Cioè Signal sta sul Cloud di Amazon
Uncategorized
60
Posts
9
Posters
0
Views
-
@ju tra l'altro non si tratta di "premiare Signal", si tratta di individuare il sistema più efficiente rispetto allo scopo che ci si da. Il mio scopo in questo momento è che quante più persone possibile siano in grado di comunicare con un sistema di IM in modo sicuro senza avere grandi capacità tecniche. Signal risponde a questa esigenza, le alternative proposte no. E aggiungo anche che siccome io sono dell'idea che i sistemi funzionanti debbano essere pagati consiglio pure di donare, io lo faccio su base mensile, a Signal in modo da garantire uno sviluppo continuativo e augurandomi che siano in grado di rendersi autonomi da sistemi di cloud.
@lorcon @ju premetto che parlo di XMPP solo perche lo conosco bene e perche non conosco gli altri sistemi federati di chat. La tua esperienza con XMPP (canonico Conversations su Android, Gajim o Dino su desktop, Converse.js su web) è cosi negativa?
Ormai da tempo dalle mie parti buona parte dei giri di movimento comunicano con quel protocollo senza troppa assistenza da parte degli hacklab locali.
Gli hacklab mettono su i server e costruiscono la relazioni di fiducia che permettono agli utenti di sapere quale software gira sui server, con che modello economico e cosa viene fatto con i metadati. Cosa che gli utenti Signal non possono fare. -
@lorcon @ju premetto che parlo di XMPP solo perche lo conosco bene e perche non conosco gli altri sistemi federati di chat. La tua esperienza con XMPP (canonico Conversations su Android, Gajim o Dino su desktop, Converse.js su web) è cosi negativa?
Ormai da tempo dalle mie parti buona parte dei giri di movimento comunicano con quel protocollo senza troppa assistenza da parte degli hacklab locali.
Gli hacklab mettono su i server e costruiscono la relazioni di fiducia che permettono agli utenti di sapere quale software gira sui server, con che modello economico e cosa viene fatto con i metadati. Cosa che gli utenti Signal non possono fare.La mia esperienza? No, non è negativa. Ma la mia idea di comunicazione sicura va ben al di là dei "giri di movimento" (che mi interessano relativamente) e deve coinvolgere anche cerchie _molto_ più larghe per cui non ritengo, al momento, XMPP sostenibile e quindi preferibile a Signal. Poi ben venga che si diffonda e tutto ma preferisco concentrare le mie energie su altro. E in mezzo a questo altro ci metto sistemi di comunicazione che facciano direttamente a meno di internet, che è un collo di bottiglia tanto per Signal tanto per XMPP tanto per WA. Per cui le mie risorse preferisco metterle sul dire alle persone "usate Signal, consci dei limiti che ha" e nel lavorare per cercare di di tirare su sistemi autonomi a livello infrastrutturale. Ben vengano altri approcci perchè in questi temi la diversità è forza.
-
undefined muffa shared this topic
-
@lorcon @ju premetto che parlo di XMPP solo perche lo conosco bene e perche non conosco gli altri sistemi federati di chat. La tua esperienza con XMPP (canonico Conversations su Android, Gajim o Dino su desktop, Converse.js su web) è cosi negativa?
Ormai da tempo dalle mie parti buona parte dei giri di movimento comunicano con quel protocollo senza troppa assistenza da parte degli hacklab locali.
Gli hacklab mettono su i server e costruiscono la relazioni di fiducia che permettono agli utenti di sapere quale software gira sui server, con che modello economico e cosa viene fatto con i metadati. Cosa che gli utenti Signal non possono fare.@agitacion @lorcon @ju @Uilebheist
Signal è più sicuro di XMPP per tanti motivi...
