سوالاتی درباره پیام رسان های داخلی

[Nixon]

سلام و عرض ادب خدمت دوستان

این پست رو فقط از منظر کنجکاوی ایجاد کردم . لطفا در صورت امکان در کمال بیطرفی به سوالام جواب بدید ( چون بعضی ها هستن که خیلی از نرم افزار های داخلی خوششون نمیاد و فکر میکنن توسعه اون ها باعث قطع ارتباط ما با اینترنت میشه و بعضی ها هم بالعکس . در هر صورت بدون تعصب جواب بدید  . ممنون )

عرضم بخدمتتون که بنده میخواستم نظرتون رو درباره پیام رسان های داخلی مثل سروش . آیگپ و ... بدونم

اوایل که این پیام رسان ها تازه اومده بودن به بازار یه سری عکس ها دیدم و مطالبی رو خوندم که مثلا فلانی سروش رو هک کرده و یا اینکه هیچ امنیتی در این پیام رسان ها وجود نداره و ... .

ولی من از هک کردن و امنیت برنامه ها چیزی نمیدونم . اگر شما از این مسائل سر در میارید لطفا این سوال های منو جواب بدید:

1- آیا بنظرتون این داستان هک شدن پیام رسان های داخلی راست بوده؟

2- هک کردن پیام رسان یعنی چی ؟ ( مثلا اگر یه نفر یه پیام رسان رو هک کرد یعنی به همه پیام های کاربران اون پیام رسان دسترسی پیدا میکنه؟ یا فقط سرور های پیام رسان رو دچار اختلال میکنه که پیامی رد و بدل نشه یا ... ؟ )

3- من شنیدم تلگرام تاحدودی متن باز هست . آیا ما نمیتونیم یه پیام رسان مبتنی بر تلگرام بسازیم ؟  ( لطفا توضیح بدید )

4- چرا اینقدر بی اعتمادی به پیام رسان ها داخلی وجود داره ؟ ( امروز داشتم سایت آیگپ رو بررسی میکردم و دیدم که نوشتن : آیگپ، اولین و تنها پیام‌رسان متن‌باز (open-source) در ایران و خاورمیانه است . خوب اگر اینطور باشه خیلی خوبه و میتونیم بهشون اعتماد کنیم . آیا اینطور نیست ؟ )

نظر من درباره پیام رسان های داخلی:

علی رغم تمام کمی و کاستی ها و حس  بی اعتمادی که ممکنه وجود داشته باشه . بنظرم بزرگترین مشکل پیام رسان های داخلی اینکه
" خیلی ها ازش استفاده نمیکنن " یعنی من اگر نصبشون کنم به هیچ یک از اعضای خانوادم یا اطرافیان و دوستانم نمیتونم پیام بدم و خوب اگر اینطور نبود من حاضر بودم از این مشکلات تاحدی چشم پوشی کنم و از پیام رسان داخلی استفاده کنم.

پ.ن : من موافق قطع شدن اینترنت و از اینجور مسائل نیستم ولی واقعا علاقمندم از برنامه هایی که دوستان توی ایران درست میکنن حمایت کنم حالا چه پیام رسان باشه . چه بازی باشه و ... . اگر متن باز باشه که دیگه چه بهتر  .

[دکتر کاظمی]

پیام رسان آیکپ کد باز است و بسیار هم خوب ولی اگر تعداد اعضای آن زیاد شوند سرورهای آن قدرتمند نیستند و کند می شود و مشکل دیگر اینکه کسی استفاده نمی کند من همیشه نصب کرده دارم اما استفاده نمی کنم، در مورد تلگرام، ایتا را از روی آن ساخته اند

[سودو.]

