@board 因为感觉电报对国内的朋友来说还是有风险,这几天跟朋友们试用了很多新的软件,最终选择了session。
PC版官网:https://getsession.org
技术上的东西我也不太懂,就从一个门外汉的角度总结一下它的优缺点。
首先是优点:
1.【不用翻墙❕❕❕】看到有人在象上说它要翻墙,我们的几位小伙伴亲测不用
2.不需要手机号邮箱号各种号,直接获取ID,对于人在大陆的朋友来讲应该安全很多
3.目前来看不管是中途删除过app还是换设备,甚至在别人建群之后才加入,都可以获取之前所有的聊天记录。所以遇事不妙可以无心理负担直接删除
4.登录或者换设备时可以用英文密钥,这种情况下还需要输入自己的昵称,所以在别处保存的时候可以存这段密钥而不是ID,应该能大大降低被别人拿到去登录的可能性(本来现在用的人就少,警方可能也不太了解,根本不会知道那一大串东西是干嘛的)
5.加好友直接输ID或者扫二维码就行。之前试了好几个加好友都有点麻烦或是收不到对方发的信息之类的,所以感觉也算一个优点
6.长得就很安全的样子😂 而且即便切屏的时候都会立刻用icon遮掉信息
字数要超,缺点补在下一条
@SakuraRin @board 你们试过wireMin吗?看起来很好用的样子,不知道在中国使用怎么样。
用过一段时间,对比了下session,其实都差不多,不用vpn,注册不需要个人信息,端到端加密
但是体验上wiremin更胜一筹
相比session的话优点如下:
1. 消息及时:wiremin接收消息更快,更及时,session很慢,经常半天收不到消息
2. 视觉舒适:session上整体ui看起来很扎眼,看久了真的很难受,相比之下wiremin的ui看起来就舒服多了
3.群更大:可以建无上限的群(session上限100人,而且会显示群成员列表,会带来一定风险),不显示群成员列表
4.更安全:wiremin是没有服务器的,session是有服务器的,可以自行判断下
5.联通世界:wiremin上会有广场可以进到不同国家的一些兴趣群,蛮有意思的,会接触到全世界的人,session目前没看到;
个人拙见,如果说的不对或不全欢迎补充
附上官网,大家可以研究下他们的faq
https://wiremin.org/
@SakuraRin @daoluan
刚刚仔细看了下,原po主说的应该是wire(表里看的也是wire),这个是wiremin,经常有人弄混😂
@luciagogo @daoluan 原来是不一样的东西吗🤣好的哈哈哈
@SakuraRin @luciagogo @daoluan wiremin也是不用手机和邮箱呢 session在墙内经常收不到消息 wiremin还行
@shironeko 怎么说
@luciagogo @daoluan @SakuraRin @board 同感!但session在墙内信息收发没有那么及时,所以我的小伙伴们用wiremin还是多一些。以及wiremin可以随时加入一些space 感觉更丰富。
@luciagogo @board 谢谢测评!我试用了一下发现WireMin还有一个好处是上传文件没有size limit,也不压缩,速度也很快。它不如电报和session等工具的地方,没有阅后即焚功能,发出message后也无法为所有人删除,只能删除自己的。
@board 试用了两天session和wireMin,不得不说,现阶段session实在是太难用了,小问题不断,延迟,闪退,无法同步,无法发言,拉群等于没拉等等……相比之下wireMin体验舒服很多。另外wireMin是完全的点对点,不通过服务器中转。除了更安全,更难墙,它可以不限制群上限,不限制文件size,只要有一个人做种就行了。貌似最大的缺点就是发出的消息不可能撤回。
@board 我建了个公开群,想试用的小伙伴可以进来测试!https://i.wiremin.com/invite/?g=k29711990973
@[email protected] @[email protected] @[email protected]
但是,session的代码是开源的,而且经过了代码审计,安全性、实现的准确性和没有后门是有保障的。这点是没有开源、没有说白皮书也没有详细说明协议实现的WireMin做不到的。
代码审计:
https://blog.quarkslab.com/audit-of-session-secure-messaging-application.html
而且我不翻墙用session也不慢啊?
