💾 Archived View for nuclear.discrust.pl › gemi › gemlog › xmpp › wiem1.gmi captured on 2022-04-29 at 11:22:41. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2021-12-03)

-=-=-=-=-=-=-

[··]

[05/03/2021]

:: wiem w co klikam [1] ~ XMPP/Jabber

moi drodzy / moje drogie!
chciałbym, abyście przeczytali ten tekst do końca. tak, jest przydługawy, ale dotyka niezmiernie ważnej, moim skromnym zdaniem, kwestii. bezpieczeństwo codziennych konwersacji w necie jest bardzo ważną rzeczą. poniżej słów klika jak cieszyć się wolnym i bezpiecznym komunikatorem na co dzień...

··· logo XMPP

ten post jest przeznaczony wyłącznie dla osób, które niezbyt orientują się w tematyce komputerowo-internetowo-smartfonowej, szczególnie od strony oprogramowania, jakim się posługują na co dzień... ten post jest dla kogoś, kto uczestnicząc codziennie w internetowym ruchu, czyni to przy pomocy aplikacji i narzędzi "powszechnie używanych" przez większość, niezbyt interesując się jak owe aplikacje i narzędzia działają "od kuchni".

ktoś mógłby zapytać: a co mnie to w ogóle obchodzi? instaluję apkę, wpisuję wymagane dane osobiste i... ma działać! hmm... no tak. w gruncie rzeczy w idealnym świecie tak to powinno wyglądać i funkcjonować. niestety nasz świat jest tak daleko nieidealny, że czasem naprawdę warto zapoznać się z tym, co oferują nam określeni dostawcy usług i software'u, aby dobrze wybrać. w tym wypadku "dobrze" oznacza przede wszystkim "bezpiecznie".

niestety żyjemy w czasach, kiedy boje o bezpieczeństwo w sieci internetowej prowadzone są na tysiącach frontów, a jednym z nich jest front indywidualnych użytkowników netu. jeśli pomyślałeś/-aś teraz, że aplikacje, których używasz na kompie i w telefonie oraz to, co przez nie przechodzi, to pole bitwy - masz rację. to pole bitwy wielkich korporacji IT, konsorcjów, firm zajmujących się przetwarzaniem danych osobowych i wszelkich metadanych oraz twórców aplikacji, przez które owe newralgiczne dane przechodzą. z kim walczą giganci? odpowiedź jest bajecznie prosta: z konkurencją i z... tobą :)

w naszej percepcji złodziej, cwaniak, hochsztapler, oszust i krętacz, to osobowościowe kalki rodem z XIX i XX wieku. niestety. przyzwyczailiśmy się do nieaktualnych już wzorców, które nijak się mają do zdigitalizowanej, postindustrialnej rzeczywistości. kupujemy solidne zamki do drzwi naszych domów, ale używając laptopów i komórek "drzwi wejściowe" do naszych urządzeń pozostawiamy otwarte na oścież całą dobę, zawsze. te żałosne odpowiedzi typu: "a co ja mam do ukrycia? nie robię nic złego" obrazują nam to, na jak niskim poziomie jest nasza świadomość bezpieczeństwa w sieci.

tutaj bajka nie polega na tym, że możemy spać spokojnie, bo nie robimy nic złego (i "niech sobie szpiegują, co mnie to obchodzi") - chodzi o to, że my nie musimy robić NIC, by codziennie nasze urządzenia, wiadomości, kliki były obserwowane, zapisywane, sprzedawane i wykorzystywane przez podmioty trzecie. to samo tyczy się państwa i jego organów; wiele państw na świecie pompuje miliardy w infrastrukturę umożliwiającą możliwie najdokładniejszą inwigilację swoich obywateli, czyniąc to pod pretekstem "bezpieczeństwa" narodowego i innych tego typu bredni.

czy tego chcemy, czy nie, jesteśmy na widelcu korporacji i instytucji, które - co tu dużo mówić - na pewno nie są naszymi kumplami z czatu, czy z Faceshita.