میدونم که سازندگان اکثرشون مثل شاد و روبیکا یه تیمن و از سورس تلگرام استفاده میکنن ، این تلگرام نبود همه فلج بودن ! ولی من حتی اگه شنودی هم درکار نباشه از نرم افزار ایرانی استفاده نمیکنم ، ریسکه دیگه ! با این حکومتی که ما داریم …

[behzad121]

۱. بله. پیامرسان سروش اوایل که منتشر شد، اطلاعاتی رو که به سرور میفرستاد رو احتمالا رمزنگاری نمیکرد و با sniff گرفتن از شبکه می شد اطلاعاتی رو خوند، طوری که یکی شماره آذری جهرمی رو پیدا کرد. خوشبختانه مشکل خیلی وقت پیش برطرف شده.

۲. هک کردن هم میتونه از طریق کلاینت و هم میتونه از طریق سرور باشه.

۳. نسخه های کلاینت تلگرام آزاد هستند ولی سرور نه. تلگرام یک Api در خدمت کاربراش قرار میده تا اونها بتونند با تلگرام ارتباط برقرار کنند. تلگرام از رمزنگاری استفاده می کنه و اونها نمیتونند از سمت سرور پیام هارو بخونند.

۴. چون دولت هی تبلیغ این پیامرسان هارو می کنه و تلگرام رو فیلتر کردن، مردم فکر می کنند که این پیامرسان ها می تونند این اطلاعات رو به دولت بدند، و همینطوری هم هست. آیگپ هم نسخه های کلاینت و Api هاش مثل تلگرام آزاده و با مجوز AGPL منتشر شده، ولی سمت سرور نه. اگه آیگپ مثل تلگرام رمزنگاری داشته باشه میشه بهش اعتماد کرد.

[saeed89]

1- بله نرم افزار تلگرام اوپن سورسه می تونی دانلود و توسعه بدی !
2 - هر شبکه امن نیست هک شدن مختص به سیستم های ایران نیست . ( ماجرای هک یاهو - و ... زیاده این مورد الان حضور ذهن ندارم)
4 - بی اعتمادی از تبلیغات من و شما حاصل میشه .  حکومت ما هم مثل حکومت آمریکا سانسور و شنود میکنه ! (من موافق یا مخالف هیچ حکومتی نیستم ) - شرایطی که حکومت ما بر سر راه استارت آپ ها میزاره بیشتره . و این که چرا توسطه پیدا نمیکنه به عواملی بستگی داره
1- به عوامل که تبلیغات بی اعتماد سازی بین مردم بر کسب و کار های داخلی
2 - شرایط و شروط و موانع حکومت .( اینماد - کسب مجوز شبکه اجتماعی و ...)
-------------------------------------------------------------

[#unknown#]

1- بله
3- میتونیم ، میشه پیام رسان داخلی دیگه مثل تلگرام طلایی
4- چون کیفیت نداره و بدرد بخور نیست و تو اونجا زیر نظری

[بهنام …]

سلام و احترام.
فرض کن زمان جنگه و صدام و منافقین و انگلیس و آلمان و فرانسه حمله کردند و در خرمشهر زندگی می‌کنی.
دو راه بیشتر نداری. یا بذاری و بری و به متجاوزان کمک کنی، یا بمونی و مقاومت کنی و به حکومت ایران کمک کنی.
اینجا هم همینه. کاربران انجمن مردم کم‌اطلاعی نیستند. تکلیفشون تقریباً مشخصه و می‌دونند با چه انتخابی بیشتر به چه‌کسی کمک می‌کنند. بعضی دوست دارند بی‌طرف باشند، ولی فقط دوست دارند، در حقیقت بی‌طرفی غیر‌ممکنه. این بحث هک و نفوذ و شنود و… هم کشکه. پای مسائل امنیتی که وسط بیاد، همه‌شون یکسان‌اند. در مسائل عادی‌تر و غیر‌امنیتی هم راه‌هایی می‌رن که بستگی به تعامل با اون پیام‌رسان‌ها داره. مثلاً:

