跟隨

最近看到象友提到安全性問題,剛好看到 EFF 寫了篇專題,就轉過來順便聊一下。

eff.org/deeplinks/2022/11/mast

mastodon 跟 twitter 還有大部分的社群網站一樣,皆未使用 e2ee(端對端加密)。甚至筆記用的 notion(之前在隱私權政策,還有過去事蹟都蠻不好看的)、團隊常使用的 slack、遊戲常用的 discord 都沒有用。

這代表的意思是不管是公開、非公開訊息、私訊,都可能被網站經營者查看。當伺服器出現問題 or 收到法院傳票時,也有可能主動或被動的資料外洩。

不過 twitter 這種老牌社群網站的好處,是通常都有蠻強的安全團隊。

而 mastodon 給予的好處則是開源、誠實與選擇。

開源讓錯誤可以快速回報、維修;聯邦制可以選擇自己架,或是信任的經營者;而從註冊的使用者條款與隱私權政策,還有 DM 時的提醒,都誠實並努力讓使用者不陷入安全的假想。

而多樣化的跨站、站內的靜音、封鎖、回報功能,則把審核權交還給使用者。

1)

順便簡單解釋 e2ee。

就是資料從使用者、傳輸過程、伺服器全程加密,並且管理者沒辦法解開。

但是侷限是中間人攻擊、用戶端被攻擊、軟體本身有後門等等。

目前宣稱採用 e2ee 比較有名的只有 XMPP(option)、threema(全面,不過蠻麻煩的)、matrix、Signal(資料會掉欸,註冊還要手機號碼)、Jami(就沒覺得他好用過QaQ)、telegram(祕密聊天&通話才有,有點沒用&註冊要手機號碼)、facebook dm(但他隱私權跟作法爛的一塌糊塗)、line(但只有私訊與所有使用者同時開啟加密才有,並且不加密圖片、影片、time line、群組通話、記事本、個人資料等等,隱私權政策也很爛)

2)

而小站(g0v.social)的經營者
@poga (實務上是兩隻貓管理 poga 桑)
來源: g0v.social/@poga/1092491259955 (包含如何贊助)

本站的使用者與隱私權政策
g0v.social/terms

節縮一下值得關注的點
1. 你的資料就你的資料,但記得備份
2. 但不要害人或違法
3. 禁止單向同步至站外
4. IP 位址、活動時間、來源 URL 和抵達本伺服器的 URL,均有紀錄(這其實是常見規範,不過這則寫比較明白)
5. 服務供應商是 Vultr Holdings Corporation

順便提醒一下,因為跨站的關係
@企鵝可愛 @ g0v
@企鵝可愛 @ ponpon

是不同人喔

3) end

更新一下

Threema 的問題
soatok.blog/2021/11/05/threema

TL;DR 因為開發者對資安的認識不夠+維修太慢+不誠實,所以造成軟體的被攻擊面不小、攻擊成功率也不低

如果有資安→隱私考量(一定要有資安,才有之後保護隱私的可能),目前最推薦的即時通訊軟體還是 Signal。

@pineappemilk 在沒有重大安全問題的情況下,我永遠優先選擇官方而不是第三方。

鵝的選擇原因是
1. 永遠有最快的安全性更新
2. 會有最早的功能更新
3. 減少第三方引入的額外問題
4. 減少信任(比如說用官方是信任官方的話,用第三方就還要額外信任第三方維護者)
5. 官方 code review 不等於第三方有一樣的強度(等於問題 3&4)

所以在省麻煩的情況下,我還是用官方ㄉ

@Zwergpinguin 沒問題ㄉ,個人選擇。
是因為 Molly 還有本地 Database 加密才推,有需求的人也可以參考看看 :blobcozy2:

@pineappemilk 嗯啊,其實這就跟威脅模型有關係ㄌ。

對鵝而言,基本上機器直接被物理入侵的可能性不高。而如果真的遭遇物理入侵的話,僅僅是資料庫加密也不太能防範。

反而是 android 遠端清除與新系統的安全做法可以處理這塊。

@Zwergpinguin 天...原來 LINE 沒加密圖片跟影片 :ablobrage: ...
不過好像也不意外 :blackcat_11123:

@pineappemilk 對啊,而且個人資料沒加密是非常爛的實作(

登入以加入討論
g0v.social

去中心化社群架設的去中心化社群網站。宇宙小酒館。請遵守社群守則 https://g0v.social/about/more Our mantra: https://devpoga.org/blog/2023-01-22_mantra_g0v_social/