będzie w stanie tego zweryfikować. Te “wyniki” są zatem kompletnie nic nie znaczące. To jak wróżenie z fusów – ale spoko, jest “AI”, są “badacze”, więc trzeba traktować poważnie. 🤦♀️
Bardzo łatwo jest znaleźć pretekst, by nic z tą sytuacją nie robić, to prawda.
Z drugiej strony, zastanów się, dla ilu osób to Ty jesteś powodem, dla którego są na fejsie. “Bo tam mam kontakt z Gryficową”. I czy nie dałoby się tego zmienić.
Moja rodzina jest cała na Signalu. Pewnie by nie była, gdybym był na fejsie. I tak, mowa również o osobach 60+. Jak ktoś jest w stanie ogarnąć apkę fejsa, jest w stanie ogarnąć apkę Signala.
Mało tego, ogarnięcie apki Signala jest dużo łatwiejsze, bo dużo mniej się zmienia interfejs przez lata. Kiedyś śledziłem zmiany interfejsu i ustawień fejsa, ale w pewnym momencie odpadłem. Za dużo, za często, za bardzo. Więc nie ma nawet argumentu o “przyzwyczajeniu” za bardzo.
To nie jest kaprys. By być na Fejsbuku musiałbym zgodzić się na regulamin Fejsbuka. Mam prawo nie mieć na to ochoty, zwłaszcza w kontekście tego, jak wykorzystują Twoje dane, jak trenują gównoczatboty Twoimi wpisami, i jak Cię sprzedają “reklamodawcom”.
Jeśli ktoś mi mówi, że to “kaprys”, to de facto mówi: “nie będę się z Tobą komunikował, chyba, że zgodzisz się na regulamin Fejsbuka”.
I tak, można to obrócić i powiedzieć to samo o Signalu, tyle że regulamin Signala jest nieporównywalnie mniej problematyczny, niż regulamin Fejsbuka.
„Przede wszystkim Polska stoi dziś przed wyzwaniem związanym ze starzejącą się siecią energetyczną, a zwłaszcza z przestarzałą siecią przesyłową. To właśnie ona stanowi główną barierę dla szybkiego rozwoju zielonej energii i integracji nowych źródeł prosumenckich” – znów Magdalena Dziewguć. „Kluczowe jest więc wdrożenie warstwy danych i inteligentnego zarządzania, które pozwoli na bieżąco monitorować stan sieci i optymalizować jej działanie”.
To brzmi wręcz komicznie – rozwiązaniem na problem starzejącej się sieci przesyłowej nie jest jej rozbudowa, tylko… uruchomienie niezwykle energożernych usług po to, by tę sieć „zoptymalizować”?
Gdy ma się do dyspozycji tylko młotek, każdy problem wygląda jak gwóźdź – brzmi angielskie przysłowie. Google ma do pompowania bajerę AI, więc każdy problem musi mieć rozwiązanie w postaci AI.
„Dla Google’a to nie jest nowość. W ramach globalnej infrastruktury stworzyliśmy własną, zaawansowaną sieć energetyczną, dzięki której nasze usługi, takie jak YouTube, wyszukiwarka czy Mapy Google, są dostępne dla miliardów użytkowników na całym świecie bez zakłóceń” – kontynuuje swoją wypowiedź szefowa Google Cloud Polska. Niecałe pół roku po tym, gdy usługi Google Cloud doświadczyły poważnych zakłóceń w Europie.
Dowożę(M25) już od ponad roku chińczyka za 20pln na godzinę i nienawidzę tej roboty. Mam oszczędności na 3 msc. plus 6k na rower elektryczny. Bardzo lubię programować i klepie sobię kod, kilka godzin tygodniowo, od paru miesięcy (type script). W maju piszę maturę z informatyki po tym jak zrezygnowałem ze studiów...
Przede wszystkim, dobra robota z wyjściem w miarę na prostą ze zdrowiem psychicznym, i z oszczędnościami. To naprawdę bardzo ważne.
Trudno mi się wypowiadać o rynku pracy IT w Polsce, bo ani nie mieszkam w Polsce (od lat), ani nigdy tak naprawdę w nim na serio nie partycypowałem. Robię w IT, ale nie mam dosłownie żadnego papierka – ani inż, ani certyfikatów, nic, serio. Tyle, że od zawsze robię w NGOsach.
Więc to jest może pierwsza porada: zastanów się nad jakąś niszą. Niszą, która dla mnie okazała się świetna, to właśnie IT w NGOsach, ale to jest ciężka sprawa, bo oczywiście NGOsy – zwłaszcza w cebulandii – płacą mniej. Plus tej niszy jest taki, że ważniejszy w niej jest skill, podejście, i zaufanie, niż papierologia i certyfikaty. To też trochę w kierunku tego, co Petros powiedział: w sensie, trochę wypisanie się z wyścigu korposzczurów. Pod rozwagę.
