Ola,
Beetje late reactie, maar ale. Excuses daarvoor.
Prententieus... Nee laten we het op lichtelijk geirriteerd houden, het zijn hier constant dezelfde fouten en "I follow the Marketing" opmerkingen.
Maar goed, daar kan jij ook niets aan doen natuurlijk als individu.
Als m'n wat recht voor de raap woordkeuze je op enige wijze beledigd heeft of dedain/denigrerend overkwam, of in de onderstaande post gaat beledigen,
dan bied ik je daar m'n excuses voor aan.
1) "je eigen onzin aan te smeren": dit is niet mijn "eigen" onzin, dit is wat ik objectief heb gevonden op de telegram site. Is nogal kort door te bocht ... er is geen reden om persoonlijk te worden.
Je ging kijken met een doel gok ik. Het doel om te kijken of wat ik zeg correct is of onderhevig is aan wat je zelf dacht.
Tijdens het lezen heb je alsnog dusdanig gelezen dat het je eigen conclusie onderbouwt.
Dat is niet geheel objectief.
Ik ben gewoon gaan zoeken naar mogelijke fouten, en kwam op deze problematiek terecht. Daarna vergeleken met WhatsApp die, op het gebied van de policies, de zaken wel een stuk beter op orde heeft.
Dat wekte extra interesse waarom Telegram dit dan niet oploste.
3) Je mag het draaien en keren zoals je wil, maar 75% van de tweakers weten niet wat crypto 100% inhoudt. Het feit dat jij dat veronderstelt zal je enkel frustraties opleveren. Dat ik geen onderzoek doe is misschien correct, maar ik heb de TG website WEL doorgezocht maar ik heb niet handleidingen omtrent crypto liggen lezen. Daar heb ik geen tijd voor, mijn excuses voor mijn "domheid". Deze reactie schrijven kost me al teveel tijd.
Dat maakt je niet dom, maar enig verder onderzoek dan te luisteren naar puur de ene kant van het verhaal: de Marketing van het beestje zelf, gaat niet werken.
Een beetje op Google rondneuzen wat de experts ervan denken levert al een schat aan informatie op, al moet je 't helaas niet enkel op Engelstalige websites zoeken. Op de Russiche sites zitten er een aantal die nog een stuk kritischer zijn, alleen het leest zo kut weg met Google Translate.
Enfin, als je er geen tijd voor hebt moet je nooit je conclusie behouden louter van het marketing gedeelte, maar constant blijven herinneren dat je mogelijk niet het hele verhaal kent omdat je, zoals je zelf al zegt, de kennis niet in huis hebt om te kijken of wat ze zeggen waarheid is.
Zeker bij zaken waarbij je veiligheid op het web in geding is, is het erg belangrijk. Althans, dat is mijn mening.
Kijk, stel jij bent een persoon in een land waarbij je niet alles mag zeggen. Als jij die Marketing praat hoort en meteen denkt "wauw, wat veilig", en vervolgens denkt "Toppie, dan kan ik met die en die praten" en lekker op Secure Chats modus zet, en vervolgens blijkt dat helemaal niet veilig te zijn: dan ben ik van mening dat die Marketing agent, van Telegram in dit geval, een enorme lul is en dat ze hele smerige spelletjes spelen; het is namelijk helemaal niet veilig.
Als je met de waan veilig te zijn in een app zit zonder dat je voorgaand onderzoek hebt gedaan: dan speel je in sommige landen met je leven. Maar hier is het idem als je werkelijk op je privacy gesteld bent.
Noot: keep in mind, ik zeg niet dat WhatsApp nu veilig is voor die personen. (Wordt het wel, trouwens. Secure Chat 2.0 zullen we maar zeggen: alle berichten worden constant encrypt zonder uitzondering.) Maar WhatsApp doet niet net alsof hun chats 100% veilig zijn, enkel dat ze hun best doen het zo veilig mogelijk te maken. Maar ze roepen niet "Wij zijn super veilig, als je geheime/gevoelige data moet delen: gebruik ons gerust!". Telegram doet dat, ten onrechte gezien er wat problemen in het protocol zitten, wel.
En dat is dus het gevaar van geen onderzoek verrichten. Als je er geen verstand van hebt: kijk dan eerst wat de experts te zeggen hebben.
Dat je geen crypto snapt maakt je niet dom en is geen domheid, wat ik wel enigszins dom vindt is het niet nazoeken/verifieren van wat je denkt waar te zijn, terwijl je *weet* dat je er geen verstand van hebt, en vervolgens claimen dat het oh zo veilig is "vanwege x". (Terwijl x een leugen is.)
