Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили (https://twitter.com/matrixdotorg/status/1116304867683905537) об экстренном отключении серверов Matrix.org (http://Matrix.org) и Riot.im (http://Riot.im) (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение сосоялось вчера вечером, после чего работа серверов была восстановлена (https://twitter.com/matrixdotorg/status/1116517160187248640), а приложения пересбораны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы (https://twitter.com/matrixdotorg/status/1116593380102852608) второй раз.Атакующие разместили (https://archive.md/SknNR) на главной странице проекта (https://matrix.org/) детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной милинов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix.
После первого взлома командой Matrix был опубликован отчёт (https://archive.md/JlR6v), в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. Всем пользователям было предписано сменить пароли.
Но в процессе смены паролей в основном клиенте Riot пользователи выявили (https://github.com/vector-im/riot-web/issues/9434) пропадание файлов с резервными копиями ключей для восстановления шифрованной переписки.
Напомним, что платформа для организации децентрализованных коммуникаций Matrix (https://github.com/matrix-org) преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма Signal, поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).URL: https://twitter.com/matrixdotorg/status/1116304867683905537
Новость: https://www.opennet.ru/opennews/art.shtml?num=50501
>Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователейЭпичное заявление на фоне самой новости
И новость подтверждает это: не стал известен ни один пароль в открытом виде, и ни одно зашифрованное сообщение не было расшифровано. То, что был потерян доступ к зашифрованной переписке - да, досадно, и, наверняка, может быть исправлено в будущем. Но в любом случае по соображениям безопасности всем известно, что в случае ЧП лучше потерять самому, чем чтобы досталось другим.
>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции JenkinsЭто не сам matrix
Да, это лживые заверения его владельцев о том, что они уделяют внимание безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы - это же так скучно и не по аджайловски
Тут любое ружье могло выстрелить.
Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая другая новая дыра.
т.е. просто забить на сервер, который имеет доступ ко всем репам и не следить за выходящие для него обновления безопасности - это ружьё, которое может свалить фирму "уделяющую большое внимание безопасности"? Ой мамочки... А в следующий раз они скажут "ну ктож знал, что нужно дефолтовые пароли менять на монгу, смотрящую в интернет, это же никак не связано с (нашими) представлениями о безопаности"
> Тут любое ружье могло выстрелить.
> Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая
> другая новая дыра.Ключевое слово здесь "необновленный".
Одно дело если инфраструктуру взламывают из-за не найденной пока уязвимости,
а другое дело когда наши юные секурити-бойз прощёлкали обновления уже известной дыры,
по моему это достаточно красноречиво говорит о конторе, которая позиционирует себя как разработчик
безопасного софта, и на мой взгляд "это какой-то... позор?!"
> Да, это лживые заверения его владельцев о том, что они уделяют внимание
> безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы -
> это же так скучно и не по аджайловскиМеня больше интересует целостность пакетов, так как у меня свой сервер с отключённой интеграцией.
а чем бы вам интеграция навредила бы в данном случае?
Логика железная. Разработчик заболел простудой ... вся система подвержена заражению вирусом?!
Этот факт не снимает ответственности за произошедшее с людей, ответственных за проект. Дискредитация мессенджера Matrix в глазах людей, представляющих интерес для организации. которую я имею честь возглавлять, привела к тому, что значительные средств, выделенные на этот проект, оказались потрачены впустую. По моему глубокому убеждению все виновные должны понести самое строгое наказане.
Компании использующие self-hosted решение не пострадали, перебоя в работе не было.
Возможно ответственные за выбор облачного решения облажались.
Какая отвественность? фри фор фан же
Конечно же, не та, которая материальная. Та, которая по совести, в виде собственной репутации.
>>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins
> Это не сам matrixДа, они просто настолько заняты секурностью своего кода, что своевременно накатывать заплатки на инфраструктуру у них времени нет, это победа!
Нет абсолютно безопасных систем - не существуют в природе. Да и по ряду объективных причин не могут в принципе.
Welcome to Matrix
An open network for SECURE, decentralized communication.