@Orca 我两个都用了几天,使用体验差别太大所以无脑wireMin了。我觉得对于普通人,没啥特别目的,就是想能自由说话,方便传输文件,不被审查封禁,墙内墙外都能用,那么wireMin肯定胜出。
@[email protected] 问题在于,不开源的东西你不知道它在干什么啊(无论是加密协议是否安全还是有没有后门)
@luciagogo > 3. session上限100人,而且会显示群成员列表,会带来一定风险
參考 Session 官方文檔:
> Session open group servers provide transit encryption, but open group messages are not encrypted while stored on the server; closed groups (which can be created within Session itself) are a better solution for high-security communications with groups of 100 or less people.
即 Session 可以創建 open group 並添加超過 100 位成員 ,但此時無法使用端到端加密,且所有訊息儲存於伺服器上。不過應對此問題也可以選擇用戶自行託管的伺服器。
@luciagogo > 4.更安全:wiremin是没有服务器的,session是有服务器的
參考 Wiremin 官方文檔:
> Your data is relayed and stored in your friends' devices and other random devices available in the network.
Wiremin 無中心伺服器,但資料會被發送和存儲到其他節點中。
@SakuragawaAsaba @luciagogo 因为这句话我和一个网友试了很久,我们两个人的情况下,测不到有发送到其他设备,推测其他节点就是指在同一个群里的人。
@daoluan @luciagogo 我想指出的是原文的一點錯誤暗示,即 WireMin 無中心伺服器,所以資料只會點對點地、不經第三方地、直接地傳送。
如果確實能保證資料只在參與者之間傳送,這無疑是令人滿意的。但官方文檔目前確實有提到「other random devices」,而且因爲沒有原始碼可以審計,所以無法推斷何時、何地、何種狀況下資料會被傳送。
@SakuragawaAsaba @luciagogo 无中心伺服器、点对点传送并非错误暗示,你试用一下就知道了。我们测了半天就是因为other random devices这句话,因为我有和你一样的疑虑。wireMin的传输方式就是每个参与的设备都做中继,既接收信息,也上传信息。在两个人的情况下,没有其他中继。在群里,如果说要经过第三方,就是同一个群里的群友做中继。这是我们目前测试的结果。我觉得存疑的是它的个人空间和群是否不同还不知道。还有个人登录和通讯录等数据的存储。以及因为它这种传输方式,在手机里的活动非常多,所以不放心也很正常。
@daoluan @luciagogo WireMin 無中心伺服器,但並非無中心伺服器就能保證資料不經由第三方傳送。更進一步,資訊是否經由第三方傳送對於安全的影響還要綜合其他因素考慮,不能簡單地說無中心伺服器更安全、有中心伺服器更不安全云云。先說一句「更安全」,接着又說「可以自行判断」,這當然是錯誤暗示。
至於 WireMin 本身是否會經由第三方傳送資料,我不否認你在測試中觀察到的現象。善意推測,空間的資料可能會被第三方保存以做中繼。但在無原始碼供審計的狀況下,我不認爲這有足夠的(令人信服的)保障。
另外 FAQ 中也有提及,訊息會(在中繼上)被保存 48 小時,而個人資訊和聯絡人則會被保存到過期爲止。應該算是解答了關於「个人登录和通讯录等数据的存储」的問題。
@luciagogo @daoluan @SakuraRin @board 之前存档了一位已销号的安全人士的关于session的ta的使用的一些经验和认识,希望有帮助 https://i.imgur.com/Dyvdn9f.png
因为这些内容都是2020年年初的时候ta写下的,session在两年里也更新了,所以有些功能上可能已经做出了改进。
@eGurl Sapphire 似乎還在 Fediverse 保留了一些內容:
https://together.chaoyu.us/@sapphire_is?max_id=105939910721908987
