• # decentralisation

    Posté par  (Mastodon) . Évalué à 10.

    Et après ils ne veulent toujours pas décentraliser.

    • [^] # Re: decentralisation

      Posté par  (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 28 septembre 2022 à 11:11.

      Je sais que je radote mais ce modèle me rend toujours perplexe. Certes, ça rend Signal sans doute plus simple à utiliser et à développer, mais à ce moment-là, pourquoi ne pas juste utiliser WhatsApp qui chiffre aussi les messages et qui a l'avantage de ne pas être étiqueté "dissident" (sauf en Chine) ? Certes, Meta est moins digne de confiance que Moxie, mais dans la Vraie Vie de Madame Michu en Iran, est-ce bien important ?

      • [^] # Re: decentralisation

        Posté par  . Évalué à 5.

        La différence quand même c'est que tu peux auditer le code du client Signal, et voir par exemple que ta clé privé reste sur ton téléphone. Sur whatsapp tu n'as aucune garantie qu'il n'ont pas ta clé privée…

        • [^] # Re: decentralisation

          Posté par  (site web personnel) . Évalué à 2.

          La différence quand même c'est que tu peux auditer le code du client Signal

          Est-ce que la build est répétable au bit près (à part pour les signatures au fichiers à côté qu'ajouteraient Apple ou Google)? Source si affirmation que oui?
          Si pas le cas, seuls ceux qui rebuildent (donc rares) sont protégés par un audit, vu que ceux qui se procurent la build de Signal connaissent autant son source que pour WhatsApp ( = on a aucune idée du source réelle de la build de Signal), soit pas foule.

          • [^] # Re: decentralisation

            Posté par  (site web personnel, Mastodon) . Évalué à 7.

            Est-ce que c'est de ça dont tu parles ?

            • [^] # Re: decentralisation

              Posté par  (site web personnel) . Évalué à 3.

              Complètement! Merci.
              (et j'aurai dû chercher un peu avant de poser la question…)

            • [^] # Re: decentralisation

              Posté par  (Mastodon) . Évalué à 8. Dernière modification le 29 septembre 2022 à 11:25.

              En théorie si tu ne reproduit pas aussi la création de l'environnement de build (l'image docker fournie), c'est de la poudre de perlinpinpin, ça ne vérifie absolument rien.

              Si tu veux vraiment être sûr, tu dois préparer l'image avec un compilateur dont tu est 100% sûr qu'aucun dev signal, ou developpeur externe mandaté par signal n'ait touché au code qui sert à compiler ledit compilateur. Donc idéalement un compilateur que tu as écrits toi-même en assembleur.

              Bon on va s'arrêter à préparer l'image docker à partir de binaires non fournits par Signal pour à défaut d'être à 100% sûr, avoir peu de raison de croire que ce soit possible.

              cf. compilers backdoors

              • [^] # Re: decentralisation

                Posté par  (Mastodon) . Évalué à 5.

                100% sûr qu'aucun dev signal, ou developpeur externe mandaté par signal n'ait touché au code qui sert à compiler ledit compilateur. Donc idéalement un compilateur que tu as écrits toi-même en assembleur.

                Il semblerait bien que ça ait déja été fait

              • [^] # Re: decentralisation

                Posté par  . Évalué à 4.

                En théorie si tu ne reproduit pas aussi la création de l'environnement de build (l'image docker fournie), c'est de la poudre de perlinpinpin, ça ne vérifie absolument rien.

                Tu peux aussi l'auditer. J'ai regardé vite fait c'est une ubuntu avec quelques étapes pour installer les outils de builds.

                Ce qui est pratique d'avoir une image docker c'est qu'une fois que tu l'a validée, tu peut facilement savoir s'ils ont fait évoluer leur environnement de build.

                https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                • [^] # Re: decentralisation

                  Posté par  . Évalué à 3.

                  Reste le apkdiff.py à auditer car aussi fourni par eux, du coup c'est assez facile de faire afficher "APKs match!"

  • # Docker complexe

    Posté par  . Évalué à 4.

    Je pige pas très bien la logique. Y a un docker compose, qui prend deux images Docker Ubuntu 20.04, et qui compile nginx sur chacune d'entre elle. La première est l'entrée HTTPS, qui redirige vers la seconde qui, à l'aide du module stream et une map redirige sur le point final (les serveurs de Signal). Et certbot.

    Tout ça, alors qu'un simple fichier de conf nginx suffisait, quand on a une machine qui a déjà un serveur avec un certificat.

    • [^] # Re: Docker complexe

      Posté par  (site web personnel) . Évalué à 3.

      C’est une façon simple pour proposer une méthode quasi-universelle de déploiement.
      Surtout pour les gens qui n’ont pas justement de serveur avec certificat, ou qui n’ont pas nginx.

      Le contenu des Dockerfile est discutable mais bon ça passe…

  • # Snowflake

    Posté par  . Évalué à 4.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.