Ik heb jouw links (dezelfde links als in het wikipedia artikel over TG) gelezen maar dit zijn ondertussen artikels van 1 jaar geleden. Daarna niets gevonden, misschien dat jij recentere bronnen hebt? Daarnaast is de contest die ze nu voorstellen (is van november 2014) "eenvoudiger" om te hacken. Misschien heb je dat nog niet nagelezen? Over de zin of onzin van een contest om te bewijzen dat je secure bent laat ik in het midden. Het is een vorm van trachten vertrouwen te scheppen die misschien wel misplaatst is (na het lezen van de artikels).
Ik heb er deels kennis van genomen. Hoewel ik nog moet beginnen met deelname, leek vanaf het begin, en lijkt nog steeds zo te zijn hoe meer ik er naar kijk, hun uitleg misleidend te zijn.
"You can act as the server between the two individuals" en dan met de kantekening erbij dat het hierdoor makkelijker zou moeten worden om de server-side boel te inspecteren...
... Maar dat is niet helemaal waar. Je krijgt nog steeds geen kopie van de Telegram server broncode en je kan al helemaal niet het volledige proces emuleren, slechts delen ervan en ook maar deels de uitwisseling zien, voor zover ik in korte tijd heb begrepen. Je kan min of meer enkel gedeelteijk afluisteren en wat commando's heen en weer knallen via een speciaal geschreven bot. (Ook nog zo iets, speciaal hiervoor geschreven, dat kan je manipuleren hoe je het wilt als Telegram zijnde.)
Dat zegt dus nog steeds vrij weinig over wat er werkelijk op hun servers gebeurd..
Mind you, ik moet die bot nog proberen; maar voor zover ik heb gelezen en gezien wat je nou precies voor toegang krijgt: kan je er nog steeds behoorlijk weinig mee, al heb je wel meer kansen om de data nu zelf te manipuleren. "throw a bone" zegmaar, maar het vlees ontbreekt... Het lijkt er al wat meer op en opent wat meer mogelijkheden, maar het is absoluut nog niet "alles".
Daarnaast, ze zeggen "a person with control over the server", maar ook dat is niet helemaal waar. Zo kan je niet je eigen software of hacks inladen in het geheugen van de server, noch door de data op de servers heen browsen. (Wat natuurlijk erg logisch is, maar dan ontbreekt er dus een groot gedeelte van wat er te onderzoeken valt met betrekking tot de veiligheid... Je kan er gewoon niet bij, dus kan je ook helemaal geen compleet oordeel vellen... Precies hetzelfde probleem als met die vorige contest, al is de contest nu iets uitgebreider...)
Het lijkt wederom meer Marketing te zijn dan daadwerkelijk nuttig onderzoek.
Laat ik het zo stellen: je kan in ieder geval absoluut niet daadwerkelijk een audit uitvoeren over de veiligheid van het protocol en de servers. Als iemand werkelijk controle krijgt over die servers kunnen er heel andere dingen gedaan worden dan wanneer je gelimiteerd wordt tot de parameters waarin Telegram je forceert te opereren door slechts een gelimiteerde "jailed" versie van hun server systemen ter beschikking stelt... In bot formaat en speciaal voor de contest geschreven.
Snap je het probleem?
In eerste instantie heb ik het idee dat ook deze wederom aardig misleidend is vanwege de limitaties die je hebt.
Enfin, innocent until proven guilty. Ik kom er zeker nog eens op terug.

5) Ik heb geen enkel moment het statement genomen dat TG veiliger zou zijn dan WA. Nogmaals, ik schetste louter wat op de site staat. Dat dit niet strookt met de realiteit en jouw hele "conspiracy theory" vind ik niet terug op het internet buiten jouw 3 links dat de contest zever is. En dat er enkel kritische noten van december 2013 (over het GANSE www) zijn over de contest en de Russische link met VKontakte, vind ik het wel frappant dat er dan niet meer journalistieke aandacht hier op is? Daarnaast zet Tweakers regelmatig artikels online omtrent TG. Zij vinden ze dan toch niet zo dubieus? Of is omdat ze "domme" tweakers zijn?
Ik heb geen conspirary theory, ik presenteer enkel de feiten...
Er zit geen verzonnen bewijsmateriaal bij, vage insinuaties of gephotoshopte ufo's: ik leg gewoon uit, en citeer (anderen), hoe de vork precies in de steel zit en laat daarnaast zelfs nog top-experts op het gebied van cryptography aan het woord. Als je dat wilt wegzetten als "conspiracy theory", tja. Dat is aan jou. Je mag de feiten negeren, moet je helemaal zelf weten. Maar doe niet net alsof het verzinsels zijn. Dit is een daadwerkelijk probleem met Telegram.
