انجمنهای فارسی اوبونتو
کمک و پشتیبانی => انجمن عمومی => نویسنده: Nixon در 29 بهمن 1400، 08:18 بظ
-
سلام و عرض ادب خدمت دوستان
این پست رو فقط از منظر کنجکاوی ایجاد کردم . لطفا در صورت امکان در کمال بیطرفی به سوالام جواب بدید ( چون بعضی ها هستن که خیلی از نرم افزار های داخلی خوششون نمیاد و فکر میکنن توسعه اون ها باعث قطع ارتباط ما با اینترنت میشه و بعضی ها هم بالعکس . در هر صورت بدون تعصب جواب بدید ;D . ممنون )
عرضم بخدمتتون که بنده میخواستم نظرتون رو درباره پیام رسان های داخلی مثل سروش . آیگپ و ... بدونم
اوایل که این پیام رسان ها تازه اومده بودن به بازار یه سری عکس ها دیدم و مطالبی رو خوندم که مثلا فلانی سروش رو هک کرده و یا اینکه هیچ امنیتی در این پیام رسان ها وجود نداره و ... .
ولی من از هک کردن و امنیت برنامه ها چیزی نمیدونم . اگر شما از این مسائل سر در میارید لطفا این سوال های منو جواب بدید:
1- آیا بنظرتون این داستان هک شدن پیام رسان های داخلی راست بوده؟
2- هک کردن پیام رسان یعنی چی ؟ ( مثلا اگر یه نفر یه پیام رسان رو هک کرد یعنی به همه پیام های کاربران اون پیام رسان دسترسی پیدا میکنه؟ یا فقط سرور های پیام رسان رو دچار اختلال میکنه که پیامی رد و بدل نشه یا ... ؟ )
3- من شنیدم تلگرام تاحدودی متن باز هست . آیا ما نمیتونیم یه پیام رسان مبتنی بر تلگرام بسازیم ؟ :-k ( لطفا توضیح بدید )
4- چرا اینقدر بی اعتمادی به پیام رسان ها داخلی وجود داره ؟ ( امروز داشتم سایت آیگپ رو بررسی میکردم و دیدم که نوشتن : آیگپ، اولین و تنها پیامرسان متنباز (open-source) در ایران و خاورمیانه است . خوب اگر اینطور باشه خیلی خوبه و میتونیم بهشون اعتماد کنیم . آیا اینطور نیست ؟ )
نظر من درباره پیام رسان های داخلی:
علی رغم تمام کمی و کاستی ها و حس بی اعتمادی که ممکنه وجود داشته باشه . بنظرم بزرگترین مشکل پیام رسان های داخلی اینکه
" خیلی ها ازش استفاده نمیکنن " یعنی من اگر نصبشون کنم به هیچ یک از اعضای خانوادم یا اطرافیان و دوستانم نمیتونم پیام بدم و خوب اگر اینطور نبود من حاضر بودم از این مشکلات تاحدی چشم پوشی کنم و از پیام رسان داخلی استفاده کنم.
پ.ن : من موافق قطع شدن اینترنت و از اینجور مسائل نیستم ولی واقعا علاقمندم از برنامه هایی که دوستان توی ایران درست میکنن حمایت کنم حالا چه پیام رسان باشه . چه بازی باشه و ... . اگر متن باز باشه که دیگه چه بهتر :) .
-
پیام رسان آیکپ کد باز است و بسیار هم خوب ولی اگر تعداد اعضای آن زیاد شوند سرورهای آن قدرتمند نیستند و کند می شود و مشکل دیگر اینکه کسی استفاده نمی کند من همیشه نصب کرده دارم اما استفاده نمی کنم، در مورد تلگرام، ایتا را از روی آن ساخته اند
-
میدونم که سازندگان اکثرشون مثل شاد و روبیکا یه تیمن و از سورس تلگرام استفاده میکنن ، این تلگرام نبود همه فلج بودن ! ولی من حتی اگه شنودی هم درکار نباشه از نرم افزار ایرانی استفاده نمیکنم ، ریسکه دیگه ! با این حکومتی که ما داریم …
-
۱. بله. پیامرسان سروش اوایل که منتشر شد، اطلاعاتی رو که به سرور میفرستاد رو احتمالا رمزنگاری نمیکرد و با sniff گرفتن از شبکه می شد اطلاعاتی رو خوند، طوری که یکی شماره آذری جهرمی رو پیدا کرد. خوشبختانه مشکل خیلی وقت پیش برطرف شده.
۲. هک کردن هم میتونه از طریق کلاینت و هم میتونه از طریق سرور باشه.
۳. نسخه های کلاینت تلگرام آزاد هستند ولی سرور نه. تلگرام یک Api در خدمت کاربراش قرار میده تا اونها بتونند با تلگرام ارتباط برقرار کنند. تلگرام از رمزنگاری استفاده می کنه و اونها نمیتونند از سمت سرور پیام هارو بخونند.
۴. چون دولت هی تبلیغ این پیامرسان هارو می کنه و تلگرام رو فیلتر کردن، مردم فکر می کنند که این پیامرسان ها می تونند این اطلاعات رو به دولت بدند، و همینطوری هم هست. آیگپ هم نسخه های کلاینت و Api هاش مثل تلگرام آزاده و با مجوز AGPL منتشر شده، ولی سمت سرور نه. اگه آیگپ مثل تلگرام رمزنگاری داشته باشه میشه بهش اعتماد کرد.
-
1- بله نرم افزار تلگرام اوپن سورسه می تونی دانلود و توسعه بدی !
