Cioè Signal sta sul Cloud di Amazon

lorcon@mastodon.bida.im

@ju la cifratura end to end, che su Signal sappiamo per certo funzionare, rende, da un punto di vista della sicurezza completamente indifferente il fatto che il sistema giri su di un server o un altro. I messaggi sono cifrati da end user a end user. Il massimo che potrebbe avere AWS sono gli IP degli utenti, che comunque non ha, dato che il frontend su Signal mi risulta essere da tutt'altra parte (detto ciò è da un po' che non analizzo che cosa fa il mio traffico Signal). Per quanto io appartenga alla categoria di quelli che vorrebbere vedere AWS scomparire in un mare di fiamme il fatto che un servizio come Signal debba girare su AWS per me rimanda a un problema più importante: per essere autonomi servono i soldi. Tanti soldi.

ju@nugole.it

per essere autonomi servono i soldi. Tanti soldi.

Sì e no.
Qui è dove secondo me la decentralizzazione fa la differenza: tante piccole istanze decentralizzate necessitano molti meno soldi di una grossa unica istanza centralizzata.
Questo è un punto su cui insisto abbastanza da diverso tempo: l'obiettivo non dovrebbe essere costruire un WA alternativo, perchè semplicemente non lo si può fare senza avere dietro una enorme quantità di risorse.
Invece l'obiettivo dovrebbe semplificare la possibilità per ogni utente di avere la sua piccola istanza familiare.
L'ostacolo vero su cui lavorare è la necessità di avere almeno una base di competenza informatica per poter gestire la propria istanza di qualsiasi cosa.
Vabbeh, sto divagando...
Il punto è che se fai una miriade di piccole istanze servono meno soldi e meno risorse o perlomeno risorse più diffuse.

lorcon@mastodon.bida.im

@ju si, ok, d'accordissimo. Per farlo servono a) competenze informatiche diffuse e per queste intendo la capacità di gestire in modo verticale l'intero stack (dalla scelta degli UPS al deploy delle nuove versioni passando per i backup) b) competenze informatiche che siano a disposizione della comunità c) risorse per mantenere il tutto (energia, dischi che si rompono, banda ecc). Per fare questo servono anni, ed è una cosa su cui sia io che altri del mondo degli hacklab siamo pure impegnati da tempo. I frutti sono stati, a ora, scarsi. E questo per una miriade di fattori che volendo posso pure esplodere (miopia politica da parte delle strutture militanti/attiviste in cui agiamo, autoreferenzialità nostra ecc). Nel frattempo preferisco che un sistema come Signal, molto general purpose e molto accessibile, sia diffuso.

ju@nugole.it

Ma perchè non mettere risorse in questo invece che premiare il fatto che Signal metta risorse da tutta un'altra parte?

Poi dico, perchè a questo punto diffondere Signal e non per esempio XMPP?
XMPP è facile da usare, diffuso, open-source, criptato, privacy oriented e self-hostabile se uno ha le competenze per farlo oppure ci sono diverse app che offrono la possibilità di crearsi un account.

lorcon@mastodon.bida.im

@ju perchè le risorse sono limitate e quindi tocca operare delle scelte. Che non significa non usare e non diffondere XMPP o Deltachat, significa che alloco maggiori risorse su dove, in seguito a un'analisi, penso che sia più perseguibile l'obbiettivo. Signal se lo installa e se lo configura chiunque, XMPP finisce che devo fare io il giro dei cellulari da configurare e riconfigurarglielo pure ogni volta che cambiano cellulare. È sostenibile? No. Quindi, se ho energia 15, preferisco investire 10 nel dire "installetevi Signal e piantatela di usare WA che vi vende alle guardie" e 5 in "e comunque ci sono ulteriori alternative decentralizzate". Come già detto un ecosistema è forte quando è diverso per cui non sto a inseguire solo Signal o XMPP ma sono costretto a operare scelte in base alla scarsità di risorse.

lorcon@mastodon.bida.im

@ju tra l'altro non si tratta di "premiare Signal", si tratta di individuare il sistema più efficiente rispetto allo scopo che ci si da. Il mio scopo in questo momento è che quante più persone possibile siano in grado di comunicare con un sistema di IM in modo sicuro senza avere grandi capacità tecniche. Signal risponde a questa esigenza, le alternative proposte no. E aggiungo anche che siccome io sono dell'idea che i sistemi funzionanti debbano essere pagati consiglio pure di donare, io lo faccio su base mensile, a Signal in modo da garantire uno sviluppo continuativo e augurandomi che siano in grado di rendersi autonomi da sistemi di cloud.

