Android

[Umnik 1 205]

Не так здесь оценка влияния на батарею. Когда система в режиме определения сетей, она работает очень энергоэффективно и заряд тратится настолько ничтожно, что виджет, который показывает состояние, сжирает больше. Дело в том, что система сама задавливает поиск, когда устройство бездействует. А когда оно не бездействует, то твой экран съедает заряд не просто в несколько раз больше, а не несколько порядков больше.

 

При этом ты сильно недооценивает опасность ANR. Система каждый раз убивает процесс приложения, потом запускает приложение снова. И так в цикле. Вот это действительно разряжает твою батарею.

[Mrak 2 112]

1 час назад, Umnik сказал:

Когда система в режиме определения сетей, она работает очень энергоэффективно и заряд тратится настолько ничтожно, что виджет, который показывает состояние, сжирает больше. Дело в том, что система сама задавливает поиск, когда устройство бездействует.

С сетями 5g та же ситуация или нет? Я специально отключил в своём телефоне 5g, чтобы он не искал вышки там, где их нет и быть не может. Якобы это сберегает заряд, поскольку он не ищет сети и цепляется на 4g. Или не сберегает?

[Umnik 1 205]

Вот здесь говорю не как эксперт, а как человек, который _слышал, что реализовано вот так, но не знает, правда ли это_.

 

Разницы нет. Модем просто ищет доступные сети. При подключении к ним он договаривается с вышкой о поддерживаемых стандартах. То есть вышка скажет ему, что поддерживает такие-то протоколы на таких-то частотах и модем будет пытаться использовать их. Он не ищет отдельно такие сети, отдельно сякие сети. И не переспрашивает на каждый из возможных вариантов: "а это можешь? А это? А это?". Вышка просто сообщает: вот мой набор. А модем проверяет свои возможности, находит, что из этого он поддерживает, спрашивает у прошивки, что именно стоит выбрать из того множество, которое есть И у вышки, И у него. Прошивка отвечает по своей логике и модем соглашается.

 

А вот что действительно имеет смысл выключать, если переговоры по GSM более-менее секреты - это поддержку 2G и 3G сетей. Дело в том, что есть мобильные соты, которые по закону могут приобретать только дяди в погонах, а другие - по специальному разрешению. Но по факту есть чёрный рынок и твой враг, Вася, может купить такую. Твой телефон подключиться по 2G к его вышке и он сможет слушать все твои разговоры по сотовой сети и перехватывать все SMS. Лишь начиная с LTE появилась возможность шифрования. И то, возможность. Не значит, что она будет использована. Но она хотя бы просто есть, а до этого её не было в принципе.

Понятное дело, что это не защитит тебя от ФСБ, но тут как раз речь о том, что это не ФСБ, а Вася может быть. Если у тебя есть опасения, что эта ситуация возможна, то лучше остаться без связи в районе без ЛТЕ, чем быть в этом районе подслушанным твоим врагом.

 

https://www.bugshunt.ru/catalog/kompleksy-radiomonitoringa/programmno-apparatnyy-kompleks-salamandra-2-/

Вот, всего 2 ляма стоит. Имею в виду, что это не какие-то космические деньги.

[Mrak 2 112]

39 минут назад, Umnik сказал:

Если у тебя есть опасения, что эта ситуация возможна, то лучше остаться без связи в районе без ЛТЕ, чем быть в этом районе подслушанным твоим врагом.

Да проще не пользоваться звонками и смс сообщениями для серьезных бесед, а хотя бы в той же телеге/вотсап/треме общаться. Зато всегда связь будет. Тем более ты писал, что те программы могут в теории вообще от кого угодно защитить, мол всё строго зашифровано и никто не сможет нарушить тайну переговоров. 

[ska79 1 332]

Гугл хром перестал поддерживать андроид 6.0?

[Umnik 1 205]

5 hours ago, Mrak said:

Да проще не пользоваться звонками и смс сообщениями для серьезных бесед

Если есть возможность повлиять на собеседника и убедить его использовать только защищённые мессенджеры - то да, безусловно это так. Тут даже спорить не о чем

 

5 hours ago, Mrak said:

те программы могут в теории вообще от кого угодно защитить, мол всё строго зашифровано и никто не сможет нарушить тайну переговоров

Я такое про Триему говорил И Сигнал. Они  - действительно глобально. Телега однозначно защитит от всех васянов и этого действительно обычно достаточно. Но с телегой и Васяном тоже оговорка - если включена двухфактора. Потому что если Васян разорился на подменную базовую станцию, то он может инициировать отправку СМС для подтверждения при угоне учётки и получить её вместо тебя. Если же в ТГ двухфактора включена, то он будет в пролёте.

 

В случае Триемы, Сигнала и Вотсапа БС вообще никак не поможет. Они так устроены, что даже если в них залогиниться под твоей учёткой, все переписки будут пусты - они вообще не хранят переписки на сервере (в отличие от ТГ). А Сигнал (и, скорее всего, Триема - не проверял) ещё и защищена от перерегистрации, то есть защищает от того, что если кто-то залогинится под тобой, он может прикидываться тобою для твоих контактов. Опция называется Registration Lock. Даже если завладеть сим картой полностью, то блокирование регистрации принудительно включит защиту пином, то есть второй фактор. Забыл второй фактор - на этом номере Сигнал больше никогда не сможешь использовать.