Taką niszą, bajdełej, może być “jestem programistą który umie bardzo dobrze w 3d”. Łączenie skili jest niezłą strategią.
Druga rzecz to to, że to nie jest moim zdaniem problem rozwiązywalny indywidualnie. Łatwiej go zaatakować mając za sobą jakąś społeczność, jakąś grupę – znajomych, współpracowników/czek, ideolo, cokolwiek. To może być lokalny hakerspejs, to może być lokalna wersja Food not Bombs czy innych ruchów społecznikowskich. Albo związek zawodowy. Albo jakaś kombinacja.
Jak nie masz żadnej takiej grupy, poszukaj, spróbuj się gdzieś wkręcić. To oczywiście wymaga czasu i energii, więc nie zawsze jest łatwe do zrobienia. Ale z czasem naprawdę procentuje.
Siatki wsparcia wzajemnego są zajebiście ważne, a kapitalizm próbuje nas z nich wyrwać i uniemożliwić nam partycypację w nich, bo są dla niego zagrożeniem – ot choćby: jeśli masz za sobą taką grupę wsparcia, trudniej będzie Januszowi lokalnego IT-biznesu Cię wyzyskiwać na co dzień. Łatwiej Ci będzie negocjować i domagać się uczciwego wynagrodzenia.
Co do studiów: nie wiem, nie byłem (dawno temu studiowałem filozofię iks-de), ale w mojej niszy nie odczuwam tego braku. Nie mówię, że zupełnie nie ma sensu, ale zdecydowanie nie jest tak, że to jakiś warunek absolutnie konieczny.
Nie jestem prawnikiem, więc trudno mi powiedzieć. Warto spytać może Watchdog Polska, podpowiedzą. Generalnie mi chodzi o to, by poszukać takich rozwiązań, które spowodują, że RSS/Atom będzie wygodniejszym/szybszym/łatwiejszym/tańszym wyjściem dla podmiotów implementujących UDIP, niż inne opcje.
Rozumiem, że angielski jest wspólnym językiem, ale biorąc pod uwagę, że ona jest „dumną Polką”, pomyślałbym, że ona użyłaby Szmera. Moja dziewczyna używa szmera i nigdy nie otrzymuje wiadomości po polsku od „Nicole Polka” (jeśli ona mówi po polsku ponieważ są ludzie polskiego pochodzenia, którzy...
Po pierwsze, daj sobie spokój z tymi “naszymi stronami”, generalnie nie interesuje mnie szufladkowanie. Interesuje mnie przekaz i jego możliwe skutki.
Z tym kwestionowaniem to też ostrożnie, pomysły typu “kwestionuj wszystko” i “rób własny risercz” dały nam ruch antyszczepionkowców i podobne szury intelektualne.
Rozmowa o wyborach w Ukrainie jest jak najbardziej potrzebna, ale ciśnięcie gównoburzy nie jest rozmową. Rozmowa o amerykańskim imperializmie – teraz wchodzącym na jeszcze wyższy, jeszcze bardziej obrzydliwy poziom – również w kontekście Ukrainy jest ważna, ale nie kosztem odmawiania Ukrainie podmiotowości i sprawczości. Słowa mają znaczenie, gdyby nie miały, nie produkowałbyś takiej ich ilości.
“Nadziewasz się” na ten rosyjski przekaz dnia raz po raz, więc winszuję farta, może w totka zagraj?
Jeśli Twój wysublimowany przekaz nie jest jasny dla całkiem sporej grupy odbiorców, to może warto zastanowić się, czy aby skutecznie dobierasz formę przekazu?..
W ukrainie toczy się wojna zastępcza między amerykańskim, a rosyjskim imperializmem. Zachód i rosja zamieniły ukrainę w rzeźnię. A teraz po trzech latach imperialiści chcą rozerwać ją na kawałki i nazwać to ‘pokojem’.
Tak tak, wszyscy bardzo doceniamy, że bohatersko poświęcasz się dla Sprawy i dajesz nam możliwość zasmakowania odrobiny Xitterowej gównoburzy. Dokładnie tego nam tu brakowało, serio. Powiew świeżości. 🤣
Minister ogłasza nowego pełnomocnika. To były poseł Konfederacji (biznes.interia.pl)
Ale trzeba głosować na koalicję bo co to by było jakby konfa w rządzie. 🤡
BlackRock is Suing UnitedHealth for Giving “Too Much Care” to Patients After the CEO was Murdered (medium.com)
Trzymajcie się krzeseł…...
Flagowa instancja Mastodona wkrótce zacznie zabraniać używania scraperów AI, podnosi też limit wiekowy do 16. roku życia » Kontrabanda (kontrabanda.net)
Kolejny krok ku monopolizacji Fediverse (github.com)
Nowe TOS Mastodon.social...
