Niet om advocaat van de duivel te spelen voor Meta, maar Whatsapp is gewoon ook end to end encrypted. De web app net zo. Daar kan niemand bij als je telefoon niet direct in de buurt is. Berichtjes worden geladen vanuit je telefoon. Zet je telefoon uit dan werkt de web app ook absoluut niet. Dus dat argument klopt gewoon niet.
De uitleg uit 2017. Ze leggen het zelf beter uit dan ik kan:
"The fundamental problem with web interfaces is: there's no way to version, sign and securely distribute a web page. Instead, you're re-requesting the code you'll run every single time you visit the site (making audits practically impossible).
This effectively reduces the security of your end-to-end encrypted communication to that of your SSL connection to the server, i.e. you're only as secure as the CA system. Anyone able to intercept the client-server SSL connection (and the server itself) can silently change the code you receive and execute, with a very low risk of getting caught. This is why products which offer end-to-end encrypted communication through in-browser crypto are often considered snake oil, unless they use some form of a packaged & signed browser extension."
Whatsapp is een veilig platform op zichzelf. We vertrouwen alleen Meta totaal niet
Dit gaat imho niet samen, iets kan niet veilig zijn als je de beheerder niet vertrouwd. We vertrouwen Meta niet en kunnen niks controleren. WhatsApp zegt E2EE te hebben, maar wie beheert zowel het algoritme als de keys? Meta, in hun een closed-source app. Waar staan de berichten? Op hun server.
Weet jij zeker dat Meta niet je berichten scanned voor het ze encrypt? Of zelf gewoon decrypt op hun server gezien zij toch de key beheren? Nee, en Meta heeft nou niet een track-record waarmee je zegt "dat doen ze toch niet". Die E2EE kan net zo goed monopoliseren van je data zijn, ipv daadwerkelijk beschermen van.
Hoe betrouwbaar is Signal nou?
Een fundamenteel verschil met Signal waar de berichten lokaal staan (daarom heb je back-ups nodig om te restoren) en dus in jouw beheer, en zijn encrypted met een key op jouw device. Ze worden enkel over de server verstuurd. Daarnaast gebruikt Signal open source apps en een open source protocol voor de encryptie, dus die kun je wel degelijk controleren. Iig een stuk verder dan je met WhatsApp kan. Telegram is ook open-source als app maar niet in het E2EE protocol dat voor secret chats gebruikt wordt (een aangepast Diffie-Hellman/"homebrew zonder validatie" oplossing, en de implementatie laat ook genoeg vragen open) en mist andere punten.
Kunnen ze bij Signal mogelijk sneaky iets server-side hebben staan wat iets doet? Wellicht, maar ik acht die kans toch aardig kleiner en het gat voor security issues is al een stuk verder gedicht dan welk andere app dan ook. Daarnaast bestaan ze onder een (in USA tax-exempt) non-pofit en goeddoel, wat betekend dat er geen winstoogmerk mag zijn maar ook dat er public disclose requirement gelden. Rare dingen in de financiën zullen dus ook opvallen. En dan hebben we ook nog alle security audits gedaan op Signal, vrijwel allemaal ook gepublished.
En voor je zegt "maar check je dat nou echt na?" Ja, ik en een hele hoop andere IT'ers checken deze dingen na. Uit eigenbelang, uit groepsbelang (omdat we ergens in geloven, in dit geval het belang van privacy voor eenieder), en uit interesse. En de niet-IT'ers profiteren daar dan weer van. De kans dat de hele groep aan individuen iets grootst mist acht ik toch echt vele malen kleiner dan dat ik een Meta vertrouw.
En voor de toekomst, die kan niemand voorspellen. We kunnen enkel kijken naar wat we weten. Track-record, publieke informatie, en bewezen feiten. En dan wint Signal toch wel duidelijk in mijn ogen.
Telegram is ook top maar niet alle chats zijn End to End tenzij je secret chats aan maakt.
Als we het over realistisch doen hebben, hoeveel mensen doen dit? En zelfs als je het doet, voor groepschats is het onmogelijk. Zonder E2EE ben je vatbaar voor man-in-the-middle-attacks. Plain text al je berichten versturen is wel het slechtste wat je privacy-technisch kan doen. Dat als default is imho wel erg bergafwaards.