¯\_(ツ)_/¯Бывает, чего уж там.
matriks
Тонко :)
Раньше было принято наперегонки кричать "БОЯН" в ответ на попытки шутить шутки, которые всех достали. Но что ни дай в руки хомячкам, они из всего сделают боян, они сделали боян из бояна. И теперь я даже не знаю как реагировать на шутки, которые повторяли так долго, что от них уже тошнит.
Хоронили тёщу, порвали два бояна.
> Хоронили тёщу, порвали два бояна.Да, точно. Их там два было. Я и забыл уже.
Выкапывай.
Будем хоронить заново.
типа Matrix - S means Secure?
Так умиляет, когда ломают "безопасников". Нет, ну конечно, сейчас фанаты будут петь песни про плохого админа/разработчика сайта, а так всё вэр и гуд и #вывсёврёте.
Не читаем до конца?)> После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins.
Jenkins
> JenkinsАга! Который является частью инфраструктуры проекта, может непосредственно влиять на его работоспособность, смотрит голым задом в паблик-сети и за которым никто не следит оставляя там такие дыры. Что долно заставить думать, что к остальным составляющим проекта эта команда относится как-то по-другому?:) </риторический_вопрос>
Взломать можно любого. В современных системах используется столько разного сложного софта, что уязвимости есть в любой системе. Чтобы быть в безопасности надо
1. иметь полностью свой кастомный софт;
2. быть неуловимым Джо;
3. жить в мире, где не существвует систем автоматического нахождения и эксплатации уязвимостей.Все пункты обязательны. 1 + 3 образуют комбо защиты от червей. 2 защищает от людей. Всем трём не соответствует никто, даже АНБ США.
ну да, а мониторить апдейты на софт, который используется и торчит в мир - не надо, зачем же...
У них, наверное, тот самый принцип - "работает - не трогай" :'D
этот принцип прекрасен, но только пока работает стена с автоматическими огнеметами и ров с крокодилами по периметру.
Ну, теоретически, в древности именно для этого были минорные бранчи, включающие только то, что штатное поведение не меняет никак. Впрочем, админы и тогда не рвались обновляться...
У дженкинса есть LTS, да. Аж месяца два или три поддерживается, не помню уже.
По моему опыту, мои системы которые работают по этому принципу не были взломаны ни разу. А вот системы, на которые постоянно накатываются обновления ломают.
Парадокс.
Привет, Джо!
Да вам в Чебурнет наниматься надо срочно.
просто некоторые молчат об инцидентах безопасности, а некоторые нет (трудно молчать с дефейсом)
БОЛЬШЕ Дефейсов, разных прекрасных
за это полагаются штрафы.. по-крайней мере в Европе или если пострадали европейские резидентыкомпания обязана уведомить об утечке, а еще если ругулятор посчитает, что не было предпринято никаких шагов для избежания утечки (короче халатность), то все равно могут штрафа впаять
GDPR ребята ))
допустим, у меня в матриксе все чаты шифрованные. соответственно, взломщики не получат к ним доступ. а вот у того самого заблокированного мессенджера мало кто пользуется секретными чатиками.
Правильно говорят, что matrix поделка хипстеров-смузихлебов. Только тормозят развитие нормальных децентрализованных протоколов типа tox/briar/ring своей морально устаревшей федерацией.
А как именно они мешают? Держат тебя всемером, не дают писать код для "нормальных децентрализованных протоколов"?
Оттягивают пользователей агрессивной рекламой.
Например?
> ringОн уже не ring, а jami.
Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его исправить должна начинаться с его переписывания заново
> Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его
> исправить должна начинаться с его переписывания зановои чего не взялись переписывать? я не про авторов, а вообще - не слышно чтот про децентрализированные чатики
> Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной милинов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix.Что нужно сделать, чтобы такого больше никогда не происходило? Существуют ли в природе неуязвимые системы? Или нужно быть неуловимым джо и не высовываться, чтобы твоя система была защищённой от всех взломов.