[phantom 76]

Threema не привязана к симке поэтому тому кто завладеет симкой ни как не поможет получить доступ к ней, также в Threema есть возможность установки кодовой фразы для разблокировки локального шифрования, а после уже запрашивается пароль или биометрия на доступ к самой программе.

На сколько я знаю тот же  Signal при регистрации требует указать номер телефона, что уже, как по мне, сомнительное действие в плане безопасности для мессенджера который позиционирует себя таковым.

[Umnik 1 205]

Сигнал использует сим лишь как логин. Так как на сервере всё равно нет никаких переписок, нет контактов - это можно считать нормальным подходом. Ну и надо понимать, что Триема - платное решение, а Сигнал сделан НКО. Вся команда Сигнала - около 20 человек. Они часто идут по пути упрощения реализации при сохранении общего подхода. А общий подход - решение для всех.

 

Ну и опять же - есть встроенная возможность блокировать повторный вход через PIN. Так что вполне себе можно отпилить руку, всё в порядке.

 

Я не могу придумать реальных претензий к Signal, кроме той, что они в США зареганы. Тут Триема однозначно лучше - они в Швейцарии.

[Mrak 2 112]

5 часов назад, Umnik сказал:

Я не могу придумать реальных претензий к Signal, кроме той, что они в США зареганы. Тут Триема однозначно лучше - они в Швейцарии.

Мне как-то излагали аргумент, что все эти мессенджеры не имеют действующей защиты при поступлении запросов от правоохранительных органов в РФ, иначе их работа бы блокировалась в РФ. Если работают, значит по запросам сливают данные или готовы их предоставлять. Иначе бы просто работать не дали. Как думаешь, врут? Наши правда могут себе позволить не бороться с приложениями, которые нельзя контролировать?

[Umnik 1 205]

Это вопрос больше к тебе. Они обязаны зарегать юрлицо, вроде как. То есть сначала должны попасть в реестр для средств распространения информации, а потом зарегать юрлицо. Не сделаешь это - рискуешь быть забаненым. И тут конкретно Сигнал выручает только то, что они слишком мелкие и слишком не популярные.

 

Далее про раскрытие данных. Да, обязаны, в т.ч. для этого юрлицо и нужно. Но тут фишка в том, что этих данных может и не быть. Есть некая метаинфа - её и предоставят. Когда ты подключался, с каких айпи адресов, какой длины сессия была. А переписку не предоставят, потому что её просто нет. Случай с Телегой ведь в чём был - Телега _хранит_ переписку, зашифрованную на _её_ ключах. То есть они имеют техническую возможность сливать её. Сигнал и Триема - нет.

 

А про США я написал вот почему. США входит в алианс "пять глаз". А это сходка элитных подонков, для которых не существует никаких законов. 5 глаз находится выше всех законов всех стран. Ничего подобного нет нигде. Думаю, в инете есть изложение информации о сути пяти глаз, где будет объяснена моя ненависть как раз. И в этом плане Сигнал плох. НО! Сам себя он защитил. Они выкладывают исходный код клиентов и имеют воспроизводимые сборки. Триема тоже себя спасает этим.

 

Можно было бы сказать и про Телегу, но говорить нет смысла об исходниках телеги, когда мы просто точно знаем, что сервер хранит всё, что вообще можно. Ни Сигнал, ни Вотсапп не хранят переписки. Сигнал, из-за того, что это НКО и там работает 20 человек (для сравнения - Вотсапп - это несколько тысяч человек): просто экономически был бы даже не в состоянии хранить переписки, если бы мог. Вотсапп может хранить переписки и его исходники закрыты. Но они используют протокол Сигнала, что хорошо. Но мы не можем это проверить, что плохо. В итоге Сигналу доверяем, Вотсаппу - на полшишечки, Телеге - нет. Триема не хранит переписки, но потенциально могла бы. Но они не под 5 глаз, так что их никто не может обязать это делать.

 

В общем, к чему я это. Государства могут обязывать, и обязывают, предоставлять данные. Обязывают хранить эти данные (по Яровой - полгода). Но, конкретно Россия и другие нормальные страны, не обязывают данные добавлять, если их нет. У Сигнала нет переписок - его не обязывают добавлять их хранение. Нет и нет - раз у вас такая архитектура, мы без претензий. Но у Телеги они есть - обязан предоставить, значит.

 

А вот конкретно Австралия относится к ненормальным странам. По их закону ты обязан добавить сбор данных по их требованию, если его не было. При чём там вообще ад полный. Ты обязан добавить сбор данных, обязан добавить бэкдоры, если потребуют. Свидетельство канарейки законами запрещено. Если в твоей фирме работает гражданин Австралии, то этот гражданин по-прежнему обязан подчиняться законам своего государства и добавлять бэкдоры к тебе в код и не сообщать об этом работодателю (имеется в виду, если его попросят спецслужбы, а не просто так, от нечего делать). Если ты айти фирма, делаешь продукт и у тебя какой-то компонент делают аутсорсеры из Австралии, будь уверен, тебе уже внедрили бэкдоры. Ведь 5 глаз ни за что недопустит, чтобы фирма из России осталась без бэкдоров в коде - прискочат к этим уатсорсерам в первый же день с нужными требованиям. Настолько там гнилые законы.

