Comments 50
А я уже слышал о нем, как-то в моих новостях во вконтактике пролетала новость об этой разработке.
Готов переключиться на него с глючного Skype (Linux), который к тому же тянет огромный вагон 32-битных библиотек, прямо сейчас если будет текст и передача файлов + желательно но не обязательно аудиосвязь. Но при этом нужен приятный GUI, плагин для Pidgin или Empathy устроит вполне.
Кто-то подскажет, есть ли у них прием пожертвований (круто было бы с голосами за фичи)? А то на сайте не нашел.
Готов переключиться на него с глючного Skype (Linux), который к тому же тянет огромный вагон 32-битных библиотек, прямо сейчас если будет текст и передача файлов + желательно но не обязательно аудиосвязь. Но при этом нужен приятный GUI, плагин для Pidgin или Empathy устроит вполне.
Кто-то подскажет, есть ли у них прием пожертвований (круто было бы с голосами за фичи)? А то на сайте не нашел.
Еще одна ссылочка полезная. По-правде я сам недавно рассматривал проект в качестве варианта помощи opensource (на iOS версия называется Toxicity), но кол-во вопросов, которые возникли к той самой безопасности сего мессенджера, крайне напрягли.
Предпочел бы, чтобы силы были вложены в что-то более допиленное вроде i2p, tor, bitmessage и тд.
Предпочел бы, чтобы силы были вложены в что-то более допиленное вроде i2p, tor, bitmessage и тд.
Добавил.
Забыли и про Privacy and security issues упомянуть. Вопрос не менее важный.
Отрывок:
Отрывок:
I think there are some serious design flaws in the current prototype.
At the moment, Tox is extremely vulnerable to flood and spam attacks. You can easily compile a list of all active Tox client IDs on the network by watching DHT ping requests and friend requests.
I haven't read much of the code or documentation, but it seems like too much is public, by design. Observers may not be able to read what you are saying, but watching the network can reveal:
who you are
who you are talking to
who you are sending a friend request
Privacy issues aside, spammers or hackers could run bots on the network and send random users unsolicited messages and/or friend requests. Blocking individual IP addresses is not a good solution, IMO. Without any sort of central authority, blocking malicious users is not an easy task.
тогда как Tox — свободно распространяемая и бесплатная программа. Это значит, вы можете делать с Tox все, что вам угодно
следует читать как: «тогда как Tox — свободно распространяемая и бесплатная программа. Это значит, Tox может делать с Вашим компьютером все, что угодно»
P.S. всегда настораживали бесплатные приложения, которые обещают все радости жизни. За все надо платить.
Поймите, когда весь код открыт и приложение массово используется, его сразу начинают шерстить десятки человек. С бэкдорами тут на самом деле достаточно сложно.
Да бросьте, как специальные константы подбираются для уменьшения криптостойкости ключей, так и здесь могут быть не менее скрытые «ходы».
Вот что пишет википедия.
А тут у нас значит 32 байта, т.е. 256 бит… Т.е. совсем не стойкое шифрование.
И я так понимаю, что есть какой-то основной сервак, через который передаются все сообщения… Так что я не могу быть на 100% уверен в отсутствии MITM.
В 2010 году группе учёных из Швейцарии, Японии, Франции, Нидерландов, Германии и США удалось успешно вычислить данные, зашифрованные при помощи криптографического ключа стандарта RSA длиной 768 бит. Нахождение простых сомножителей осуществлялось общим методом решета числового поля. По словам исследователей, после их работы в качестве надежной системы шифрования можно рассматривать только RSA-ключи длиной 1024 бита и более. Причём от шифрования ключом длиной в 1024 бит стоит отказаться в ближайшие три-четыре года… С 31 декабря 2013 года браузеры Mozilla перестанут поддерживать сертификаты удостоверяющих центров с ключами RSA меньше 2048 бит.
А тут у нас значит 32 байта, т.е. 256 бит… Т.е. совсем не стойкое шифрование.
И я так понимаю, что есть какой-то основной сервак, через который передаются все сообщения… Так что я не могу быть на 100% уверен в отсутствии MITM.
И чем тебе так мой топик не понравился, что ты молча вдарил?
Я не «вдарял». Исключительно оставил два коммента, которые в своей сути должны призвать не использовать сырую разработку, с низкой степенью защиты для сокрытия тайн личной переписки. Видимо минусующие не вполне осведомлены о том, что такое криптозащита. И какие ключи (длина ключей) являются криптостойкими. И так-же я призываю не использовать централизованные сервисы в качестве основного IM. Что в купе с «шифрованием», подрывает доверие к данному продукту.
P.S. Вот не соовсем понятно, за что минусуют. Могли бы озвучить свое авторитетное мнение.
P.S. Вот не соовсем понятно, за что минусуют. Могли бы озвучить свое авторитетное мнение.