2 - هر شبکه امن نیست هک شدن مختص به سیستم های ایران نیست . ( ماجرای هک یاهو - و ... زیاده این مورد الان حضور ذهن ندارم)
4 - بی اعتمادی از تبلیغات من و شما حاصل میشه . حکومت ما هم مثل حکومت آمریکا سانسور و شنود میکنه ! (من موافق یا مخالف هیچ حکومتی نیستم ) - شرایطی که حکومت ما بر سر راه استارت آپ ها میزاره بیشتره . و این که چرا توسطه پیدا نمیکنه به عواملی بستگی داره
1- به عوامل که تبلیغات بی اعتماد سازی بین مردم بر کسب و کار های داخلی
2 - شرایط و شروط و موانع حکومت .( اینماد - کسب مجوز شبکه اجتماعی و ...)
-------------------------------------------------------------
-
1- بله
3- میتونیم ، میشه پیام رسان داخلی دیگه مثل تلگرام طلایی
4- چون کیفیت نداره و بدرد بخور نیست و تو اونجا زیر نظری
-
سلام و احترام.
فرض کن زمان جنگه و صدام و منافقین و انگلیس و آلمان و فرانسه حمله کردند و در خرمشهر زندگی میکنی.
دو راه بیشتر نداری. یا بذاری و بری و به متجاوزان کمک کنی، یا بمونی و مقاومت کنی و به حکومت ایران کمک کنی.
اینجا هم همینه. کاربران انجمن مردم کماطلاعی نیستند. تکلیفشون تقریباً مشخصه و میدونند با چه انتخابی بیشتر به چهکسی کمک میکنند. بعضی دوست دارند بیطرف باشند، ولی فقط دوست دارند، در حقیقت بیطرفی غیرممکنه. این بحث هک و نفوذ و شنود و… هم کشکه. پای مسائل امنیتی که وسط بیاد، همهشون یکساناند. در مسائل عادیتر و غیرامنیتی هم راههایی میرن که بستگی به تعامل با اون پیامرسانها داره. مثلاً:
https://www.alef.ir/news/4001129064.html
از این کارها و حتی دادن اطلاعات شخصی یا انبوه به حکومتها فراوونه. در ظاهر هم شرکتها را برای قسمخوردن و توضیحاتی به پارلمانها و دادگاهها میکشونند ولی بر زیر و روی اونا مسلطاند. کشورهای لیبرالتر هم گفتند اگه موارد بیشتر بشه و تعامل نکنند و پیامرسانی همکاری نکنه، گزینهٔ مسدودسازی کامل هم روی میزه. ولی تا جای ممکن از ابزارهای تحریم و تطمیع و… استفاده میکنند تا پیش مردمشون ضایع نشن! ولی خب برای کشورهایی که اباحهگری و رهاشدگی در اونها بیشتر از ایرانه، مسائل بزرگ غیرامنیتی کمتره. مثل آمریکا که اسلحه در اون بیش از اروپا مجازه. ولی گفتم این برای مسائل عادیتره و بین چند نفره. در مسائل مهم و امنیتی از راههایی اطلاعات به دست میارن که فکرش را هم نمیکنی!
بستن و مسدودسازی هم تیغ دولبهست. الآن از همین پیامرسانها و شبکههای خارجیه که میشه تا حدودی فرهنگ ایرانی را منتقل کرد، البته نه پیامرسانی که ایرانیها بیشتر استفاده کنند، بلکه باید از اونی استفاده کنی که مردم یک کشور دیگه بیشتر استفاده میکنند و برای هر کشوری و هر زبانی فرق داره.
-
این تاپیک با سوال شما مرتبطه:
https://forum.ubuntu-ir.org/index.php?topic=147247.15
-
تلگرام به همین خاطر که بتونه تحت فشار حکومت ها نباشه شرکتشو در چندین کشور تقسیم کرده ( مقر اصلیش دوبی یا اماراته ! دقیقا یادم نیس ! حالا چرا اینکارو کرده ؟ تا برای دریافت زوری اطلاعات توسط دولت ها ، باقی کشور ها هم نیاز باشه رای بدن ! پس مگر چه اتفاق بین المللی رخ بده که تلگرام مجبور شه اطلاعاتشو بده دست حکومت ها !
اما اینجا چی ؟ روبیکا و امثالهم اگه ازشون اطلاعات درخواست بشه میتونن ندن ؟
-
از نظر کارایی اکثرا قبلا به درد توی گودال های امنیتی ویندزد می خورد الان نمیدنم
تلگرام متن باز است ایتا انحصاری و اکثرا هم از روی هم هستند و تفاوت چندانی با هم ندارند
-
عرضم بخدمتتون که بنده میخواستم نظرتون رو درباره پیام رسان های داخلی مثل سروش . آیگپ و ... بدونم
تجربه ثابت کرده که داخلی ها بعضیاشون پایدار نیستن، الان شما سروش رو میبینی؟ مال صدا و سیما بود، کلا آگهیش کرد فروختش
بعضیاشونم سرعتشون پایینه، سرورشون پاسخگو نیست.
در نهایت اونی هم که خوبه، طراحی خوبی نداره (هم از نظر ui و هم از نظر ux)
1- آیا بنظرتون این داستان هک شدن پیام رسان های داخلی راست بوده؟
اون اوایل همه میخواستن یه پیامرسان راه بندازن، کلا هیچ درکی هم از امنیت نداشتن. بله به راحتی میشد تمام دیتای ارسالی/دریافتی رو بصورت متن ساده دید! یعنی یک رمزنگاری ساده نداشتن، صداش که دراومد، اومدن رمزنگاری گذاشتن.
