Комментарии 9
Забыли про Briar. Правда не вполне понятно как его оценивать по вашим критериям, ибо серверов нет (если не считать таковыми входные tor ноды), "юрисдикции" тоже нет...
знаете хоть одну из первой десятки?
Да тут и из предложенных мессенджеров, уверен, многие половину видят впервые)
Threema, Session, Wickr Me, Messenger - вообще хз, кто это.
Riot, он же Matrix - хз, что он собирает, но его можно крутить у себя локально, в отличие от модных молодёжных. Клиентов навалом. В т.ч. обещают затащить в Thunderbird.
Всё это становится огромным плюсом в случае блэкаута и прочих чебурнетов.
Viber, какая разница какая юрисдикция, если Viber третья компания, которая открыла представительство в РФ по закону о «приземлении», т.е. бегут сотрудничать со всех ног. Не говоря о так себе надёжности и том что он давно уже превратился в мессенджер для рассылки спама, а не для людей
Глупый может быть вопрос, но почему меня, как пользователю любого иностранного сервиса должно волновать, что данные уходят в АНБ. До тех пор, пока я живу в РФ, меня волнует передача данных только товарищу майору.
Если же говорить о сервисах в плане безопасности, удобства и их распростанённости, пожалуй только Signal может быть адекватной заменой тележке. Остально - от лукавого. Никто и никогда не будет пользоваться никаким сервисом, если там нет его контактов (ну контакты и безопаснось, это ещё один критерий, который не рассмотрен)
Если же нужна безопасность, используйте впн до своего сервера и автоудаление всего и вся в телеге при блокировке телефона. Не доверяете телеге, аналогично с сигналом. Не доверяете сигналу - вперёд, пишем свой p2p клиент с шифрованием всего и вся и загоняем в него пользователей с которыми будете общаться.
16. Можно ли зарегистрироваться в приложении анонимно
С точки зрения безопасности это самая важная функция (не считая автоудаления сообщений и генерации ключей клиентом). Не зря же Wickr Me так любим в определенных кругах.
Ну и далее по списку:
2. Да в принципе юрисдикция это последнее дело, если всё действительно шифровано и не утекает. А если нет, то она вряд ли спасет, хотя может немного помочь.
3. Наличие серверов само по себе делает систему очень уязвимой и поэтому небезопасной. Здесь всем по 10 баллов надо накидывать. Отдельным пунктом можно было бы рассмотреть наличие разных серверов по всему миру (ну хоть какая-то децентрализация).
4. Да кто ж в этом сознается-то? Очень ненадежный критерий.
5. Всем по десятке — метаданные о логинах и активностях хранятся на серверах, а значит уже есть элемент слежки. Безопасная система подделывает метаданные на стороне клиента и обходится без централизованных серверов.
6,7 — не очень надежный критерий, на мой взгляд.
9 — все кто телефоны или почты требует для регистрации уже собирают данные.
12 — всем у кого выключено по сотне, нешифрованный трафик убивает всю идею, его слушают все подряд и вы даже не знаете кто именно.
13 — а причем тут SHA? нужен более четкий критерий для сравнения криптографических примитивов и протоколов
14 — всем у кого закрытый код по сотне, это опять же убивает всю идею на корню. Я бы добавил требование о возможности пересборки своего варианта приложения под моим контролем и возможность поднятия своего сервера, если мне не нравится штатный.
19 — если то что вы написали правда, то весь список приложений можно сразу выбрасывать как небезопасные, но мне кажется тут нужно уточнение и расследование
29 — очень важно понять какую именно 2-х факторку используют, если это телефон — то штраф за сбор данных, в идеале это должен быть otp-ключ
30 — сомнительная фича, даже при шифровании можно узнавать изменение объема метаданных для данного абонента, а это по сути утечка. Все бэкапы пользователь должен делать сам и не связывать их с приложением.
31 — это делают все, хотя бы для избежания атак и злоупотреблений, так что сомнительный критерий.
34 — сомнительно с точки зрения безпасности
мне кажется что большинство приложений было бы радо добавить безопасности через сквозное шифрование, не собирать чувствительную инфу итд. но в какой то момент спецслужбы в ультимативной форме требовали добавить возождность просматривать переписку. И вот это верчение ужей на сковородке мы и наблюдаем. Ктото добавил слежение на серверную часть поэтому выкладывает в открытый доступ клиентскую часть с подтверждаемыми сборками. ктото ослабил алгоритм шифрования . Я только этим могу обьяснить эти странные рещения в безопасности и отказ от внедрения мер для усиления безопасности
Особенности шифрования популярных мессенджеров: выбираем самый безопасный