@edasfr la centralisation c'est pas le mal absolue tant que le chiffrement est bon. Ça permet quand même pas mal de choses intéressantes qui sont difficiles sans centralisation. Ça assure déjà pas mal que tu tombes pas sur un serveur modifié qui keep les échanges.
J'adore la décentralisation, mais là pour le coup, Signal ça va...
@bortzmeyer @edasfr on est d'accord. Mais il n'empêche que rien ne va te garantir que le mec ne revend pas les liens entre les numéros de tel (qui sont en clair). Signal étant une fondation à but non lucratif, on a un peu plus l'assurance que de ce côté c'est clean. Avec des serveurs détenus par Monsieur X, c'est moins le cas.
@bortzmeyer @edasfr et le post de blog que j'ai déposé plus haut est assez clair sur le choix. C'est pas idiot de vouloir garantir un échange sans avoir un tordu qui a développé un plugin que les autres utilisateurs n'auront pas. Et donc avec un risque que les messages n'arrivent pas.
@bortzmeyer @edasfr et enfin, si le serveur est mal modifié, tu peux potentiellement t'inscrire sur un service avec chiffrement pété... Donc là, la centralisation c'est pas déconnant.
@bortzmeyer @edasfr si le serveur vire le chiffrement et te fourni une app à lui, l'utilisateur n'y voit que du feu...
@bortzmeyer @edasfr il suffit que le serveur chiffre les messages sortants, et que l'App envoie des messages en clair. C'est la même méthode qu'une attaque MITM sauf que là t'es consentant sans le savoir 😁
@bortzmeyer @edasfr mais qui te garantie que l'App non officielles chiffre de bout en bout ?
@bortzmeyer @edasfr ha donc le mec qui te fournie l'App il ne peut pas modifier son build localement avant de la poser sur le store ? ...
Quand le dit Éric, même Signal peut te fournir une app qui ne correspond pas aux sources vues sur le git. Donc il faut savoir en qui tu auras confiance. Je choisis de faire confiance à la fondation Signal.
@bortzmeyer @edasfr je ne dis pas le contraire.
@bortzmeyer @edasfr ce que je dis c'est que Signal montre des sources, mais que personne ne te garantie que l'App que tu as installé est basée sur ces sources.
Pareil si c'est une app forkée...
Mais j'ai bien plus confiance en Signal que l'App développée par un étudiant avec peu d'utilisateurs qui vont vérifier ce qui entre et sort de l'app
@metal3d @edasfr Je ne vois pas comment. Chiffrement de bout en bout, ça veut dire que tout est controlé par le client et le serveur n'y peut rien.