Follow

Piccolo consiglio (assolutamente non richiesto) sul fediverso per i nuovi arrivati: ricordatevi che i post e i DM sulle istanze non sono criptati per cui *non* sono un mezzo sicuro per comunicare. Se volete chattare in modo sicuro utilizzate signal o matrix o qualsiasi altro sistema end-to-end encrypted.

@rebtoor matrix anche no, al momento non è più sicuro dei messaggi non crittati e2e sul fediverso: bu.noblogs.org/end-to-end-encr --- signal abbastanza si, ma dippiù briar (briarproject.org/) e xmpp (al momento un po' più per smanetton* come me, ma neanche tanto - xmpp.org/) :)

@obelix matrix delega al client la possibilità di implementare e2ee, su element ad esempio c'è (element.io/enterprise/end-to-e) ma comunque il protocollo lo prevede (matrix.org/docs/guides/end-to-)

Per quanto riguarda xmpp, IIRC esistono diverse implementazioni dell'e2ee, io ricordo OTR ai tempi in cui avevo l'account su jabber.linux.it ms non lo uso da tempo. :)

@rebtoor si, ma matrix-element ha quel problemone gigante di cui NON avresti potuto leggere al link che NON ti ho girato prima, perché ti ho girato il link sbagliato :))) --- quello giusto è bu.noblogs.org/end-to-end-encr
:)

@obelix il post è interessante (e ha un'introduzione sacrosanta) ma ci sono un sacco di assunzioni (sull'introduzione di javascript "malevoli" client side soprattutto). Per quanto riguarda matrix/element risolveresti parzialmente il problema facendo self hosting, ma anche lì comunicando con un utente su un server "potenzialmente meno affidabile" i messaggi scambiati con lui sarebbero potenzialmente meno sicuro. Quindi sì, è un casino ma l'importante è essere consapevoli.

@rebtoor
in che senso fa "un sacco di assunzioni (sull'introduzione di javascript 'malevoli' client side soprattutto)"? possono farlo? si, in qualsiasi momento. l'han fatto? non saprei, per quanto riguarda matrix, ma per esempio su protonmail leggi qui: pressenza.com/it/2021/09/il-pr, o anche la sezione "Controversie" qui, it.wikipedia.org/wiki/ProtonMa
e in ogni caso già il fatto che possono farlo in qualsiasi momento è male.

@obelix appunto, è un assunzione. Il fatto che possano farlo non esclude che non l'abbiano mai fatto ma nemmeno lo conferma. Puoi solo ipotizzarlo e fidarti o meno di proton. (Comunque parlavamo di messaggistica istantanea, non di email :D)

@rebtoor ma lo stesso meccanismo, la stessa vulnerabilità gigante, vale per la messaggistica instantanea quando si offre via web, e nel post parlo appunto sia di servizi mail sia di servizi di instant messaging.
vado a magnà, ciao :)

@rebtoor

Esatto noi admin possiamo vedere tutttoOOH *risata malefica*

Sign in to participate in the conversation
social.rebtoor.com

Yet another (personal) mastodon instance. No registration allowed.