 

В итоге, если США, то плохо, потому что 5 глаз, но защищены от худшего, потому что Сигнал держит открытыми исходники клиентов И ДАЖЕ СЕРВЕРА!!!! Он просто не сохраняет чувствительных данных на серверах и в США разрешается свидетельство канарейки. Триема ещё лучше, потому что тоже есть исходники (пусть не сервера), так они ещё и не под 5 глаз. Вотсапп хуже, т.к. не смотря на то, что там протокол сигнала, мы не можем быть уверенными, что обёртка вокруг этого сигналовского кода не делает плохих дел. Впрочем, достоверно известно только о том, что механизм жалоб в Вотсапе работает через пересылку сообщения админам, и оно будет дешифровано. Телега - не 5 глаз, тоже открытые исходники, но они хранят переписки на серверах и те защищены не ключами пользователя, а ключами самой Телеги. То есть не защищены.

 

Если непонятно объяснил, скажи

[Mrak 2 112]

2 часа назад, Umnik сказал:

Это вопрос больше к тебе. Они обязаны зарегать юрлицо, вроде как. То есть сначала должны попасть в реестр для средств распространения информации, а потом зарегать юрлицо. Не сделаешь это - рискуешь быть забаненым. И тут конкретно Сигнал выручает только то, что они слишком мелкие и слишком не популярные.

Так я тебя о практике спрашивал, а не о теории кто и что обязан по законодательству РФ. Тем более в нынешней ситуации наличие или отсутствие юр.лица в РФ вообще не влияет. Излагалась версия, что раз в России им дают работать, значит они могут сотрудничать и будут это делать на практике. Ты доказываешь, что это технически невозможно, то есть конфиденциальность обеспечивается полностью и для триемы/сигнала препятствий в работе нет не потому, что они дырявые, а просто они слишком мелкие. Это интересно.

 

Спасибо за подробное сообщение. Многого не знал.

 

Насчёт преимуществ триемы: всё должно быть хорошо с работой и безопасностью, возникает ощущение идеальной программы, но в реальной жизни то звонок собеседнику не проходит, то сообщение придёт не мгновенно, а минут через 10. Собеседнику при этом может вообще через час прийти уведомление о поступлении нового сообщения, а до этого тишина. Вроде бы денег взяли со всех разработчики триемы (пусть символические 300 руб., это же лучше, чем ничего), но работают пока хуже бесплатного вотсапа/телеги и подобных. Речь не о шифровании и безопасности, а о названных моментах. Для обычного общения в реальной жизни триема непригодна - неудобная и ненадёжная программа. 

[kmscom 2 361]

Если идёт следствие, то у подозреваемого изымут же телефон, компьютер и изучат переписку? На оборудовании она же сохранится?

[Mrak 2 112]

9 часов назад, kmscom сказал:

Если идёт следствие, то у подозреваемого изымут же телефон, компьютер и изучат переписку? На оборудовании она же сохранится?

Там море вариантов ведь. Хочет человек сохранять переписку или нет, хочет шифровать данные приложения или нет, хочет блокировать телефон или нет. Если не хочет, то конечно все можно прочитать.

[Umnik 1 205]

On 09.12.2022 at 19:50, Mrak said:

Ты доказываешь, что это технически невозможно, то есть конфиденциальность обеспечивается полностью и для триемы/сигнала препятствий в работе нет не потому, что они дырявые, а просто они слишком мелкие. Это интересно.

Я не очень понял эту формулировку.

Технически невозможно сливать - архитектура такая. А если буду давить - то не на кого. Их останется просто заблокировать. И заблокировать их ОЧЕНЬ легко, думаю РКН за день управится. Такова реальность.

 

On 09.12.2022 at 19:50, Mrak said:

но в реальной жизни

Я Триему знаю только с точки зрения безопасности. А вот как она в обычном использовании - не знаю. Мне, признаюсь, жалко денег на испытание. Сам использую Сигнал.

On 10.12.2022 at 06:10, kmscom said:

На оборудовании она же сохранится?

Да, если не выставлена настройка автоудаления или если человек не чистит руками. В защищённых мессенджерах точкой утечки становится не поставщик услуги (как в случае Телеги), а конечные пользователи. Тут разница в том, что в одном случае ты не контролируешь ничего, а во втором реально влияешь на объём данных.

[Mrak 2 112]

33 минуты назад, Umnik сказал:

И заблокировать их ОЧЕНЬ легко, думаю РКН за день управится. Такова реальность.

Отсюда логичный вопрос - почему не блокируют? Зачем нужны в общем доступе программы, общение в которых невозможно контролировать даже при наличии судебного разрешения на контроль и запись переговоров?