Разработчики открытого мессенджера Signal раскрыли сведения о целевой атаке, направленной на получение контроля над учётными записями некоторых пользователей. Атака проведена через взлом сервиса Twilio, используемого в Signal для организации отправки SMS-сообщений с кодами подтверждения. Анализ данных показал, что взлом Twilio мог затронуть около 1900 номеров телефонов пользователей Signal, для которых атакующие имели возможность перерегистировать номера телефонов на другое устройство, после чего получать или отправлять сообщения для привязанного номера телефона (доступ к истории прошлой переписки, информации из профиля и адресной книге не мог быть получен, так как подобная информация хранится на устройстве пользователя и не передаётся на серверы Signal)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57641
>Взлом Twilio был совершён с использованием методов социальной инженерииКожаные мешки никогда не были надёжными.
Как и любая система использующая мобилки для верификации. Первый же rogue gate в ss7 нагибает всю модель безопасности, декларируя что нужный номер, оказывается, роамится в зимбабве. А поскольку в ss7 джентльменам верят на слово - так вот и получается что безопасТный месенжер с офигеть-шифрованием-типа довольно быстро, дешево и эффективно отжимается у его обладателя....в этом месте штуки типа tox получают нехилый пойнт: нет центрального аккаунта и серваков, отжимать нечего. Разве что лично ключи конфисковывать у интересных рож, но это совсем другой уровень гимора уже.
tox хорош для общения между любителями опенсорса.Если нужно общаться с обычными людьми delta.chat лучше
> tox хорош для общения между любителями опенсорса.Лично я советую им поставить tox. Он есть на все вкусы, под все что шевелится, от ифона до консольного клиента для линуксоидов который даже на роутере крутится. Так что можно чатиться в удобном формате, а не в виде где какие-то вебмакаки за меня лучше знают как мне красиво, удобно, и вообще.
А заодно я и ботиков научился запиливать под это без напряга. Кто виноват что у libtoxcore апи такое, что даже на сишечке бот едва ли страницу текста занимает? :)
> Если нужно общаться с обычными людьми delta.chat лучше
Основано на емыле? Ну я могу и почтарь поюзать без всяких супер-дупер-программ "основаных на интернет стандартах". Проблема в том что оно не решает ни единой из проблем решаемых Tox'ом. При этом остается централизация, левые хрены которые могут в любой момент устроить цензуру или шпионаж, а то и аккаунты вон тем снести, не говоря про анализ метаданных, социальных графов и коммуникаций. И смысл в этой поделке, соответственно, какой?!
1)Всем говорить установить не знакомую программу - запаришься. Для обычных людей - это ещё один лишний месседжер, которых и так развелось как грязи. Ну не не разбираются люди в ваших интернетах не говоря про протоколы и опенсорс2)Децентрализации в почтовиках нет. Это федеративный и открытый протокол. С почты гула можно отправить на почту яндекс. А с яндекса при желании на свой сервер.
3)В дельтачат - шифрование из коробки. И левые хрены не смогут устроить шпионаж
> 1)Всем говорить установить не знакомую программу - запаришься.В чем разница - посылать их ставить дельтачат или токс?! Зато потом мне очень даже разница - смогу я использовать удобный мне IM клиент, не зависящий от централизованых наглых рож или же эта гребля еще и ничего нового не привнесет - и зачем я тогда силы тратил на это?!
> Для обычных людей - это ещё один лишний месседжер, которых и так развелось как грязи.
И чем это отличается от установки дельтачата, например?
> Ну не не разбираются люди в ваших интернетах не говоря про
> протоколы и опенсорсЯ им могу помочь установить и настроить токса если это именно мне это надо. А если надо им - простите, но... я должен прогибаться под них, чтобы их ублажить, при том что надо им? У меня другие идеи на этот счет.
> 2)Децентрализации в почтовиках нет. Это федеративный и открытый протокол. С почты гула
> можно отправить на почту яндекс. А с яндекса при желании на свой сервер.Во первых почта - это не IM.
Во вторых, вот конкретно яндекс показал себя во всей красе, йопнув мне хождение почты в 2 стороны и ни пикнув ни единой ошибки. При этом входящая почта тоже проиплась. А мне такой сервис точно надо? Даже бесплатно, без смс?
В третьих, как федерация работает лучше всего гугл показал, выпилив мне добрую треть контактов жабы в вечный офлайн. Очень убедительное демо почему "federation suxx".> 3)В дельтачат - шифрование из коробки. И левые хрены не смогут устроить шпионаж
Это все булшит. Они смогут видеть кучу всего. Тайминги, метаданные, социальные графы, и все это можно абузить. На опеннете тут кому-то яндекс как раз акк грохнул с коментом "переписываетесь не с теми". Оно мне надо чтобы каие-то хрены из яндекса решали с кем мне переписываться или лочили ящики за какую-нибудь смену версии браузера? Коммуникационное средство становится средством полисовки, создания неудобств и гимора. Оно такое надо?
>В чем разница - посылать их ставить дельтачат или токс?!Никуда посылать не надо. просто берёшь почту. Удобство для себя.
>Во первых почта - это не IM.
чем докажешь?
>Во вторых, вот конкретно яндекс показал себя во всей красе
Возьми другой сервер
или поставь свой
>Они смогут видеть кучу всего.Уверен что в токсе тоже можно. Ты смотрел протокол токса?
> Никуда посылать не надо. просто берёшь почту.И зачем этот дельта чат мне вперся? GPG в почте я могу и без этих хипстеров с их пыхтонрасией и тайпскриптами юзать.
> Удобство для себя.
Мне не удобна вебмакачья поделка от hype-driven разработчиков. Еще менее удобно когда я не могу уповать на шифрование "заранее". Поэтому я не понимаю какую проблему эта хрень решает, кроме пиара каких-то вебмакак.