یعنی در این حد که با نصب یه نرم افزار مانیتورینگ ساده، قشنگ همه چیزا رو نشون میدادن (البته بغیر از بله که برای بانک ملی بود) خودم شخصا تست کردم اون زمان. تا جایی که حتی شماره موبایل سازنده کانال رو هم نشون میدادن (id همون موبایل بود).
2- هک کردن پیام رسان یعنی چی ؟ ( مثلا اگر یه نفر یه پیام رسان رو هک کرد یعنی به همه پیام های کاربران اون پیام رسان دسترسی پیدا میکنه؟ یا فقط سرور های پیام رسان رو دچار اختلال میکنه که پیامی رد و بدل نشه یا ... ؟ )
هک طبق تعریف جادی، یعنی استفاده غیر معمول از چیزی، برای هدفی که ساخته نشده!
و اینجا به طور مشخص به این موضوع اشاره داشت که محتوای ارسالی رمز نمیشد و شماره موبایل صاحبان کانال ها و گروه ها دیده میشد. یعنی شما عضو کانال وزیر جوان میشدی، بعد شماره موبایلشو میدیدی ;D اینقدر زنگ خورد که خاموشش کرد.
با یک مانیتورینگ ساده نمام اطلاعات و پیامهار ارسالی/دریافتی هم بصورت hml و json دیده میشد.
4- چرا اینقدر بی اعتمادی به پیام رسان ها داخلی وجود داره ؟ ( امروز داشتم سایت آیگپ رو بررسی میکردم و دیدم که نوشتن : آیگپ، اولین و تنها پیامرسان متنباز (open-source) در ایران و خاورمیانه است . خوب اگر اینطور باشه خیلی خوبه و میتونیم بهشون اعتماد کنیم . آیا اینطور نیست ؟ )
علاوه بر توضیحاتی که دادم، حواشی اونا رو نشنیدین؟ وام میلیاردی بلاعوض گرفتن، کلی امکانات و... آخرش چی دادن؟ یه رمزنگاری به زور!
هر شرکتی ممکنه اطلاعات مشتریاش لو بره، قبول. ولی دقت کردین توی ایران چقدر این موضوع بیشتره؟ اونم اطلاعات مهم (ثبت احوال، بانک، اپراتور موبایل و...)
خب مردم میگن ترجیح میدن تا جای ممکن از یه برنامه خارجی استفاده کنن تا احتمال لو رفتن اطلاعاتشون کمتر باشه. چون اونا برای اینجور وقتا قانون دارن ولی اینجا چی؟ اینهمه اطلاعات مردم لو رفت چیشد؟ فقط بلدن تکذیب کنن. فایل اومده بیرون اسکرین شات!!! دیگه مجبور شدن گفتن حالا یه نشتی جزئی داشتیم و فلان...
اصلا چرا برای عضویت توی یک پیامرسان اطلاعاتی مثل تاریخ تولد یا کدملی رو بدیم؟ (بعضیاشون میخوان)
نظر من درباره پیام رسان های داخلی:
علی رغم تمام کمی و کاستی ها و حس بی اعتمادی که ممکنه وجود داشته باشه . بنظرم بزرگترین مشکل پیام رسان های داخلی اینکه
" خیلی ها ازش استفاده نمیکنن " یعنی من اگر نصبشون کنم به هیچ یک از اعضای خانوادم یا اطرافیان و دوستانم نمیتونم پیام بدم و خوب اگر اینطور نبود من حاضر بودم از این مشکلات تاحدی چشم پوشی کنم و از پیام رسان داخلی استفاده کنم.
شاید خیلیا حاضر بودن چشم پوشی کنن، ولی زمانی که این چیزا رو دیدن دیگه اعتمادها خراب شد
پ.ن : من موافق قطع شدن اینترنت و از اینجور مسائل نیستم ولی واقعا علاقمندم از برنامه هایی که دوستان توی ایران درست میکنن حمایت کنم حالا چه پیام رسان باشه . چه بازی باشه و ... . اگر متن باز باشه که دیگه چه بهتر :) .
یه چیزی که مد شده، سوپر اپلیکیشن هست. طرف میخواد یه پیامرسان درست کنه، همه کارا رو میچپونه توی همون! کارت به کارت، خرید شارژ، پرداخت قبض و.... به حدی که توی امکاناتش گم میشی. بابا پیامتو بفرست دیگه، همونو بهتر کن هر روز
و در نهایت اینا خیلی مهم نیست، اکثر دوستان من کجان؟ پس همون پیامرسان که عمومی تر هم هست بهتره. وگرنه خیلی پیامرسانها ممکنه امکانات بهتری هم داشته باشن، ولی کسی توشون نیست، ما بریم با کی چت کنیم؟
-
تلگرام به همین خاطر که بتونه تحت فشار حکومت ها نباشه شرکتشو در چندین کشور تقسیم کرده ( مقر اصلیش دوبی یا اماراته ! دقیقا یادم نیس ! حالا چرا اینکارو کرده ؟ تا برای دریافت زوری اطلاعات توسط دولت ها ، باقی کشور ها هم نیاز باشه رای بدن ! پس مگر چه اتفاق بین المللی رخ بده که تلگرام مجبور شه اطلاعاتشو بده دست حکومت ها !
