System Analysis and Design
Erlang/OTP
Development of communication systems
Comments 58
0
Насчет приватности — привязка эккаунта к номеру телефона или любым другим реальным персональным данным всю идею приватности убивает на корню.
-6
Анонимность в данном случае — средство обеспечения приватности. Т.е. о том, что некий юзер 1445755685798345 на самом деле Вася Пупкин, знали бы только сам Вася и те, кому он это сообщил. Я в своей Paranoid Mail (https://paranoid.ym-com.net) примерно такой способ и реализовал — нет имен и привязок, есть лишь 64бит ID, результат вычисления хеша от имени, которым пользователь при регистрации сам себя назовет (и которое может сообщить тем, с кем хочет переписываться)
+1

Я так понимаю, что в WhatsApp от номера телефона вычислялся md5, и вычислялись md5 от всех телефонов адресной книги. То есть на сервер сами номера не передавались.

+2
Передавался как минимум номер самого пользователя — при регистрации же SMS должно на номер прийти.
Да и md5… уж хотя бы sha-256/sha-512 использовали, а не поломанный уже несколько лет как md5.

0

Я так-то не оправдываю авторов. Несколько лет это сколько? WhatsApp появился в 2009, уже 7 лет как. Возможно тогда что-то было иначе.


Но если уж на то пошло, то сам факт того, что для идентификации пользователя используется его номер телефона в том или ином виде это не способствует безопасности. Короче, мы пришли к изначальному утверждению.
С другой стороны, конечному пользователю проще, не надо думать над паролями, оно "само работает".

-1
Ну да, для приветов и котиков все равно, что там и как. А вот для чего-то, требующего приватности и секретности — увы, ватсапп годен лишь ограниченно.
+3

Но если смотреть правде в глаза, что-то серьезное нужно передавать довольно ограниченному количеству пользователей. Остальным достаточно котиков. Те же, кому нужно передавать что-то надежно (действительно нужно) и так знают, как это сделать.
А компьютерно-неграмотных людей полно, им надо попроще.

0
Проблема в том, что даже люди крайне нуждающиеся в приватносте по сфере своей деятельности, в реальности предпочитают использовать более удобный WhatsApp и т.п., нежели Параноик-Майл.

ПыСы:

Недавно один чел попался на взятке. Детали её он обсуждал в Вайбере.
0

Не могу сказать, что я сочувствую этому товарищу. А можете привести пример людей, которые крайне нуждаются в приватности по сфере своей деятельности?

0
Интересы человека могут расходиться с интересами государства (или интересами другого человека, желающего за первым проследить и располагающего для этого ресурсами) по самым разным причинам. Политика, криминал, работа адвоката, коммерческие тайны etc etc etc.
-1
Вот в этом и проблема. Или (частично оффтопик, но принцип тот же) недавний взлом смс-авторизации эккаунтов Телеграмм, принадлежащих оппозиционерам.

PS Параноид-мейл на данный момент это защищенная альтернатива традиционной smtp/pop3 почте, а не мессенжер. Я его специально писал для тех, кому важно и защитить содержание переписки, и скрыть сам факт того, что была переписка с конкретным человеком, даже если у любой из сторон изымут компьютер.
0
Я догадываюсь о каком генерале речь, но причем тут вайбер? Когда в руки правоохранителей попал чей-то телефон с этой перепиской они узнали, о том, что детали он там обсуждал, а не «его вайбер взломали»
-1
Речь о БЕЗОТВЕТСТВЕННОСТИ пользователей, по отношению к своей безопасности, даже когда они занимаются СЕРЬЕЗНЫМИ вещами.
0
У людей когда они переходят определенную черту скорее всего отключается что-то и включается подсистема «вседозволенности и безнаказанности». Достаточно вспомнить одного всероссийского руководителя одного ведомства, у которого дома в коробках лежали десятки миллионов «накоплений» в российских и иностранных ден. знаках) И чем дольше человек этим занимается, тем у него больше притупляется «безопасность». Знаю одного такого лично. Когда он пытался скромничать. А потом пошли квартиры, загородные дома и по 2-3 дорогих автомобиля на каждого члена семьи.
0
Это все так. Но все-таки дать таким людям надежный, защищенный софт — лучше, чем рекламировать изначально дырявый.
0
Да и md5… уж хотя бы sha-256/sha-512 использовали, а не поломанный уже несколько лет как md5.

В чем преимущества MD5 над SHAxxx в контексте анонимности? Каким образом найденная коллизия для MD5 поможет вам деанонимизировать юзера по хэшу?
0
Например, в теории может помочь условному хакеру Васе написать мне, прикинувшись юзером Петей
Безопасность любой системы равна безопасности самого слабого ее звена.
+12
Мне кажется, что хешировать номер — это пыль в глаза, т.к. пространство телефонных номеров очень мало.
Т.е. они могут гордо заявлять, что номер не передается, но при этом на бэкенде мапить хеш обратно в номер.

