Z wnioskiem formalnym: domyślny niebieski kolor URL na czarnym tle nie jest czytelny. I ciemnoszare logo na czarnym tle też nie za bardzo, ale tego nie muszę próbować czytać.
Dzięki. Przeczytałem jak już dałem radę iiiii… Trochę nie wiem co myśleć. W kwestiach “jak przekonać ludzi” się pewnie zgodzę. Ale jak to w smolnecie, bardziej mnie interesuje jak przekonać siebie i co z tego mam, czy tam ma osoba podobna do mnie. Bo nie wierzę, że wszystkich przekonamy i szczerze to mi się nie wydaje, żebyśmy chcieli wszystkich przekonać.
Smol jest super, lubię smol. Ale żeby te smol społeczności działały, to mogę uczestniczyć w trzech, może pięciu - a ja mam naprawdę dużo czasu. Z zaangażowaniem na poziomie np. mojego na szmerze, czy nie daj boże mojego na lemmy.radio wcale się nie czuję członkiem społeczności (ba, na lemmy.radio chyba mi się ciągle nie chciało założyć konta).
I teraz się zastanawiam, czy jak i tak z tych proponowanych milionów instancji o np. uprawianiu marchwii czy hobby horse mnie zainteresuje z tysiąc, a o pięciu będę pamiętał, to to jest dobrze? Zwłaszcza w świecie postRSSowym, kiedy naprawdę nie mam jak tym całym bajzlem zarządzać, nawet jakby się federował do jednego miejsca. Fedi mi raczej nie zaproponuje algorytmu, który sam będzie wiedział co chcę biorąc pod uwagę jaki sos do kebaba wybrałem 3 tygodnie temu (i dobrze). Ale też nie zapowiada się, żeby mi zaproponowało działające kategorie i wygodną możliwość łączenia i rozdzielania różnych społeczności w katalogi i podkatalogi feedów.
Jakimś case study niech tu będzie mobilizon.pl. Eventów tyle, co kot napłakał, ale za to nie ma np. crawlera do importu. A na jednym centralniejszym mobilizonie mógłbym i tak przefiltrować eventy dla mojego miasta. Niby fajnie, że jest polska instancja, pewnie nikt by nigdy w życiu nie wszedł na .fr, żeby się dowiedzieć co się dzieje w Wałbrzychu. Z drugiej strony możliwość powiedzenia komuś “hej jest jakaś taka strona fajna” wymaga, żeby byli na niej ludzie, bo inaczej fajna nie będzie. Jak każdy sobie założy swoje, to boję się, że szybko wyrobimy sobie opinię miasta duchów - bo 3 na 5 hipesrspecyficznych smol miejsc są zwyczajnie puste i nieżywe.
Hej :) Po pierwsze, dzięki za przeczytanie moich przemyśleń, jestem trochę w sumie zaskoczony tym do ilu osób to dotarło i ile innych lemmisiów postanowiło się odnieść heh Po drugie, dzięki za konstruktywne uwagi! Tak na szybko odpowiem:
Bo nie wierzę, że wszystkich przekonamy i szczerze to mi się nie wydaje, żebyśmy chcieli wszystkich przekonać.
Pewnie że nie, prawdę mówiąc to uważam że jako fedi nie jesteśmy na to gotowi logistycznie i moderacyjnie - przykład Bluskaja, odkąd się zaczął wielki exodus twitterowców, to coraz mniej i rzadziej tam zaglądam, bo mam zalew różnych uspolowych prodemokratów z naprawdę idiotycznymi tejkami, i sporo osób które są po prostu z kopa toksyczne, a prawdę mówiąc w tym momencie mojego życia szkoda mi energii żeby się z nimi kopać, a mój guzik do blokowania też już się zmęczył.
jak i tak z tych proponowanych milionów instancji o np. uprawianiu marchwii czy hobby horse mnie zainteresuje z tysiąc, a o pięciu będę pamiętał, to to jest dobrze?