Меня, как простого пользователя, вполне устраивает скайп, аська, мейл-агент, viber, соцсети.
Для сборки необходим QtCreator версии 5.0 или выше.
Qt 5.0. Последний Creator версии 2.8, если не ошибаюсь.
По опросу: сам я Skype вынужден использовать для текстового общения с пользователями, которых не получилось/невозможно пересадить на другие средства текстовой связи, для остального хватает электронной почты/джаббера, голосом говорю по мобильнику и Mumble/TS. Соответственно, если Tox станет сравним со Скайпом по удобству для таких пользователей и по популярности, то буду использовать, а иначе в нём нет смысла. А если вспомнить судьбу похожей программы — Secure Shuttle Transport, то начнёт казаться, что Скайп Токсу не догнать.
От них ушел один из главных разработчиков. Думаете, Тох сможет выплыть?
Пруф.
Пруф.
Почему бы им не сделать проект на Kickstarter/indiegogo? Я думаю, нашлось бы множество желающих поддержать их начинания финансово.
Блин. жалко, разработка не на Питоне идёт. Да, нубское сожаление — но к разработке бы присоединился бы =)
KenAshcorp в чате? Они с разработчиком знакомы или это чисто рекламный скриншот?
Почему не xmpp?
Потому, что оно децентрализовано и нет единого сервера. Давить на обладателя сервера проще намного
Проснулись. В xmpp нет централизованного сервера. Есть куча серверов. Как с email. Хочешь — на большой публичный, хочешь — на свой личный с тремя аккаунтами: себя, своего компьютера и своей собаки.
Сперва проект показался мне довольно интересным (сам давно планировал сделать свободную альтернативу скайп). Но я посмотрел на функциональность, пообщался с разработчиками и понял:
— пока что нет возможности авторизовываться по логину и паролю (сейчас надо таскать файл с ключом). И, судя по их ответам, такая возможность вряд ли будет реализована правильным способом (а именно — используя dht сеть). Вместо этого они разрабатывают концепцию авторизационных серверов, которые будут хранить файл с ключом пользователя. В этом случае, на мой взгляд, теряется весь профит от использования dht.
— процесс разработки не очень организован. Например, хотел я пару месяцев назад впилить им передачу файлов. Отправил комит с небольшим рефакторингом (предварительно получив в irc добро на него, в комите — поправил всё согласно код-стилю, разбил ядро на несколько частей — ибо втыкать передачу файлов и прочую новую функциональность в один .c файл — не прикольно). Комит висит до сих пор — не заацептили и даже не написали почему.
— пока что нет возможности авторизовываться по логину и паролю (сейчас надо таскать файл с ключом). И, судя по их ответам, такая возможность вряд ли будет реализована правильным способом (а именно — используя dht сеть). Вместо этого они разрабатывают концепцию авторизационных серверов, которые будут хранить файл с ключом пользователя. В этом случае, на мой взгляд, теряется весь профит от использования dht.
— процесс разработки не очень организован. Например, хотел я пару месяцев назад впилить им передачу файлов. Отправил комит с небольшим рефакторингом (предварительно получив в irc добро на него, в комите — поправил всё согласно код-стилю, разбил ядро на несколько частей — ибо втыкать передачу файлов и прочую новую функциональность в один .c файл — не прикольно). Комит висит до сих пор — не заацептили и даже не написали почему.
Отвечая на вопрос «Что необходимо реализовать, чтобы вы перешли со Skype на Tox?» хочу скачать, что большой переход пользователей будет, если организовать транспорт сервис, который позволял бы пользователям Тох общаться с пользователями скайпа (и наоборот). ИМХО многие не бросят скайп из за того что их знакомые сидят именно в скайпе.
Хм, пока одни предлагают в будущем, другие уже используют — RetroShare.
Для тех, кто не знаком, расскажу в двух словах. Это такой защищенный мессенджер, который уже умеет общаться голосом, раздавать файлы через dht, вести некоторое подобие форумов/конференций только с заранее определенной группой лиц (есть возможность открыть для всех).
Функций очень много. Есть клиенты под linux|win|mac. Интерфейс, конечно, не очень простой, но зато защита и прочая, прочая.
Для тех, кто не знаком, расскажу в двух словах. Это такой защищенный мессенджер, который уже умеет общаться голосом, раздавать файлы через dht, вести некоторое подобие форумов/конференций только с заранее определенной группой лиц (есть возможность открыть для всех).
Функций очень много. Есть клиенты под linux|win|mac. Интерфейс, конечно, не очень простой, но зато защита и прочая, прочая.
Эмм… библиотека под GPLv3, и тут же клиент под iOS на официальной странице?
Что-то изменилось в юридическом плане относительно статической линковки, или они официально клали?
Что-то изменилось в юридическом плане относительно статической линковки, или они официально клали?
