Telegram: ¿Un WhatsApp de código abierto?


#21

Hasta hace unos días tenía 0 contactos, y ahora tengo 1. No he probado a federar con otros Jabber, sólo tengo un contacto «de Kontalk» que supongo que se bajó la App y ya está.

@xamar comentó que Telegram podría estar copiada de Kontalk, lo cual a mí no me sorprendería porque es como coger Kontalk (en el fondo muy parecida a WhatsApp pero intentando alejarse) y hacer todo lo posible para que sea WhatsApp en otro color :smiley:


#22

Lei mal y creo que el soporte total XMPP en Kontalk todavía no esta listo :expressionless:

Acerca de las alternativas a Whatsapp hoy he encontrado un artículo muy interesante que quería compartir:
http://missingm.co/2014/02/fighting-dishfire-the-state-of-mobile-cross-platform-encrypted-messaging/

Resumiendo: aconseja un programa llamado Supespot, aunque la problematica es que no es de los que utilizan el numero de telefono para crear automaticamente la lista de amigos.


#23

Hola @xamar pues a mí que no cree una lista de amigos automática me parece una ventaja de Supespot dado que WA y casi todas las demás, al hacerlo, vulneran la privacidad de los contactos de dicha agenda e infringen la Ley Orgánica de Protección de Datos, casi siempre, cuando las agendas están en teléfonos corporativos o profesionales. Claramente incurren en cesiones ilegales de datos. Un ejemplo, tengo clientes que son personas físicas y les llevamos asuntos personales patrimoniales; si les tengo en mi agenda y dejo que WA la copie en sus servidores, automáticamente he incurrido en una cesión ilegal de la LOPD sancionable. Así que la ventaja técnica - más bien una imposición de WA - se convierte en un bug de privacidad. Algunas aplicaciones te piden permiso para copiar esa agenda, y puedes negarlo, pero generalmente cada vez que abres la app te lo vuelven a pedir o recordar y acaba siendo un incordio.

Cuando se trata de empoderamiento, como dice @versvs, se trata de que sea el usuario el que decida. Es más trabajo para el usuario pero merece la pena como ideal.


#24

@jomra Mi correo es Zimbra, ¿tendría esas funcionalidades que comentas?. Confieso mi ignorancia absoluta sobre el tema. Croe que este hilo demanda un buen post de @versvs o de @aperalesf sobre las posibilidades de jugar con Kontalk, Jabber y demás.


#25

Buen descubrimiento, me lo apunto para echarle un vistazo con calma. Y, por cierto, el dominio del enlace es muy ingenioso. :slight_smile:


#26

Salud

Tiene las posibilidades, ya sea de usar Openfire + SparkWeb o, si el Zimbra NO es el 8, ya tienes las funcionalidades de un servidor Jabber junto con un programita de MI Web, aunque no sé qué tanto hay que tocar para «habilitarlo» (creo que nada, la verdad). Lo puedes ver fácil, si cargas la versión Avanzada (AJAX) al entrar al correo web, al pie a la izquierda tienes una serie de iconitos de mensajería instantánea (contando el circulito para iniciar sesión), eso es el MI Web de Zimbra, directamente. Eso o intentar añadir una cuenta jabber usando tu dirección de correo vinculada a ese Zimbra. (Por lo que estoy leyendo, Zimbra 8 sí tiene habilitado un servidor Jabber, lo que no tiene es cliente web propio; así que en todo caso intenta usar tu correo en Pidgin o cualquiera de esos).

Hasta luego :wink:


#27

Me estáis dando ganas de instalarme Zimbra… siempre lo vi muy pesadete (yo uso sobre todo Thunderbird así que me da bastante igual la interfaz), pero parece que carga bastantes cosillas interesantes…


#28

Si bien tienes razón creo que es una funcionalidad clave para su aceptación masiva. Entiendeme; no el enviar la agenda completa sino el ser capaz de importar amigos al sistema de mesajería de forma cómoda. ¿De qué te vale un programa semejante si sólo eres capaz de comunicarte con tres personas?

Siempre se puede enviar un hash del teléfono en vez de el teléfono en si, lo cual mejoraría la situación. Si el hash te parece poco usar también el primer nombre del contacto normalizado tipo hash(paco+1323923239). Al fin del al cabo ese nombre no deja de ser un shared secret. También el hacer que se necesite confirmación por ambas partes de la voluntad de estar accesibles mutuamente…

En fin, creo que se pueden hacer mucho para tener una funcionalidad similar sin que haya brechas en la privacidad y que es algo necesario. A veces me pregunto cómo puede ser que estando a 2014 el software no haya evolucionado a la veloccidad del hardware…Y tiene fácil respuesta: conflicto de intereses casi nunca alineados con el de las personas en general, pero no por ello deja de fastidiarme :expressionless:


#29

Tienes tu parte de razón @xamar sobre la usabilidad de subir la agenda entera al servidor, ciertamente. Pero soy partidario de restringirlo lo que puedes hacer gracias a ese mecanismo porque no es infrecuente ver cómo alguien desea ver la imagen de otra persona metiendo su número de teléfono en el WA. Al fin y al cabo, no tiene sentido estar chateando todo el día ni con todos tampoco. Debería cuidarse un poco más eso.

Y por cierto, hoy en wwwhatsnew publicaban una app de mensajería open source (Código en GitHub): http://tox.im/ a ver qué os parece.


