Cioè Signal sta sul Cloud di Amazon

Cioè Signal sta sul Cloud di Amazon?

che dire...

XMPP lo fa meglio!

https://www.bbc.com/news/live/c5y8k7k6v1rt?post=asset%3Ab6064c32-9fa8-4572-bd5d-0ee48add72b9#post

@ju Peggio.
Signal sta su Amazon AWS... ma ci mette pure di fronte Cloudflare.
Due posti che osservano accuratamente chi si connette e lo riferiscono a chi non dovrebbe saperlo.
Anche se il messaggio è veramente crittato - sanno comunque con chi lo scambi.

In pratica di diverso da WhatsApp ha solo che non è Meta?

Per fortuna l'ho disinstallato da tempo.

@Uilebheist @ju io pure lo scopro oggi e ci sono rimasta di stucco.

@guardaminfaccia @Uilebheist @ju sanno che stai mandando messaggi Signal, infatti in alcuni paesi si usano i proxy per aggirare la censura.
Con chi lo scambi, ovviamente non lo sanno, perché i messaggi passano dentro i server di Signal, non vanno direttamente al destinatario.
È una situazione descritta molto in dettaglio qui dove è spiegato che usano vari provider https://signal.org/blog/signal-is-expensive/

PS viva XMPP, Delta Chat e gli altri sistemi più decentralizzati di Signal!

@ju ha di diverso un sacco di cose da wa: non analizza i metadata degli utenti, mantiene pochissime informazioni sugli utenti, non è a scopo di lucro. Ora capisco che l'aspetto della centralizzazione di signal sia critico ma possiamo anche evitare di tirare merda su chi ha reso accessibile e usabile un sistema di messaggistica istantanea sicuro e privacy oriented.
Detto ciò basta non mettere tutte le uova nello stesso paniere, la diversità rafforza gli ecosistemi anche digitali e basta avere anche deltachat e non farsi spaventare dell"uso delle mail con PGP o sapere usare IRC per essere in grado di comunicare quando signal è down. Tra l altro signal è quasi obbligato a stare su AWS per una questione di costi e scalabilità e ci sarebbe da fare una riflessione su come sostenere economicamente progetti foss di uan certa portata

@steko @guardaminfaccia @ju In realtà...
Il cliente signal non è open source (i sorgenti esistono, ma se provi a usarli scopri che non corrispondono al cliente che distribuiscono). Nessuno quindi gli impedisce di includere nei messaggi più informazione di quello che dicono che includono. Per esempio potrebbe includere l'identità del destinatario in maniera tale che sia accessibile a cloudflare. O al governo.

E si, signal dice tante cose, alcune si possono verifiicare e sono false.

@steko @guardaminfaccia @ju [aggiuno anche che amazon ha accesso a tutto quello che il server di signal tiene in memoria. Se fosse google, sarebbe praticamente garantito che spiano; con amazon è solo possibile, ma comunque non si può escludere. Con questo saprebbero esattamente chi parla con chi, indipendentemente da cosa si possa derivare dalle connessioni al server]

C'è differenza tra spalare merda e fare delle affermazioni verificabili.
Centralizza: verificabile e abbastanza ovviamente verificata.
Sta su AWS: verificabile e verificata.
Usa Cloudflare: verificabile e verificata.
Non espone interamente il codice, il codice disponibile non corrisponde al codice usato: verificabile e verificata.
Ora, se tu (tu generico) mi dici "sono sicuro e privacy oriented",mi stai chiedendo fiducia.
Se io poi indago e trovo delle cose che contraddicono la tua affermazione, questo mi fa pensare che la fiducia sia mal riposta.
Possiamo dire che "uguale a WhatsApp" è un'iperbole, forse, però scusa ma, come dicevo, spalare merda è un'altra cosa.
Invece presentare come alternativa una cosa che è sostanzialmente "diversamente commerciale" è quantomeno ingannevole.

@ju in che modo è che sarebbe "diversamente commerciale"? Sono no profit. Scusa se mi impunto ma siccome è da anni che spingiamo sull'uso di signal in luogo di WA/telegram/roba commerciale come sistema di tutela per chi è esposto alla repressione, bhe, ritengo che se si fanno affermazioni forti su questo tema lo si debba fare a ragion veduta.

Con "diversamente commerciale" intendo che funziona appoggiandosi a strutture come AWS.
AWS è di Amazon.
Amazon è commerciale.
Quanto vogliamo fidarci di uno spazio che è proprietà di Amazon per qualcosa che offre un sistema di tutele per chi è esposto alla repressione?
Questo non lo so, personalmente direi zero ma questa è solo una mia opinione.

Beninteso: tutto questo non lo dico volentieri, io per primə ho suggerito fino a ieri Signal a persone che cercavano un'alternativa a WA e altro senza molte competenze tecniche e ci son rimastə di merda vedendo che stava su AWS.