Код открытый. Но с лицензиями у них действительно бардак, т.к. клиент под лицензией Apache 2.0.
Поизучал их сайт, и пришел к выводу, что пока они доверия особого не заслуживают. На своей вики они заявляют, что используют библиотеку NaCl для шифрования. В описании библиотеки ничего не сказано про эллиптическую криптографию, только RSA. А значит Ugputu прав, ключ в 256 бит — это недопустимо мало. Вообще, есть ощущение, что у разработчиков достаточно поверхностные знания о криптографии, поэтому доверия разработка не вызывает. Еще несколько смущает, что публичный ключ отправителя отсылается вместе с каждым сообщением — после обмена ключами это представляется излишним. Не могу утверждать с полной уверенностью, но тут представляется возможность для MItM-атак. Похоже, с MItM они вообще никак не борются.
Что касается децентрализации, похоже они используют свои сервера только для бутстраппинга после первой установки. В принципе, компрометация этих узлов может, но это неизбежное зло.
Из функционала, естественно, голос. Желательно, для групповых разговоров тоже. Однако, это необходимо подкрепить внятной спецификацией протокола, включая его криптографические аспекты.
Пока — не жду ничего, но если они достигнут своей цели, это будет здорово.
Естественно, негативно. Тот факт, что я не смогу его запомнить, чтобы сообщить при личной встрече сильно огорчает. Как вариант — сделать нечто вроде DHT для символьных имен, пусть и с возможностью дублирования имен. Запомнить свой ник+несколько символов ключа гораздо легче, чем целый ключ.
Не в восторге. Лично я бы предпочел максимально нативный внешний вид для своей платформы.
Для начала — написать качественную спецификацию протокола и описать детально используемую криптографию.
Надеюсь, мой фидбек будет полезен проекту.
Что касается децентрализации, похоже они используют свои сервера только для бутстраппинга после первой установки. В принципе, компрометация этих узлов может, но это неизбежное зло.
1. Что необходимо реализовать, чтобы вы перешли со Skype на Tox?
Из функционала, естественно, голос. Желательно, для групповых разговоров тоже. Однако, это необходимо подкрепить внятной спецификацией протокола, включая его криптографические аспекты.
2. Чего вы ждете от проекта Tox?
Пока — не жду ничего, но если они достигнут своей цели, это будет здорово.
3. Идентификатор вашего аккаунта будет представлять случайную строку из 32-х символов. Как вы к этому отнесетесь?
Естественно, негативно. Тот факт, что я не смогу его запомнить, чтобы сообщить при личной встрече сильно огорчает. Как вариант — сделать нечто вроде DHT для символьных имен, пусть и с возможностью дублирования имен. Запомнить свой ник+несколько символов ключа гораздо легче, чем целый ключ.
4. Что вы думаете о предложенном макете GUI?
Не в восторге. Лично я бы предпочел максимально нативный внешний вид для своей платформы.
5. Что бы вы хотели добавить или предложить?
Для начала — написать качественную спецификацию протокола и описать детально используемую криптографию.
Надеюсь, мой фидбек будет полезен проекту.
Ощутил нехилый диссонанc и икоту
Там хоть какая-то жизнь теплится ещё? Антокс крашится на открытии картинки, групчаты исчезают после перезапуска клиента, в антоксе групчаты вообще, похоже, не работают, публичного аудита не было, и это только самые очевидные беспокоящие моменты. Разработчики qtox завязли в рефакторинге, в андроид год нет коммитов. Неужели закисло всё? Было бы очень некруто. То есть, по принципу неуловимого Джо всё равно можно пользоваться, полагаю, но, блин, безопасный мессенджер, в котором год не исправлялись ошибки…
Вообще ядро активно разрабатывается, постоянно фиксятся замечания. Недавно ввели новую фичу ngc (new group chats), чтобы клиент не выходил из групчатов после перезапуска. Клиенты… местами падучие, да. Можете попробовать новый клиент TRIfA.
Большое спасибо за ответ! Приятные новости. Мне кажется, такая штука, как Токс, невероятно необходима, а то мир немножечко сошёл с ума, восхваляя надёжность и безопасность всё-ещё-централизованных сервисов типа Telegram.
А тут как биткойны, но только мессенджер. Нулевое доверие. Круто же.
Насчёт клиента — спасибо, поделился с котанами, которые с телефонов ходят, но мне бы для Linux что-нибудь :) qTox из флетпака — всё ещё самое актуальное для десктопов, да? Или есть таки смысл попробовать найтли?
А тут как биткойны, но только мессенджер. Нулевое доверие. Круто же.
Насчёт клиента — спасибо, поделился с котанами, которые с телефонов ходят, но мне бы для Linux что-нибудь :) qTox из флетпака — всё ещё самое актуальное для десктопов, да? Или есть таки смысл попробовать найтли?
Sign up to leave a comment.
Открытый интернет-мессенджер Tox