Bardzo szanuję reductio ad absurdum, ale nie do końca się zgadzam. Nie jestem pewien czy uprawa marchwi jest na tyle złożona żeby wymagała całej instancji, ale instancją o sustainable ogrodnictwie bym się pewnie zainteresował :P Poza tym, wiesz, ze swojego konta na moim malutkim fermentatorium obserwuję całkiem sporo społeczności zewnętrznych - dotyczących i fermentacji, i chleba, i nawet food independence - bo jednak federacja jest fajna, i wchodzę z nimi w dyskusje i interakcje, a nie muszę się na każdej rejestrować, i mnie osobiście taki właśnie model bardzo dobrze leży :)
Zwłaszcza w świecie postRSSowym
Ja tam nadal aktywnie używam czytnika, i co więcej, większość serwerów fedisiowych (Na pewno Lemmy, Mbin, Mastodon, GTS, chyba też Mobilizon, ale głowy nie dam) ma wbudowaną opcję śledzenia feedów, jeśli to jest sposób śledzenia rzeczy do którego jesteś przyzwyczajony i lubisz, to bardzo polecam!
Fedi mi raczej nie zaproponuje algorytmu, który sam będzie wiedział co chcę biorąc pod uwagę jaki sos do kebaba wybrałem 3 tygodnie temu (i dobrze).
Nie wiem tbh czy dobrze, mnie się na przykład bardzo podoba jak Bsky rozwiązał swoje ‘feeds’: Możesz sobie samodzielnie zaprogramować (albo wyklikać w narzędziu) jakie kryteria postów chcesz mieć w feedzie, mogą to być konkretne konta, mogą to być posty z konkretnym tagiem (albo emoji, co mnie się podoba, podejrzewam że dowolny ciąg możesz zapodać), może to być też dowolny miks - na przykład ja śledzę feed ogrodniczy, w który wpadają posty z pre-approved moderowanej listy, pod warunkiem że zatagują posta jako #gardening. Myślę że podobne rozwiązanie dla Fedi byłoby fajne, myślę że nie byłoby trudne do zbudowania, i myślę że prędzej czy później ktoś je zrobi (ale ja niestety nie umiem w kod). Także algorytm może być spoko, pod warunkiem że masz ich więcej do wyboru ;)
Ale też nie zapowiada się, żeby mi zaproponowało działające kategorie i wygodną możliwość łączenia i rozdzielania różnych społeczności w katalogi i podkatalogi feedów.
Akszyli z tego co widziałem jedna z apek właśnie wdrożyła coś takiego, konkretnie PieFed (alternatywa dla Lemmiego). Nie dość że pozwala kategoryzować społeczności według tematu (topics - piefed.social/topics) to jeszcze pozwala użytkownikom robić swoje własne feedy - czyli ‘paczki’ społeczności samodzielnie, według twojego własnego widzimisię (piefed.social/feeds). I to się też wszystko AFAIK federuje :P
Nie będę już odpowiadał na wszystko, bo się rozrośnie strasznie; dzięki za sporo tipów.
Nie wiem, czy to się dalej dla mnie kwalifikuje jako smol, jak jest jeden duży feed łączący te wszystkie małe rzeczy w wielki organizm. Ja bym chciał mieć jednak jedną tożsamość, na jednej stronie, w jednym community, na raz (i może czasem jeszcze nie do wglądu dla zarządzającego moim domowym serwerem jakie persony i społeczności obsługuję).
Może i problemy jednych głośniejszych zbiorów ludzi przykrywających inne mniej głośne są rozwiązywalne algorytmicznie czy narzędziowo, pewnie są. Natomiast no z punktu czucia przynależności, to jak zobaczę 1 post ze społeczności ogrodniczej raz na trzy dni, to on będzie z mojego punktu widzenia napisany przez anonima i przedyskutowany przez anonimów. Może to będzie cenna informacja dla mnie, może nie. Zakładam, że ludzie którzy są faktycznie aktywną częścią tej społeczności, nie są w ogóle zainteresowani tym, czy robią coś dla kogoś takiego przydatnego, czy nie.
