Discussion
In questi tempi di guerra alla crittografia e di spinte legislative come Chat Control, mi sembra più che mai importante diffondere l'uso di XMPP.
Non solo tra noi scimmiatx, ma anche tra chi normalmente non fa caso a questi temi. Il pericolo è sentito e concreto. L'occasione è d'oro.
Per questo, ieri, su idea di @rico, ho registrato un video che spiega nel modo più semplice possibile di cosa si tratta.
Lo trovate su Peertube:
https://videoteca.kenobit.it/w/tT5nykUqHwkUyros4vng4R
@kenobit @rico il fatto è che affinché queste alternative trovino diffusione client/registrazioni ecc devono essere facili per l’utente medio (scaricati questa app, iscriviti, click click click e sei apposto, vai di foto di gattini…) . A me piace smanettare, ma ai più assolutamente no. Niente plugin, niente tremila addon e opzioni varie ecc. E un client solo, stessa icona e nome, multipiattaforma , se possibile . Se no le persone scappano…. Secondo me….
@kenobit @rico
XMPP è abbastanza fico, però Signal è parecchio più sicuro, per tanti motivi. Il primo è che il codice dei client è aperto, ed è auditato - compresa l'implementazione degli algoritmi di crittografia - regolarmente da terze parti, suppergiù almeno una volta all'anno, https://community.signalusers.org/t/overview-of-third-party-security-audits/13243, mentre quello dei client e dei server XMPP, che sono tantissimi, lo è pochissimo (per esempio Conversation, il client FOSS più usato su android, è stato auditato una sola volta, nel 2016: https://conversations.im/omemo/
Poi ecco, comunque se cercate di spingere XMPP, mi raccomando di raccomandare di non usarlo mai tramite le versioni web che tantə admin di server XMPP ormai mettono a disposizione, in particolare quando l'utente non ha motivo di avere grande fiducia nellə admin stesse, perché la crittografia end-to-end implementata sul web è un'idea sbagliata e molto pericolosa, siccome tecnicamente dà allə admin del server la possibilità di decrittare il contenuto delle comunicazioni dellə utent*, di decrittare quello dei messaggi che ricevono, e anche di impersonarli con firma digitale, con estrema facilità e con la possibilità altrettanto semplice di fare in modo che lə utent* non si accorgano di nulla finché non è troppo tardi per evitare menate: https://bu.noblogs.org/e2ee-and-the-web/
End-to-end encryption and the web
> Nel video parlo nel dettaglio di non usare i client web.
Grande! Il punto però al presente è anche che i client non web sono sicuramente poco auditati, visto che quello più diffuso su android ha fatto un solo audit nel 2016, e si capisce perché: perché gli audit purtroppo oggi costano tanto.
Però sono d'accordo che *sarebbe* meglio una soluzione decentralizzata, e che sarebbe possibile, per esempio se tant* sviluppator* di client diversi si unissero per farne uno solo per ogni piattaforma, ma temo che questo sia davvero molto improbabile oggi, spero capiti in futuro comunque.
@kenobit @rico
XMPP è abbastanza fico, però Signal è parecchio più sicuro, per tanti motivi. Il primo è che il codice dei client è aperto, ed è auditato - compresa l'implementazione degli algoritmi di crittografia - regolarmente da terze parti, suppergiù almeno una volta all'anno, https://community.signalusers.org/t/overview-of-third-party-security-audits/13243, mentre quello dei client e dei server XMPP, che sono tantissimi, lo è pochissimo (per esempio Conversation, il client FOSS più usato su android, è stato auditato una sola volta, nel 2016: https://conversations.im/omemo/
Poi ecco, comunque se cercate di spingere XMPP, mi raccomando di raccomandare di non usarlo mai tramite le versioni web che tantə admin di server XMPP ormai mettono a disposizione, in particolare quando l'utente non ha motivo di avere grande fiducia nellə admin stesse, perché la crittografia end-to-end implementata sul web è un'idea sbagliata e molto pericolosa, siccome tecnicamente dà allə admin del server la possibilità di decrittare il contenuto delle comunicazioni dellə utent*, di decrittare quello dei messaggi che ricevono, e anche di impersonarli con firma digitale, con estrema facilità e con la possibilità altrettanto semplice di fare in modo che lə utent* non si accorgano di nulla finché non è troppo tardi per evitare menate: https://bu.noblogs.org/e2ee-and-the-web/
End-to-end encryption and the web
@kenobit @rico penso sarebbe interessante fare poi un video di approfondimento sull'attivazione e l'uso della crittografia perchè, immagino, che per l'utente medio in ottica chatcontrol sia un argomento interessante. Trovare quindi uno strumento che lo spieghi in maniera semplice migliorerebbe la diffusione! :D
@kenobit @rico è da un po' che spingo anche io XMPP (ne parlerò anche velocemente al mio intervento al prossimo Linux day). Mi sento rispondere spesso "ma xmpp è vecchio, meglio matrix".
Ho provato a leggere qua e la ma se ho ben capito con matrix non puoi metterti in piedi un tuo server (o si?).
Cosa rispondere quando ti dicono "meglio matrix" ?
A space for Bonfire maintainers and contributors to communicate