Maar laat dat Signal toch los. Ga je jezelf en je vrienden jaren lang pijn doen omdat jij als enige niet kan los laten?
Wie doe ik pijn? Toen ik stopte met WhatsApp vond iedereen het prima, ik heb nooit anderen gezegd er vanaf te moeten. Sommige zeiden "ok gaan we naar Signal". "Oke, dan SMS'en we wel" was de reactie bij veel anderen. Ook goed. Uiteindelijk is men vaak toch over gegaan en gebruikt nu beide, en niemand is hier ongelukkig hoor. Je interpreteert een beetje je eigen gevoel hier denk ik, maar zo'n moeite is een andere chatapp niet. Niet voor erbij noch voor in plaats van. Men installeert veel meer nutteloze apps waar ze minder aan hebben en minder mee doen. Het valt uiteindelijk eigenlijk allemaal wel mee hoe erg het is, is mijn ervaring.
Ik had al lang gestopt met actief messagen als mijn vrienden dat van mij gingen verwachten.
Tja, mijn vrienden geven meestal meer om vriendschap dan om een chatapp. Zoals ik zeg, de meeste gingen SMS'en en zijn uit gemak ook naar Signal over gegaan en vinden dat eigenlijk ook wel best. En die mensen die niet aan me denken als ik niet in de WhatsApp lijst sta, tja, in mijn ervaring niet echt de mensen waar ik close mee was ofzo.
terwijl de hele wereld op Whatsapp of Telegram zit.
WhatsApp is idd groot maar problematisch. Ik weiger alles Meta, en ja daar ben ik koppig in. Maar naast wat vreemde gezichten ("huh, geen WhatsApp?") ben ik nog niet echt onbegrip tegen gekomen. Gelukkig zien steeds meer mensen om mij heen dit ook, ondanks dat het geen IT'ers zijn maar reguliere mensen die vooral van gemak houden.
Maar de hele wereld op Telegram? Als dat zo is zit ook de hele wereld op Signal, want zoals ik eerder ook al zei, de userbase van Telegram vergeleken met WhatsApp is ook niks. Zo enorm veel groter is Telegram nou ook weer niet, als je het puur statistisch bekijkt. Men gaat zitten waar hun vrienden zijn. Bij jou is dat waarschijnlijk Telegram, maar in mijn hele telefoonlijst zijn er maar 2 mensen die het gebruiken, en beide puur omdat iemand anders het zo nodig vond. Signal zit inmiddels bijna iedereen op, en wordt nu ook onderling gebruikt buiten mij.
Ik denk dat jij dat persoonlijk niet door hebt maar je maakt je cirkel bizar klein
Iedereen waarmee ik praatte op WhatsApp, praat ik nu nog mee. Die paar niet op Signal spreek ik op SMS. Welgeteld 1 persoon spreek ik op Telegram. Mijn cirkel is nog precies zo groot als voorheen. Enige wat weg is gevallen zijn wat groepen die ik eigenlijk altijd gemute had en vooral spam was (en ik dus voor geen meter mis) en mensen die ik jaren terug ooit mee sprak maar uberhoubt geen contact meer mee had maar nog in de lijst stonden. Als die me echt eens weer moeten hebben, hebben ze m'n nummer. Maar als ik zo lang niks hoor, zal daar ook als ik WhatsApp wel nog had weinig haast in zitten.
Persoonlijk denk ik eerder dat men overschat hoe veel ze om elk berichtje en elke groepschat geven, en hoe weinig ze eigenlijk missen als ze die niet zouden zien. "Ik mis dan zo veel" is het meest gehoorde argument, en hoewel in sommige gevallen gewaarborgd is is mijn ervaring dat de meeste mensen eigenlijk helemaal niks missen en het eerder rustiger vinden zonder alle continue postende groepen waar ze in zaten ivm "niet willen missen".
We zullen zien wie de grote speler van de toekomst wordt. Maar ik zie iig geen enkele reden om niet Signal aan te raden op dit moment.
[Reactie gewijzigd door Cambionn op 24 juli 2024 00:07]