@ju la cifratura end to end, che su Signal sappiamo per certo funzionare, rende, da un punto di vista della sicurezza completamente indifferente il fatto che il sistema giri su di un server o un altro. I messaggi sono cifrati da end user a end user. Il massimo che potrebbe avere AWS sono gli IP degli utenti, che comunque non ha, dato che il frontend su Signal mi risulta essere da tutt'altra parte (detto ciò è da un po' che non analizzo che cosa fa il mio traffico Signal). Per quanto io appartenga alla categoria di quelli che vorrebbere vedere AWS scomparire in un mare di fiamme il fatto che un servizio come Signal debba girare su AWS per me rimanda a un problema più importante: per essere autonomi servono i soldi. Tanti soldi.

@lorcon @ju è vero, se fai la somma totale servono tanti soldi

però mettiamo un po' in prospettiva di quanto si sta parlando

se hai una famiglia allargata da ~20 persone, di cui almeno uno smanettone, con 5 euro e un'oretta di lavoro al mese¹ tiene su un server più che dignitoso su un VPS da qualche parte. e non dico per sentito dire, è quello che faccio io.

credo che sia possibile farlo anche su un rasperry in casa: probabilmente a quel punto avrai qualche downtime in più quando salta la connessione e qualche preoccupazione hardware in più. ci può stare, non so quanto sarebbero i costi.

se invece sei una famiglia allargata o un'associazione priva di smanettoni puoi pagare qualcuno perché ti tenga il servizio su un tuo dominio. conversations.im te lo fa per 160 euro all'anno per 25 utenti, quindi 13 euro e rotti al mese.

in entrambi i casi stiamo parlando di meno di un euro al mese per utente. comprendendo anche il fatto di chiedere a circa metà degli utenti di pagare la quota di chi in quel momento non può permetterselo.

certo, ci sono parti del mondo dove sarebbe un problema, ma l'italia non è fra queste.

¹ a grandi linee e in media. in realtà sono più una giornata scarsa ogni due anni e 5 minuti di tanto in tanto

(edit: si devono aggiungere i costi di registrazione del dominio. ma si parla di qualche centesimo in più al mese, non cambiano significativamente le cose)

@valhalla
condivido molto questo tipo di proposte, soprattutto se fanno parte di un percorso auto-formativo collettivo sull'uso della tecnologia.

però il mondo reale, per come ne ho esperienza io, funziona un po' diversamente: non sono riuscito a far installare signal in parallelo a whatsapp alla maggior parte delle persone che conosco, alcune annuiscono con convinzione quando dico loro che bisognerebbe cambiare l'approccio e usare altri strumenti poi però manco ci provano a fare un passo concreto, figurarsi capire l'esigenza di un sistema federato (e possibilmente autogestito) tipo xmpp. pochissimi hanno voglia di fermarsi e rompere gli automatismi sulla tecnologia, perché "funziona bene, che problema c'è? anzi, perché non torni su whatsapp?". quasi nessuno sente l'esigenza di un approccio diverso.
@lorcon @ju

@kappazeta @lorcon @ju ah, per metà degli utenti sul mio server io sono riuscita con le minacce “se vuoi ricevere foto di gatto da me devi installarti conversations”

e l'altra metà sono nerd flossari, e quindi già consapevoli dell'esigenza

però le minacce unite ad aiuto tecnico hanno funzionato, e intanto c'è un tot di gente in più che usa xmpp, anche se continuano ad usare anche whatsapp

@valhalla @kappazeta @ju

Tutto giusto detto ciò vi pregherei di considerare un fatto ipotetico ma basato su di esperienze reali successe negli ultimi dieci anni: se devo comunicare con una persona che si trova nella condizione di essere profuga, poniamo un dissidente politico siriano all'apice della guerra civile, l'unico modo per farlo è usare una piattaforma che salta a piè pari tutti i passaggi che richiedono una comunità locale in grado di fornire un sistema tecnologico complesso. Perché questa persona una comunità di riferimento che possa fare queste cose non ce l ha. Strumenti centralizzati come signal funzionano perché bastano uno smartphone, una sim e una connessione. Sono tre condizioni che sono date per la maggioranza dell'umanità. Lo smanettone di riferimento ce lo abbiamo noi, non uno yazida in fuga dall isis.

Ciao @Uilebheist @steko @guardaminfaccia @ju .

Considerando che anche #amazon ha aperti contratti con i servizi segreti imperiali darei per scontato che i dati siano venduti in cambio dell'elusione fiscale a cui tutti i #gafam partecipano.

Beh, è pieno di server XMPP pubblici ed aperti alle iscrizioni e si fa direttamente dal client quando lo scarichi.

CC: @valhalla@social.gl-como.it @kappazeta@mastodon.bida.im @ju@nugole.it