- è auditato almeno una volta all'anno: https://community.signalusers.org/t/overview-of-third-party-security-audits/13243, mentre per quanto riguarda XMPP+OMEMO (OMEMO è "la crittografia usata attualmente da XMPP") conosco un solo audit, del 2016, condotto su un unico client: Conversations
- Signal ha un solo client (+ pochi derivati usati pochissimo) e un solo server; XMPP ha decine di client e di server, che andrebbero tutti auditati almeno una volta all'anno, ma non lo sono
- il fatto che Signal si appoggi ad AWS con CloudFlare davanti non ne diminuisce la sicurezza rispetto a XMPP, dove qualsiasi server può tenere log degli IP deə propriə utentə, e comunque l'eventuale log degli IP diminuisce poco la sicurezza dellə utent* se, come nel caso di Signal (su XMPP non lo so) nessun altro metadato non cifrato entra in possesso dellə admin del server
- Signal non ha versione web, e questo tutela la sicurezza dellə utentə, mentre qualunque admin di server XMPP che mette a disposizione il servizio anche via web, se volesse, potrebbe leggere tutti i messaggi crittati ricevuti e inviati da tuttə ə propr* utentə, e pure impersonarli con firma crittografica (vedi https://bu.noblogs.org/e2ee-and-the-web/)Poi si, bello se Signal fosse federabile, e possibile anche: https://todon.nl/@jones/115406288332205215 🙂
-
La mia esperienza? No, non è negativa. Ma la mia idea di comunicazione sicura va ben al di là dei "giri di movimento" (che mi interessano relativamente) e deve coinvolgere anche cerchie _molto_ più larghe per cui non ritengo, al momento, XMPP sostenibile e quindi preferibile a Signal. Poi ben venga che si diffonda e tutto ma preferisco concentrare le mie energie su altro. E in mezzo a questo altro ci metto sistemi di comunicazione che facciano direttamente a meno di internet, che è un collo di bottiglia tanto per Signal tanto per XMPP tanto per WA. Per cui le mie risorse preferisco metterle sul dire alle persone "usate Signal, consci dei limiti che ha" e nel lavorare per cercare di di tirare su sistemi autonomi a livello infrastrutturale. Ben vengano altri approcci perchè in questi temi la diversità è forza.
Briar, https://briarproject.org/, funziona anche senza internet (su cui, quando può connettercisi, usa Tor per l'anonimato), cioè funziona anche via bluetooth o lan wi-fi, e mi pare buono: per essere un progetto totalmente FOSS e autofinanziato, ha ricevuto tanti audit: uno nel 2017, uno nel 2018 e uno nel 2023 (https://briarproject.org/news/), che hanno contribuito a rafforzarne la sicurezza.
-
@ju tra l'altro non si tratta di "premiare Signal", si tratta di individuare il sistema più efficiente rispetto allo scopo che ci si da. Il mio scopo in questo momento è che quante più persone possibile siano in grado di comunicare con un sistema di IM in modo sicuro senza avere grandi capacità tecniche. Signal risponde a questa esigenza, le alternative proposte no. E aggiungo anche che siccome io sono dell'idea che i sistemi funzionanti debbano essere pagati consiglio pure di donare, io lo faccio su base mensile, a Signal in modo da garantire uno sviluppo continuativo e augurandomi che siano in grado di rendersi autonomi da sistemi di cloud.
sì che si tratta di "premiare Signal": lo scegli, lo diffondi, lo finanzi, quindi di fatto premi il modello che propone.
Detto questo, ovviamente, tu sai quali sono le tue esigenze e fai le tue scelte di conseguenza, sicuro si discute ma non son mica qui per farti cambiare idea o altro. 🙂
-
@ju e alla fine cosa si vince? Una bambolina? Non è un discorso di premi, non è un discorso di gara tra protocolli. È un discorso, per quanto mi riguarda, di che cosa è utile qui e ora in base alle mie esigenze
-
@ju e alla fine cosa si vince? Una bambolina? Non è un discorso di premi, non è un discorso di gara tra protocolli. È un discorso, per quanto mi riguarda, di che cosa è utile qui e ora in base alle mie esigenze
@lorcon@mastodon.bida.im "premi" nel senso che incentivi.
Incentivi l'uso di un certo modello, carichi la bilancia da una certa parte, dillo come ti pare e soprattutto, se non si fosse già capito: fai un po' come cazzo che ti pare. 😉
-
@Uilebheist @ju ma quindi come alternativa rimane solo XMPP? Perché so di qualcunə a cui non riesce a funzionare
@guardaminfaccia @Uilebheist @ju se hai voglia di provare a dire i problemi, magari sul fediverso troviamo che ci sono delle soluzioni?
ma se hai voglia
-
@guardaminfaccia @Uilebheist @ju se hai voglia di provare a dire i problemi, magari sul fediverso troviamo che ci sono delle soluzioni?
ma se hai voglia
@valhalla
@Uilebheist @ju
Amicə mi diceva che gli si cancellavano le chat: che cambiava il certificato e si resettava tutto. Comunque io ho Element sullo smartphone, e l'ho pure usato in passato😅
Ho collegato solo ora che vale come XMPP... Solo che non ricordo più l'account e non ho idea di come recuperarlo 🙄
Ma Conversation? -
undefined filobus shared this topic
-
@valhalla
@Uilebheist @ju
Amicə mi diceva che gli si cancellavano le chat: che cambiava il certificato e si resettava tutto. Comunque io ho Element sullo smartphone, e l'ho pure usato in passato😅
Ho collegato solo ora che vale come XMPP... Solo che non ricordo più l'account e non ho idea di come recuperarlo 🙄
Ma Conversation?Conversations è XMPP.
