Telegram Visibility Into Secret Chat VS Plaintext

Naviga le tue risposte
3

Sfondo

Telegram Messenger offre un canale crittografato "End-to-End", con il loro MTProto prodotto in casa, chiamato Secret Chat.

Hanno "Link Anteprime" per impostazione predefinita in tutte le modalità, ma le chat segrete, in cui i server sono in grado di generare un'anteprima e un riepilogo eseguendo la scansione del collegamento, per visualizzare tali informazioni all'utente finale.

problema

Recentemente, hanno aggiunto una nuova opzione nelle impostazioni per abilitare una "funzione" chiamata "Anteprime dei collegamenti" in cui ogni link nelle chat segrete viene anche scansionato e vengono visualizzate le informazioni. Hanno prodotto un dialogo di una volta all'interno delle mie chat segrete, che mi ha impedito di prendere uno screenshot di esso, dicendo se mi piacerebbe abilitarlo o meno.

Visto che la crittografia end-to-end non si applica più se possono vedere i miei collegamenti alla chat segreta per eseguirne la scansione, darò loro - per la centesima volta - il beneficio del dubbio e chiedo semplicemente come lo fanno?

Extra

Un'opzione che ti viene in mente è sottoporre a scansione i link dall'interno del client Telegram sul dispositivo dell'utente invece di eseguirne la scansione con i loro -proprietari, mind-server.

Questo è il design meno raccapricciante / difettoso a cui possa pensare, ma anche questo significa che sono anche in grado di impostare semplicemente il proprio client per inviare il log della chat segreta del client a chiunque scelga; se questa implementazione di Link Preview non è passata inosservata, non vedo perché il keylogging sarebbe diverso se gli sviluppatori non sono interessati a Telegram abbastanza da rivedere le sue modifiche al codice al loro client Open Source.

    
posta Mars 13.06.2016 - 18:51
fonte

1 risposta

2

come fanno?

Da qui ( link ) è chiaro che i collegamenti stessi vengono inviati al server per essere analizzati.

Pertanto, probabilmente analizzano localmente il tuo testo segreto sul lato client per trovare i collegamenti (non è difficile isolare i collegamenti dal resto del testo) e inviarli solo al server, come avviene in qualsiasi altro (non segreto) Chiacchierare.

Per quanto posso capire dai loro documenti, lo fanno dal lato dei mittenti. Dopo aver colpito invia, viene crittografato dall'altra parte. Pertanto, il lato server non sarà sicuro di aver inviato quel collegamento a nessuno, se si trovava in una chat segreta o non segreta o semplicemente ha recuperato l'anteprima e annullato l'invio del messaggio.

but even that means they are also able to simply set their client to send the client's Secret Chat log to anyone they so choose;

Hai ragione, nulla impedisce loro di farlo se non ti fidi che il client non ha una backdoor per questo. Ma questo non è correlato alle anteprime dei link. Anche senza nulla di simile, il semplice fatto che debbano analizzare i messaggi non criptati per visualizzarli è già un punto in cui possono catturare e inviare qualsiasi cosa a terzi. La crittografia end-to-end è solo fino a quando non lascia un telefono e arriva all'altro. Non prima e dopo. Digiti dati non criptati e leggi dati non criptati.

Ciò che questo potrebbe aggiungere è un possibile punto di errore, ad esempio un link appositamente predisposto potrebbe sfruttare un bug e perdere più dell'URL. Ma se è ben implementato, perde solo l'URL, che dovresti permettere di fare per usare questa risorsa.

IMHO, dovrebbero semplicemente non aggiungere questa funzionalità alle chat segrete. Non penso che la maggior parte degli utenti capirà esattamente quanto non è più segreto quando lo si utilizza.

    
risposta data 13.06.2016 - 19:48
fonte

Leggi altre domande sui tag

IP Spoofing tra sottoreti Quale è più sicuro per una funzionalità di reimpostazione della password - domande di sicurezza o ripristino del collegamento nell'e-mail? [duplicare]