Nie wiem już sam czego chcieć i czego używać. Może to prawdziwe web 2.0, czyli blogaski z RSS niepołączone ze sobą nijak pozwalające na jakieś pingbacki i komentowanie wszędzie przez openID to było wszystko czego chcę i wymagam. Chociaż chyba by mi dziś brakowało dawania strzałek w górę, że się zgadzam :D
Myślę że po pierwsze trzebaby popyrgać kijem adminów z @ftdl żeby włączyli federację, bo na razie o ile wiem to ta instancja nie gada z nikim, rozumiem ten wybór i dylemat zresztą, ale to może być jeden z powodów małej ilości wydarzeń (choć uważam że pół tysia to niezły wynik nawet)
za to nie ma np. crawlera do importu.
Możesz skorzystać z tego import.mobilizon.fr, on nie jest ograniczony do jednej instancji ;) Ja z niego korzystam żeby wrzucać wydarzenia na lokalny irlandzki bez problemu. Możesz nawet postawić własny - choćby i lokalnie, to wszystko gada po api, więc powinno się dać. Albo, ponownie, pomolestować adminów FTDL żeby postawili jeden u siebie.
Z drugiej strony możliwość powiedzenia komuś “hej jest jakaś taka strona fajna” wymaga, żeby byli na niej ludzie, bo inaczej fajna nie będzie.
No, prawda, żeby była fajna strona, muszą być na niej ludzie, a żeby byli na niej ludzie, to musi być fajna. Taki Paragraf 22 trochę, ale z drugiej strony to jest problem z kategorii ‘weźmy i zróbcie’ :P Ktoś musi zacząć, samo się nie zrobi. Ale też nie ukrywam, dla mnie tutaj też federacja jest fajną szansą - przepraszam, znowu autopromocja - na ferment.site mam 3 lokalnych userów, i miałem tak zawalony czerwiec do tej pory, że nie miałem nawet czasu nic na niej pisać. Ale strona jest i co więcej, są na niej interesujące treści, i to w temacie - bo mam zasubskrybowane społeczności z innych instancji :) Więc no, da się chyba, a przynajmniej mam nadzieję :)
Pomysł jest fajny sam korzystałem z tego ale przez to że korzysta z Google i przekierowuje ruch do Stanów wracam z powrotem do zabawy z pi-hole i innych rzeczy
Na laptopie za pomocą dockera mam pi-hole więc mogę korzystać z pi hole bez potrzeby konfiguracji w różnych sieciach. Na telefonie mam NextDNS z wieloma listami blokad
Niektóre instancje fediverse korzystają z Cloudflare. Chyba nie znają alternatyw. Na razie też korzystam z Gmaila. Może zmienię go na email Protona, jak się sesja skończy.
Warto, ale to trochę co innego kiedy używają tego normalni ludzie, a co innego, kiedy robi to firma mająca zapewniać niezależność cyfrową w imieniu Unii…
Tak samo jak przedmówca. Z dwojga złego wolałbym, żeby to osoby, które się nie afiszują “suwerennością cyfrową” korzystały z tego co jest obecnie na fali.
To wiem , ale jakoś się muszą pojawić. bo bez choć znikomego poznania 2 osoby nie dostanie zaproszenia 3 osoba :) Dlatego też proszę czy jest dobra duszyczka , czy tez jej brak ?