En een probleem dat ze makkelijk kunnen oplossen.

(Althans... Dat met die policy. Of het crypto probleem nu nog simpel is op te lossen zou ik nog eens moeten bekijken.)
Kijk, als die cryptographers en advocaatjes maar wat riepen zonder dat dit te verifieren valt, dan had ik die ook niet als bron aangehaald. Maar gezien deze feiten makkelijk te verifieren zijn, is het gewoon waarheid. Een conspiracy *THEORY* is als het louter een theorie is die op geen enkele wijze wordt gestaafd met concreet materiaal; bijvoorbeeld explosies in het WTC waarbij wordt gezegd "kijk, ze blazen het zelf op"; terwijl het ook compleet andere ontstaans redenen kan hebben. Als je al hebt uitgevogeld dat het geen theorie is maar in de praktijk gewoon toegepast kan worden, dan is het geen theorie meer.
(Mind you, dat betekent niet per definitie DAT ze deze kwetsbaarheden misbruiken, het zegt enkel dat ze het KUNNEN misbruiken. En KUNNEN vereist gewoon een oplossing, maar dat willen ze niet. Vreemd, voor een "secure" messaging app. Een hacker met werkelijke toegang KAN dus ook manipuleren door misbruik te maken van de fouten die reeds in het protocl gevonden zijn. Misschien dat Telegram zelf geen misbruik maakt op die manier, maar er kan dus wel misbruik van gemaakt worden: en dat is nou het hele probleem.)
Als je meer wilt, moet je beter zoeken. Er staan wel meer artikelen over die cryptocontest.
Dat het encryptie systeem van Telegram grote fouten bevat is gewoon een feit. Kennelijk wil jij minstens 500 man en 10 professoren aan het woord hebben voordat je dat wilt accepteren, want een handvol experts (waarvan een paar vaak voor enorm grote crypto challenges hebben gestaan bij grote bedrijven, en dus echt niet de eerste de beste mensen in het vak zijn...) is kennelijk niet voldoende voor je.
Lekker bij je mening blijven dus, als je zo enorm nodig de mening er op na wilt houden dat er niets aan 't handje is terwijl als je je er even in verdiept je gewoon letterlijk van hun site en uit het protocol de fouten kan halen: helemaal aan jou.
Maar kom dan niet aan met die onzin van "Ik heb er geen verstand van dus weet het niet zeker", terwijl je je mening al duidelijk klaar hebt:
Wat telegram heeft gezegd over hun contest accepteer je meteen (wij van WC-eend), maar wat experts zeggen over de grove fouten in de end-to-end encryptie: dat negeer je.
Ok, even goede vrienden...
Tweakers dealt trouwens in feiten. DAt er ktisiche noten zijn met betrekking tot de link met VKontakte is algemene kennis, en ik zie niet in waarom Tweakers daarom niets over Telegram zou moeten publiceren.
Dan zouden ze ook niets meer over Facebook moeten publiceren, want het merendeel aan Tweakers vertrouwd Zuckerberg ook voor geen reet.
Het is een feit dat Telegram een aantal gebruikers heeft en graag de underdog wil spelen, Tweakers speelt daar fijntjes op in en gaat, zeker zolang niet zwart op wit bewezen is dat de data geherdistribueerd/verkocht wordt/doorgegeven wordt aan de Russen er geen artikel aan weiden.
... Of ze een artikel willen schrijven over de problemen in de policies en de kwetsbaarheden van het protocol: daarvan weet ik niet waarom ze dat niet gedaan hebben, al was het maar als kantekening in een artikel dat verschillende software in vergelijking heeft gebracht. Al moet ik zelf daarop eerlijk toegeven: ik zelf begon pas ten tijde of later dan dat artikel zelf op onderzoek uit te gaan qua protocol. Daarvoor heb ik me enkel gefocused op die Privacy Policies, en niet met het protocol.
Ik verbaas me daar ook lichtelijk over eigenlijk; al moet je er wel rekening mee houden dat het inderdaad behoorlijk complexe materie is.
Verder... Wat Jimmy_ zegt.
6) Omtrent share & sell. Ik begrijp heel goed het verschil (wat nog geen excuus is om het zo betweterig te stellen) maar wat ik niet begrijp is: "Telegram is verzocht om deze wijziging ook door te voeren, maar weigert dat pertinent,". Welke wijziging? Het duidelijk maken of ze nu sharen of niet? Kan je dit eens toelichten, wat dit lijkt me relevant. Mocht het je al toegelicht hebben, mijn excuses voor mijn domheid aangezien ik jou niet begrepen heb.
