Patrice Ferlet aka MΣƬΛᄂ3D @metal3d@techlover.eu

@edasfr @breizh @bortzmeyer pour éviter les risques de perte de qualité. Genre je reçois pas les messages de mon pote parce qu'il a merdé... Je savais pas qu'il avait une app forkée et je gueule contre Signal

@bortzmeyer @edasfr ce que je dis c'est que Signal montre des sources, mais que personne ne te garantie que l'App que tu as installé est basée sur ces sources.
Pareil si c'est une app forkée...
Mais j'ai bien plus confiance en Signal que l'App développée par un étudiant avec peu d'utilisateurs qui vont vérifier ce qui entre et sort de l'app

@bortzmeyer @edasfr je ne dis pas le contraire.

@edasfr @bortzmeyer je suis d'accord. Mais madame Michu elle a déjà du mal à comprendre ce que veut dire chiffrement... Pour rappel, c'est d'ailleurs un gros frein pour Mastodon. Regarde la complexité pour s'abonner aux posts d'un mec qui est sur une autre instance...

@bortzmeyer @edasfr ha donc le mec qui te fournie l'App il ne peut pas modifier son build localement avant de la poser sur le store ? ...
Quand le dit Éric, même Signal peut te fournir une app qui ne correspond pas aux sources vues sur le git. Donc il faut savoir en qui tu auras confiance. Je choisis de faire confiance à la fondation Signal.

@bortzmeyer @edasfr mais qui te garantie que l'App non officielles chiffre de bout en bout ?

@edasfr @bortzmeyer le fait est que j'ai bien plus confiance en un service dont le serveur est librement consultable et qui a une équipe entière qui déploie ces sources telles quelles, qu'en un pelot au fond de la Russie qui me dit qu'il touche à rien.

@bortzmeyer @edasfr il suffit que le serveur chiffre les messages sortants, et que l'App envoie des messages en clair. C'est la même méthode qu'une attaque MITM sauf que là t'es consentant sans le savoir 😁

@edasfr j'avais compris 😉 et je te disais que selon moi c'est pas si bête. Les raisons exposées dans le post que je t'ai donné me semblent justes.

@bortzmeyer @edasfr si le serveur vire le chiffrement et te fourni une app à lui, l'utilisateur n'y voit que du feu...

@edasfr putain ce correcteur automatique me rend dingue. Désolé pour les fautes.

@edasfr refuser les applications non officielles c'est pour les mêmes raisons. Il ne veulent pas de plugins non répliquée sur les autres terminaux qui risquent de ne pas garantir le service. Je trouve ça louable, on peut ne pas être d'accord mais il ne faut pas lui coller une étiquette directement. Signal c'est une fondation, pas qu'un seul homme. Et la communauté propose pas mal de fix, enhancement...

@bortzmeyer @edasfr faut pas non plus tomber dans les travers genre "c'est comme Apple". Accordons lui le bénéfice du doute. Je vous surtout des demandes sur le forum qui aboutissent dans les releases... Apparemment le but est d'assurer la cohésion.

@bortzmeyer @edasfr et enfin, si le serveur est mal modifié, tu peux potentiellement t'inscrire sur un service avec chiffrement pété... Donc là, la centralisation c'est pas déconnant.

@bortzmeyer @edasfr et le post de blog que j'ai déposé plus haut est assez clair sur le choix. C'est pas idiot de vouloir garantir un échange sans avoir un tordu qui a développé un plugin que les autres utilisateurs n'auront pas. Et donc avec un risque que les messages n'arrivent pas.

@bortzmeyer @edasfr on est d'accord. Mais il n'empêche que rien ne va te garantir que le mec ne revend pas les liens entre les numéros de tel (qui sont en clair). Signal étant une fondation à but non lucratif, on a un peu plus l'assurance que de ce côté c'est clean. Avec des serveurs détenus par Monsieur X, c'est moins le cas.

@edasfr Enfin bref, son post de blog de 2016 est quand même bien fourni et il explique ce choix de manière très intéressante:
https://signal.org/blog/the-ecosystem-is-moving/

@edasfr et coté opensource, y'a quoi de pas ouvert chez Signal ? Parce que leur GitHub fourni absolument tout non ?

@edasfr la centralisation c'est pas le mal absolue tant que le chiffrement est bon. Ça permet quand même pas mal de choses intéressantes qui sont difficiles sans centralisation. Ça assure déjà pas mal que tu tombes pas sur un serveur modifié qui keep les échanges.
J'adore la décentralisation, mais là pour le coup, Signal ça va...

Pour ceux intéressés, si vous êtes chez free, tentez la commande "dig foo.192.168.0.1.xip.io" et regardez la réponse en "A", et ouais c'est vide !
Content de ne pas m'être fait avoir, je suis chez la concurrence et ça passe...