agitacion@kolektiva.social

@lorcon @ju premetto che parlo di XMPP solo perche lo conosco bene e perche non conosco gli altri sistemi federati di chat. La tua esperienza con XMPP (canonico Conversations su Android, Gajim o Dino su desktop, Converse.js su web) è cosi negativa?
Ormai da tempo dalle mie parti buona parte dei giri di movimento comunicano con quel protocollo senza troppa assistenza da parte degli hacklab locali.
Gli hacklab mettono su i server e costruiscono la relazioni di fiducia che permettono agli utenti di sapere quale software gira sui server, con che modello economico e cosa viene fatto con i metadati. Cosa che gli utenti Signal non possono fare.

lorcon@mastodon.bida.im

@agitacion

La mia esperienza? No, non è negativa. Ma la mia idea di comunicazione sicura va ben al di là dei "giri di movimento" (che mi interessano relativamente) e deve coinvolgere anche cerchie _molto_ più larghe per cui non ritengo, al momento, XMPP sostenibile e quindi preferibile a Signal. Poi ben venga che si diffonda e tutto ma preferisco concentrare le mie energie su altro. E in mezzo a questo altro ci metto sistemi di comunicazione che facciano direttamente a meno di internet, che è un collo di bottiglia tanto per Signal tanto per XMPP tanto per WA. Per cui le mie risorse preferisco metterle sul dire alle persone "usate Signal, consci dei limiti che ha" e nel lavorare per cercare di di tirare su sistemi autonomi a livello infrastrutturale. Ben vengano altri approcci perchè in questi temi la diversità è forza.

@ju

jones@todon.nl

@agitacion @lorcon @ju @Uilebheist

Signal è più sicuro di XMPP per tanti motivi...

- è auditato almeno una volta all'anno: https://community.signalusers.org/t/overview-of-third-party-security-audits/13243, mentre per quanto riguarda XMPP+OMEMO (OMEMO è "la crittografia usata attualmente da XMPP") conosco un solo audit, del 2016, condotto su un unico client: Conversations
- Signal ha un solo client (+ pochi derivati usati pochissimo) e un solo server; XMPP ha decine di client e di server, che andrebbero tutti auditati almeno una volta all'anno, ma non lo sono
- il fatto che Signal si appoggi ad AWS con CloudFlare davanti non ne diminuisce la sicurezza rispetto a XMPP, dove qualsiasi server può tenere log degli IP deə propriə utentə, e comunque l'eventuale log degli IP diminuisce poco la sicurezza dellə utent* se, come nel caso di Signal (su XMPP non lo so) nessun altro metadato non cifrato entra in possesso dellə admin del server
- Signal non ha versione web, e questo tutela la sicurezza dellə utentə, mentre qualunque admin di server XMPP che mette a disposizione il servizio anche via web, se volesse, potrebbe leggere tutti i messaggi crittati ricevuti e inviati da tuttə ə propr* utentə, e pure impersonarli con firma crittografica (vedi https://bu.noblogs.org/e2ee-and-the-web/)

Poi si, bello se Signal fosse federabile, e possibile anche: https://todon.nl/@jones/115406288332205215 🙂

jones@todon.nl

@lorcon @agitacion @ju

Briar, https://briarproject.org/, funziona anche senza internet (su cui, quando può connettercisi, usa Tor per l'anonimato), cioè funziona anche via bluetooth o lan wi-fi, e mi pare buono: per essere un progetto totalmente FOSS e autofinanziato, ha ricevuto tanti audit: uno nel 2017, uno nel 2018 e uno nel 2023 (https://briarproject.org/news/), che hanno contribuito a rafforzarne la sicurezza.

ju@nugole.it

sì che si tratta di "premiare Signal": lo scegli, lo diffondi, lo finanzi, quindi di fatto premi il modello che propone.