رأی بدن؟! :) شما رأیگیریشون را دیدی؟ چند درصد باید رأی بیارن؟
در کل، از این خبرا نیست. برای هر ذره اطلاعاتی که توی هر کشوری ذخیره میکنه، با اون کشور فقط قرارداد داره و قرار نیست من و تو بدونیم چهجوری با اون کشورا همکاری میکنه تا به اهدافشون برسند.
در ضمن، با جهان دو سه قطبی امروز این حرفها یعنی چی؟ مثلاً چند درصد احتمال داره آلمان و فرانسه و امارات و عربستان و انگلیس و آمریکا علیه من رأی ندن؟
اصلاً بهنظرت خود سازندههای این پیامرسانها از پیامرسانشون استفادهای میکنند؟ بهجز کانال اطلاعرسانی و نمایش!
یه چیزی که مد شده، سوپر اپلیکیشن هست. طرف میخواد یه پیامرسان درست کنه، همه کارا رو میچپونه توی همون! کارت به کارت، خرید شارژ، پرداخت قبض و.... به حدی که توی امکاناتش گم میشی. بابا پیامتو بفرست دیگه، همونو بهتر کن هر روز
تازه مگه ما چقدر جمعیت داریم که ۷ تا بهاسم پیامرسان، چند تا بهاسم شبکهٔ اجتماعی و عکس و…
زورشون میومد حتی یه پلهای ارتباطی بین همدیگه ایجاد کنند.
-
سلام
پیشنهاد من اینه که نه از پیامرسانهای داخلی استفاده کنید و نه خارجی. واتساپ که اصلاً هیچی. تلگرام هم کدهای کارسازش نامعلومه. پیامرسانهای داخلی هم نه آزادن و نه کاربر دارن. سعی کنید تا جای ممکن از پیامرسانهای نامتمرکز و آزادی مثل ماتریکس استفاده کنید. کلی هم نمونهی عمومی وجود داره. ولی این رو هم بدونید که تا وقتی که خودتون یک نمونه ازش رو میزبانی نکرده باشید، هیچ تضمینی نیست که امنیت داشته باشید. همهچیز نسبیه! خیلی هم خودتون رو درگیر مسئلهی امنیت نکنید؛ چون به نتیجه نمیرسید!
-
در مورد آیگپ، من چند وقت پیش نگاهی به کد مبدأیی که منتشر کرده بودن انداختم. از رمزنگاری بسیار ضعیفی استفاده میکنن که بود و نبودش، فرق چندانی نداره. علاوه بر اون، صرف آزاد بودن یه پیامرسان، استفاده ازش رو توجیه نمیکنه. کمترین شرایط لازم برای استفاده از یه شبکهٔ پیامرسان اینهاست:
۱. سمت کارساز و کارخواهش، نرمافزار آزاد باشه و کدهای مبدأش بدون محدودیت در اختیار همه باشه.
۲. کارخواهش از یک مخزن خودکار قابل اعتماد مثل افدروید یا مخازن رسمی دبیان گرفته بشه.
۳. کارسازش توزیع شده باشه و هرکسی بتونه با گرفتن کد مبدأ رسمی، نمونهٔ خودش رو بالا بیاره و با بقیهٔ نمونهها در ارتباط باشه.
با این شرایط، من فقط سه تا شبکه میشناسم: شبکهٔ رایانامه، شبکهٔ xmpp (https://xmpp.org) و شبکهٔ ماتریکس (https://matrix.org).
یه شرط چهارمی هم هست به این صورت:
۴. رمزنگاری سرتاسری (E2EE) پیشگزیده داشته باشه و امکان ارسال پیام بدون اون نباشه.
که با این توصیف، هیچ شبکهٔ امنی نمیشناسم. بین موارد بالا هم ماتریکس رو ترجیح میدم. چون گرچه امکان فرستادن پیام بدون رمز توش وجود داره، ولی المنت که کارخواه اصلیشه، به صورت پیشگزیده همهٔ پیامها رو به صورت رمزشده میفرسته.
-
در مورد آیگپ، من چند وقت پیش نگاهی به کد مبدأیی که منتشر کرده بودن انداختم. از رمزنگاری بسیار ضعیفی استفاده میکنن که بود و نبودش، فرق چندانی نداره. علاوه بر اون، صرف آزاد بودن یه پیامرسان، استفاده ازش رو توجیه نمیکنه. کمترین شرایط لازم برای استفاده از یه شبکهٔ پیامرسان اینهاست:
۱. سمت کارساز و کارخواهش، نرمافزار آزاد باشه و کدهای مبدأش بدون محدودیت در اختیار همه باشه.
۲. کارخواهش از یک مخزن خودکار قابل اعتماد مثل افدروید یا مخازن رسمی دبیان گرفته بشه.
۳. کارسازش توزیع شده باشه و هرکسی بتونه با گرفتن کد مبدأ رسمی، نمونهٔ خودش رو بالا بیاره و با بقیهٔ نمونهها در ارتباط باشه.
با این شرایط، من فقط سه تا شبکه میشناسم: شبکهٔ رایانامه، شبکهٔ xmpp (https://xmpp.org) و شبکهٔ ماتریکس (https://matrix.org).
یه شرط چهارمی هم هست به این صورت:
۴. رمزنگاری سرتاسری (E2EE) پیشگزیده داشته باشه و امکان ارسال پیام بدون اون نباشه.
که با این توصیف، هیچ شبکهٔ امنی نمیشناسم. بین موارد بالا هم ماتریکس رو ترجیح میدم. چون گرچه امکان فرستادن پیام بدون رمز توش وجود داره، ولی المنت که کارخواه اصلیشه، به صورت پیشگزیده همهٔ پیامها رو به صورت رمزشده میفرسته.