> которой размещены в том числе незашифрованные сообщения
> Matrix обеспечивает оконечное (end-to-end) шифрованиеЭто как? О_о
Матрикс поддерживает также общение в стиле IRC, XMPP - т.е. публичные group chat, где нет смысла шифровать. Ну, и, конечно, если кто-то общался в личном чатике, но не включил шифрование. Но тут - ССЗБ.
А зачем там _вообще_ незашифрованные сообщения??
Это как в телеграме что-ли - все думают, что всё супер-шифруется, а оказывается - надо было ещё специальный чат открыть, ага. Из 100% мною опрошенных 100% думало что у них e2e шифрование, а про кнопочку "секрет" никто даже не знал. Здесь так же, что-ли?В итоге - жаббер с omemo так и остаётся самым лучшим протоколом.
> А зачем там _вообще_ незашифрованные сообщения??Потому что есть публичные комнаты, где шифрование не нужно.
> а оказывается - надо было ещё специальный чат открыть, ага
Официальный клиент версии 1.0 ещё не вышел, над проблемой сделать шифрование по-умолчанию продолжают работать. Доверяй, но проверяй. Типа, как сел в машину и поехал, а оказалось, что не пристёгнут. Но как же так, я же ожидал, что когда поверну ключ зажигания - ремень сам защёлкнется. А перед тем, как жать на газ, надо было всего-то навсего провести хотя бы зрительный контроль.
омемо тоже надо включать ручками в гаджиме
Официальный клиент уже 1.0.7. Это официальный сервер еще до 1.0 не дошел.
>>Потому что есть публичные комнаты, где шифрование не нужно.как это - не нужно?? это весьма странное утверждение. Сродни "пригласил третьего осбеседника, пригласи и товарищмажора".
Я, вот, насчёт омемо не понял - оно работает для чатов или нет. Потому что мультидевайс они запилили - молодцы. А обмен ключами в чате, как я считаю, тоже дело посильное.
Публичная комната - это не комната, куда кто-то кого-то персонально приглашает, а комната "заходи на огонёк кто хочет, в т.ч. товарищи майоры". В них всем посетителям рады, никого на входе не шмонают на предмет "свой-чужой". Более того, туда через бриджы могут заходить даже пользователи, никогда не слышавшие про матрицу и, соответственно, про её шифрование.
Ну если ты обсуждаешь такие вещи, что приходится товарища майора бояться - твоя проблема, очевидно, не в выбранном мессенджере. А вообще, ещё одно утверждение есть: "Известное одному - секрет, двоим - не секрет, троим - объявление на весь белый свет."
Не может существовать одной кнопки "Сделать всё безопасно". Для полноценной безопасности пользователь должен сам оценить возможные угрозы и методы защиты от них. Если бы в телеграме были _только_ зашифрованные чаты, я думаю, его аудитория была бы раз в двадцать меньше, потому что применение шифрования приводит к головным болям у пользователей. Напомню, шифрованные чаты в телеграме, во-первых, не синхронизируются между несколькими устройствами одного пользователя, во-вторых, недоступны в десктопном клиенте, в-третьих, нет шифрованных многопользовательских чатов. Т.е. начав секретный чат на одном телефоне, ты обречён вести его только с этого телефона, прям как в ватсапе -- ну и зачем такое нужно продвинутой аудитории телеграма?
Разработчики матрицы решают перечисленные проблемы, присущие шифрованным чатам, как могут, но в итоге получаются либо чертовски запутанные пути и интерфейсы, либо ухудшение безопасности (хранение приватных ключей на серверах), либо потери содержимого зашифрованных переписок (иногда даже до прочтения их адресатами), либо всё вместе взятое. Именно поэтому я не пользуюсь e2ee в принципе, а переписка в моём инстансе матрицы защищена методами неуловимого Джо, а также повседневным https. В день, когда матрикс-клиенты начнут открывать e2ee по умолчанию, пожалуй, я поищу альтернативы попроще.