Detto questo, ovviamente, tu sai quali sono le tue esigenze e fai le tue scelte di conseguenza, sicuro si discute ma non son mica qui per farti cambiare idea o altro. 🙂

lorcon@mastodon.bida.im

@ju e alla fine cosa si vince? Una bambolina? Non è un discorso di premi, non è un discorso di gara tra protocolli. È un discorso, per quanto mi riguarda, di che cosa è utile qui e ora in base alle mie esigenze

ju@nugole.it

@lorcon@mastodon.bida.im "premi" nel senso che incentivi.
Incentivi l'uso di un certo modello, carichi la bilancia da una certa parte, dillo come ti pare e soprattutto, se non si fosse già capito: fai un po' come cazzo che ti pare. 😉

valhalla@social.gl-como.it

@guardaminfaccia @Uilebheist @ju se hai voglia di provare a dire i problemi, magari sul fediverso troviamo che ci sono delle soluzioni?

ma se hai voglia

guardaminfaccia@mastodon.bida.im

@valhalla
@Uilebheist @ju
Amicə mi diceva che gli si cancellavano le chat: che cambiava il certificato e si resettava tutto. Comunque io ho Element sullo smartphone, e l'ho pure usato in passato😅
Ho collegato solo ora che vale come XMPP... Solo che non ricordo più l'account e non ho idea di come recuperarlo 🙄
Ma Conversation?

ju@nugole.it

Conversations è XMPP.
Element è matrix, che è un'altra cosa (credo?).
La gestione dei certificati su XMPP può essere un po'un casotto se si usano diversi dispositivi.
Ogni dispositivo ha una sua chiave che deve essere verificata su tutti gli altri dispositivi che usi e viceversa, quindi se hai per esempio: pc, tablet, telefono, devi verificarli tutti evtre uno con l'altro. Si fa tramite codice QR (il quadratino da inquadrare) oppure dicendo semplicemente che ti fidi, c'è un bottone.
Allo stesso modo devi verificare tutte le chiavi dei tuoi contatti, anche questo lo puoi fare verificando il loro codice QR oppure dicendo semplicemente che ti fidi e anche per questo c'è un bottone.
Dove sono i bottoni dipende dall'app che usi.
Io uso Conversations se può servire.

CC: @valhalla@social.gl-como.it @Uilebheist@polyglot.city

valhalla@social.gl-como.it

@lorcon @ju è vero, se fai la somma totale servono tanti soldi

però mettiamo un po' in prospettiva di quanto si sta parlando

se hai una famiglia allargata da ~20 persone, di cui almeno uno smanettone, con 5 euro e un'oretta di lavoro al mese¹ tiene su un server più che dignitoso su un VPS da qualche parte. e non dico per sentito dire, è quello che faccio io.

credo che sia possibile farlo anche su un rasperry in casa: probabilmente a quel punto avrai qualche downtime in più quando salta la connessione e qualche preoccupazione hardware in più. ci può stare, non so quanto sarebbero i costi.

se invece sei una famiglia allargata o un'associazione priva di smanettoni puoi pagare qualcuno perché ti tenga il servizio su un tuo dominio. conversations.im te lo fa per 160 euro all'anno per 25 utenti, quindi 13 euro e rotti al mese.

in entrambi i casi stiamo parlando di meno di un euro al mese per utente. comprendendo anche il fatto di chiedere a circa metà degli utenti di pagare la quota di chi in quel momento non può permetterselo.

certo, ci sono parti del mondo dove sarebbe un problema, ma l'italia non è fra queste.

¹ a grandi linee e in media. in realtà sono più una giornata scarsa ogni due anni e 5 minuti di tanto in tanto

(edit: si devono aggiungere i costi di registrazione del dominio. ma si parla di qualche centesimo in più al mese, non cambiano significativamente le cose)

guardaminfaccia@mastodon.bida.im

@ju @valhalla @Uilebheist
"Conversations è XMPP.
Element è matrix, che è un'altra cosa (credo?)."
Io ho capito che sia Element che Conversations usano entrambi il protocollo XMPP, si appoggiano piuttosto su server diversi.
Piano piano cerco di capire il resto
😊

valhalla@social.gl-como.it

@guardaminfaccia @Uilebheist @ju xmpp e matrix sono i due protocolli principali per fare chat distribuite, e non sono compatibili tra di loro, element usa matrix e conversations usa xmpp.

hanno funzionalità simili, ma un po' diverse

in entrambi i casi i server a cui si appoggiano sono vari, esattamente come nel caso del fediverso, e c'è da scegliere la propria istanza

(c'era davvero bisogno di averne due? eh. forse. per ragioni storiche. *forse*)

ju@nugole.it

This post is deleted!