Element è matrix, che è un'altra cosa (credo?).
La gestione dei certificati su XMPP può essere un po'un casotto se si usano diversi dispositivi.
Ogni dispositivo ha una sua chiave che deve essere verificata su tutti gli altri dispositivi che usi e viceversa, quindi se hai per esempio: pc, tablet, telefono, devi verificarli tutti evtre uno con l'altro. Si fa tramite codice QR (il quadratino da inquadrare) oppure dicendo semplicemente che ti fidi, c'è un bottone.
Allo stesso modo devi verificare tutte le chiavi dei tuoi contatti, anche questo lo puoi fare verificando il loro codice QR oppure dicendo semplicemente che ti fidi e anche per questo c'è un bottone.
Dove sono i bottoni dipende dall'app che usi.
Io uso Conversations se può servire.
CC: @valhalla@social.gl-como.it @Uilebheist@polyglot.city
-
@ju la cifratura end to end, che su Signal sappiamo per certo funzionare, rende, da un punto di vista della sicurezza completamente indifferente il fatto che il sistema giri su di un server o un altro. I messaggi sono cifrati da end user a end user. Il massimo che potrebbe avere AWS sono gli IP degli utenti, che comunque non ha, dato che il frontend su Signal mi risulta essere da tutt'altra parte (detto ciò è da un po' che non analizzo che cosa fa il mio traffico Signal). Per quanto io appartenga alla categoria di quelli che vorrebbere vedere AWS scomparire in un mare di fiamme il fatto che un servizio come Signal debba girare su AWS per me rimanda a un problema più importante: per essere autonomi servono i soldi. Tanti soldi.
@lorcon @ju è vero, se fai la somma totale servono tanti soldi
però mettiamo un po' in prospettiva di quanto si sta parlando
se hai una famiglia allargata da ~20 persone, di cui almeno uno smanettone, con 5 euro e un'oretta di lavoro al mese¹ tiene su un server più che dignitoso su un VPS da qualche parte. e non dico per sentito dire, è quello che faccio io.
credo che sia possibile farlo anche su un rasperry in casa: probabilmente a quel punto avrai qualche downtime in più quando salta la connessione e qualche preoccupazione hardware in più. ci può stare, non so quanto sarebbero i costi.
se invece sei una famiglia allargata o un'associazione priva di smanettoni puoi pagare qualcuno perché ti tenga il servizio su un tuo dominio. conversations.im te lo fa per 160 euro all'anno per 25 utenti, quindi 13 euro e rotti al mese.
in entrambi i casi stiamo parlando di meno di un euro al mese per utente. comprendendo anche il fatto di chiedere a circa metà degli utenti di pagare la quota di chi in quel momento non può permetterselo.
certo, ci sono parti del mondo dove sarebbe un problema, ma l'italia non è fra queste.
¹ a grandi linee e in media. in realtà sono più una giornata scarsa ogni due anni e 5 minuti di tanto in tanto
(edit: si devono aggiungere i costi di registrazione del dominio. ma si parla di qualche centesimo in più al mese, non cambiano significativamente le cose)
-
@ju @valhalla @Uilebheist
"Conversations è XMPP.
Element è matrix, che è un'altra cosa (credo?)."
Io ho capito che sia Element che Conversations usano entrambi il protocollo XMPP, si appoggiano piuttosto su server diversi.
Piano piano cerco di capire il resto
😊 -
@ju @valhalla @Uilebheist
"Conversations è XMPP.
Element è matrix, che è un'altra cosa (credo?)."
Io ho capito che sia Element che Conversations usano entrambi il protocollo XMPP, si appoggiano piuttosto su server diversi.