> чем докажешь?
Тем что у нее round trip time бывает минутами, что плохо для IM. И файло там отсылается через джеппу. Понятно что при сильном желании и гвоздь можно микроскопом забить, а оно мне надо?
> Возьми другой сервер
Они всегда смогут сделать то же что и яндекс.
> или поставь свой
Очень геморройно сейчас. Надо домен, всякие подписи-шмодписи и проч. А в tox я тупо запускаю прогу, генерится ключ, готово. Быстрее в 100500 раз. И вон того бота нарулить - аналогично, просто запустить бота и добавить в контакты. Не спрашивая ничье ослиное позволение. Круто, быстро, работает. И никто забанить мой "аккаунт" не может. Вообще совсем, он P2P же.
> Уверен что в токсе тоже можно. Ты смотрел протокол токса?
Да, я смотрел. Как минимум это децентрализованый протокол, нет удобной точки для глобальной аналитики. Никакой сервак монопольно не обладает информацией кто с кем, почему и в каком объеме коммуницировал.
Чтобы вообще понимать кто с кем - надо в этой P2P сети участвовать. Для начала. И даже так оно предпринимает некие меры чтобы и айпи напрямую не светить, и через тор работать умеет, и шифрование все же какое-никакое есть везде. По сравнению с емылом это ацкий хайтек, сильно более другой по свойствам. Мыло через тор не то что не работает совсем, но работает хреново и часто теряется. Без этого оно дико палит айпишники. Можно даже прицельно нюкать системы адресата, позырив айпи в почтовых хидерах.
Ты хочешь сказать "айминги, метаданные, социальные графы, и все это можно абузить"
это в tox не возможно?
>В чем разница - посылать их ставить дельтачат или токс?!Посылать можно если людям от тебя что то очень нужно.
Если не сильно нужно - с тобой не будут разговаривать вообще.Tox - vессенджер для интровертов :)
> Посылать можно если людям от тебя что то очень нужно.А если им не очень нужно, то и смысла ими контакты захламлять мало. Пусть какие-нибудь маркетологи желающие спамть всем без разбора этим парятся.
> Если не сильно нужно - с тобой не будут разговаривать вообще.
Ну дык. Сэкономят мне времени, вообще-то это фича.
> Tox - vессенджер для интровертов :)
А дельтачат судя по репам - очередное поделие от вебмакак. Решающее хрен его знает какие проблемы кроме пиара его авторов. FYI, мне хватает общения, настолько что мой danbar number периодически подвергается весьма жесткому стресс-тесту. Усугублять это добавлением в контакты всех подряд в мои планы точно не входит.
>> Если не сильно нужно - с тобой не будут разговаривать вообще.
>Ну дык. Сэкономят мне времени, вообще-то это фича.хм... на работу устраиваешься через tox? Работодатели в очередь не становятся?
это будет похоже на анекдот. смеяться после слова лопата
Гнать этих обычных людей из интернета с конфискацией и дестроем техники и дерьмом которое они сюда притащили типа ркн, ментов итд
> Как и любая система использующая мобилки для верификации. Первый же rogue gate
> в ss7 нагибает всю модель безопасности, декларируя что нужный номер, оказывается,
> роамится в зимбабве. А поскольку в ss7 джентльменам верят на слово
> - так вот и получается что безопасТный месенжер с офигеть-шифрованием-типа довольно
> быстро, дешево и эффективно отжимается у его обладателя.с сигналом это так не сработает.
там прикрутили костыль под названием registration lock, который требует отдельный пин при попытке завести существующий номер на другом устройстве.
но так себе костыль, птушо если ты етот пин забыл, то тебе достаточно неделю не пользоваться сигналом со всех устройств, к которым был привязан номер, после этого registration lock отключится.
после первой регистрации используй пароль для привязки номераэту проблему они наконец-то полечили, это конечно по-прежнему неанонимно, но уже секюрно
> после первой регистрации используй пароль для привязки номераЯ лучше tox использую, там мне никто аккаунт не забанит хоть там как. А если у меня ключ сопрут... ну, они и остальное сопрут и ключ токса пожалуй не самая большая из моих проблем.
> Я лучше tox используюТы бы помимо использования токса ещё бы принял участие в его разработке, прикрутил бы туда поиск людей, контента, паблики,
а то tox так и останется средством общения с одним конкретным человеком, потому что какой смысл в месенжере в котором нет ни одного контакта и ни одной подписки?
Сигнал очередная фигня с привязкой к мобиле, закапываем
По сути, Discord единственный из популярных, не требующий телефона. Единственное, не стоит регать его на временную почту, иначе может проверку потребовать. Создаём новую Gmail почту, регаем на неё Discord и спокойно общаемся
А Gmail всё равно требует телефон, как и другие популярные почтовые сервера, поэтому лучше уж Matrix тогда.
Нафик гмаил, я ему с 2003 года так и не отдал мобилу.
А щас оаутх2 задрал, так что гудбай гмыло.
Я тоже не отдавал. А потом однажды "А введите-ка пароль", "Не, введите ещё капчу", "Не, а давайте ещё кодовое слово", "Да ну нахрен - ну не может быть что это вы! Начните заново". И так - навеки, без апелляции, без техподдержки, только роботы. И почта ушла, вместе с письмами, ютубами и прочим гуглоговном. Ну и хорошо - а то б ещё стал ютубером на свою голову.
Так что, бегите оттуда.
Я сразу настроил чтобы все письма сливались в почтовый клиент.