کد: [انتخاب]

https://www.alef.ir/news/4001129064.html
از این کارها و حتی دادن اطلاعات شخصی یا انبوه به حکومت‌ها فراوونه. در ظاهر هم شرکت‌ها را برای قسم‌خوردن و توضیحاتی به پارلمان‌ها و دادگاه‌ها می‌کشونند ولی بر زیر و روی اونا مسلط‌اند. کشورهای لیبرال‌تر هم گفتند اگه موارد بیشتر بشه و تعامل نکنند و پیام‌رسانی همکاری نکنه، گزینهٔ مسدودسازی کامل هم روی میزه. ولی تا جای ممکن از ابزارهای تحریم و تطمیع و… استفاده می‌کنند تا پیش مردمشون ضایع نشن! ولی خب برای کشورهایی که اباحه‌گری و رهاشدگی در اون‌ها بیشتر از ایرانه، مسائل بزرگ غیر‌امنیتی کمتره. مثل آمریکا که اسلحه در اون بیش از اروپا مجازه. ولی گفتم این برای مسائل عادی‌تره و بین چند نفره. در مسائل مهم و امنیتی از راه‌هایی اطلاعات به دست میارن که فکرش را هم نمی‌کنی!
بستن و مسدودسازی هم تیغ دولبه‌ست. الآن از همین پیام‌رسان‌ها و شبکه‌های خارجیه که می‌شه تا حدودی فرهنگ ایرانی را منتقل کرد، البته نه پیام‌رسانی که ایرانی‌ها بیشتر استفاده کنند، بلکه باید از اونی استفاده کنی که مردم یک کشور دیگه بیشتر استفاده می‌کنند و برای هر کشوری و هر زبانی فرق داره.

[BiG]

این تاپیک با سوال شما مرتبطه:
https://forum.ubuntu-ir.org/index.php?topic=147247.15

[سودو.]

تلگرام به همین خاطر که بتونه تحت فشار حکومت ها نباشه شرکتشو در چندین کشور تقسیم کرده ( مقر اصلیش دوبی یا اماراته ! دقیقا یادم نیس ! حالا چرا اینکارو کرده ؟ تا برای دریافت زوری اطلاعات توسط دولت ها ، باقی کشور ها هم نیاز باشه رای بدن ! پس مگر چه اتفاق بین المللی رخ بده که تلگرام مجبور شه اطلاعاتشو بده دست حکومت ها !
اما اینجا چی ؟ روبیکا و امثالهم اگه ازشون اطلاعات درخواست بشه میتونن ندن ؟

[جعفر فرقانلوژ]

از نظر کارایی اکثرا قبلا به درد توی گودال های امنیتی ویندزد می خورد الان نمیدنم
تلگرام متن باز است ایتا انحصاری و اکثرا هم از روی هم هستند و تفاوت چندانی با هم ندارند

[Oxygen]

عرضم بخدمتتون که بنده میخواستم نظرتون رو درباره پیام رسان های داخلی مثل سروش . آیگپ و ... بدونم

تجربه ثابت کرده که داخلی ها بعضیاشون پایدار نیستن، الان شما سروش رو میبینی؟ مال صدا و سیما بود، کلا آگهیش کرد فروختش
بعضیاشونم سرعتشون پایینه، سرورشون پاسخگو نیست.
در نهایت اونی هم که خوبه، طراحی خوبی نداره (هم از نظر ui و هم از نظر ux)

1- آیا بنظرتون این داستان هک شدن پیام رسان های داخلی راست بوده؟

اون اوایل همه میخواستن یه پیامرسان راه بندازن، کلا هیچ درکی هم از امنیت نداشتن. بله به راحتی میشد تمام دیتای ارسالی/دریافتی رو بصورت متن ساده دید! یعنی یک رمزنگاری ساده نداشتن، صداش که دراومد، اومدن رمزنگاری گذاشتن.