جدا از این حرفا، آخه کسی ماتریکس نمی شناسه.
باید حداقل یک نفر توش باشه که بشه بهش پیام داد.
واتساپ هم واقعا هیچی نداره امکاناتش خیلی کمه ولی نمی دونم چرا همه دارنش. هر سری هم آپدیت میاد ولی هیچی بهش اضافه نمیشه. میگن آپدیت امنیتیه.
فقط توی گزینه هاتون تلگرام چرا نبود؟ خودتون یک بار قبلا گفته بودید تلگرام رمزنگاری داره و امنه.
-
1 و 2 و 3 كه دوستان توضيح دادن
اما درباره مورد 4 :
پيامرسان هاي داخلي به خودي خود بد نيستن
عوامل زیادی داره البته ... اما همین یه عامل کافیه برای اینجا
دولت (که منظور ما در اینجا روحانی هست چون بیشتر این اتفاقات در دوره ایشون بوده) گند میزنه به بخش خصوصی ! اگر بخش خصوصی بخوبی پا بگیره خیلی از مشکلات حل میشه
منتها دولت حمایت بد میکنه و ...
درباره قطع شدن اینترنت هم نمیشه به همین سادگی گفت اره قرار قطع بشه یا هرچی !
منتها بخاطر تحریم ها دولت مجبوره مشابه داخلی هرچیزی رو بسازه ! از پیامرسان تا هرچی ! و البته این هم یک عاملی هست که باعث میشه حمایت بد صورت بگیره و درنتیجه حمایت بد هم تعارض منافع بوجود میاد و....
اما اینترنت رو نمیتونه قطع کنه چون بخواد یا نخواد بهش نیاز داره
-
جمعیت ماتریکس کم هم نیست. من خودم با حدود ۱۰۰ نفر اونجا در ارتباطم و پیامرسان اصلیمه.
واتساپ که صددرصد ناامنه. فرستادن نامه با پست جمهوری اسلامی ایران، ازش امنتره.
تلگرام کارخواه آزادی داره که امنیت رو تا حدی فراهم میکنه. ولی کارسازش نه آزاده و نه توزیعشده.
-
تلگرام کارخواه آزادی داره که امنیت رو تا حدی فراهم میکنه. ولی کارسازش نه آزاده و نه توزیعشده.
تلگرام اگه کارسازش رو آزاد کنه محبوبیت نسخه اصلیش کم نمیشه؟ نمیشه فقط با آزاد کردن کارخواه اون برنامه به امنیتش اعتماد کنیم؟ مگه رمزنگاری نداره؟
-
جمعیت ماتریکس کم هم نیست. من خودم با حدود ۱۰۰ نفر اونجا در ارتباطم و پیامرسان اصلیمه.
واتساپ که صددرصد ناامنه. فرستادن نامه با پست جمهوری اسلامی ایران، ازش امنتره.
تلگرام کارخواه آزادی داره که امنیت رو تا حدی فراهم میکنه. ولی کارسازش نه آزاده و نه توزیعشده.
یعنی من می تونم سیستم خودمو تبدیل به کارساز بکنم؟ کد هاشو از کجا میشه گیر آورد؟ راهنما داره؟
-
جمعیت ماتریکس کم هم نیست. من خودم با حدود ۱۰۰ نفر اونجا در ارتباطم و پیامرسان اصلیمه.
واتساپ که صددرصد ناامنه. فرستادن نامه با پست جمهوری اسلامی ایران، ازش امنتره.
تلگرام کارخواه آزادی داره که امنیت رو تا حدی فراهم میکنه. ولی کارسازش نه آزاده و نه توزیعشده.
یعنی من می تونم سیستم خودمو تبدیل به کارساز بکنم؟ کد هاشو از کجا میشه گیر آورد؟ راهنما داره؟
کدهای آن آزاد نیست
-
تلگرام اگه کارسازش رو آزاد کنه محبوبیت نسخه اصلیش کم نمیشه؟ نمیشه فقط با آزاد کردن کارخواه اون برنامه به امنیتش اعتماد کنیم؟ مگه رمزنگاری نداره؟
در واقع آزاد شدن کارساز تلگرام، هیچ فایدهای نداره. چون قابل استفاده نیست. شبکههای پیامرسانی باید توزیع شده باشن که تلگرام نیست.
رمزنگاری هم دلیل بر امنیت نیست همیشه. مثلاً واتساپ ادعا میکنه رمزنگاری داره و اجتمالاً واقعاً هم داره، ولی ناامنه!
تلگرام هم فقط بخش گپ سریشه که میشه با خوندن کد کارخواهش فهمید واقعاً (در سمت داده) امنه. گپهای عادیش امنیت خاصی ندارن. گروهها و کانالها هم که اصلاً رمزنگاری ندارن.
یعنی من می تونم سیستم خودمو تبدیل به کارساز بکنم؟ کد هاشو از کجا میشه گیر آورد؟ راهنما داره؟
بله:
sudo apt install matrix-synapse
-
پیامرسانهای داخلی مسئول هستند که در صورت درخواست، تمام اطلاعاتی که از شما دارند رو ارائه بدن. با توجه به اینکه اگر به هر دلیلی نظام با شما مشکلی پیدا بکنه، ممکنه از اون اطلاعات سواستفاده بکنه، استفاده از پیامرسانهای داخلی، احتمالا یکی از بزرگترین اشتباههایی هست که یک فرد ممکنه انجام بده. بخصوص که سیستم قضایی مناسبی هم وجود نداره که از حقوق شما دفاع کنه.