Сейчас раз в неделю приходится проходить ритуал воскрешения OAUTH2 доступа, в общем мотивация есть :)
>> Сейчас раз в неделю приходится проходить ритуал воскрешения OAUTH2 доступа, в общем мотивация есть :)Странно, у меня в громоптице ниразу не слетала. Бывает полгода не запускаю.
Значит я что то не так сделал в утилитах разработчика, там фиг разберёшься, особенно если это надо раз в жизни.
Нет уж, этот гимор. Лучше сбежать на нормального провайдера и настроить автоматическое перенаправление всей входящей почты на него.
> Сейчас раз в неделю приходится проходить ритуал воскрешения OAUTH2 доступа,ходишь одновременно И через vpn И с российских ip.
> ходишь одновременно И через vpn И с российских ip.Да, а еще мерзавец канкан на вебкамеру не танцует. Вот была охота гадать что очередным вахтерам завтра не понравится, толи юзерагент, толи что линукс использует, толи переписывается не с теми, толи объем или содержимое не такие как у стандартного хомячка, так что давайте забаним, дескать.
О, почта Яндекса так начала активно делать. Пришлось сказать до свидания ящику. Впрочем, не жаль - там лютый треш с рекламой начался, письма читать невозможно.
> О, почта Яндекса так начала активно делать. Пришлось сказать до свидания ящику.
> Впрочем, не жаль - там лютый треш с рекламой начался, письма
> читать невозможно.Бывает и еще веселее. Мне они один ящик просто убили на вход и выход. Без сообщений об ошибках. Заметил я это когда поудивлялся что lkml что-то подозрительно тихий, так не бывает. Оказалось что дронам из яндекса что-то не понравилось.
Еще угарнее переписка с сапортом. Форму заполнить можно. Отвечают они на почту. Я вижу ответ, но ответ на него яндексом сливается в /dev/null точно так же как все остальное. Поэтому сообщить что проблема НЕ решена не получается. FAILBAGS!
> Нафик гмаил, я ему с 2003 года так и не отдал мобилу.мобилу не отдал, но залогинился почтой в андроидосмартфон?
Если у тебя "лапки" - то требует номер мобилы)
Остальные создают акк без оного. Gmail на дроиде, например. Wifi + режим в самолёте.
--
Матрикс кривая и глючная шляпа. IRC или email рассылки, тогда =)
Надо быть безумцем, что бы всерьёз пользоваться гмейлом :) Протонмейл норм, но он в РФ забанен
Не норм так как забанен. Не норм так как не стандартен, не работает со сторонними IMAP и SMTP клиентами, т.е. без своего приложения.
В каком месте он норм? В том, где сливает переписки ФБР?
> По сути, Discord единственный из популярных, не требующий телефона.Оно ещё живое??? Надо же...
N лет назад он требовал номер телефона для проверки/подтверждения. За что был предан анафеме. С тех пор ни разу не понадобился.
В целом, по миру самые популярные это Telegram, Discord и Twitter. В России в основном только первым интересуются, вторые два мало кому нужны, да. Однако, наши Вконтакте и Одноклассники тоже не нужны почти никому за пределами нашей страны. А по факту, Discord удобнее всего для больших сообществ, так как там не просто отдельные чаты или каналы или группы, а так называемые сервера, представляющие из собой единое пространство, где можно сделать сотни текстовых и голосовых каналов, внутри которых, при желании, добавить отдельные топики и т.д. Ещё и ботов там можно продвинутых создавать, что тоже удобно. А роли позволяют скрыть отдельные каналы от кого-то, кому не нужно их видеть. К примеру, можно сделать рабочий сервер, где у каждой команды будет виден отдельный набор своих каналов, а главное начальство будет видеть всё. Или просто сообщество для друзей с разными предпочтениями, где каждый будет брать себе роли в зависимости от того, какой контент нравится. Это довольно удобно, на самом деле
Чужая поляна - ненужно.
Только содружество полян, ака федерация.
> В целом, по миру самые популярные это Telegram, Discord и Twitter.ахахаха, нет
за пределами РФ телегу используют преимущественно уехавшие из пост-СССР и жители диких бантустанов со страшной цензурой
а вот инста, мордокнига и ей месседжер универсально популярны
>> нетПочему нет, когда да?
>>> нет
> Почему нет, когда да?ну вот вы у скольки человек спрашивали? из каких стран? было бы больше 0, согласились бы.
Я в основном общаюсь с западноевропейцами и пока не встречал, чтобы у кого-то не было телеги. Это у нас можно найти полно тех, кто до сих пор пользуется только ватсаппом, или, в клинических случаях, вообще вайбером
> Я в основном общаюсь с западноевропейцами и пока не встречал, чтобы у
> кого-то не было телеги. Это у нас можно найти полно тех,
> кто до сих пор пользуется только ватсаппом, или, в клинических случаях,
> вообще вайберомвот посмотрите например: https://www.similarweb.com/corp/blog/research/market-researc.../
и то, думаю по факту у телеги меньше, чем в этом исследовании
До сих пор требует.
>> За что был предан анафеме.Какого высокого о себе мнения какой-то анонимус с опеннета..
Какой-то анонимус опеннета предал анафеме дискорд, значит сервису капец. Так это не работает.
> Какой-то анонимус опеннета предал анафеме дискорд, значит сервису капец. Так это не
> работает.Сама придумала, сама обиделась? Ибо я такого не утверждал.
У тебя лапки были)
Лет пять спокойно по email юзал и стёр, после введения дебильной цензуры (удалил боты для youtube и дальше усугубил). Ни разу не просил мобилку.
> Лет пять спокойно по email юзал и стёр, после введения дебильной цензуры
> (удалил боты для youtube и дальше усугубил). Ни разу не просил
> мобилку.Бобик, тут такое дело -- ты пять лет спокойно его юзал, а я пять лет даже не помнил, что он существует. У тебя пять лет с ним не было проблем, а у меня пять лет не было проблем БЕЗ него.