یعنی در این حد که با نصب یه نرم افزار مانیتورینگ ساده، قشنگ همه چیزا رو نشون میدادن (البته بغیر از بله که برای بانک ملی بود) خودم شخصا تست کردم اون زمان. تا جایی که حتی شماره موبایل سازنده کانال رو هم نشون میدادن (id همون موبایل بود).

2- هک کردن پیام رسان یعنی چی ؟ ( مثلا اگر یه نفر یه پیام رسان رو هک کرد یعنی به همه پیام های کاربران اون پیام رسان دسترسی پیدا میکنه؟ یا فقط سرور های پیام رسان رو دچار اختلال میکنه که پیامی رد و بدل نشه یا ... ؟ )

هک طبق تعریف جادی، یعنی استفاده غیر معمول از چیزی، برای هدفی که ساخته نشده!
و اینجا به طور مشخص به این موضوع اشاره داشت که محتوای ارسالی رمز نمیشد و شماره موبایل صاحبان کانال ها و گروه ها دیده میشد. یعنی شما عضو کانال وزیر جوان میشدی، بعد شماره موبایلشو میدیدی اینقدر زنگ خورد که خاموشش کرد.
با یک مانیتورینگ ساده نمام اطلاعات و پیامهار ارسالی/دریافتی هم بصورت hml و json دیده میشد.

4- چرا اینقدر بی اعتمادی به پیام رسان ها داخلی وجود داره ؟ ( امروز داشتم سایت آیگپ رو بررسی میکردم و دیدم که نوشتن : آیگپ، اولین و تنها پیام‌رسان متن‌باز (open-source) در ایران و خاورمیانه است . خوب اگر اینطور باشه خیلی خوبه و میتونیم بهشون اعتماد کنیم . آیا اینطور نیست ؟ )

علاوه بر توضیحاتی که دادم، حواشی اونا رو نشنیدین؟ وام میلیاردی بلاعوض گرفتن، کلی امکانات و... آخرش چی دادن؟ یه رمزنگاری به زور!
هر شرکتی ممکنه اطلاعات مشتریاش لو بره، قبول. ولی دقت کردین توی ایران چقدر این موضوع بیشتره؟ اونم اطلاعات مهم (ثبت احوال، بانک، اپراتور موبایل و...)
خب مردم میگن ترجیح میدن تا جای ممکن از یه برنامه خارجی استفاده کنن تا احتمال لو رفتن اطلاعاتشون کمتر باشه. چون اونا برای اینجور وقتا قانون دارن ولی اینجا چی؟ اینهمه اطلاعات مردم لو رفت چیشد؟ فقط بلدن تکذیب کنن. فایل اومده بیرون اسکرین شات!!! دیگه مجبور شدن گفتن حالا یه نشتی جزئی داشتیم و فلان...
اصلا چرا برای عضویت توی یک پیامرسان اطلاعاتی مثل تاریخ تولد یا کدملی رو بدیم؟ (بعضیاشون میخوان)

نظر من درباره پیام رسان های داخلی:

علی رغم تمام کمی و کاستی ها و حس  بی اعتمادی که ممکنه وجود داشته باشه . بنظرم بزرگترین مشکل پیام رسان های داخلی اینکه
" خیلی ها ازش استفاده نمیکنن " یعنی من اگر نصبشون کنم به هیچ یک از اعضای خانوادم یا اطرافیان و دوستانم نمیتونم پیام بدم و خوب اگر اینطور نبود من حاضر بودم از این مشکلات تاحدی چشم پوشی کنم و از پیام رسان داخلی استفاده کنم.

شاید خیلیا حاضر بودن چشم پوشی کنن، ولی زمانی که این چیزا رو دیدن دیگه اعتمادها خراب شد

پ.ن : من موافق قطع شدن اینترنت و از اینجور مسائل نیستم ولی واقعا علاقمندم از برنامه هایی که دوستان توی ایران درست میکنن حمایت کنم حالا چه پیام رسان باشه . چه بازی باشه و ... . اگر متن باز باشه که دیگه چه بهتر  .