@SakuragawaAsaba ta好像就是21年5-6月销号的。不过ta这个mastodon好像也只显示5条嘟文,虽然总数显示几十条
@eGurl 是因爲 URL 裏面我帶了 max_id,剛好顯示的就是 TA 介紹 Session 的幾篇。不過這個帳號不活動也已經超過一年了。
@SakuragawaAsaba ta一年多前在tg频道说过自己身体最近不太行,要休息了。消失了一段时间,然后编程随想失联的事出来,ta又出现发了几次声,之后就彻底销号了
@luciagogo @daoluan @SakuraRin @board 我昨晚尝试在iOS上用了安装了Wiremin,建了一个账号,但暂时没有和别的用户聊天,也没加群。不过我看到 设置里 privacy and security 里 My device 里的current device(我目前登录的设备)是这样的:我把我的设备名和其他敏感的都划掉了,Wiremin用的是bittorrent的点对点协议对吧(就类似BT上传下载时的连接方式那样的)。图中红色箭头指出来的是我所在地的地址。我不知道在和别人通讯时这个地址会不会暴露给对方,知道的朋友可以告知一下。但我感觉用wiremin还是套一层代理掩盖你的真实IP比较好点(如果是私交,你很信任的就不怕,但是如果不了解对方真实意图的,这样聊,感觉会比较危险)。
@eGurl @luciagogo @SakuraRin @board wireMin官方说他们用的是UDP协议,不是TCP协议:WireMin communicates with peer nodes using connectionless UDP protocol. No TCP connection resource is involved. WireMin doesn't contact directly to your friend's device and it is unknown on which device your friend is signed in.
@daoluan @eGurl @SakuraRin @board 门外汉,想知道哪个协议更安全哇?
@eGurl 看不到别人的地址的。
@daoluan @luciagogo
我用自己的另一个手机装了,并对话测试了下。看了看Under The Hood里的 Diagnostic Report里有比较详细的日志。还是用了DHT,划掉部分是我蜂窝网络公网IP,截图没有截取到的Swarm-Joining Transaction应该就是通讯时的信息了,没有看到我另一个手机的公网IP,全程直连,有别的地方的IP(我搜了下IP归属地,是别的国家的),这样是不是就是用DHT混淆了试听啊?
@eGurl 嗯嗯,看了下官网faq--security--underlying technology。他们解释了用到哪些技术,DHT是要用到的,只是在UDP和TCP上和BT不同。https://wiremin.org/#/FAQ
@daoluan @luciagogo system status里,有个 DHT Routing Peer,那应该就是wiremin app 内置的DHT库吧,里面显示的180个peer的ip就会用来中转你的流量,达到混淆视听的效果?(我的猜测)
@daoluan 请问wireMin也会在手机上制造一个过大的文档文件吗
@deerdear 它有一个数据文件夹在手机和电脑上都是大约1.5G的样子。其他download的文件可以随时清理,这个数据包我不懂可不可以处理。
@daoluan 好的,谢谢你啦。
@eGurl @daoluan @SakuraRin @board 测试了下你说的问题,我刚刚尝试着用点击好友账号,打开来发现是没有对方的IP地址或所在地的任何信息。 群内直接点击好友名片也没有。
@daoluan @SakuraRin @board 大家如果觉得有参考价值可以保存或收藏下,出于风险考虑,也许某天会销号
@daoluan @SakuraRin @board
更新一下,今早在群里看到wiremin官方发新版本(ios和安卓都上了),有端到端加密语音功能了,对比了下,和session目前的技术估计是没什么区别,但ui界面更舒适一些,其他技术分析等小伙伴补充,so far还是安全
@luciagogo @daoluan 谢谢!不过友友可以看一下这一条,我没有试它是因为它安全性有点存疑,而session最吸引我们的一点是它不需要任何手机号和邮箱
https://o3o.ca/@SakuraRin/109442710804087265