Per prima cosa, qual’e’ il fatto? La UE sta per vietare, insieme all’antitrust americana, di scindere Facebook da Instagram e Whatsapp. L’unico modo che ha Zuckerberg di evitarlo e’ di fondere le cose in un prodotto unico. In tal caso saranno tante funzionalita’ dello stesso prodotto, e il regolatore arrivera’ troppo tardi.
Siccome lo ha fatto in una maniera maldestra e arrogante, con un messaggio ambiguo e preoccupante, il risultato e’ che adesso c’e’ una piccola fuga di utenti. “Piccola fuga” significa che i numeri sono relativamente bassi. Ma significativi.
Il problema e’ che ci si mette Elon Musk, il quale suggerisce di passare a Telegram o a Signal. Aha. Interessante.
Ma.
Signal si basa su una serie di software opensource, quindi in teoria potete installare il vostro server e farvelo voi in selfhosting. Questo e’ meraviglioso. Ma…
… ma alla fine vi chiederete cosa serva per farlo. Sono i cosiddetti “requisiti”, o “pre-requisiti”. Cioe’, quanti computer vi servono, che software vi serve, eccetera. E questa lista vi fa capire moltissimo su quello che fa il server “signal” che usate. Molto bene.
Allora, cosa fa il server signal che usate, e che usa anche Elon Musk? Beh, i requisiti di installazione sono pubblici, e comunque basta chiedere alla “comunita’ degli sviluppatori”.
Ecco fatto:
Ma se volete i requisiti ufficiali aggiornati, potete andare qui. E vedrete che si sono aggiornati, ma non e’ tanto meglio.
Cosa significa questo? Significa che qualsiasi server signal stiate usando, il server passa dei metadati (ma non dei dati, certo, e’ criptato E2E) inizialmente ai seguenti attori:
- amazon
- apple
- twilio
e la lista di oggi e’:
- Twilio (For SMS OTP)
- Amazon S3 (For Avatar and Attachments., can be subtituted with MinIO )
- Amazon SQS (For CDS Queue. can be subtituted with LocalStack)
- Google Firebase (For push notifications)
la differenza e’ che Firebase “aggrega” le funzioni di notifica per Apple e Google, che quindi rimangono attori. Innanzitutto perche’ e’ di Google. Secondo perche’ lavora anche per Apple. terzo perche’… fornisce servizi di analitics. Ovvero, analizza i metadati di chi lo usa. Bello, eh?
Per chi non conosca twilio, e’ un’azienda attiva nel mondo telco, precisamente nella digitalizzazione del mondo legacy telco. Trovate il profilo qui. Come vedete non e’ molto diversa dagli altri, e’ solo molto meno conosciuta.
Cedere metadati a quelle aziende e’ il REQUISITO per installare il server.
Per capirci: “il REQUISITO” significa che il vostro server signal NON potrebbe funzionare se non cedesse metadati a Google, Amazon, Apple e Twilio.
Allora, la mia domanda e’:
ma davvero credete di svincolarvi dalla raccolta dati, usango una piattaforma che per girare ha IL REQUISITO di cedere metadati a google, amazon, Google Firebase e quindi apple e twilio? Sul serio?
Il server “sicuro” che state usando funziona cedendo meta-dati alle stesse aziende cui vorreste TOGLIERLI. Certo, in mezzo non c’e’ facebook, se non attraverso Twilio:
Come vedete, nel “technology stack” di Twilio ci sono TUTTI. C’e’ Amazon, c’e’ Microsoft, c’e’ Facebook, ci sono tutti i nostri amici. Passando a signal sono usciti dalla porta e rientrati dalla finestra.
Potrete forse obiettare che si tratta di meta-dati ma non di dati, che sono criptati E2E. Mai parola fu piu’ sopravvalutata. Sono “solo” metadati.
Se non credete che i metadati siano importanti, provate a dire a vostra moglie che il giovedi’ sera, la sera del calcetto delle 18:00, alle 17:50 avete mandato un messaggio breve alla vostra ex. E che lo fate ogni settimana.
Come potete vedere, i metadati contano. E se non ci credete, fatevelo spiegare da vostra moglie. Contano.
Andiamo a Telegram. Su telegram ho poco da dirvi. Non so quali siano i requisiti di installazione dell’infrastruttura, perche’… ecco perche’. Perche’ non si sa nulla del backend, o quasi.
Possiamo vedere il codice dei server di telegram? E’ di pubblico dominio? No. Perche’ no? Perche’ bla bla bla jadda jadda jadda.
Chi vi consiglia di andare su Telegram mente sapendo di mentire. L’unica cosa che vi garantisce telegram e’ di mandare i messaggi criptati a qualcosa. Siccome non avete il codice, il “qualcosa” potrebbe farci qualsiasi cosa.
Il furbetto russo dice che “non avete garanzia che sui server giri proprio quel codice, quindi non ha senso darvelo”. Certo. Ma se lo faccio girare sui MIEI server, allora ho quella garanzia. Sfortunatamente, “furbetto russo” dice che non e’ possibile
Onestamente, per consigliare “furbetto russo” occorre del pelo sullo stomaco. E Elon Musk ne ha. Ma io non lo farei.
Adesso immagino di avervi tediato. Perche’ la prossima domanda sara’: si, ma alloca TU cosa consigli? TU cosa usi?
Eh, io uso Gnu Jami: https://jami.net/
Voi direte: e di quello hai visto il codice del server?
Risposta: di quale server state parlando? Jami lavora su DHT. Non ha “il server”.
No server, no mal di pancia sul server.
Ha solo i client, che si trovano tra loro usando una DHT. Come fanno Torrent o Emule. Quando parlate con qualcuno usando Jami, ALLORA avete DAVVERO criptazione E2E, end to end, perche’ i due “end”, voi e qualcuno, SONO L’UNICO SISTEMA COINVOLTO.
Ovviamente, farete quello che dice Elon Musk. Quello che voleva mandare le persone al lavoro durante la pandemia, e che ha cambiato stato perche’ secondo lui avere dei pregiudizi ad ammazzare la gente e’ roba da stati comunisti. Aha.
E lo farete perche’ lo avete letto su twitter e poi sui giornali.
Ed e’ per questo che siamo a questo punto: perche’ fate quello che leggete su twitter e sui giornali.
Commenti
Non sono un grande esperto, ma la questione su quale codice gira effettivamente sul server mi sembra risolta da una tecnologia detta openbuild. Non ho capito di preciso come funziona per cui non saprei dire se è una supercazzola o sia veramente effettiva.
So che quelli dell app immuni l hanno implementata. Qualcuno sa darmi info in merito in modo non troppo tecnico?
Stile Uriel che riesce ad essere un gran divulgatore…