Mieszkańcy Tychów, Łazisk, Wyr i Orzesza wywalczyli sobie powrót pociągu po 24 latach! (www.slazag.pl)
Popularny komunikator Telegram nie jest bezpieczny, ma powiązania z rosyjskimi służbami (oko.press)
Opublikowane we wtorek śledztwo dziennikarskie portalu IStories, dla którego wypowiadałem się w charakterze eksperta, pokazuje powiązania Telegrama ze Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej – FSB....
Ważne zmiany w kontekście planowanego install party -- must read!
Czuję się zobowiązany, żeby poinformować Was o ważnej zmianie, która będzie dotyczyła planowanego install party....
Protesty przeciwko deportacjom w Los Angeles, Trump wezwał Gwardię Narodową (mstdn.social)
Wygląda na to, że Dzieje Się.
kiedy śpicie, mówicie?
oryginalne pytanie od @wendyzespanola...
Popularny fanpage tropiący clickbaity zniknął z Facebooka (www.wirtualnemedia.pl)
Z Facebooka zniknął zdobywający popularność fanpage “Streszczam clickbaitowe artykuły, żebyś nie musiał klikać”. Jego twórcy często wytykali mediom pogoń za klikalnością, absurdalne nagłówki i manipulacje. – W końcu ktoś się za nas wziął i zaczął nas straszyć procesem sądowym – mówią nam...
Ogromne straty Rosji po ataku ukraińskich dronów. "Nawet 30 proc. floty" (wiadomosci.onet.pl)
Signalgate jest poważniejszą wpadką niż dotychczas opisywano (oko.press)
Sztuczna inteligencja określi wiek biologiczny na podstawie zdjęcia (www.onet.pl)
Fatalny błąd ludzi Mentzena. Jego partia zostanie zdelegalizowana (www.rp.pl)
Czy każdy anarchista wie że Facebook to faszysta?
Chumbawamba - Give the Anarchist a Cigarette [pop-rock] (www.youtube.com)
Mniej znany utwór z annałów antyfaszystowskiej poprockowej kapeli....
Awaria sieci energetycznej: Hiszpania, Portugalia, część Francji (www.reuters.com)
Przyczyna nie jest jeszcze znana, ale trwa ogromna awaria europejskiej sieci energetycznej.
ma społeczność, w której ludzie mogą publikować nowe strony lub rzeczy, które zrobili?
powiedziałam komuś że powiem polskim mówcom o ich stronie
Co Robić?
Dowożę(M25) już od ponad roku chińczyka za 20pln na godzinę i nienawidzę tej roboty. Mam oszczędności na 3 msc. plus 6k na rower elektryczny. Bardzo lubię programować i klepie sobię kod, kilka godzin tygodniowo, od paru miesięcy (type script). W maju piszę maturę z informatyki po tym jak zrezygnowałem ze studiów...
Jak możemy zmodyfikować ustawę o informacji publicznej tak, żeby zobowiązać podmioty publiczne do wdrożenia przynajmniej częściowo otwartych standardów?
Dla kontekstu, linkuję do obecnej wersji UDIPu. Mam już na tapet wzięte trzy propozycje zmian legislacyjnych, a są to:...
The Trump Administration Accidentally Texted Me Its War Plans (www.theatlantic.com) angielski
Widziałem post o bocie Nicole, czy jest jakiś powód, dla którego ona nie wysyła wiadomości na Szmer?
Rozumiem, że angielski jest wspólnym językiem, ale biorąc pod uwagę, że ona jest „dumną Polką”, pomyślałbym, że ona użyłaby Szmera. Moja dziewczyna używa szmera i nigdy nie otrzymuje wiadomości po polsku od „Nicole Polka” (jeśli ona mówi po polsku ponieważ są ludzie polskiego pochodzenia, którzy...
Złamana obietnica Władimira Putina. "Zaledwie kilka godzin po rozmowie" (wiadomosci.onet.pl)
Wasalstwo cyfrowe. Google i Microsoft opanowują Polskę. Tusk zapewnia deregulację (oko.press)
Jeszcze sobie Google gębę otwartym oprogramowaniem wyciera.
Przeglądarka Firefox zmienia regulamin i rości sobie prawa do naszych danych i materiałów (www.mozilla.org)
Fragment z regulaminu:...
Kiedy przeglądam "komentarze" na stronie głównej Szmeru, dlaczego nie mogę już kliknąć na przycisk "Dalej"?
Elon Musk’s X blocks links to Signal, the encrypted messaging service (www.disruptionist.com) angielski
Zelenski: Obywatele, którym nie odpowiada brak wyborów w ukrainie mogą sobie przyjąć inne obywatelstwo (i.pl)
W ukrainie ściera się amerykański i rosyjski imperializm (socialistworker.co.uk)
W ukrainie toczy się wojna zastępcza między amerykańskim, a rosyjskim imperializmem. Zachód i rosja zamieniły ukrainę w rzeźnię. A teraz po trzech latach imperialiści chcą rozerwać ją na kawałki i nazwać to ‘pokojem’.