1. 3
  1.  

  2. 4

    Lo use-case di Signal e quello di XMPP sono molto diversi. Non posso aspettarmi che mia zia scarichi Orbot o robe del genere. Signal va sufficientemente bene, inseguire la chimera della privacy perfetta è un po’ esagerato IMHO. Ci sono dei buoni compromessi, Signal direi che è un buon compromesso tra UX/UI e privacy.

    1. 1

      Il problema di Signal è che non permette di fare backup, almeno su iOS, forse su Android si. Quindi per l’utente medio che ogni tanto rompe o perde il cellulare non è un’opzione percorribile in quanto in caso di eventi del genere perderebbe tutti i messaggi.

      Ci sono lunghi thread sull’argomento backup su Signal, con pareri discordanti a favore o contro. Secondo me un semplice backup cifrato in locale, quindi senza andare su iCloud o Google Drive, basterebbe, ma neanche quello fanno.

      1. 1

        Su Android c’è la possibilità che dici tu del backup in locale crittografato. Su iOS non mi è molto chiaro, ma sembra che una procedura circa esista: https://support.signal.org/hc/en-us/articles/360007059752

        1. 1

          C’è una procedura per trasferire i dati da un cellulare all’altro, avendoli entrambi vicini, ma non c’è nessuna possibilità di effettuare un backup. Quindi se si perde il cellulare o si rompe si perdono anche tutti i messaggi.

      2. 1

        90 minuti di applausi. Comunque lo use case di signal più che la zia dire è per il supporto alla DAD o per i medici di famiglia, psicologi ecc.

      3. 2

        Mah, molte delle argomentazioni sono gratuite, come ad esempio l’utilizzo dei servizi di piattaforma come Google Play o i servizi push. Giphy è proxato, quindi nessun problema di privacy. Single server? Invece servizi in HA come WhatsApp e Facebook non sono mai stati off-line, vero? I numeri di telefono sono memorizzati come hash, inoltre dietro Signal c’è una fondazione non profit, non un macchina macinasoldi come Facebook.

        Io ormai sono due anni che utilizzo Keybase, vi invito a provarlo, è fatto veramente bene. E non chiede il numero di telefono. Inoltre fornisce storage e repository Git cifrato.

        1. 3
          Signal

          La ragione principale per cui sconsiglio Signal è la combinazione di due fattori:

          • l’uso di SGX Intel server side
          • nessuna intenzione di creare una rete federata

          Il primo è insicuro per chiunque non abbia accesso fisico all’hardware ed il secondo rende impossibile tale accesso. Dunque non me la sento di suggerire Signal perché una volta saliti gli utenti se ne ripresenterebbe il lock-in.

          Keybase

          Quando mi informai, anni fa, bisognava caricare la chiave PGP privata sui loro server (seppure protetta da password). E’ ancora così?

          1. 3

            Quando mi informai, anni fa, bisognava caricare la chiave PGP privata sui loro server (seppure protetta da password). E’ ancora così?

            No, puoi caricarla se vuoi ma io non l’ho fatto. Keybase a differenza delle altre chat non richede numero di telefono, si genera un’identità crittografica sua ed usa quella per l’identificaione. In effetti il fatto di chiedere il numero di cellulare è strumentale, da informatici sappiamo benissimo che non è affatto l’unico modo per garantire l’univocità di un dispositivo, anzi. Gli altri device (incluso il client desktop) li autorizzi dal primo. Lo uso da molto con un paio di amici e colleghi e va alla grande. L’ho anche installato sui cell dei miei familiari.

            1. 1

              Signal usa la tastiera di default del sistema che su Android e’ quella google che spia quello che scrivi (scrivi “hai voglia di un gelato?” e tra i suggerimenti ti viene di cercare gelaterie vicino a te).

              1. 1

                Eh vabbè ma questo non è imputabile a Signal, mica possono reinventare tutto ahahahah

              2. 1

                Ma il fatto è che non viene caricato circa nulla sui loro server, quindi Intel SGX è poco utile ai fini di un discernimento. Ora ci sono alcuni che non sono contenti di alcune decisioni prese ultimamente sui dati caricati sui server Signal, vedi PIN, ma sarà una feature comunque disattivabile.

                La rete federata complica il design non di poco, io personalmente apprezzo l’idea della federazione, ma non la reputo sempre necessaria. Però son gusti. (Matrix protocollo fighissimo ma i client ragazzuoli sono ancora un po’ acerbi UI/UX-side).

                1. 1

                  Per curiosità, in che senso sono “acerbi”?

                  1. 1

                    Per mobile chat, principalmente di client Matrix esiste (praticamente) solo Element e ha purtroppo qualche bug di interfaccia, ad esempio i messaggi non letti nei gruppi sono sempre scazzati e non sai mai quanto ti sei perso. Molto più bello il client web rispetto all’app per Android. Mi aspetto che fra un annetto sarà spaziale. Per sostituire WhatsApp per il momento io mi sbilancio su Signal al momento. Se poi l’ecosistema di Matrix diventerà interessante (come penso farà) inizierò il processo di evangelizzazione verso Matrix ahahah

                    1. 2

                      Avendo visto lockin e evangelizzazioni varie per 20 anni, io ormai consiglio sulla base delle caratteristiche architetturali.

                      Se oggi tutti passassero a Signal (e questi venissero compromessi) tu ti saresti sputtanato ed intanto gli investimenti in Matrix sarebbero inferiori a causa della codebase.

                      Dunque io consiglio Matrix (o delta.chat o jami) perché la loro architettura è migliore e non producono lock-in.