I tu się tworzy , bądź zamyka koło ,bo poniekąd maile są rozprowadzane w sposób zaproszeń , nikt nie chce nadmiernie pokazać swojego wizerunku i właśnie takie maile tworzy by być poniekąd anonimowym . A tu pytania typu kim się jest… A kim jestem ujawniają potem właściciela i sens posiadania takiej skrzynki przestaje być sensowny poniekąd. Co mogę powiedzieć . Nie jestem złą duszyczką a również dobrą i chętną posiadania takiej skrzyneczki. Nie do niecnych celów a do bycia bezpiecznym. Posiadam konto na jeszcze starym hotmail.com (obecnie outlook.com) jak i przekierowanym gmail pod hotmaila. Ale Jak mam okazję złapania takiego maila to chętnie bym przygarnął taki invite. Co mogę więcej powiedzieć … Proszę :)
Myślę, że gdy przyjdzie czas (że tak to ujmę), żebyś miał tam mejla, to nie będziesz musiał prosić o to obcych ludzi w internecie, tylko ktoś z bliskich ci anarchistek pomoże Ci w założeniu tam mejla. Tak to rozumiem, ale mogę się mylić.
Zgadzam się, że problem z libolm jest naprawdę dołujący. Poza tym, nie zgadzam się w pełni. Autor dyskwalifikuje protokoły z powodu samego faktu, że implementują one również wariant niezaszyfrowany. Nie widzę powodu, dla którego powinniśmy odrzucać bardziej wielofunkcyjne protokoły, o ile możliwe jest zbudowanie interfejsu, który wymusza szyfrowanie.
Pracowałem z dziennikarkami i dziennikarzami śledczymi oraz ich źródłami, w tym osobami zajmującymi się publikacją Panama Papers. Odpowiadałem za ich bezpieczeństwo cyfrowe. Z mojego doświadczenia wynika, że wspieranie w jednej aplikacji szyfrowania end-to-end i wiadomości nie szyfrowanych w ten sposób wcześniej czy później doprowadza do tego, że ktoś nie ogarnia różnicy i komunikuje się w sposób nie szyfrowany end-to-end będąc przekonanym, że komunikacja jest w pełni szyfrowana.
Mało tego, nawet jeśli dana osoba korzystająca jest w pełni uważna i nie popełni sama takiego błędu, sam fakt istnienia możliwości wysłania wiadomości nie szyfrowanej end-to-end oznacza możliwość przeprowadzenia tzw. “downgrade attacks”.
Moim zdaniem, podpartym ponad dekadą doświadczenia w cyberbezpieczeństwie, tworzenie aplikacji, która miesza szyfrowanie end-to-end z nieszyfrowanymi wiadomościami jest skrajnie nieodpowiedzialne.
Jeśli możliwe jest wsparcie szyfrowania end-to-end w danej aplikacji, nie ma żadnego powodu, by jakakolwiek komunikacja odbywała się w jakikolwiek inny sposób.
Zgadzam się na co pisałeś o aplikacjach. Autor blogu jednak stwarza wrażenie, że protokoły Matrix lub XMPP/OMEMO są słabe. Moim zdaniem, to błędne rozumowanie, i obniża wartość wysiłków deweloperów pracujących nad wolnymi rozwiązaniami. Aplikacja może bardzo dobrze uniemożliwić obniżenie poziomu komunikacji do postaci niezaszyfrowanej i odmówić przyjęcia komunikacji niezaszyfrowanej, nawet jeśli protokół pozwala również na pisanie komunikatorów bez szyfrowania. W powiązanym temacie, bezpieczne aplikacje internetowe są możliwe, nawet w świecie, w którym przeglądarki rozumieją niezaszyfrowany protokół HTTP. Chociaż nie poprawia to niczego dla prywatnego użytkownika końcowego, fakt, że siły zbrojne ufają niestandardowemu komunikatorowi opartym na Matrix z poufnymi informacjami (element.io/case-studies/bundeswehr), może wskazywać, że sam protokół nie implikuje słabego szyfrowania.
Prawdziwym żalem jest to, że obecnie nie wydaje się istnieć żadna aplikacja końcowego użytkownika, która byłaby otwarta, federacyjna, przyjazna dla użytkownika i bezpieczna. Nie chciałbym znaleźć się w sytuacji, w której musiałbym polecać jakiegoś komunikatora. Albo wystąpiłyby techniczne wady, albo byłaby scentralizowana, co narażałoby użytkowników na ryzyko uzależnienia od dostawcy i gównowacenia.