مشکلات دیگهای هم وجود داره، مثل اینکه افراد رو مجبور به استفاده از این پیامرسانها میکنند، بعد از آمار اونها سواستفاده میکنند. بعد این آمار دلیلی میشن برای برای پروژههای دیگهای مثل فیلترینگ و محدودیت اینترنت و ...
همینها کافیه که از پیامرسان داخلی استفاده نشه. مشکلات فنی هم اضافه میشه. به راحتی هم نمیشه تیمی مثل تیم تلگرام رو از لحاظ فنی جمع کرد که حالا این پیامرسانها که هدف اصلیشون درآمد هستش، بتونن باهاشون رقابت کنند.
-
دوستان حرفی از سیگنال نشد من نتونستم وارد بشم پیامکش نمیاد
ازاده ؟ امنیتش چطوره ؟
-
سیگنال در سمت کارساز توزیعشده نیست و در سمت کارخواه هم، کارخواه رسمیش آزاد نیست، چرا گه اگه تفییرش بدی، اجازهٔ وصل شدن به شبکهٔ سیگنال رو بهت نمیده. از نظر امنیتی، چیزی در حد واتساپه و نه بیشتر.
-
سلام، یک دوستی می گفت کسی که سرویس اینترنت بهت میده به همه ی اطلاعات گوشی دسترسی داره و می تونه جاسوسی کنه بدون هیچ نرم افزاری.
می خواستم بدونم این حرف صحت داره؟ ممنون میشم توضیح بدید.
-
سلام، یک دوستی می گفت کسی که سرویس اینترنت بهت میده به همه ی اطلاعات گوشی دسترسی داره و می تونه جاسوسی کنه بدون هیچ نرم افزاری.
می خواستم بدونم این حرف صحت داره؟ ممنون میشم توضیح بدید.
سلام
بههرحال همهی دادهها از زیر دست همون ارائهدهنده رد میشه. تنها راه، استفاده از رمزنگاری هست. ولی اینکه به اطلاعات گوشی دسترسی داره درست نیست. حتماً باید یه چیزی باشه که اطلاعات رو بفرسته.
-
سلام، یک دوستی می گفت کسی که سرویس اینترنت بهت میده به همه ی اطلاعات گوشی دسترسی داره و می تونه جاسوسی کنه بدون هیچ نرم افزاری.
می خواستم بدونم این حرف صحت داره؟ ممنون میشم توضیح بدید.
میتونه اطلاعاتی که رد و بدل میکنید رو ببینه. اگه از رمزنگاری استفاده شده باشه، نمیتونه اونها رو بفهمه، فقط میتونه ببینه به کجا میفرستید.
توی وب، معمولا از https استفاده میشه. https همون http هست که رمزنگاری بهش اضافه شده. در نتیجه اگه از https استفاده بشه، کسی نمیتونه وسط راه بفهمه چی فرستادید یا دریافت کردید.
البته اینکه از https استفاده شده باشه، دلیل نمیشه که حتما ارتباط امن باشه. ممکنه گواهیهای مورد اعتماد توی سیستم شما تغییر پیدا کرده باشن یا مقصد، گواهیهاش رو خودش امضا کرده باشه (که در این حالت مرورگر هشدار میده و مقصد رو باز نمیکنه) یا کلیدهای مقصد لو رفته باشن.
حتی ممکنه خود ca وارد عمل بشه و کلیدهاش رو در اختیار کسی قرار بده؛ البته اینجوری کل اعتبارش از بین میره. این آخری احتمالا فقط توسط دولتها قابل انجامه، اون هم نه به همین راحتی. ولی اگه یه دولت به یه ca نزدیک باشه و بهش فشار بیاره، میتونه کلیدهای خصوصی اون رو بدست بیاره و با یه سری کارها، ارتباط رو ببینه.
یه کمی شبیه کاری که با استاکسنت انجام شده بود. امضای realtek رو داشت تا شناسایی نشه.
اگه از vpn یا تور استفاده کرده باشید، ممکنه isp بفهمه که به تور یا vpn وصل هستید ولی دیگه به راحتی نمیفهمه مقصد اصلی دادهها کجاست. اگه از پل همراه تور استفاده کنید، سختتر میشه فهمید که به تور وصل هستید.
ولی اینکه به کل اطلاعات داخل گوشی دسترسی داشت، ممکن نیست. یا گوشی باید همه اطلاعات رو بفرسته یا یه بدافزاری نصب بشه و اینکار رو انجام بده.