Джаббер, токс, бриар.
Свой дискорд и свою почту на гмаил - сами жрите.
Я бы ещё понял почту гдето на гмх или эклипсе, где мобила не нужна, но гмыло настолько задрало своим oauth2 что я от туда сваливаю.
Джаббер это даже не смешно. Ты ещё про icq напиши. Там только полтора старика остались и всё, большинство такие название и не вспомнит даже
Джаббер сервер у меня свой собственный, там остались все кто мне нужен.
Аудио/видео звонки пашут, секурность тсл самоподписного серта на RSA16к - выше некуда.
На молодёж мне положить с болтом, хотели молодёжь вам в понитаун и в тикток.
Ой, знаем мы вот это "все кто мне нужен". Попросишь светануть ростер - там одни боты и канал про ляликс на 5 человек. На телефоне всё равно у всех телега/воцап.
У меня семья и коллеги в джабере.
Телега с её контенгентом мне не интересна.У меня нет ни одного месенгера привязанного к мобиле, тк это архи тупо.
А поскольку это тупо то и адекватных людей в таких месенгерах единицы, что очевидно не стоит траты моего времени.
А как вы решаете проблему синхронизации истории переписки между вашими разными девайсами?
Джаббер досылает/всасывает историю, потери бывают только в общем чате.
> Джаббер досылает/всасывает историю, потери бывают только в общем чате.история хранится на сервере cleartext'ом?
Слушай, ну не надо заливать, ну детский сад тут что ли. Либо у тебя круг общения - это жена и 2 эникея с работы, либо ты звонишь. Ни в какой крупной компании джаббер не подпустят даже близко, ибо убог. А когда ещё надо в домовом чатике что-то спросить, группу какую по интересам найти или проф. сообщество - тут жабир сразу сжухает, ибо никого там нет.
Группы и тп есть в линкеде для работы и всякие форумы по интересам.Просто вы плывёте по течению, а я лично считаю телефонный номер и тем более привязку к нему атавизмом который мастдай.
Какой сервер и клиентов юзаете которые поддерживают видео/аудио если не секрет?
Сервер: просоди и turn для проксирования аудио/видео.
Клиенты: на мобилках конверсатион, на компе дино и миранда (только текст).
Спасибо ! У меня тоже самое, за исключением сервак на шакале/jackal благо всего один единственный статический файл, который легко мигрировать между системами и платформами> на компе дино и миранда (только текст).
Надеялся что здесь что-то поменялось в сторону видео/аудио
Я под венду пока не видел адекватных клиентов.
Pidgin IM
В конверсейшн видеозвонков ещё весной не было, вроде, только аудио.
> Джаббер сервер у меня свой собственныйОплачен собственными битками через собственный тор? И домен тоже свой, и корень, да? И ходишь ты туда исключительно через собственный тор, да? Ох уж эти мамины параноики.
> там остались все кто мне нужен.
Мамка, батя да кот?
Чувак, оно поднято на домашнем сервере, я оплачиваю его с дебетовой-зарплатной карты.
Домен - динднс, бесплатный.
Сертификат - самоподписной.
Нет, мне тор не нужен, достаточно TLS и припиненного сертификата.Мама, жена, дети.
На работе свой джаббер сервер.
Ты походу единственный человек в мире, которой этой чепухой занимается. Джаббер сервер свой, сертификат, чего несёт, про что...
Ну да, надо как всех бухать пиво и смотреть телек.
Играю в понитпун, там кодбейз открыт вроде
А что в xmpp не так? (кроме количества юзеров)
XреньMPP - это один из самых криво спроектированных протоколов: https://about.psyc.eu/Jabber#Technical_Issues_in_JabberНе зря даже те, кто на нём строил свои мессенджеры, сжухли и быстро решительно перешли на свои протоколы.
Может и криво но всполне работает.Месенгеры анально огородились чтобы юзеры не убегали, это их единственный актив, а если они не смогут убежать то можно их насильно монетизировать, хотя бы рекламой.
Попробуй в жаббере юзера помонетизировать, он от тебя свалит на соседний сервер или свой подымет и даже не заметит что что то в жизни изменилось.
Юзер то свалить может с их огороженного сервера, а его контакт лист не сможет.
tox работает через ж, половина сообщений не доходили, даже если оба девайса гарантированно были в сетибриар вообще непонятно каким образом работает
дряхлый и страшный жабер, глючный матрикс (который и ключи теряет периодически) - но они хотя бы работают, это да, факт. Другой анонимности у нас для вас нет.
Тох работает вполне, странно что вы не осилили.
Бриар да, непонятно как но работает.
Жаббер вполне классно пашет.
Анонимность в жаббере - у меня свой сервер. Полная приватность, анонимность условная но без обращения непосредственно ко мне с запросом деанонимизировать не получится.
"А в какой стране или нейтрально-околоплодных водах находится ваш сервер?" - спросил зелёный мимокрокодил в погонах
Пока в РФ, но в ближайший год мигрирует в след за мной.
Смысл в том, что в обход меня туда пролезть не стоит тех усилий по сравнению с тем что там есть.В общем то всё ОРМ строятся на том, что субъект не владеет русарсами к которым получают доступ.
А так получается чтобы читать мою переписку нужно спрашивать моё разрешение, или устраивать маскишоу, но в любом случае годами незаметно это делать не выйдет, как это происходит на чужих сервисах.
Поговаривают у тебя свой жабер сервер? Наверное стоит об этом написать ещё в соседних топиках, а то пока не все узнали, какой ты классный.
