Олег Ткач

Сделали короткое видео: "Telegram - это Max", где показываем, что проблема не только в Max или Telegram, а во всём несвободном ПО.

Видео в приложении (20,7МБ);
YouTube: https://youtube.com/shorts/11ooWJIqIx8
Odysee: https://odysee.com/@OlegTkach:1/telegram-%D1%8D%D1%82%D0%BE-max-shorts:2

____Ссылки на источники_____
Архив старого FAQ Telegram: http://web.archive.org/web/20150905224928/https://telegram.org/faq#q-why-not-open-source-everything
Итоги Telegram на 2023 год. Канал "Черный треугольник": https://t.me/black_triangle_tg/4051
Сотрудничество с силовиками по итогам 2025: https://t.me/cyberpolice_rus/4368

@rf

#Max #telegram #foss

Mar 5 at 4:53pmWeb
Show threadD:\side\>Mar 5

@OlegTkach я периодически от некоторых слышу рекомендации Signal на фоне Telegram (не присоединяюсь к ним, это иллюстрация) и в них регулярно звучит аргумент о том, что "Signal опубликовал исходники сервера, а Telegram нет". И вы тоже упоминаете, что Telegram не публикует исходники сервера.

И я каждый раз интересуюсь, хотя в последнее время уже про себя, т. к. за многочисленные попытки никто не смог объяснить, а в чём смысл этого? Ведь нету никакой возможности проконтролировать, что официальные серверы используют именно его и не делают ничего сверх того, что в этом коде указано. А использовать опубликованный сервер самостоятельно с теми же контактами, как правило, нельзя, ведь там нет федерации.

Максимум, что это даёт – возможность найти в сервере неизвестные дыры, но намеренные дыры оттуда же перед публикацией могут и убирать.

Клиенты, собранные из опубликованного кода, хотя бы можно использовать. В чём смысл серверных исходников закрытого сервиса?

Show threadL29AhMar 5
@dside @OlegTkach Смысл в гипотетической возможности конкурировать на рынке серверов-загонов для юзверей.
Show threadD:\side\>Mar 5

@L29Ah это маркетинг, а *смысл* есть? 🙃

@OlegTkach

Show threadL29AhMar 5
@dside @OlegTkach Охуел?
Show threadD:\side\>Mar 5
@L29Ah да, а что?
Show threadОлег ТкачMar 5

@dside, согласен с вами. Отсутствие возможности поднять свой сервер и при этом быть на связи с людьми другого сервера — это обесценивает открытость серверной части. И этого недостаточно. Нужна децентрализация, шифрование на клиентских устройствах, об этом мы говорим в критериях безопасного мессенджера. По сути наше претензия к закрытому серверу, есть претензия к тому, что он недецентрализован.

А Signal же требует номер телефона? Это очень сомнительный момент. Поэтому не включил его в финальный список безопасных.

Show threadD:\side\>Mar 5

@OlegTkach вроде бы да. Его только скрывать разрешили не так давно, но требовать вроде не перестали.

Но мой вопрос не про Signal вообще, а про аргумент с публикацией исходников сервера. В ролике он прозвучал. И он похож на просто повод докопаться. Это несколько портит сообщение в целом 

Show threadШуроMar 7
аргумент с публикацией исходников сервера


@dside вполне нормальный аргумент, хоть и не самый важный, а в плане именно доверия и вовсе третьестепенный.

Во-первых, это позволяет оценить предлагаемую архитектуру в целом. не с точки зрения "а вдруг там на самом деле зонды от ЦРУ", а "работает ли это и хорошо ли". Т.е. ты не считаешь, что владелец тебе врёт, ты просто хочешь посмотреть как это устроено и нет ли ошибок.

Во-вторых, это открывает возможности для форка в случае гибели проекта или ещё какой напасти.

В-третьих, это тот самый публичный аудит уязвимостей, который хоть и не панацея, но всё же работает.

И, если код упорно не отдают, то возникают вопросики по всем трём пунктам. Это примерно как пригласить мастеров тебе дом строить и получить отказ понаблюдать, что именно и как они будут делать. Не факт, что эпизодическое присутствие хозяина им помешает свистнуть пару мешков цемента, если они зададутся целью, но...

@OlegTkach

Show threadD:\side\>Mar 7

@shuro первое слабенько. Если сервис работает и на миллионах пользователей не разваливается с тормозами, то его архитектура скорее всего работает. Иначе видится маловероятным, что он мог бы себе позволить до такого размера вырасти.

Второе: что такой проект может породить сколько-нибудь сопоставимо популярный форк после гибели, я что-то сильно сомневаюсь. Пользователю на это уж точно наплевать. Я бы скорее ставил на уход к оставшимся участникам в сегменте. Такие участники могут вырасти и из форков при жизни, наверное, как Session – наиболее известный форк Signal на сегодня. А им пришлось переписать и заменить столько, что вполне вероятно, что они и без кода Signal бы справились.

А третье да, я уже предположил, и уточнил, почему это если и работает, то очень слабо. "Что мёртвому припарка", как говорится.

Моё мнение: в сумме эти факторы не набираются на что-то, что сколько-нибудь сдвигало бы стрелочку от "небезопасного" к "безопасному" (а ролик так-то об этом).

@OlegTkach

Show threadШуроMar 7

@dside по п.1: вот, например, у Сигнала заявлено маскирование отправителя (Sealed Sender), не позволяющее при компрометации сервера установить кто кому что отправлял. У Телеги заявлено некое распределение хранение данных (хз что это), при котором захват серверов в одной локации не позволит расшифровать сообщения. Если тебе это интересно, то открытый код позволит посмотреть как это вообще сделано и нет ли недочётов.

Что до сдвигания стрелочки - как я сказал, это не самый важный момент точно, но всё же лишний плюсик в карму (или наоборот).

@OlegTkach

Show threadIron BugMar 7
@rf @OlegTkach я тоже не понимаю стенаний тех, кто жрал кактус столько лет. и их предупреждали! но нет, всё равно жрут кактус и юзают проприетарщину. теперь кактус у них забрали и они остались, как наркоманы без дозы героина. и их ломает.
Show threadForYurMar 12

@OlegTkach @rf

Неплохой наборчик показан. Стоит наверное ещё указать более полезную практику искать это на F-Drood, чем rutor или goplay.
Сейчас стоит все остальное более правильно называть "Условно свободное". 

Show threadОлег ТкачMar 12
@ForYur да, верно. Но рассказать про всё в одном месте нереально. Это огромная тема. Мы готовим большой материал, где постараемся пройтись по всем ключевым аспектам. Ну и пофилософствуем, обязательно :)