-
موافقم و بیشترین چیزی که باید بهش پرداخته شه همینه که گفتن، رمزگذاری و.. که خیلیا تو زبونشون افتاده یکی از پایه ترین چیز هاست، و طرف مخالفتش با پیام رسان های ایرانی رمزگذاری(که گاهی زیاده) اش هست که صرفا شنیده میگن نداره یا یکی چند سال پیش هک شده..، و دلیل استفاده از پیام رسانی مثل واستاپ اینه که امنیت بالا و رمزگذاری داره و حتی تلگرام هم که گفتید، دیگه یا باید کامل سازندش بشناسی و بری ببینی اطلاعات نمیده! یا غیر متمرکز باشه، که معرفی هم کردید(:
ممنونم جناب Dragon- برام همیشه سوال بود خب یعنی چی که نمیفهمه؟ طرف اینترنت داده، یا من اینترنتم از هزارجا رد میشه چطور نمیتونه یه فضای ساختگی و یا تغییری ایجاد کنه برام..؟! ولی خب الان متوجه شدم صد درصدی نیست(ولی احتمال بدست آوردنش هم الکی نیست) ولی با این گواهی ها میشه تا حد زیادی جلوی خطا گرفت و این خوبه!، فقط یه سوال این ها کجا هستن؟ مثلا من یه گوشی نو خریدم یا یه سیستم عامل تازه نصب کردم، این گواهی از قبل وارد فایرفاکس میشه، یا اولین باری که به تارنمایی(سایت) وصل میشم یا از کجا میاد؟! بالاخره باید یچیزی باشه دیگه(:
و همه اینها یکجور هستند؟!(یه سایت هایی رایگان به همه میده یعنی اگه کلاهبردار باشه میتونه برای سایت ماهم اختلال ایجاد کنه) و نمیشه یکی گواهی شخصی خودش بسازه یا باید تایید شه حتما
ممنونم
-
رمزنگاری به تنهایی هیچ ارزشی نداره و واتساپ هم رمزنگاری داره مثلاً،ولی صددردصد ناامنه.
رمزنگاری در کنار کارساز و کارخواه آزاد قابل دریافت از مخزن نرمافزاری سومشخص خودکار خارجی و شبکهٔ آزادتوزیعشده و نامتمرکز، میتونه در مورد امنیت دادهها به ما یه اطمینانی بده. دقّت کنید که باز هم در برابر چیزی مثل فراداده نمیتونه هیج اطمینانی بده.
-
کاملا درست مفید+1
-
یک سوال. الان از ماتریکس بنظرتون با چه کارخواهی استفاده بشه بهتره؟ بعد چه امکانات اضافه تری نسبت به تلگرام یا واتساپ داره؟
بعد الان کارساز های ماتریکس به هم متصل هستن؟ یعنی مثلا من به کارساز ماتریکس وصل بشم بعد یکی دیگه بره به کارخواه kde متصل بشه می تونه به من پیام بده؟
توی ماتریکس حذف اکانت امکان پذیره؟
با قطع شدن اینترنت بین المللی باز هم ماتریکس می تونه مثل قبل کار کنه؟ مثلا به یک کارساز داخلی متصل بشیم بعد مثلا به کسی که از کارساز خارجی استفاده می کنه پیام بدیم؟
-
درود.
گفتنی های فنی و تخصصی را دوستان فرمودند و من در آن زمینه سخنی ندارم ولی یک چیز را میدانم و آن اینکه محرم راز داریم و نامحرم راز. اجازه بدید با یک مثال منظورم را بیان کنم.
اگر شما بکسور هستید و دیروز در اثر حادثه ای شانه ی چپتان ضربه خورده و حساس شده و امروز دارید با حریفتان در رینگ بوکس مبارزه میکنید؛ این راز حساس بودن شانه را حریف نباید بداند ولی دوست شما اشکالی نداره که بداند.
پس راز نسبی است وبستگی دارد باین که دست چه کسی میافتد.
اینکه من با بقال آنطرف خیابان حرفم شده بدرد گوگل نمیخوره چه بداند و چه نداند مهم نیست ولی بقال اینطرف خیابان نباید بداند.
-
+۱ منطقی است ولی دوست و دشمن قابل شناختن است ؟ گوگل میکروبسافت متا و.. که همه دشمن ولی تلگرام و نرم افزار های داخلی چی ؟
-
فقط یه سوال این ها کجا هستن؟ مثلا من یه گوشی نو خریدم یا یه سیستم عامل تازه نصب کردم، این گواهی از قبل وارد فایرفاکس میشه، یا اولین باری که به تارنمایی(سایت) وصل میشم یا از کجا میاد؟! بالاخره باید یچیزی باشه دیگه(:
توی اکثر توزیعها، بسته ca-certificates شامل این گواهیها هست. توی اندروید و iso، این گواهی همراه سیستمعامل هستند. توی اندروید میشه گواهیهای جدید به لیست گواهیهای مورد اعتماد اضافه کرد، در مورد ios نمیدونم.
توی ویندوز هم گواهیها همراه سیستمعامل هستند و میشه به اونها چیزی رو اضافه یا کم کرد. در مورد mac os چیزی نمیدونم.
معمولا فقط گواهی ca های ریشه توی سیستمعامل وجود داره. گواهی ca هایی که ریشه نیستند، اونجا نیست چون خود گواهی اونها، توسط یکی از ca های ریشه امضا شده. گوگل یه ca روت داره، مایکروسافت هم فکر کنم همینطور، digicert هم یه ca روت هست.
مرورگرها میتونند علاوه بر گواهیهای سیستم، به یه سری گواهی دیگه هم اعتماد داشته باشند. خود کاربر میتونه گواهیهایی رو به عنوان گواهیهایی که مال ca روت هستند، به مرورگر معرفی کنه. حداقل فایرفاکس نسخه desktop این قابلیت رو داره.
گواهی ca ها و همینطور ca های روت میتونه در گذر زمان عوض بشه. در مورد ca های معمولی، مشکلی نیست چون گواهی اونها توسط یه ca بالاتر یا یکی از ca های روت امضا شده و با استفادهداز اون امضا تائید میشه.
اگه برای ca های روت باشه، باید لیست گواهیهای مورد اعتماد توی سیستمها تغییر کنه. این تغییر معمولا به یه بروزرسانی انجام میشه. در نتیجه اگه سیستم بروز نباشه، ممکنه ssl/tls درست کار نده چون گواهیها عوض شدند.