Autor blogu jednak stwarza wrażenie, że protokoły Matrix lub XMPP/OMEMO są słabe.
Nie “stwarza wrażenie”, a “oferuje swoją ekspercką opinię o tych protokołach, podpartą kupą doświadczenia i wiedzy, oraz dogłębną analizą.” To nie jakiś random z Internetów, a ekspert szeroko znany w kręgach związanych cyberbezpieczeństwem.
Aplikacja może bardzo dobrze uniemożliwić obniżenie poziomu komunikacji do postaci niezaszyfrowanej i odmówić przyjęcia komunikacji niezaszyfrowanej, nawet jeśli protokół pozwala również na pisanie komunikatorów bez szyfrowania
Może, ale jest to dodatkowa rzecz, która musi być dobrze, poprawnie zaimplementowana, i nie zepsuta przypadkiem w następnych wersjach. Kolejny skomplikowany element i tak już nieprawdopodobnie skomplikowanego systemu. A Matrix nie ma zbyt dobrej historii nie popełniania durnych błędów w implementacji własnego protokołu: arstechnica.com/…/matrix-patches-vulnerabilities-…
Mało tego, musi to też być dobrze zakomunikowane dla osób korzystających, które będą musiały zrozumieć to, że jakaś część komunikacji w danej aplikacji może być nieszyfrowana, i uważać na to, czy w danym momencie komunikują się w sposób szyfrowany, czy nie.
Powtarzam: tworzenie takich aplikacji jest nieodpowiedzialne. To zastawianie pułapek na osoby implementujące, oraz na osoby korzystające. Nie ma tu absolutnie żadnego usprawiedliwienia.
W powiązanym temacie, bezpieczne aplikacje internetowe są możliwe, nawet w świecie, w którym przeglądarki rozumieją niezaszyfrowany protokół HTTP.
Tak, i ataków downgrade na HTTPS były dziesiątki. Dekady zajęło doprowadzenie HTTPS to stanu jako takiego bezpieczeństwa. Zamiast powtarzać ten błąd i wystawiać się na takie ryzyko, lepiej po prostu nie wspierać wysyłania nieszyfrowanych wiadomości.
Chociaż nie poprawia to niczego dla prywatnego użytkownika końcowego, fakt, że siły zbrojne ufają niestandardowemu komunikatorowi opartym na Matrix z poufnymi informacjami
Masz rację, to nie poprawia niczego dla prywatnego użytkownika końcowego. Bundeswehra korzysta z własnej wersji klienta Matriksa (BwMessenger) – o ile się założymy, że tryb nieszyfrowany jest kompletnie wycięty? Mało tego, korzysta z niego we własnej, zamkniętej sieci. Idę o zakład, że ta sieć jest dodatkowo szyfrowana na niższym poziomie.
może wskazywać, że sam protokół nie implikuje słabego szyfrowania.
Sam protokół niczego nie “implikuje”, on po prostu dopuszcza możliwość komunikowania się w sposób nieszyfrowany. I to jest problem, którego porządny protokół komunikacji w 2025r. po prostu nie powinien mieć.
Prawdziwym żalem jest to, że obecnie nie wydaje się istnieć żadna aplikacja końcowego użytkownika, która byłaby otwarta, federacyjna, przyjazna dla użytkownika i bezpieczna.
Albo wystąpiłyby techniczne wady, albo byłaby scentralizowana, co narażałoby użytkowników na ryzyko uzależnienia od dostawcy i gównowacenia.
Ryzyko zgównowacenia istnieje zawsze, decentralizacja je zmniejsza. Zmniejsza je również na przykład nie bycie startupem mającym generować zyski dla inwestorów. Signal zarządzany jest przez fundację, która takim startupem bardzo mocno nie jest. Więc akurat nie mam problemu z polecaniem Signala, choć chciałbym, by był federowany rzecz jasna.
Takie gadanie, że wszystko do dupy, tylko utwierdza ludzi w przekonaniu, że to nie ważne, z czego korzystają, skoro wszystko syf. I zostają na Telegramie. Nie wiem, czy to jest efekt, na którym Ci zależy.