#30

Bueno. No está nada mal. Incluso parece que se puede hacer funcionar con pidgin y eso es una gran ventaja. Pero … no tiene cliente para teléfono móvil. Y eso es de lo que hablamos aquí, ¿ no ? Si una aplicación no comienza por los teléfonos y las tabletas ya puede ser lo que sea, que no va a tener masa suficiente. Y es que aplicaciones de mensajería, en Linux por ejemplo, tenemos la tira y desde hace mucho tiempo.


#31

Tienes toda la razón @VictorMoral pero creo que en este caso he leído que tenía compatibilidad con iOS o algo así y en el wiki observé que se hacía referencia a Android pero como no soy técnico se me escapa. En todo caso, tienes razón. Si no está en el móvil es complicado que triunfe. Y eso que si me dejan elegir prefiero las aplicaciones de escritorio como las tradicionales pues paso más horas frente al ordenador que con el móvil en la mano. Pero entiendo que cada persona tiene un uso distinto y está claro que WA es solamente móvil (Siempre lo he visto como una carencia y creo que Line y otras lo hacen mejor en este sentido con sus clientes web).


#32

En la lista de clientes no aparecen ninguno, pero sí hay una referencia a ellos, Android e IOS, en Google Summer of Code que viene a decir que los clientes no están escritos y que estaría bien que alguien los hiciese. :slight_smile:


#33

No había mirado tanto pero seguro que tienes razón. En el post decían esto “Desde la wiki del proyecto se puede acceder, entre otros aspectos, a los clientes existentes, donde nos encontramos Venom para Windows y Linux, Poison para OSX y a Toxicity para iOS”. A saber… Gracias.


#34

Justo estaba leyendo un post donde hablan de esto para decir que su impacto es limitado:

The first instinct is often just to hash the contact information before sending it to the server. If the server has the SHA256 hash of every registered user, it can just check to see if those match any of the SHA256 hashes of contacts transmitted by a client.
Unfortunately, this doesn’t work because the “preimage space” (the set of all possible hash inputs) is small enough to easily calculate a map of all possible hash inputs to hash outputs. There are only roughly 10^10 phone numbers, and while the set of all possible email addresses is less finite, it’s still not terribly great. Inverting these hashes is basically a straightforward dictionary attack. It’s not possible to “salt” the hashes, either (they always have to match), which makes building rainbow tables possible.

El argumento parece tener sentido. Y lo que cuenta sobre los bloom filters parece sofisticado y una solución razonable pero que no escala bien (con los anchos de bandas actuales, al menos).


#35

Me estoy partiendo con esto, sencillamente jaja.


#36

Muy interesante el post, luego me lo leo con detenimiento. Esta claro que un simple hash del numero no asegura la confidencialidad de la agenda. No es lo que dije en mi mensaje anterior, pero es lógico un vez que te paras a pensar un poco (cosa que no hice :smiley:).

Añadir el normbre del contacto si que creo que bloquearía ese tipo de ataque debido a la variación que introduce (pongamos 7 letras más por 24 letras cada uno multiplicado por el 10^10 al que hace referencia).

En todo caso yo creo que puede haber un compromiso entre conveniencia y seguridad sin tener que recurrir a la seguridad ‘perfecta’. Hay algunas soluciones extremadamente creativas por parte del ‘The Guardian Project’ que se basan en intervencion humana, enviar un reto al otro usuario preguntandole algo que probablemente solo sepa el (ej: Cuando nos conocimos, o el psudonimo de un conocido comun, etc…) que creo que son mas viables que los bloom filters.


#37

Dejé el link precisamente porque cuando pusiste la idea a mí me pareció fantástica y sólo leyendo este artículo entendí que bueno… que tenía que pararme a pensar más :smiley:

Es posible que sí, que añadiendo algún componente tipo «palabra+palabra» (en realidd, nombre + número) la cantidad de hashes aumente algo más y comience a ser un método fiable para esto de encontrar contactos a partir de tu agenda existente. El tema es que los nombres son 5-9 letras, pero si lo limitamos a nombres, hay un número reducido de nombres, en términos de fuerza bruta no sé si cambia mucho la cosa. Si usamos estos shared secret sería otra cosa… el sistema se pone divertido. ¿Necesito un shared secret para cada usuario? Eso equivale a añadirlos a mano, ¿no?


#38

Efectivamente. Y con ésto volvemos al punto de partida. :slight_smile:


#39

Anda que ya me vale. Claro que existe ya un tipo de registro DNS para publicitar servicios: el tipo SRV. El RFC se deja leer (que no es poco) y existen ejemplos de uso y algún artículo al respecto de localizar servidores XMPP.

Tampoco son nuevos, he visto referencias del 2008 y anteriores. ¿ Qué ha fallado entonces ? ¿ La comodidad de dejarse arrastrar por Google ? Me apunto instalar un servidor jabber en mi máquina y publicitarlo así. Estaré un poco sólo al principio pero ya me estoy acostumbrando :slight_smile:


#40

La realidad es que hay muchos shared secrets que pueden ser usados. Piensa en la fecha de nacimiento, el email del usuario si lo tienes registrado, apellido(s), lugar donde vive, etc… Quizas marcar dos o tres prototipos de hash-identificador que incluyan varios modelos… Creo que dandole un poco de vueltas se puede conseguir algo que funcione y no filtre los numeros de nadie.