| чего с голодухи не сделаешь... |
[Apr. 11th, 2018|01:50 am] |
художник, даже голодный, не может не малевать. поэтому я таки домалевал своего tox-клиента до более-менее юзабельного состояния. заодно имею кое-что сказать про токс, хоть меня никто и не спрашивал. так вот: токс делают идиоты.
во-первых, авторы токса в принципе не понимают, что такое security. в рекомендациях для клиентов у них (пункт 4.0.2): «If message persistence is enabled by default, all message logs stored on the device must be encrypted…» то есть, они в принципе не понимают, что такое deniability и зачем оно нужно. это всё, что имеет смысл знать про подкованность авторов токс в секурити.
во-вторых, авторы токса не умеют в нормальный апи. помимо объявления полезных функций (например, проверки, находится ли контакт онлайн) устаревшими, они в принципе не предоставляют апи для работы с сохранённым состоянием токса без одновременного перехода в онлайн. то есть, как только ты создал tox instance, оно автоматически лезет в сетку. и никакого способа это контролировать нет. более того: оно лезет в сетку даже до того, как вызываешь `tox_iterate()`. отличный дизайн.
ну, и забавные мелочи всякие. типа того, что публичный адрес — endian-dependent. сохранённое состояние — нет. а вот при создании адреса — да. молодцы, чо.
однако токс предоставляет server-less messenger network, и в этом смысле вполне юзабелен. сишная библиотека более-менее съедобна, апи хоть и сдизайнен не лучшим образом, но простой, всё такое вот. поэтому токс имеет смысл использовать как обычный мессенджер. рассчитывать на то, что он секурный — не стоит, конечно: он не секурный и не анонимный. ну, не более секурный и анонимный, чем какой-нибудь «телеграм» или подобное — зато без центрального сервера.
да, я в курсе и про onion routing, и про то, что ключи для dht отличаются от ключей для общения. это всё неважно: важно то, что авторы токса не умеют в секурити. а секурити — это такая область, где работает презумпция виновности. поэтому — не секурный и не анонимный. но для общения без зависимости от central authority подходит, и уже одним этим лучше, чем все остальные. так что используйте токс — менее защищённым ваще общение от этого не станет (говно везде примерно одинаковое), зато станет децентрализованым.
p.s.: ссылку на исходники не даю, потому что оно всё равно написано на моём диалекте дишечки, требует ещё не отосланых патчей к arsd, и наглухо не юзер-френдли. кому особо интересно — тот всегда может пойти на repo.or.cz и там найти в списке моих проектов. |
|
|