===

tym razem chciałbym was namówić na zmianę przyzwyczajeń, które są doskonałą pożywką dla wszystkich lubujących się przejmowaniu waszych danych i metadanych i wykorzystywaniu ich do wszystkiego, ale na pewno nie do poprawienia waszego bezpieczeństwa w sieci. tak się akurat składa, że czołowi właściciele najpopularniejszych komunikatorów mają w głębokim poważaniu waszą prywatność i wasze bezpieczeństwo. a że co innego mówią na zewnątrz? cóż, taki mamy biznesowy klimat... zresztą co mają mówić? poza tym większość z was i tak nie czyta "terms of service", ani "privacy policy" instalując te aplikacje, więc ich właściciele są niejako "rozgrzeszeni"... a proceder pędzlowania waszych danych i waszych prywatnych konwersacji trwa w najlepsze :)

WhatsApp, Messenger, Viber, Skype - miliardy ludzi korzysta z nich każdego dnia na całym świecie. wszystkie one (plus wiele innych mainstreamowych komunikatorów - skupmy się jednak na tych najbardziej popularnych) mają w dupie prywatność użytkowników. Tajemnicą poliszynela jest fakt, że właściciele tychże wielokrotnie musieli tłumaczyć się z permanentnego gwałcenia praw do prywatności, że zapisywały treści prywatnych rozmów (nie bardzo wiadomo w jakim celu), że handlowały metadanymi i na podstawie pozyskanych w ten sposób danych dawały innym gigantom podstawy do tworzenia rozległych profilów osobowościowo-konsumenckich, by wcisnąć ci więcej produktów i usług, by poznać wszystkie twoje preferencje i przyzwyczajenia. abyś - będąc już ich produktem - pozostał nadal konsumentem.

nie trzeba mieć jakiejś mega-wiedzy informatycznej, by móc samemu zorientować się i ocenić "warunki użytkowania i politykę prywatności" takich apek jak wyżej wymienione, codziennie używane przez wielu z was. są to śmiechu warte zapewnienia, które nijak mają się do rzeczywistości.

inną, niezmiernie ważną kwestią, jest fakt, że wszystkie te komunikatory tworzone są z zamkniętym kodem źródłowym. innymi słowy - nikt, absolutnie nikt, oprócz producenta danej aplikacji, nie ma dostępu do jej kodu, a ewentualne zmiany dokonywane są odgórnie, wyłącznie przez programistów danej korporacji. użytkownik aplikacji nie ma ŻADNEGO wpływu na jej kształt i sposób działania.

smutne jest to, że wielu ludzi - ulegając zgrabnej psychomanipulacji i nachalnym reklamom - daje sobie wmówić, że "posiadać wpływ na kształt aplikacji" jest równoznaczne z "wybieraniem setek skórek i motywów kolorystycznych, instalowaniem stickerów, czy korzystaniem z funkcji Premium za (dodatkową) opłatą". dokładnie tego chcą wszystkie Messengery i WhatsAppy.

===

co w zamian, zapytacie? realnych alternatyw jest sporo, ale my skupmy się dzisiaj na jednej: na protokole Jabber/XMPP.

(nazw: Jabber i XMPP używa się zamiennie; Jabber, to wcześniejsza nazwa, obecnie rozpowszechniona jest nazwa XMPP [Extensible Messaging and Presence Protocol] i tej będę się trzymał w dalszej części tekstu...)

XMPP jest otwartoźródłowym, wolnym protokołem umożliwiającym komunikację w czasie rzeczywistym (tekst, audio i video) oraz dającym możność tworzenia konferencji - wieloosobowych chatów.