یه چیزی که مد شده، سوپر اپلیکیشن هست. طرف میخواد یه پیامرسان درست کنه، همه کارا رو میچپونه توی همون! کارت به کارت، خرید شارژ، پرداخت قبض و.... به حدی که توی امکاناتش گم میشی. بابا پیامتو بفرست دیگه، همونو بهتر کن هر روز


و در نهایت اینا خیلی مهم نیست، اکثر دوستان من کجان؟ پس همون پیامرسان که عمومی تر هم هست بهتره. وگرنه خیلی پیامرسانها ممکنه امکانات بهتری هم داشته باشن، ولی کسی توشون نیست، ما بریم با کی چت کنیم؟

[بهنام …]

تلگرام به همین خاطر که بتونه تحت فشار حکومت ها نباشه شرکتشو در چندین کشور تقسیم کرده ( مقر اصلیش دوبی یا اماراته ! دقیقا یادم نیس ! حالا چرا اینکارو کرده ؟ تا برای دریافت زوری اطلاعات توسط دولت ها ، باقی کشور ها هم نیاز باشه رای بدن ! پس مگر چه اتفاق بین المللی رخ بده که تلگرام مجبور شه اطلاعاتشو بده دست حکومت ها !

رأی بدن؟! شما رأی‌گیریشون را دیدی؟ چند درصد باید رأی بیارن؟
در کل، از این خبرا نیست. برای هر ذره اطلاعاتی که توی هر کشوری ذخیره می‌کنه، با اون کشور فقط قرارداد داره و قرار نیست من و تو بدونیم چه‌جوری با اون کشورا همکاری می‌کنه تا به اهدافشون برسند.
در ضمن، با جهان دو سه قطبی امروز این حرف‌ها یعنی چی؟ مثلاً چند درصد احتمال داره آلمان و فرانسه و امارات و عربستان و انگلیس و آمریکا علیه من رأی ندن؟
اصلاً به‌نظرت خود سازنده‌های این پیام‌رسان‌ها از پیام‌رسانشون استفاده‌ای می‌کنند؟ به‌جز کانال اطلاع‌رسانی و نمایش!

یه چیزی که مد شده، سوپر اپلیکیشن هست. طرف میخواد یه پیامرسان درست کنه، همه کارا رو میچپونه توی همون! کارت به کارت، خرید شارژ، پرداخت قبض و.... به حدی که توی امکاناتش گم میشی. بابا پیامتو بفرست دیگه، همونو بهتر کن هر روز

تازه مگه ما چقدر جمعیت داریم که ۷ تا به‌اسم پیام‌رسان، چند تا به‌اسم شبکهٔ اجتماعی و عکس و…
زورشون میومد حتی یه پل‌های ارتباطی بین همدیگه ایجاد کنند.

[mskf1383]

سلام
پیشنهاد من اینه که نه از پیام‌رسان‌های داخلی استفاده کنید و نه خارجی. واتساپ که اصلاً هیچی. تلگرام هم کدهای کارسازش نامعلومه. پیام‌رسان‌های داخلی هم نه آزادن و نه کاربر دارن. سعی کنید تا جای ممکن از پیام‌رسان‌های نامتمرکز و آزادی مثل ماتریکس استفاده کنید. کلی هم نمونه‌ی عمومی وجود داره. ولی این رو هم بدونید که تا وقتی که خودتون یک نمونه ازش رو میزبانی نکرده باشید، هیچ تضمینی نیست که امنیت داشته باشید. همه‌چیز نسبیه! خیلی هم خودتون رو درگیر مسئله‌ی امنیت نکنید؛ چون به نتیجه نمی‌رسید!