> Тох работает вполне, странно что вы не осилили.Нормально он работает, при том для "внутренних" коммуникаций ему даже интернет не надо :)
Матрикс кривой и зумерский. Жрёт несколько гб ОЗУ так как электрон и питон. Сервер тоже на питуне кстати
> По сути, Discord единственный из популярных, не требующий телефона
> Discord
> не требующий телефонаОчень наглая ложь. Оно сначала не требует телефон, и вроде бы даёт зарегистрироваться. И потом сразу же вымогает телефон и почту.
Deltachat наше фсё!!!
да все что угодно чтобы передать gpg
> да все что угодно чтобы передать gpgGpg не спасает от анализа метаданных. Факт коммуникаций, тайминги и объем сами по себе могут быть весьма серьезной утечкой, вплоть до того что можно реконструировать содержимое косвенно.
Чего чего там реконструировать?
Метаданные чего анализировать?
Докатились... Шифрование уже не надежно )))
Тайминги-шмайнинги.. Пуская трафик через tor
чем помешала мобила???
Тем что это лишняя сущность.
А в РФ это ещё и привязано к пасспорту, но даже в нормальных локациях где есть предоплаченные симки это не очень то и хочется.
Просто тупо привязывать аккаунт к устаревшей технологии.
Универсальней этой сущности вариантов нет. Если что я против этой привязки, но что лучше?
Возврат акка через мобилу осуществляется в 5 сек.
Ну а симкм по паспорту - старое "лекарство" еще работает (симка на гасторбайтера). Можно на вирт номер.
> Возврат акка через мобилу осуществляется в 5 сек.И его угон introduce'ом этого номера в далеком зимбабве, путем дачи бабок шустрому типу с вон тем ss7 гейтом - тоже.
> гасторбайтера). Можно на вирт номер.
Есть куча добрых сервисов, даже иногда бесплатных, но во первых это еще менее безопасно, во вторых если кто вымогает номер - с ним все понятно и лучше обойти сторонкой.
Ооо как все сложно )) SS7? Псевдосота не дешевле? )))
Плевать на угон, что взамен угонщик получает? На пару минут владение акком?
А каким? В каком месте используется двухфакторка с этим номером? А если мобила включается только при авторизации, то как провести атаку на номер?
Да и "джамшуты" на себе регают и что? Угнали этот номер или заблокировали, так и хрен с ним.
Новая регистрация нового аккаунта - всех делов то
> Ооо как все сложно )) SS7? Псевдосота не дешевле? )))Гейт ставит в зимбабве ушлый типок желающий бабок руюануть, после чего в аренду сдает целому легиону. И этого добра существует немеряно. Поэтому арендовать номерок на энное время стоит недорого.
Вон там БП развел фсбистов позвонив им с якобы их же номера (лол!). Подгорело знатно, стали уголовку за подделку номера пушить. Можно подумать это отменит техническую возможность. Гейт постепенно операторы заблеклистят по мере предъяв, но за это время пять новых гейтов вылупится.
> Плевать на угон, что взамен угонщик получает? На пару минут владение акком?
Может развести кого-то за это время. Адресно, прицельно, недорого, убедительно. Примерно так у довольно многих известных рож угоняли акки на самых разных сервисах.
> А каким? В каком месте используется двухфакторка с этим номером?
Чем больше используется, тем жестче можно трахнуть владельца этого номера заняв этот номер.
> А если мобила включается только при авторизации, то как провести атаку на номер?
Гейту в зимбабве, право, пофиг. Он просто заявит что с него висит этот номер. В SS7 нет никакой авторизации этого и проч. Может заявить любую фигню, джентльменам верят на слово. Выключен? Отлично, не будет мешаться под ногами и будет еще более похоже что абонент и правда свалил в зимбабве и вылез оттуда.
> Да и "джамшуты" на себе регают и что? Угнали этот номер или
> заблокировали, так и хрен с ним.Ну так иногда кого-то из них и упаковывают по совершенно левым предъявам.
> Новая регистрация нового аккаунта - всех делов то
Понятно что на...ть можно что угодно. Я например могу любой IMEI в сотовую сеть отправить. Нл таки лучше если этим заниматься не приходится...
e-mail формат который используется для электропочты и жаббера и сипа.Возврат акка, если он вам так ценен тоже не проблема ни разу - покупаете свой домен на свои документы и хостенг организуете.
Но я лично не вижу большой ценности в акках, кроме банковских.
И вообще, если нужно рекавери и акк представляет ценность то это всегда должно делатся только с подачей документов, в ущерб анонимности.Это гарантирует что никакой Самодуров и Жукерберг никогда не сможет вас выкинуть со своей платформы и оставить без связи.
Ну и попутно это даёт хорошие гарантии приватности, ибо тогда майоры будут обращатся к вам для чтения вашей переписки а не сливать всё разом без вашего ведома.
При угоне номера, банк тут же блокирует доступ.
Не забалуешь. Выпуск новой сим влечет изменение параметров
> При угоне номера, банк тут же блокирует доступ.Ага, конечно. Можно подумать что банк кто-то об этом информирует.
> Не забалуешь. Выпуск новой сим влечет изменение параметров
Да хрен там, скорость реакции банков на инциденты вообще может быть черепашьей, и в половине случаев пока юзер сам не заблочит карту - всем пофиг. А чего им париться, это же не у них сперли денег. Более того - отспорить что-то с участием банка это еще тот геморрой. Банку не больно хочется лишний раз напрягаться.
