О мейнстриме...


У меня, как и у многих есть(были) аккаунты в известных соцсетях и мессенджерах. Вот только конкретно у меня они были зарегистрированы отнюдь не по-моему желанию. Сказалось давление общества и влияние его инертности. Но это уже отдельная тема, которой мне касаться совершенно не хочется. В этой небольшой статье я рассмотрю два наиболее популярных у нас мессенджера с точки зрения безопасности и предложу альтернативы им из мира открытых технологий, а также попробую рассказать об их недостатках, которые вижу я. В этой статье я не буду рассказывать о соцсетях, поскольку они заслуживают отдельной статьи.
Перед началом, хочется отметить что из-за законов некоторой страны я не могу назвать имя корпорации владеющей мессенджером WhatsApp, поскольку она запрещена на территории этой страны. Поэтому прошу простить за частое употребление слов "компания" и "корпорация". Также здесь не будет никаких рекомендаций для пользователей устройств Apple, поскольку эти устройства являются крайне небезопасными.

Безопасность мейнстримных мессенджеров

WhatsApp. Начнём с наиболее популярного, хотя со мной могут многие не согласится. Так вот, данный мессенджер принадлежит компании которую нельзя называть. Является полностью проприетарным, от клиента до серверной части. Для регистрации требует номер мобильного телефона. Стоит отметить что здесь используется оконечное шифрование в чатах, что конечно хорошо, но есть нюансы. Был прецедент с тем что компания-владелец пыталась взломать шифрование для получения доступа к сообщениям и у неё это получилось, однако это вскрылось, но компания заявила что это нужно для доставки сообщений пользователю в случае сменя им телефона или сим-карты. Верить этому конечно же не стоит. Также отдельно стоит затронуть активность этого приложения на устройстве пользователя. Приложение запрашивает доступ к адресной книге пользователя(контактам), формируя список контактов для общения, при этом содержимое этой адресной книги попадает на сервера корпорации. При регистрации мессенджер требует доступа к смс и истории вызовов, соответственно содержимое смс пользователя и его история вызовов могут попадать на сервера компании и использоваться в неправомерных целях и/или целях рекламы или чего-либо ещё. Также WhatsApp крайне настойчиво рекомендует привязать себя к аккаунту Google и настроить резервное копирование. Однако резервные копии не шифруются по умолчанию и к ним может доступ любой желающий, если взломает аккаунт Google. О политике конфеденциальности этого мессенджера думаю даже и не стоит заикаться.

Telegram. Мессенджер который преподносится как безопасный и приватный(Да да, конечно). В целом, многое сказаное про WhatsApp можно отнести и к Telegram, но с несколькими оговорками. В первую очередь стоит отметить тот факт, что в данном мессенджере не шифруются сообщения в чатах вовсе, за исключением их "секретных чатов", но ими вряд ли пользуется большое количество людей. Также в их политике конфиденциальности чётко прописано что они хранят сообщения на своих серверах и шифруют там, т.е также имееют технуческую возможность расшифровки сообщений. Также в ней написано, что информация о том кому и когда пользователь отправлял сообщения в "секретных чатах" удаляется через короткий промежуток времени, однако точных цифр они не дают, а соответсвенно этот промежуток может быть сколь угодно долгим. Резервные копии здесь не используются, поскольку всё хранится на серверах Telegram и при входе в аккаунт спокойно восстанавливается. Ах да, открытый исходный код. Вот только он не до конца открытый, открыты лишь исходники клиентской части, а вот серверная остаётся закрытой. Ну и стоит отметить, что на этот открытый код часто плевались и плюются разработчики сторонних клиентов, поскольку его очень трудно понимать и "собирать до кучи".

А теперь посмотрим на альтернативы этим сервисам.

Альтернативы мейнстримным мессенджерам

XMPP. Это достаточно старый федеративный протокол и реализаций его серверов достаточно много. Однако среди множества серверов есть и те которые требуют для регистрации номер мобильного телефона, поэтому такие сервера стоит избегать. Но в общем случае для регистрации требуется придумать никнейм и пароль. На этом всё. Можно спокойно пользоваться. В некоторых случаях также может понадобиться адрес электронной почты, что конечно не очень хорошо, но намного лучше чем использование мобильного номера. Некоторые сервера вообще платные и их тоже стоит избегать(к таковым относится conversations.im). А если вы не смогли подобрать подходящий сервер, то всегда можно поднять свой собственный. Ах да, здесь используется оконечное шифрование сообщений, причём XMPP поддерживает несколько видов такого шифрования, но наиболее популярным является OMEMO. Каких-то особых недостатков этого протокола для себя я не могу отметить. Ну а поскольку протокол достаточно старый, то у него есть куча клиентов на различных платформах. На мобильных устройствах я могу посоветовать Conversations для Android и Dino если у вас есть телефон на Линуксе. На ПК вариантов больше, но из всех я могу порекомендовать Gajim и Dino.

Matrix. Это современный федеративный протокол, соответсвенно поэтому серверных реализаций не так много(если брать относительно стабильные варианты). Для регистрации требуются никнейм, пароль и адрес электронной почты. Однако некоторые сервера(в том числе matrix.org) предлагают/требуют вместо почты указать номер мобильного телефона, а также могут предлагать авторизацию через сторонние аккаунты, например гугл. Стоит категорически обходить стороной сервера требующие номер мобильного телефона. К преимуществам протокола стоит отнести тот факт, что если вы присоединяетесь к какой либо комнате(room), то она копируется на ваш сервер со всеми сообщениями и пользователями, таким обращом иногда комната может пережить сервер на котором она была создана. Однако у этого есть обратная сторона, если комната слишком большая и крупная, а ваш сервер достаточно слабый, то это может запросто повесить ваш сервер на неопределённое время, а то и вообще вырубить от нагрузки. Также лично для меня протокол оказался несколько сложноватым и у меня иногда случались проблемы с ним, но к недостаткам это не отнести, вероятно это просто у меня кривые руки. По поводу клиентов для Matrix я мало что могу предложить. На мобильных устройствах так вообще нет нормальных и адекватных клиентов для этого протокола. На ПК же есть вполне адекватные клиенты, но опять же я мало что могу сказать по этому поводу.

Выше перечисленные протоколы являются открытыми, предоставляют шифрование сообщений и прочие функции. И если вас чем-то не устраивают сервера сообщества или вы попросту не хотите на них регистрироваться, то вы всегда можете поднять свой.

Что же до меня, то я предпочитаю XMPP, поскольку у него есть достаточно удобные клиенты, возможность использования в скрытых сетях и отсутствие специфичных для Matrix недостатков.

Итог

В конце хочется призвать всех отказаться от использования проприетарных мессенджеров и начать использовать открытые и свободные их аналоги. А сейчас то время, когда цензура, слежка и контроль за пользователем с каждым разом становится всё сильнее и сильнее, а методы всё изощрённее и изощрёнее. Не позволяйте компаниям и корпорациям вас контролировать и следить за вами.

Материалы связанные с содержанием статьи

Статья от проекта LibreTrack - WhatsApp враг рода человеческого

Статья на Wikipedia о протоколе XMPP - XMPP

Статья на Wikipedia о протоколе Matrix - Matrix