اگه ویندوز 7 هایی که مدت زیادی آپدیت نشدند رو ببینید، احتمالا با این مشکل مواجه میشید. چون از موقع آخرین آپدیتشون تا حالا، گواهی بعضی از ca های روت عوض شده. البته میشه به طور دستی گواهی جدید ca های روت رو دریافت، و توی سیستم جایگزین قبلی کرد.
و همه اینها یکجور هستند؟!(یه سایت هایی رایگان به همه میده یعنی اگه کلاهبردار باشه میتونه برای سایت ماهم اختلال ایجاد کنه) و نمیشه یکی گواهی شخصی خودش بسازه یا باید تایید شه حتما
ممنونم
ممکنه یه ca درست مطمئن نباشه. هر چی از ca روت فاصله میگیرید، این احتمال بیشتر میشه ولی حتمی نیست. اینکه گواهی پولی باشه یا نه، بستگی به گواهی و ca مورد نظر داره. برای مثال گواهیهایی که اطلاعات شناسایی بیشتری دارند و برای شرکتهای بزرگ استفاده میشن معمولا از ca های روت یا ca هایی که زیاد از روت دور نیستند گرفته میشه و قیمت بالایی هم دارند.
از نظر فنی، این گواهیها با گواهیهای رایگان فرق خاصی ندارند ولی از اونجایی که اطلاعات بیشتری همراهشون هست و برای یه سازمان بزرگ استفاده میشن، باید پول بیشتری بدید؛ یه جور گسب و کار هست دیگه.
ca هایی هم هستند که گواهی رایگان و معتبر بدند، مثل lets encrypt
افراد مختلف میتونید بدای خودشون گواهی درست کنند و خودشون رو یه ca معرفی کنند. اما مشکل اینجاست که بقیه اون رو به عنوان ca قبول نمیکنند.
اگه بخواهد ca باشه، یا باید ca روت باشه و گواهی اون توی سیستم بقیه افراد وجود داشته باشه، که اینطور نیست، یا اینکه گواهی اون توسط یکی از ca های بالاتر امضا شده باشه، که باز هم اینطور نیست.
برای اینکه ca باشید، باید مدارک محکم هویتی به ca بالاتر ارائه بدید.معمولا اینکار پولی هم هست.
اینجا (https://maktabkhooneh.org/course/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%B1%D8%A7%DB%8C%DA%AF%D8%A7%D9%86-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B4%D8%A8%DA%A9%D9%87-mk689/) یه آموزش در مورد امنیت شبکه هست. به فارسیه ولی ممکنه یکم سنگین باشه.
-
یک سوال. الان از ماتریکس بنظرتون با چه کارخواهی استفاده بشه بهتره؟
فعلاً فقط element و schildi chat خوبن. ولی ابزارهای جایگزین هم به سرعت دارن راهشون رو باز میکنن. مثل fluffy chat یا fractal next.
بعد چه امکانات اضافه تری نسبت به تلگرام یا واتساپ داره؟
رمزنگاری سرتاسری پیشگزیده. داشتن کارساز و مارخواه آزاد قابل دریافت از مخازن سومشخص خودکار قابل اعتماد. نامتمرکز بودن و توزیعشدگی در سطح شبکه
بعد الان کارساز های ماتریکس به هم متصل هستن؟ یعنی مثلا من به کارساز ماتریکس وصل بشم بعد یکی دیگه بره به کارخواه kde متصل بشه می تونه به من پیام بده؟
بله
توی ماتریکس حذف اکانت امکان پذیره؟
بله
با قطع شدن اینترنت بین المللی باز هم ماتریکس می تونه مثل قبل کار کنه؟ مثلا به یک کارساز داخلی متصل بشیم بعد مثلا به کسی که از کارساز خارجی استفاده می کنه پیام بدیم؟
دو سال پیش که اینترنت قطع شد، من بدون مشکل با ماتریکس در حال تبادل پیام بودم با افراد خارج از کشور.
اینکه من با بقال آنطرف خیابان حرفم شده بدرد گوگل نمیخوره چه بداند و چه نداند مهم نیست ولی بقال اینطرف خیابان نباید بداند.
خب بهتره به مقدار تجدید نظر کنی در اعتمادهات. چون مدل کسب درامد گوگل اینه که از بقالها پول میگیره و بهشون میگه کی با کی دعواش شده.
-
آقای Dragon- خیلی ممنونم از شما، با اینکه تخصص ندارم روشن شدم :D یعنی بعضی https ها که اخطار میده و.. بخاطر دقیقا همین موضوع که از روت نیستن، وهرکی میتونه یه گواهی درست کنه ولی خب همینطور که گفتید خطا میده بخاطر اینکه بقیه اون ندارند!
نمیدونم کارتون چیه هرچی هست انشاالله موفق باشید، ولی اگه مقاله نویسی چیزی هستید احتمالا کارتون خیلی درسته :)
-
مقاله نمینویسم. فقط توی همین انجمن به بقیه کمک میکنم.
-
مقاله نمینویسم. فقط توی همین انجمن به بقیه کمک میکنم.
فدای این روح پاکت :)
-
مقاله نمینویسم. فقط توی همین انجمن به بقیه کمک میکنم.
ماشالا شما تک تک پست هایی که توی انجمن دادید همش کاربردی بوده و هیچ وقت بحث نکردید.
پست های شما باید یک جا حتما ذخیره بشن. البته با این که من نمی فهمم (اصلا سر رشته ای ازین چیزا ندارم) ولی بازم همش کاربردیه.