Autor blogu jednak stwarza wrażenie, że protokoły Matrix lub XMPP/OMEMO są słabe.
Nie “stwarza wrażenie”, a “oferuje swoją ekspercką opinię o tych protokołach, podpartą kupą doświadczenia i wiedzy, oraz dogłębną analizą.” To nie jakiś random z Internetów, a ekspert szeroko znany w kręgach związanych cyberbezpieczeństwem.
Nie ma co do tego wątpliwości. Widzialem wiele wysokiej jakości treści tego autora. Nie zmienia to jednak fakto, że w tym konkretnym przypadku doszło do pomylenia “protokołu” i “wdrożeń”, co doprowadziło do błędnego rozumowania.
Na marginesie, uznanie jako ekspert ds. bezpieczeństwa nie uniemożliwia wnoszenia bardziej zróżnicowanego wkładu w debatę na temat komunikatorów: www.messenger-matrix.de/messenger-matrix-en.html
Aplikacja może bardzo dobrze uniemożliwić obniżenie poziomu komunikacji do postaci niezaszyfrowanej i odmówić przyjęcia komunikacji niezaszyfrowanej, nawet jeśli protokół pozwala również na pisanie komunikatorów bez szyfrowania
Może, ale jest to dodatkowa rzecz, która musi być dobrze, poprawnie zaimplementowana, i nie zepsuta przypadkiem w następnych wersjach. Kolejny skomplikowany element i tak już nieprawdopodobnie skomplikowanego systemu. A Matrix nie ma zbyt dobrej historii nie popełniania durnych błędów w implementacji własnego protokołu: arstechnica.com/…/matrix-patches-vulnerabilities-…
Tak, niewątpliwie nie wykonali bardzo dobrej pracy, dostarczając wdrożenie referencyjne. Fakt, że Matrix stał się na tyle ważny, że powstają konkurencyjne implementacje zarówno dla serwera, jak i klienta, dodaje mi jednak nadzieję.
Mało tego, musi to też być dobrze zakomunikowane dla osób korzystających, które będą musiały zrozumieć to, że jakaś część komunikacji w danej aplikacji może być nieszyfrowana, i uważać na to, czy w danym momencie komunikują się w sposób szyfrowany, czy nie.
Powtarzam: tworzenie takich aplikacji jest nieodpowiedzialne. To zastawianie pułapek na osoby implementujące, oraz na osoby korzystające. Nie ma tu absolutnie żadnego usprawiedliwienia.
Aby nie wymagać od użytkowników niezorientowanych technicznie, że zrozumiają, kiedy komunikator zmienia do komunikacji niezaszyfrowanej, aplikacja powinna po prostu odmówić udział uw komunikacji niezaszyfrowanej, nawet jeśli protokół na to pozwalałby w sieci.
Jeśli jednak zgodzimy się, że musimy chronić użytkownika przed samym sobą, Signal również wymaga ulepszenia. O ile wiem, do lutego 2024 roku Signal zawsze przekazywał numer telefonu uczestikom komunikacji. W praktyce umożliwia to przeprowadzenie “downgrade attack”: Jeśli atakujący zakłócił zaszyfrowaną komunikację Signal, użytkownicy mogliby zdecydować się na użycie numeru telefonu i komunikowanie się za pośrednictwem sieci telefonicznej, a więc bez E2EE. Rozumiem, że Signal dziś wprowadził opcję nie podawania numeru telefonu innym użytkownikom. Oznacza to jednak, że jeszcze zapewnia opcję obniżenia poziomu zabezpieczeń komunikacji. Dlatego, jeśli chcemy, aby obniżenie oceny było niemożliwe, Signal powinien całkowicie zrezygnować z numerów telefonów.
W powiązanym temacie, bezpieczne aplikacje internetowe są możliwe, nawet w świecie, w którym przeglądarki rozumieją niezaszyfrowany protokół HTTP.