Работал с заказчиком, как знакомый опытный админ-советник. Заказчик нанял девопс-контору, которая проектировала инфраструктуру. Кратко: в тех описании инфраструктуры девопсы накидали: кучу managed сервисов (postgre, redis и пр.), managed load-балансеры ..но это ладно. Но когда вместо простой виртуалки с exim-ом они предложили использовать mailgun, с приличной оплатой по сообщениям, я задал вопрос - а нафига? А если рекламная кампания, 1М сообщений - это мы отвалим мейлгану кучу денег? На что девопсы мне ответили "ну это же просто, они предоставляют api, мы его берем и используем".
С смс немного сложнее, поскольку это все-таки не электронная почта, тут нужно "железо" для отправки смс-ок. Но все равно - тенденция к "некомпетентной" разработке уже надоедает, и "некомпетентных" архитекторов/тех диров/разрабов становится больше.
> А если рекламная кампания, 1М сообщений - это мы отвалим мейлгану кучу денег?Лучше деньги закапать в разработку своего сервиса, который нормально начнет работать через месяц-два, а нормальной аналитикой обзаведется не раньше чем к концу года.
Виртуальная экономия теоретиков.
1) По мотивам (ц): нормально ставьте задачи - нормально будет. Вместо извечного "хочу чтоб было заеBEEсь".2) "Не поручайте работу идиотам" (ц). Вместо найма троечников задве копейки.
Задача бизнеса: делать рассылки и получать по ним аналитику.Вы и правда верите, что непрофильная компания с ограниченными материальными и человеческими ресурсами способна сделать что-то хотя бы отдаленно напоминающее успешный сервис, в разработку которого вкладываются миллионы долларов в год?
эти миллионы иду в основном в маркетинг и рекламу.
Лучше бы сделали опенсорсное решение
Нет конечно. Лучше вот так - аж на авторизацию сторонний сервис, через который утечёт всё, что требуется.
А что именно утечет?
Зато и отвечть - им.
Так-то да, в этом плане можно переложить ответственность. Но не факт что в SLA нет пункта "service as is"
лол и што они ответят? "Полшестого?"вон давеча дижитал оушн подломать пробовали - через, внезапно, взломанный мейлчимп, "успешный сервис, в разработку которого вкладываются миллионы долларов в год"
ииии чем бы мейлчимп ДО ответил бы, э?
Деньги, вложенные в собственный сервис, можно считать "закопанными" только если в компании бестолковые разрабы и управленцы. А если у них есть голова на плечах, то собственный сервис - это прежде всего независимость от всевозможных сторонних обстоятельств, типа банкротства хостера, санкций, угона аккаунта и прочего.
Исходя из вашей логики, каждая компания должна создавать собственный датацентр. Не уверен, что готов на полном серьезе обсуждать состоятельность такого подхода для компании с коллективом < 1000 человек.P.S.
Вы и правда верите, что непрофильная компания с ограниченными материальными и человеческими ресурсами способна сделать что-то хотя бы отдаленно напоминающее успешный сервис, в разработку которого вкладываются миллионы долларов в год?
Верить - это удел клиентов OVH и аналогичных хостеров. Которые надувают щёки и на всех углах кричат о своей несокрушимой надёжности, а на деле оказываются фанерными сараями даже без какой-либо мало-мальски действенной системы пожаротушения.
Любой более-менее толковый админ, если он ответственно относится к своей работе и хоть что-то соображает, а не просто повторяет где-то услышанную рекламу, может за вполне умеренный прайс обустроить серверную (именно так называется датацентр в не очень большик компаниях), которая даст сто очков форы по надёжности сараю на другом конце глобуса.
Да и даже без таких масштабных катастроф полно случаев, когда в один прекрасный день админу приходит письмо "Мы закрываемся, у вас есть месяц, чтобы забрать свои данные". У меня такое было, когда закрылся hyper.sh. И это ещё хорошо, когда хоть как-то предупреждают, могут и просто взять и исчезнуть. Например, если модный младоадмин купит IP-камеру видеонаблюдения, привязанную к облачному сервису. Это ж так удобно - установил себе приложение на смартфончик и смотри картинку. А потом открывает он это приложение, а там вместо картинки - дуля. Исчез облачный сервис, как будто его никогда не было. И камера превратилась в тыкву.
И это, заметьте, я пока не касаюсь политических рисков - таких как возможности введения санкций или обязанности перенести данные в свою юрисдикцию.
> даст сто очков форы по надёжности сараю на другом конце глобусаНу давай, рассказывай про свой multihomed шкаф для швабр^W^W^WСЕРВЕРНУЮ, повесели ребят из IX.
Пусть "ребята из IX" сами попросят, если им что-то надо, ок?
> Да и даже без таких масштабных катастроф полно случаев, когда в один
> прекрасный день админу приходит письмо "Мы закрываемся, у вас есть месяц,
> чтобы забрать свои данные". У меня такое было, когда закрылся hyper.sh.ггг только вчера напомнили по поводу закрытия google IoT core
классическое
Dear RECIPIENT,
Fuck yooooouuuuuuuu. Fuck you, fuck you, Fuck You. Drop whatever you are doing because it’s not important. What is important is OUR time. It’s costing us time and money to support our shit, and we’re tired of it, so we’re not going to support it anymore. So drop your fucking plans and go start digging through our shitty documentation, begging for scraps on forums, and oh by the way, our new shit is COMPLETELY different from the old shit, because well, we fucked that design up pretty bad, heh, but hey, that’s YOUR problem, not our problem.
We remain committed as always to ensuring everything you write will be unusable within 1 year.
Please go fuck yourself,
Google Cloud Platform
Пол года-год не хочешь?)
"Нормальной" аналитики там никогда не будет, ибо всё стороннее в браузерах уже года два с половиной как лочат с коробки. Даже Хром. Куки, css, javascript, pixels, css, header и прочее - в пень...