Piano piano cerco di capire il resto
😊@guardaminfaccia @Uilebheist @ju xmpp e matrix sono i due protocolli principali per fare chat distribuite, e non sono compatibili tra di loro, element usa matrix e conversations usa xmpp.
hanno funzionalità simili, ma un po' diverse
in entrambi i casi i server a cui si appoggiano sono vari, esattamente come nel caso del fediverso, e c'è da scegliere la propria istanza
(c'era davvero bisogno di averne due? eh. forse. per ragioni storiche. *forse*)
-
@ju @valhalla @Uilebheist
"Conversations è XMPP.
Element è matrix, che è un'altra cosa (credo?)."
Io ho capito che sia Element che Conversations usano entrambi il protocollo XMPP, si appoggiano piuttosto su server diversi.
Piano piano cerco di capire il resto
😊This post is deleted! -
@ju @Uilebheist @guardaminfaccia in matrix ci sono dei bridge che permettono di parlare con chat su protocolli diversi, in xmpp ci sono transports che fanno la stessa cosa, e possono confondere un po' le idee
ma di base element usa il protocollo matrix e va usato con un account su un server matrix, e conversations usa il protocollo xmpp e va usato con un account su un server xmpp
-
@lorcon @ju è vero, se fai la somma totale servono tanti soldi
però mettiamo un po' in prospettiva di quanto si sta parlando
se hai una famiglia allargata da ~20 persone, di cui almeno uno smanettone, con 5 euro e un'oretta di lavoro al mese¹ tiene su un server più che dignitoso su un VPS da qualche parte. e non dico per sentito dire, è quello che faccio io.
credo che sia possibile farlo anche su un rasperry in casa: probabilmente a quel punto avrai qualche downtime in più quando salta la connessione e qualche preoccupazione hardware in più. ci può stare, non so quanto sarebbero i costi.
se invece sei una famiglia allargata o un'associazione priva di smanettoni puoi pagare qualcuno perché ti tenga il servizio su un tuo dominio. conversations.im te lo fa per 160 euro all'anno per 25 utenti, quindi 13 euro e rotti al mese.
in entrambi i casi stiamo parlando di meno di un euro al mese per utente. comprendendo anche il fatto di chiedere a circa metà degli utenti di pagare la quota di chi in quel momento non può permetterselo.
certo, ci sono parti del mondo dove sarebbe un problema, ma l'italia non è fra queste.
¹ a grandi linee e in media. in realtà sono più una giornata scarsa ogni due anni e 5 minuti di tanto in tanto
(edit: si devono aggiungere i costi di registrazione del dominio. ma si parla di qualche centesimo in più al mese, non cambiano significativamente le cose)
@valhalla
condivido molto questo tipo di proposte, soprattutto se fanno parte di un percorso auto-formativo collettivo sull'uso della tecnologia.però il mondo reale™, per come ne ho esperienza io, funziona un po' diversamente: non sono riuscito a far installare signal in parallelo a whatsapp alla maggior parte delle persone che conosco, alcune annuiscono con convinzione quando dico loro che bisognerebbe cambiare l'approccio e usare altri strumenti poi però manco ci provano a fare un passo concreto, figurarsi capire l'esigenza di un sistema federato (e possibilmente autogestito) tipo xmpp. pochissimi hanno voglia di fermarsi e rompere gli automatismi sulla tecnologia, perché "funziona bene, che problema c'è? anzi, perché non torni su whatsapp?". quasi nessuno sente l'esigenza di un approccio diverso.
@lorcon @ju -
@guardaminfaccia @Uilebheist @ju xmpp e matrix sono i due protocolli principali per fare chat distribuite, e non sono compatibili tra di loro, element usa matrix e conversations usa xmpp.