Tak, i ataków downgrade na HTTPS były dziesiątki. Dekady zajęło doprowadzenie HTTPS to stanu jako takiego bezpieczeństwa. Zamiast powtarzać ten błąd i wystawiać się na takie ryzyko, lepiej po prostu nie wspierać wysyłania nieszyfrowanych wiadomości.
Zgadzam się, że należy starać się unikać błędów z przeszłości. Po prosto nie jestem pewien, czy to oznacza, że powinniśmy porzucić ideę otwartych i interoperacyjnych protokołów, która kiedyś uczyniła Internet dużym i zróżnicowanym.
Chociaż nie poprawia to niczego dla prywatnego użytkownika końcowego, fakt, że siły zbrojne ufają niestandardowemu komunikatorowi opartym na Matrix z poufnymi informacjami
Masz rację, to nie poprawia niczego dla prywatnego użytkownika końcowego. Bundeswehra korzysta z własnej wersji klienta Matriksa (BwMessenger) – o ile się założymy, że tryb nieszyfrowany jest kompletnie wycięty? Mało tego, korzysta z niego we własnej, zamkniętej sieci. Idę o zakład, że ta sieć jest dodatkowo szyfrowana na niższym poziomie.
Nie znalazłem jeszcze żadnych źródeł, które konkretyzowałyby takie szczegóły. Jeśli takie istnieją, chętnie je przeanalizuję.
może wskazywać, że sam protokół nie implikuje słabego szyfrowania.
Sam protokół niczego nie “implikuje”, on po prostu dopuszcza możliwość komunikowania się w sposób nieszyfrowany. I to jest problem, którego porządny protokół komunikacji w 2025r. po prostu nie powinien mieć.
Zaznaczyłem to twierdzenie, które bardzo przypomina to, co @soatok napisał w swoim artykule. Ciągle czekam, aż ktoś będzie w stanie uzasadnić to twiedzenie bez mieszania protokołu z implementacją. Jak już powiedziałem, jeśli aplicacja, z której korzystam, nie umożliwia przejścia na niezaszyfrowaną komunikację, nie widzę powodu (w logicznym, naukowym sensie), dla którego zbudowanie jej na wielozadaniowym protokole, który może również wykonywać różne czynności, miałoby stwarzać jakiekolwiek ryzyko dla bezpieczeństwa. Najgorsze, co mogłoby się zdarzyć, jest to, że ludzie nie będą mogli ze mną rozmawiać, ponieważ moja aplikacja odmówi ich prośbie o niezaszyfrowaną komunikację.
Prawdziwym żalem jest to, że obecnie nie wydaje się istnieć żadna aplikacja końcowego użytkownika, która byłaby otwarta, federacyjna, przyjazna dla użytkownika i bezpieczna.
Albo wystąpiłyby techniczne wady, albo byłaby scentralizowana, co narażałoby użytkowników na ryzyko uzależnienia od dostawcy i gównowacenia.
Ryzyko zgównowacenia istnieje zawsze, decentralizacja je zmniejsza. Zmniejsza je również na przykład nie bycie startupem mającym generować zyski dla inwestorów. Signal zarządzany jest przez fundację, która takim startupem bardzo mocno nie jest. Więc akurat nie mam problemu z polecaniem Signala, choć chciałbym, by był federowany rzecz jasna.
Zdecydowanie zrobili kilka rzeczy dobrze. Wciąż uważam, że centralizacja jest ryzykowna. W Stanach Zjednoczonych, uniwersytety również powinny być niezależne, ale przekonaliśmy się, jak bardzo Trumpiści troszczą się o tę niezależność. Nie znam się na fundacjach, i co mogłoby się stać, gdyby stanęły im na drodze.
Takie gadanie, że wszystko do dupy, tylko utwierdza ludzi w przekonaniu, że to nie ważne, z czego korzystają, skoro wszystko syf. I zostają na Telegramie. Nie wiem, czy to jest efekt, na którym Ci zależy.