Держи в курсе, «опытный» «админ» «советник». Как только осилишь со своей виртуалки с eximом успешно послать 1М сообщений в рассылку, сразу же пиши сюда.
postfix может на реальном железе, не знаю насчёт виртуалки. а нафиг она нужна?
И постфикс, и экзим справятся с этим с обычного лаптопа за приемлимое время. Проблема далеко не в софтверной части.
Послать осилит, а вот дойдут ли?
В спам)
> В спам)В спам уже достижением будет. На популярных почтовых службах (яндекс, мыло, гмыло, яху и пр.) во многих случаях не дойдет даже до спама, если тупо где-нибудь под NAT на виртуалке поднять exim и начать слать миллионы писем.
Блин, чел, я очень надеюсь, что у тебя все облачные провайдеры работают как надо.
Желаю чтобы ты одним днем не узнал, что мейлган с его API, к примеру, заблокировали в РФ. Чтобы ты в попыхах не искал альтернативу ему среди отечественных провайдеров. А даже если найдешь, то будешь еще раз разбираться с API, делать правки в приложении для использования нового апи. А потом, возможно, урежешь часть функционала приложения, потому что апи отечественного "отправителя писем" не такой фичастый, как тот, что ты юзал. Чтобы у тебя бесперебойно работал какой-нибудь cloudflare в качестве ddos защиты, который в один момент может быть умножен на 0 при помощи DPI от РКН.Чтобы не было такого, что у облачного провайдера не сломался core-роутер (как это было с телеграмом), когда сидишь 6 часов без какой-либо части сервиса, потому что ждешь возобновления работы со стороны поставщика. Таких ситуаций достаточно.
Почитай что такое надежность (не сервисов, а в технике), из чего она составляется, как СНИЖАЕТСЯ надежность.
> Желаю чтобы ты одним днем не узнал, что мейлган с его API, к примеру, заблокировали в РФ.Я не живу и не работаю ни в РФ, ни с клиентами из РФ. Для моих клиентов это менее вероятно, чем одновременный отказ всех датацентров AWS.
> Почитай что такое надежность (не сервисов, а в технике), из чего она составляется, как СНИЖАЕТСЯ надежность.
Почитал. В первом предложении написано, что не бывает абсолютно надежных систем.
Ваще то была американская социалка парлер или как то так, которую авс выкинул со своей поляны.
это неважно, весь смысл облаков в человеческой лени и тупости, а так это дорого и не очень эффективно, уж точно не является универсальным средством и хорошо работает только в некоторых задачах
>Я не живу и не работаю ни в РФ, ни с клиентами из РФ.и я, но как это относится к делу?
>Для моих клиентов это менее вероятно, чем одновременный отказ всех датацентров AWS.Гуппия, рыбка такая которя забывает всё что видела на том конце аквариума :) AWS, тля, _эпически_ !!! лежал всего то в 2017 году. Уже забыли :)
Слушай, опытный советник по давлению прыщей, к твоему ссаному экзиму ещё нужна как минимум аналитика, интеграция с приложением и мониторинг. Вот тебя бы за сальные патлы взять, да и посадить такого маминого советника всё это писать за миску риса (экономия же) - вмиг ощутил прелести глобализации.
Если не секрет, какие сведения надо получать в той аналитике?
Чел, ты можешь назвать хоть пару индикаторов, по которым ты хочешь аналитику?
Аналитику доставки почты от экзима? Ты серьезно? Не, это может быть полезно посмотреть в ELK или грейлоге статистику по доставке почты, но это лично мне, как админу.Или аналитику перехода по ссылкам рекламной кампании, изменению посещения сервиса, объему продаж? Это волнует бизнес - продажи. И аналитика кампаний, посещения и прочего - это не вопрос экзима. Это проблема системы управления сайтом, в ней есть инструменты для обработки статистики. Но точно не почтового сервиса.
Про мониторинг - это для тебя проблема в 2022 году?
Короче говоря, с вами все понятно, я редко пишу комментарии здесь, и не зря. Еще и читать и перестану. Толкового почти ничего не пишется.
Вся эта история с девопсами напомнила:— А вот чего ты никогда не ела, — сказала Алиса, — это брамбулет.
— Такого блюда нет, — сказала Юля.
— У вас нет, а у нас есть.
— Из чего же твой брамрулет делают?
— Не брамрулет, а брамбулет. Я его сама готовить умею. Ты берёшь обыкновенный мангустин и жаришь его в петеяровом масле минут пять.
— Значит в петеяровом?
— Именно в петеяровом.
— А если я хочу в сливочном?
— Тогда ничего не получится.
— А из чего делают петеяровое масло?
— Из ангельдинских петеяров, разве непонятно?
— Совершенно понятно. Обожаю ангельдинские петеяры. А обычные мангустины ты откуда достаёшь?
— Как откуда? Из Индии.
— Так ты, оказывается, кулинар-искусник.
— Да что с тобой разговаривать, все равно не поверишь! — сказала Алиса.
— Знаешь, мне кажется, что я уже всему поверю.(с) "Сто лет тому вперед" (фильм =Гостья из будущего= )
> А если рекламная кампания, 1М сообщений - это мы отвалим мейлгану кучу денег? На что девопсы мне ответили "ну это же просто, они предоставляют api, мы его берем и используем".Много вопросов, мало ответов. Рекламный спам - это обычно отдельная история, непонятно зачем она была в инфраструктуре. Там много подводных камней, как-то попадание в спам списки и отказы доставки. Кто потом это все на том эксиме будет мониторить? Кто будет удалять этот эксим из черных списков? Конечно, если цель бухнуть 1М писем куда-то в пустоту без заботы о надежности этого процесса, то можно и эксимом. Но это уже не про инфраструктуру.