XMPP działa na zasadzie: serwer-klient. mamy zatem serwer, na którym zainstalowane jest oprogramowanie XMPP oraz klienta, czyli aplikację, która obsługuję ten właśnie protokół. XMPP jest strukturą zdecentralizowaną. w przeciwieństwie do Messengera, Skype'a, czy Vibera i in., których serwery są wyłączną własnością korporacji kontrolujących owe aplikacje (i ty jako użytkownik nie masz do nich żadnego dostępu), XMPP jest protokołem, który możesz uruchomić na dowolnym serwerze, nawet tym stworzonym przez ciebie (jeśli wiesz, jak to się robi). serwery XMPP, a raczej konta użytkowników XMPP komunikują się między sobą bez żadnej hierarchii, odgórnego nadzoru, cenzury, czy zakazów i nakazów. to wolna, pozbawiona centrali sieć komunikacji.

XMPP, to również bezpieczeństwo. serwery nie gromadzą wiadomości użytkowników, nie śledzą ruchu sieciowego użytkowników, a nade wszystko umożliwiają szyfrowanie rozmów. w chwili obecnej najbardziej chwalonym i świetnie pełniącym swoją rolę jest szyfrowanie OMEMO, choć można skorzystać również z takich metod szyfrowania wiadomości jak OTR, czy PGP.

XMPP, to nie własność jakiejś firmy. to wolne oprogramowanie, które jest rozwijane przez deweloperów i entuzjastów projektu. podobnie rzecz ma się z klientami (aplikacjami), które obsługują protokół XMPP. dlatego jako użytkownik masz, po pierwsze, ogromny wybór, na jakim serwerze XMPP założysz swoje konto (możesz również sam postawić taki serwer, jeśli masz wiedzę i chęci), a po drugie, wybierasz również z wielu istniejących aplikacji XMPP - na telefon, czy na desktop.

===

jak zacząć przygodę z XMPP?

bardzo prosto! Pierwszym krokiem jest wybranie serwera, na którym założymy swoje własne konto XMPP.

po wpisaniu do wyszukiwarki (oczywiście mówimy wyszukiwarce Google staropolskie "fuck off!" i korzystamy z przyjaznej, nie śledzącej nas wyszukiwarki DuckDuckGo: https://duckduckgo.com) frazy: "XMPP servers" otrzymamy mnóstwo wyników ze stronami-spisami serwerów XMPP (jedną z takich stron linkuję poniżej). Przy wybieraniu serwera sugerujemy się jego żywotnością (czy działa nieprzerwanie od dłuższego czasu, czy ma dobrą opinię), czy daje możliwość łączenia się w anonimowej sieci Tor, czy zaleca userom korzystanie z szyfrowania wiadomości.

niektóre aplikacje obsługujące protokół XMPP, takie jak np.: Gajim, Pidgin, Dino w opcji "załóż nowe konto na serwerze" umożliwiają nam wybranie serwera z pokaźnej listy. czasem poszczególne serwery dają możliwość założenia konta na ich stronie domowej. jak kto woli.

·· lista serwerów XMPP

kiedy mamy już wybrany serwer, czas na założenie konta i odpalenie naszego konta XMPP w aplikacji. konto XMPP ma format adresu internetowego, jak np.:

alex@alpha-labs.net -> użytkownik@nazwa-serwera.net

tworzenie konta odbywa sit w oknie aplikacji (chyba, że wcześniej uczyniliśmy to na stronie domowej serwera), dodajemy swój nick, ustalamy hasło i pozostaje nam tylko połączyć się z serwerem. przeglądamy menu i ustawienia danej aplikacji (część jest mega minimalistyczna jak np. w Dino, a część rozbudowana i dająca więcej możliwości, jak Gajim, czy Conversations. polecam wszystkim - zaraz po instalacji i połączeniu się - włączenie domyślnego szyfrowania rozmów przy pomocy OMEMO - jest to obecnie standard w światku XMPP i większość userów będzie wymagała od was szyfrowania, oczywiście z powodów ochrony prywatności.