Wprost przeciwnie. Właśnie skrytykowałem wadliwą argumentację w artykule, który zacytowałeś, a jeśli chodzi o debatę na temat komunikatorów, apeluję o mniej czarno-białego myślenia. Jak rozumiem, Telegram jest tak zły, jak tylko może być, biorąc pod uwagę, że jest scentralizowany i nie ma E2EE. Ale nie widzę ani pojedynczego “dobrego” komunikatora, ponieważ to bardzo zależy od tego, przed jakim modelem zogrożeń chcesz się chronić. I nie wierzę, że bezpieczeństwo można osiągnać bez wysiłku. Tak jak użytkownicy XMPP lub Matrix powinni dwokrotnie sprawdzić swoje wdrożenie i pradwopodobnie zgłosić błędy, jeśli pozwala na ataki typu downgrade, użytkownicy Signal powinni domagać się większej decentralizacji i lepszej integracji z klientami innych programistów. Wydaję się, że nie leży to w najlepszym interesie użytkowników dbających o bezpieczeństwo, aby Signal żądał jednolitej kultury w odniesieniu do oprogramowanie klienckiego (github.com/LibreSignal/LibreSignal/issues/37#issu…), podczas gdy istnieją deweloperzy klientów, którzy mogą nawet lepiej sobie radzić w kwestii bezpieczeństwa urządzeń (@mollyim).
Ponieważ XMPP nie jest na dzień dzisiejszy potencjalną alternatywą, przynajmniej nie w zakresie prywatnej, szyfrowanej komunikacji. Mówię to z żalem, jako osoba, która odpaliła i zarządzała kilkoma serwerami XMPP już ponad dekadę temu. XMPP znacznie się poprawiło przez te lata, ale jeszcze sporo mu brakuje do zapewnienia odpowiedniego poziomu bezpieczeństwa:
OMEMO is not the worst attempt at making XMPP encrypted (see: XEP-0027 for that), but it still doesn’t meet the bar for the kind of private messaging app that Signal is, and is not a viable competitor to Signal.
To understand why this is true, you only need check whether OMEMO is on by default (it isn’t), or whether OMEMO can be turned off even if your client supports it (it can).
Cały post jest wart lektury, nurkuje w problemy z XMPP znacznie głębiej. Warto też przeczytać bardziej ogólny post Soatoka (linkowałem go w tym wątku poprzednio): soatok.blog/…/what-does-it-mean-to-be-a-signal-co…
W artykule nie sugeruję też np. Cwtch, który moim zdaniem jest ciekawszym podejściem do stworzenia w pełni szyfrowanej, zdecentralizowanej alternatywy dla scentralizowanych komunikatorów – ponieważ artykuł w OKO.press kierowany jest do osób raczej nietechnicznych, a Cwtch nie jest jeszcze gotowy na takie osoby korzystające.
Swojego czasu stworzyłem też na Kontrabandzie poradnik na temat wchodzenia w XMPP: kontrabanda.net/…/jak-korzystac-z-xmpp-zakladanie… no i był dość wysoko oceniany. Jedna osoba nawet napisała, że “poradnik jest jasny i klarowny”, więc no… przynajmniej dla mnie to jest coś.
Pozostaje mieć nadzieje, że kiedyś bedzie szansa na “wywrócenie stołka”. Ja tylko dodam od siebie, że np. zacząłem kontrybuować do kodu Monocles Chat z usprawnieniami interfejsu.
I bardzo dobrze. Szanse na wywrócenie stolika się pojawiają regularnie, tylko trzeba być na taką szansę gotowymi.
Fedi było sobie w cieniu i rozwijane po cichu przez dekadę zanim Musk przejął Twittera – a wtedy było już ~gotowe, i dużo na tym zyskało. Tak samo Lemmy.
Więc jak najbardziej taka praca u podstaw jest niezbędna i cenna.
wolnyinternet
Ważne
Magazyn ze zdalnego serwera może być niekompletny. Zobacz więcej na oryginalnej instancji.