[دانیال بهزادی]

در مورد آیگپ، من چند وقت پیش نگاهی به کد مبدأیی که منتشر کرده بودن انداختم. از رمزنگاری بسیار ضعیفی استفاده می‌کنن که بود و نبودش، فرق چندانی نداره. علاوه بر اون، صرف آزاد بودن یه پیام‌رسان، استفاده ازش رو توجیه نمی‌کنه. کم‌ترین شرایط لازم برای استفاده از یه شبکهٔ پیام‌رسان این‌هاست:

۱. سمت کارساز و کارخواهش، نرم‌افزار آزاد باشه و کدهای مبدأش بدون محدودیت در اختیار همه باشه.
۲. کارخواهش از یک مخزن خودکار قابل اعتماد مثل اف‌دروید یا مخازن رسمی دبیان گرفته بشه.
۳. کارسازش توزیع شده باشه و هرکسی بتونه با گرفتن کد مبدأ رسمی، نمونهٔ خودش رو بالا بیاره و با بقیهٔ نمونه‌ها در ارتباط باشه.

با این شرایط، من فقط سه تا شبکه می‌شناسم: شبکهٔ رایانامه، شبکهٔ xmpp و شبکهٔ ماتریکس.

یه شرط چهارمی هم هست به این صورت:
۴. رمزنگاری سرتاسری (E2EE) پیش‌گزیده داشته باشه و امکان ارسال پیام بدون اون نباشه.

که با این توصیف، هیچ شبکهٔ امنی نمی‌شناسم. بین موارد بالا هم ماتریکس رو ترجیح می‌دم. چون گرچه امکان فرستادن پیام بدون رمز توش وجود داره، ولی المنت که کارخواه اصلیشه، به صورت پیش‌گزیده همهٔ پیام‌ها رو به صورت رمزشده می‌فرسته.

[BiG]

در مورد آیگپ، من چند وقت پیش نگاهی به کد مبدأیی که منتشر کرده بودن انداختم. از رمزنگاری بسیار ضعیفی استفاده می‌کنن که بود و نبودش، فرق چندانی نداره. علاوه بر اون، صرف آزاد بودن یه پیام‌رسان، استفاده ازش رو توجیه نمی‌کنه. کم‌ترین شرایط لازم برای استفاده از یه شبکهٔ پیام‌رسان این‌هاست:

۱. سمت کارساز و کارخواهش، نرم‌افزار آزاد باشه و کدهای مبدأش بدون محدودیت در اختیار همه باشه.
۲. کارخواهش از یک مخزن خودکار قابل اعتماد مثل اف‌دروید یا مخازن رسمی دبیان گرفته بشه.
۳. کارسازش توزیع شده باشه و هرکسی بتونه با گرفتن کد مبدأ رسمی، نمونهٔ خودش رو بالا بیاره و با بقیهٔ نمونه‌ها در ارتباط باشه.

با این شرایط، من فقط سه تا شبکه می‌شناسم: شبکهٔ رایانامه، شبکهٔ xmpp و شبکهٔ ماتریکس.

یه شرط چهارمی هم هست به این صورت:
۴. رمزنگاری سرتاسری (E2EE) پیش‌گزیده داشته باشه و امکان ارسال پیام بدون اون نباشه.

که با این توصیف، هیچ شبکهٔ امنی نمی‌شناسم. بین موارد بالا هم ماتریکس رو ترجیح می‌دم. چون گرچه امکان فرستادن پیام بدون رمز توش وجود داره، ولی المنت که کارخواه اصلیشه، به صورت پیش‌گزیده همهٔ پیام‌ها رو به صورت رمزشده می‌فرسته.

جدا از این حرفا، آخه کسی ماتریکس نمی شناسه.
باید حداقل یک نفر توش باشه که بشه بهش پیام داد.
واتساپ هم واقعا هیچی نداره امکاناتش خیلی کمه ولی نمی دونم چرا همه دارنش. هر سری هم آپدیت میاد ولی هیچی بهش اضافه نمیشه. میگن آپدیت امنیتیه.
فقط توی گزینه هاتون تلگرام چرا نبود؟ خودتون یک بار قبلا گفته بودید تلگرام رمزنگاری داره و امنه.