> шифрованные чаты в телеграме, во-первых, не синхронизируются между несколькими устройствами одного пользователявсегда интересовало почему два моих девайса не могут открыть между собой канал (теми же самыми средствами, что и с другими общаются) и поделиться друг с другом моей хисторей (ключи шифрования прилагаются УЖЕ, для указания что это мой девайс)
Это всё от максимализма. Нет никакой проблемы генерировать мастер-ключ из пароля стандартным образом, чтобы он на всех устройствах был один и тот же. И публичный ключ получать при добавлении контакта, сделав его подтверждение по сторонним каналам опциональным. Ну да, надёжность не идеал, но выше, чем тупо гонять открытый текст. А "супер-серкретные" чаты или OMEMO оставить тем, кому оно надо.То есть не кнопка "Сделать всё безопасно", а "сделать настолько безопасно, насколько возможно без ухудшения user experience". Впрочем, это больше Токсу надо говорить, а то они совсем застряли со своим фанатизмом.
> генерировать мастер-ключ из пароля стандартным образом,Если ключ генерируется однообразно, то чем он может быть лучше самого пароля? Практического смысла в однообразной генерации нет.
К тому же, если пользователь поменяет пароль, ему заново сообщать своим контактам про новый публичный ключ?> чтобы он на всех устройствах был один и тот же.
Если под подозрением компроментации окажется одно устройство и мы отзываем его ключ из списка доверяемых, то автоматически теряется связь с человеком, даже если у него были другие куда более надёжные устройства?
> надёжность не идеал, но выше, чем тупо гонять открытый текст
Соединения в матрице шифруются минимум на уровне https, поэтому если комната приватная и нешифрованная (e2ee), её содержимое доступно не кому попало, а только участникам комнаты и админам их серверов.
> Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма SignalПомнится, кто-то говорил, что Signal является дырявым, как дуршлаг. Так ли это на самом деле?
Ни один пароль не стал известен в открытом виде (только хеши). Ни одно зашифрованное сообщение не было расшифровано.
Это на самом деле тёмный вопрос. Я не совсем понял, что происходило когда пользователи массово ломанулись менять пароли. Были ли эти попытки перехвачены?
Их открытая переписка ушла, а шифрованная к паролю учётной записи не имеет никакого отношения, так как шифруется _ключами_ на конкретном устройстве.
То есть аккаунт потерять можно, но раскрыть переписку -- нет. Это хорошо.
Голос в вашей голове вам такое нашептывал, что ли?Наоборот, все говорили что он весьма безопасен. Скорее всего лучше непонятных протоколов типа телеграмма и уж точно намного лучше основной массы.
Даже Шнайер подтверждал, что Signal безопаснее всего: https://www.schneier.com/blog/archives/2016/06/comparing_mes...
>Даже Шнайер подтверждалАга, а мой друг Васян, допустим, не подтверждал. Факты есть?
А факты от Васяна есть?
Насколько мне известно, дыряв не сигнал, а его реализация Вацапом.
Это в рамках сливания Ассанджа или слак с хипчатом скинулись и заказали?
>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции JenkinsА вот это указывает на безблагодатность современного подхода к инфраструктуре разработки и поддержки: слишком много сущностей. Старые добрые FTP + сервер БД - надёжнее.
Скорее всё-таки rsync поверх ssh, но угу, человекопостижимость осталась мало где... (как тут на днях резонно замечали, начиная прям с ядра)
В принципе да, но хотел бы я видеть человекопостижимый CI, который бы умел хоть что-то.
> FTPДа уж, надёжней некуда.
/me машет табличкой "сарказм"
> /me машет табличкой "сарказм"Не, бро...
Маши-не маши, а у него эта табличка и в нике, и по фейсу пропечатана.
Минимум могли бы за VPN спрятать Jenkins.
Торчащий в интернет голой жопой приватный женкинс - это сильно. Особенно на фоне того, чей он. Как верить заявлениям "у нас самый безопасный мессенджер" от тех, кто не может элементарно инфраструктуру прикрыть?
Может, там результаты ранов всем показать хотели? Иначе правда непонятно, зачем такое
Хочешь показать, выложи демонстрационный.