w przypadku aplikacji XMPP obsługujących rozmowy audio, warto przejrzeć ustawienia, by móc bez problemu korzystać z tej funkcji.

w protokole XMPP dodawanie znajomych jest bardzo proste. jedna ze stron wysyła zaproszenie do dodania, udzielając jednocześnie zgody na dodanie i widzenie swojego statusu przez drugą stronę. znajomy akceptuje zaproszenie, pozwalając jednocześnie na wgląd w swój status. zaraz po dodaniu, warto poprosić znajomego, aby poinstruował nas jak wygenerować własny odcisk palca OMEMO i jak wymienić się odciskiem z innymi, by rozmowa była w pełni szyfrowana.

jakiego klienta wybrać na początek?

klientów XMPP jest naprawdę dużo. ja np. pod Linuxem używam tekstowej apki Profanity oraz Gajima, z graficznym interfejsem, oraz Dino - minimalistycznej aplikacji XMPP, która ma jednak swój power! dla stawiających pierwsze kroki w protokole XMPP, mogę z czystym sumieniem polecić:

===

brzmi to wszystko z pozoru jak morze skomplikowanych czynności, ale to nieprawda. po prostu XMPP wymaga kilku procent więcej zaangażowania z naszej strony, aniżeli konto Messengera i innych "dziurawych" pseudo-komunikatorów.

w czym rzecz, moi drodzy? a no w tym, iż wszystkiemu, co jest związane z naszym bezpieczeństwem w sieci, musimy poświęcić ciut więcej czasu. ale to bezcenna wiedza! każdy krok w stronę ochrony naszej prywatności uświadomi nam potem, jak bardzo lekkomyślnie traktowaliśmy wcześniej kwestie "security". podstawa: TRZEBA CHCIEĆ!

mamy działające konto XMPP - co teraz?

teraz dodajemy znajomych z XMPP, jeśli takowych posiadamy, albo staramy się namówić naszych najbliższych do zainstalowania aplikacji XMPP i przejścia z ciemnej strony mocy komunikatorów mających w dupie naszą prywatność do protokołu XMPP. przekonujcie, a sami zobaczycie, że będzie to procentować w przyszłości!

aby nabrać pewności siebie w świecie XMPP, warto przejrzeć katalog konferencji, które są tworzone przez użytkowników XMPP. tworzą oni coś w rodzaju grupowych chatów tematycznych. tam zawsze znajdziecie pomocną dłoń i mnóstwo osób do pogadania :) lista konferencji XMPP na końcu teksu.

mój adres XMPP, to:

możecie mnie dodać do znajomych, a chętnie pomogę w konfiguracji i dalszych krokach w świecie XMPP! ;)

mam nadzieję, że przybliżyłem wam choć w małym stopniu zagrożenia związane z codziennymi pogawędkami przez "markowe" komunikatory i że udało mi się przekonać przynajmniej jedną osobę do XMPP.

wszystko, co tyczy się naszego bezpieczeństwa w necie jest odrobinę wymagającą materią. trzeba troszkę poczytać, zrozumieć różnice i morze korzyści, gdy decydujemy się przejść na wolne, otwartoźródłowe i bezpieczne oprogramowanie.

przysięgam, że ta wiedza nie gryzie, nie jest tajemną i nie do zajarzenia. przejrzyjcie linki poniżej, poczytajcie o XMPP i aplikacjach i... piszcie w razie czego - zawsze pomogę!

twoja prywatność i wolność w sieci - w twoich rękach!

podstawowa wiedza nt. protokołu XMPP, przydatne informacje!

Gajim - strona domowa

Dino - strona domowa

katalog konferencji XMPP

Conversations - XMPP dla Androida*

Blabber (ex-PixArt Messenger), Android

FDroid - strona oficjalna

[podkład muzyczny: Phantom Hymn, Kvaen, Wildspeaker, Radio One - Edmonton]