>мы ниасилили forЗачотно.
чисто для сведения профи, топящих в этом тредике про явное превосходство "успешный сервис, в разработку которого вкладываются миллионы долларов в год"оставлю ссылочку, демонстрирующую, к чему может привести аутсорсинг на такие успэшныэ сэрвисы
https://www.digitalocean.com/blog/digitalocean-response-to-m...
интересно, чему это научит дижитал оушн.
вдогонку, из собственного опыта - при рассытке транзакционных смс бывало, что время от времени клинил даже гейт опсоса, по полдня приходилось держать очередь повернутой тупо в сторону гсм модемов.
а рассылка через вайберы с вацапами, которую саутсорсили в сторону успэшного сэрвиса, вставала рачки регулярно раз в две недели. не считая ВНЕЗАПНЫХ блокировок из-за перерасхода.
> С смс немного сложнее, поскольку это все-таки не электронная почта, тут нужно
> "железо" для отправки смс-ок. Но все равно - тенденция к "некомпетентной"ничем не сложнее, отправляется на опсосовский гейт по договору с опсосом. железные gsm модемы только для резерва.
Стоило тратить время, силы, деньги на защищенные протоколы, 2FA и прочие безопасные компоненты, что-бы потом нанять чайников в тех. поддержку с доступом в "систему поддержки клиентов", которых как лохов развели на фишинге
Об чем речь? Твило или Сигнал не устроил?
Когда уже хлебушки поколения айфонов поймут простые истины?
- Зарегался по номеру телефона? Теперь об этом знает весь мир.
- Залил что-угодно в облако? Теперь твои данные больше не твои.
- Поставил приложение в тилибончик? Теперь его автор знает о тебе всё.
- Доверился хайпу от модного стартапа и воспользовался его сервисом? Через месяц выяснится что его кодили индусы за миску риса и все твои данные за 10 секунд скачал малолетний какер.Это чтобы не было потом удивительных открытий.
))) Родился - знает роддом
Помер - годами никто не знает )))
Квитанции по ЖКХ соседке идут 5-й год ))) Она все еще прописана в хате, хотя тело уже давно на кладбище.
Страшный учет в РФ компенсируется страшным пофигизмом
Ну это пока ты никому не нужен...
При желании можно слиться по-взрослому.
Важно соблюдать элементарные правила
> Когда уже хлебушки поколения айфонов поймут простые истины?
> - Зарегался по номеру телефона? Теперь об этом знает весь мир.
> - Залил что-угодно в облако? Теперь твои данные больше не твои.
> - Поставил приложение в тилибончик? Теперь его автор знает о тебе всё.- А вот у меня крутой уникальный пароль! Его даже гугл не знает! Я проверил!
- Теперь знает...
Госуслуги, блин) Крамольнее всратых максимально подробных перс данных почти ничего нет...
Девайс с медиа и доступом в инет = дыра)
У тебя apple\android gms = привет анальный зонд)
Ну это вообще лох, такие всегда и офлайн были. Чумак, Кашпировский, МММ, цыгане, Сбербанк...Лох не мамонт, лох не вымрет. Мавроди прав. Вопрос закрыт)
Ногами то ходить везде, да в очередях торчать зачетно
А самое главное, полезно для здоровья )))
поцоны.. нас обманули, айда взад на irc, там как раз utf8 уже везде завезли )
Поздно! Уже зашифрованных голубей закупили.
Поздна, зумерье без картиночек с мемасиками и эмодзей жить не может.
Deltachat можно использовать. Привязки к телефону нет, т.к. это по сути почтовый клиент. Сообщения шифруются. Правда пока нет видеозвонков, но разрабы в этом направлении что-то делают.
есть ужедавно. через jitsi meet
Значимость СМС растёт, теперь фиг что создашь аккаунт без СМС.
Надо законодательно регулировать и номер телефона должен принадлежать людям а не операторам!
На стройках гастеров не стало меньше. Они тебе помогут зарегаться где хочешь )
А ты не думаешь что такая регистрация проживёт ровно до тех пор, пока к гастробайтеру не подойдёт следующий регистрант или пока заброшенная симка не получит нового владельца?
Ништяк. Заносите новую симку - будем регаться снова )
> Ништяк. Заносите новую симку - будем регаться снова )И заново оплачивать все завязанные на ящик платные аккаунты ...
Ааа у тебя таааак?
Ну тогда обрати внимание, что есть резервная почта для восстановления и возможность смены номера телефона )))
Так это и есть тот самый ящик, в который присылается пароль для восстановления другого гуглоящика.
Гастер пошлёт подальше.
> Значимость СМС растёт, теперь фиг что создашь аккаунт без СМС.
> Надо законодательно регулировать и номер телефона должен принадлежать людям а не операторам!Номер можно подменить, открывая шлагбаум, например.
Костыли и "шерето" эти SMS и двухфакторка с мобилками.Ну будет принадлежать. Что толку, если технически на время забрать можно.
>mailgunВсе что-то старательно пытаются не вспоминать, у кого спёрли через него базу рассылки.
"открытого мессенджера Signal"
Стопэ! Какого, к чёрту, открытого?! Защищённого!!!)Открытого - это Matrix и т.п. Где сервер и клиент можно что копать, что хостить и форкать)
> "открытого мессенджера Signal"
> Стопэ! Какого, к чёрту, открытого?! Защищённого!!!)
> Открытого - это Matrix и т.п. Где сервер и клиент можно что
> копать, что хостить и форкать)https://github.com/signalapp/Signal-Server
форкай на здоровье
Боб, там тебе Элис в матрикс не может дописаться - небось опять ключи слетели или сервак лежит, проверь.
XAMPP?)
На священном хаскеле:
https://simplex.chat/