Нет, ребята, если разрабы позиционируют себя как защищенные и допускают такие ошибки то диагноз ясен.
Если компания не прошла PCI DSS, то все заверения в безопасности чего-либо - профанация.
А теперь дети, как большие эксперты в безопасности, просто обязаны заминусовать этот каммент.
> системе непрерывной интеграции JenkinsВот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон?
"continuous" -- это не "срочно-немедленно", а "integration" -- это не "пихать в продакшон".:) Смысл в том, чтоб поле очередного мержа в мастер быть уверенным, что оно по-прежнему рабочее. Но так бывает редко, да.:)
согласен с предыдушим оратором
+ пихать можно, только например из релизной ветки
+ пихать можно, не в продакшон, а в тестовое окружение
+ можно делать сборки (чтобы потом было понятно, на что откатываться, а то не всегда можно reproducible build делать), и пихать вручную
+ можно не пихать, а просто тесты например гонять, и слать письма счастья: "такой вот враг, закомитив все сломал, шлите зондеркоманду"
+++ ну и да, если смузи и микросервисов 100-500 (а то и вообще, прости господи, serverless), то можно это руками пихать многие сутки, и закосячить.короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда )
пааанимаешь, если бы все кроме пункта 1 выполнялось, сайтик бы ломануть не вышло - пострадала бы только тестовая платформа или промежуточные билды, или вообще сломались бы тесты и народ пополз разбираться.> короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда )
но авторы шматрикса выбрали именно херак-херак и в продашн, а не еще куда.
В чем, что характерно, совершенно они и не одиноки.
Сильно не факт. В смысле, никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить...Да и других сценариев может быть вагон, допустим, запихивание зловреда в текущие билды, которые кто-то из разработчиков у себя запускает, и так далее и тому подобное.
> никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить...Больше того, если поломать CI и получить админский доступ — можно и создать первую джобу, если её нет, а можно просто вытащить credentials и дальше уже действовать по старинке, ручками.
Ну, первую службу получится создать только если с CI на боевой сервер вообще доступ есть. Но да, там вариантов масса. CI вообще имеют свойство собирать в себя море критичной инфы
>> системе непрерывной интеграции Jenkins
> Вот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон?При правильном подходе пихают как раз медленно и поэтапно. А смысл же в том, чтобы срочно-немедленно обнаружить, если очередной пук что-то сломал.
Чтобы запустить стабильную версию клиента, идут на https://riot.im/app/. А чтобы узнать, пофикшен ли ваш баг 5 минут назад, надо как-то тоже иметь возможность сразу запустить экспериментальную версию, для чего и необходима автоматизированная интеграция. Тогда идут на https://riot.im/develop/.
> Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователейЭто примерно как в рекламе использовать слоган "Наш продукт является продуктом №1". Можно спокойно отвечать за базар, если нет никакой юр. ответственности.
пользователи токса ржут и показывают пальцем на недодецентрализованных!
— а он такой, это Неуловимый Джо, что его никто поймать не может?
> пользователи токса ржут и показывают пальцем на недодецентрализованных!пользователь токса ржёт и показывает пальцем на недодецентрализованных! Он, вообще, всегда ржёт.
> пользователи токса ржут и показывают пальцем на недодецентрализованных!шифрованные приваты в токсе вообще есть? там вроде плейнтекст же? (хотя не уверен, давно гуглил)
но безсерверная децентрадизация в токсе работает хорошо//оффтоп
зы: чаты, мультидевайсы, оффлайнсообщения через мультидевайсы/суперноды когда будут?
Дык оно же сдлохло!
> Дык оно же сдлохло!ну по tox сообщения и файлы ходят с андройда на линукс и винду, и обратно
связь держит весьма неплохо, даже когда на той стороне на мобильнике очень плохой инет
Как вообще что-то типа Дженкинса может иметь плоскость атаки через интернет?
Почему все не закрыто через vpn с 2fa?