Heel simpel.
"We never share your data" -> "We never share and/or sell your data" of een nog betere variant... Eg "We never share, sell or distribute in any other manner to third parties your data or any portion thereof". Iets in die trend...
Ze weigeren al enkel de "share/sell" variatie uit te voeren. 1 woordje wijzigen. Wereld van verschil op Juridisch vlak. Stelt meteen een hoop skeptici en advocaatjes tevreden... En toch weigeren ze. Dat is vreemd.
Toevallig werd ik in een ander topic (sinds wanneer blijven Artikels op Tweakers ongelimiteerd open voor reacties? o0 Post was van maanden terug...) er op gewezen dat Telegram om opheldering was gevraagd over dit punt. Waarop ze reageerden:
"OK. We're not going to share it, sell it, lease it, pawn it or anything of the kind."
... Maar wederom willen ze dat niet aanpassen in de officiele Privacy Policy. De Policy die bindend is, in tegenstelling tot een FAQ of Twitter praatje. ("No no, that was just our Marketing agent, he knows nothing." Kan zo gebeuren in een rechtszaal, mocht het daar ooit toe komen.

)
En dat is toch vreemd? Ze weten dus dondersgoed hoe het wel verwoord moet worden (zonder de grap er tussendoor) om volledig uitsluitsel te geven, maar het zo doorvoeren in de officiele documentjes? Ho maar... Dat is gewoon raar. Elk weldenkend bedrijf zou bij kritiek zoiets meteen aanpassen en de legal department zou helemaal gek worden. (Vandaar dat je bij WhatsApp ook netjes het onderscheid ziet in de policies.)
Telegram heeft kennelijk geen legal department, of juist een hele goede omdat ze er constant voor zorgen dat er enkel "share" staat.
Dat ligt eraan hoe betrouwbaar Telegram in 't einde werkelijk blijkt te zijn.
Maar je snapt wel dat dit soort acties, in combinatie met de reeds hierboven door mij genoemde punten, argwaan ontwikkelen?
Het is allemaal heel convient precies zo ingericht (fouten in protocol en in de privacy policies) dat ze alles wat ze willen kunnen doen; maar oplossen? Na-uh, dat zit er niet in en weigeren ze. Voor een bedrijf dat pocht met veiligheid is dat wel een heel erg vreemde karakteristiek...
Zou 't zelfde zijn als je CA zegt "Oh, ja, er staat een fout in onze policies waarmee willekeurige mensen zo je keys kunnen opvragen bij ons. Maar daar gaan we geen gehoor aan geven hoor, dus we passen de fout niet aan". Derp.
7) Als jouw boodschap slechter overkomt dan die van TG ligt dat dan aan jou of aan de gebruiker/tweaker? Of is het onderwerp toch complexer voor de meeste mensen dan jij denkt? Misschien moet je daar eens een artikel over schrijven en indienen bij Tweakers? Of ergens online zetten. Of laten weten bij de consumentenbond? Jouw hele betoog is snel op een mailtje te zetten en misschien maakt het wat los? Of gaat het een journalist het toch de moeite waard vinden om te onderzoeken.
Beiden. Het ligt aan mij omdat ik slechts 1 persoon ben en TG een groot bedrijf is, en een van de zeer weinige Tweakers die zich met deze materie bezig lijkt te houden... En verstand heeft van crypto.
Het ligt aan de gebruiker/tweaker omdat ze klakkeloos geloven wat TG zegt.
Ik snap het wel dat mensen sneller het bedrijf zullen geloven dan de kritische tweaker.

C'est la vie.
Het onderwerp zal best complex zijn, maar naar mijn mening heb ik het toch redelijk simpel uitgelegd...
Ik zou er best eens een artikel over willen schrijven. Geen probleem, moet ik alleen wat korter van stof zijn gok ik.
Maar Tweakers is daar totaal niet in geinteresseerd dunkt mij.

Los van de discussie heb je me wel meer inzicht gegeven omtrent TG en crypto, waarvoor dank. En ik kan je niets anders dan bijstaan met het statement dat indien een organisatie beweert dat ze "veiliger" is dan anderen maar het vervolgens in het midden laten en niet hard kan maken waarom dit dan is, is geen correcte houding. De keuze van TG is bij mij nooit voor het "veiliger" aspect geweest al was dat handig meegenomen en is het in dat kader wel een reden geweest om het eens te bekijken.
You're welcome, en blij dat ik je aan het denken heb gezet.
We hoeven het niet per se eens te zijn natuurlijk, maar er minstens over nadenken is een goede stap imho.
[Reactie gewijzigd door WhatsappHack op 23 juli 2024 11:25]