hanno funzionalità simili, ma un po' diverse
in entrambi i casi i server a cui si appoggiano sono vari, esattamente come nel caso del fediverso, e c'è da scegliere la propria istanza
(c'era davvero bisogno di averne due? eh. forse. per ragioni storiche. *forse*)
@valhalla @Uilebheist @ju
Raga c'è da fare informazione anche tra lə "espertə" allora, vi assicuro che questa cosa non è chiara a moltə (a parte me che neanche mi ci metto tra lə esperti ovviamente) -
@valhalla @Uilebheist @ju
Raga c'è da fare informazione anche tra lə "espertə" allora, vi assicuro che questa cosa non è chiara a moltə (a parte me che neanche mi ci metto tra lə esperti ovviamente)@guardaminfaccia @Uilebheist @ju /me se lo segna per la prossima volta che parlerà di xmpp (questo sabato :) ) -
@valhalla
condivido molto questo tipo di proposte, soprattutto se fanno parte di un percorso auto-formativo collettivo sull'uso della tecnologia.però il mondo reale™, per come ne ho esperienza io, funziona un po' diversamente: non sono riuscito a far installare signal in parallelo a whatsapp alla maggior parte delle persone che conosco, alcune annuiscono con convinzione quando dico loro che bisognerebbe cambiare l'approccio e usare altri strumenti poi però manco ci provano a fare un passo concreto, figurarsi capire l'esigenza di un sistema federato (e possibilmente autogestito) tipo xmpp. pochissimi hanno voglia di fermarsi e rompere gli automatismi sulla tecnologia, perché "funziona bene, che problema c'è? anzi, perché non torni su whatsapp?". quasi nessuno sente l'esigenza di un approccio diverso.
@lorcon @jue ma vedi che questa è la radice del problema e quindi il punto da cui si dovrebbe cominciare ad affrontare la cosa?
Se non si risolve questo, tutto il resto è un curare i sintomi e non la causa.
Secondo me assecondare il modello presente offrendo una cosa "uguale a" non funziona e non funziona perché le grandi aziende giocano in casa, sul loro terreno, hanno tutti i mezzi per fare un prodotto vincente.
L'alternativa corretta è rompere lo schema: pensare un'altra cosa.
Naturalmente non sono abbastanza
intelligente per andare oltre questo, ma ciò non toglie che secondo me è la strada giusta.
CC: @valhalla@social.gl-como.it @lorcon@mastodon.bida.im
-
@valhalla
condivido molto questo tipo di proposte, soprattutto se fanno parte di un percorso auto-formativo collettivo sull'uso della tecnologia.però il mondo reale™, per come ne ho esperienza io, funziona un po' diversamente: non sono riuscito a far installare signal in parallelo a whatsapp alla maggior parte delle persone che conosco, alcune annuiscono con convinzione quando dico loro che bisognerebbe cambiare l'approccio e usare altri strumenti poi però manco ci provano a fare un passo concreto, figurarsi capire l'esigenza di un sistema federato (e possibilmente autogestito) tipo xmpp. pochissimi hanno voglia di fermarsi e rompere gli automatismi sulla tecnologia, perché "funziona bene, che problema c'è? anzi, perché non torni su whatsapp?". quasi nessuno sente l'esigenza di un approccio diverso.
@lorcon @ju@kappazeta @lorcon @ju ah, per metà degli utenti sul mio server io sono riuscita con le minacce “se vuoi ricevere foto di gatto da me devi installarti conversations”
e l'altra metà sono nerd flossari, e quindi già consapevoli dell'esigenza
però le minacce unite ad aiuto tecnico hanno funzionato, e intanto c'è un tot di gente in più che usa xmpp, anche se continuano ad usare anche whatsapp
Gli ultimi otto messaggi ricevuti dalla Federazione
-
@Bastacosi beh: non è giusto!
-
@artofstimart serve qualcuno da amare
-
-
@tegumi Grazie, me la guardo.
-
-
Cosa serve per amare qualcuno?
Datemi il vostro pensiero, con poche e semplici parole.
-
-
@valhalla @lorcon @kappazeta @agitacion @ju @lorenzo
Io non ho detto che altri sistemi di controllo del codice non sono sicuri, ho detto solo che se quelli di protocolli come xmpp, e di tutti i tanti client e server che lo implementano, sono controlli fatti suppergiù dalla stessa comunità che li sviluppa, mi pare che siano meno sicuri, poi non so se sono questi i sistemi cui ti riferisci, è un'ipotesi che faccio, se mi dici come funziona il controllo del codice delle app e dei server xmpp, con qualche link di esempio, sono contento e magari cambio idea.
(Non so se sia vero che la comunità dellə utent* di Signal sia "religiosa", io guardo quasi soltanto il blog e i post deə dev sul forum, spero che tu non ti riferisca a me comunque quando dici che sono "religiosi", perché ho scritto a più riprese in questo thread che penso che Signal potrebbe migliorare assai se prendesse esempio da xmpp per quanto riguarda la federabilità dei server, ecc., anche se continuo a reputarlo più sicuro già allo stato attuale rispetto a xmpp, poi magari quando e se leggerò i link girati da calmapiatta cambierò idea).