<ванга_моде> Они хотели чтоб их вебхуки с гит(хаба|лаба) дергали джобы на дженкинсе, но не придумали (не пытались) как это сделать не выставляя дженкинс голым задом в интернет</ванга_моде>Ну а вообще да, тенденция современности. Казалось бы очевидные и общеизвестные грабли опять бьют по новым лбам. Будь то дженкинсы в интернетах, монги без аутентификации или тайминг-атаки в WPA3:)))
> как это сделать не выставляя дженкинс голым задом в интернетпубличные сервисы публикуют список своих подсетей обычно для добавления в белые списки.
2fa недостаточно, нужно 3fa. минимум!
Да хоть бы 2йку бы организовали везде.
А что, кто-то сомневался в этих школо-хипстерах? Заявлять о том, что печёшься о безопасности не то же самое, что правда уделять ей время.
Очень забавно читать перепись недалёких фанатиков в каментах, старающихся во что бы то ни стало отмыть своих кумиров.
"Эта жи дженкинс, матрикз не дуршлаг"!!1
Никто не сомневался и в одминах локалхоста, а также их знаниях по настройке инфраструктуры крупного проекта посредством комментов на опеннете.
Не открывать дженкинс всем и каждому - это, конечно, большая наука, доо.
> Matrix обеспечивает оконечное (end-to-end) шифрованиеСквозное. Сквозное шифрование.
> на базе проверенного алгоритма SignalНа базе собственного протокола, использующего как _один из элементов_ алгоритм Double Ratchet, являющегося в свою очередь также _частью_ протокола Signal.
Там под новостью кнопочка "исправить" есть. Скажи, ты opensource-проектам также помогаешь, как тут?
А прочитавшие неверно написанный текст увидят лог изменений? Ой, нет. А комментарий увидят.
А непринятые изменения будут видны в истории пулл реквестов? Ой, нет. А комментарий будет.Скажи, ты open source проектам так же помогаешь, как тут?
То есть тебе важнее наследить в истории, и неважно чем? Ясно-понятно.
То есть мне важно донести информацию. Но я не гордый, предложенной "кнопочкой" я тоже воспользовался. Видишь результат? Получается, "наследил неважно чем" пока ты, а выбранный мной изначально способ оказался эффективнее.
Хакер им там на гитхабе любезно вывалил кучку issues, где расписал все слабые места
Так им и надо за опенсанс и светлосерый на белом. Вы только гляньте на это https://matrix.org/docs/guides/e2e_implementation.html#id29
> Так им и надо за опенсанс и светлосерый на белом. Вы только
> гляньте на это https://matrix.org/docs/guides/e2e_implementation.html#id29Читал сегодня про нарушения зрения. Из коментариев понял что те кто много сидит в ide c ТЕМНЫМИ темами не переносят высокий контраст. Вот я и подумал что наверно им этот светлосерый шрифт кажется каким то сверхчерным.
>синхронизация истории и состояния клиентовКаких "клиентов" ? Riot, Хром без меню, и кучки "Hello World" в GUI-форме ?
>поддерживает поиск и неограниченный просмотр истории переписки
Так поддерживает, что by-design разработчики этих клиентов отказываются хранить любую историю локально, ага, превращая весь клиент в browser одной веб-странички.
Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC.
> разработчики этих клиентов отказываются хранить любую историю локальноЭто очень досадно. Мне вообще непонятно, почему нельзя рассматривать историю по UNIX-way как файл. Т.е. чтобы локально хранилась та же база, что и на сервере.
> Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC
А причём тут HTML к протоколу Matrix? И разве можно сравнивать IRC с обеспеченной консистенцией истории в Matrix!?
Работает не трогай?
Девляпсы опять надевляпсили со своим CI?Вообще современный хайп в сторону девопс - зло. Впрочем, желаю как можно больше таких ситуаций - быстрее придёт понимание.
Придёт понимание чего?
есть какие -то альтернативы?
Я ничего в этом не понимаю, но уже почти месяц не могу установить систему Роса. В мой компьютер всё это время - что-то закачивается. Бесконечно! Мне уже страшно. Там есть такие странные фразы, что хочется выбросить компьютер на мусорку. А ведь он новый!