Я, ради интереса загуглил список украинских операторов, взял свой далеко не топовый ноут, расчехлил пхп (!) и посчитал md5 всех номеров.

<?php

$country = '+380';
$carriers = [68, 67, 98, 96, 97, 50, 95, 99, 66, 63, 93];

foreach ($carriers as $cr) {
    for ($num = 1000001; $num <= 9999999; $num++) {
        hash('md5', $country.$cr.$num);
    }
}


Заняло это 38 секунд.
0

Так-то да, ряд последних событий показал, что делать телефон главным механизмом защиты учетки — не самая лучшая идея. С другой стороны авторы делают упор в том числе и на простоту приложения, а отсутствие явного требования логина/пароля в данном случае играет в пользу этого утверждения. И давайте смотреть правде в глаза: если бы было требование обязательно придумывать пароль, но у большинства пароли были бы словарными.


Для тех, кто хочет и приватно и WhatsApp остаются сим-карты, купленные у метро.

0
жаль что не во всех странах продаются такие сим-карты.
0

Мне кажется, что в тех странах, где нет метро не продаются такие сим-карты есть свой способ её получить.

0
Есть вариант не пароля, а генерируемого ключа, хранящегося где-то на телефоне клиента. Но да, чтобы его перенести потом на другой телефон — понадобились бы технические знания уровня сильно выше среднего. Особенно в случае яблочных устройств, не дающих свободно работать с файловой системой.
0
Можно для этого сделать парольную фразу, например в криптовалютах ее используют для восстановления кошелька.
0
Тут опять в лень рядового пользователя упираемся — у большинства парольная фраза будет простой.
Крипотвалютами-то обычно пользуются люди технически продвинутые, а заставь рядового пользователя вводить 12+ символьные сложные пароли — они ж просто от такой программы откажутся.
0
Если парольные фразы генерировать, то человеку достаточно их записать на бумагу. Например есть стандарт BIP39, где из набора слов можно восстановить ключи.
UFO landed and left these words here
+3
угу
Мы не просто предваряем PageRank, мы предваряем веб.

С переходом в мобайл, мы видеим депортализаию Facebook
+4
С переходом в мобайл, мы видеим депортализаию Facebook

Тут я согласен, фраза довольно корявая, но точнее перевести


With the move to mobile we are seeing deportalization of Facebook.

кажется, никак.


Мы не просто предваряем PageRank, мы предваряем веб.

В оригинале звучит как


We are not just pre-pagerank, we are pre-web.

Действительно, довольно сложно понять, что этим хотел сказать оригинальный автор, во всяком случае мне. Если у вас есть более адекватные переводы — я с удовольствием исправлю текст.

0
We are not just pre-pagerank, we are pre-web.

Может быть это отсылка к термину «прекурсор», мол, мы станем необходимым элементом построения систем а-ля PageRank и даже платформ вроде Web?
0

Возможно, что-то типа такого я думал. Пытался сформулировать, но получалось что-то вроде "мы предвосхищаем не только PageRank, но и весь веб".

0
Возможная причина в том, что Google хотел купить его. Это угроза. Это 99 центов за пользователя. Facebook просто в отчаянии. Это за вашу телефонную книгу. За метаданные (даже учитывая то, что WhatsApp их не хранит).

0

Я могу найти поиском эту фразу, спасибо. Не могли бы вы, наконец, пояснить, что именно вам не нравится в таком переводе исходной конструкции:


Google wanted it is a possible reason. It’s a threat. It’s for the .99 cents a user. Facebook is just desperate. It’s for your phone book. It’s for the meta-data (even though WhatsApp keeps none).

?

0
Тем, что это не перевод, а калька с английского, по которой понять что-либо не представляется возможной. Прочитайте исходный абзац, закройте глаза, попробуйте сформулировать то же самое своими словами. Я в вас верю.
+1
Это — достаточно точный перевод оригинальной фразы. За переформулированим обращайтесь к сказочникам, они Вам насочиняют с три короба )
+2
> Настольные компьютеры мертвы. Веб умирает. Мгновенные сообщения + мобильные технологии это экосистема, способная их заменить.
Мертв похоже только для них, потому как десктопного клиента нет (хотя просят), а веб представляет из себя чудовищный нелогичный костыль.
0
Десктопный уже есть… который представляет из себя, судя по процессам, браузер на основе хромиума.
+2
Кстати, был интересный случай: на конференции обменялся телефонами с одной коллегой с другой компании, но забыл её фамилию.
Она появилась в WhatsApp. А через недельку мне Facebook вдруг предложил: «возможно, вы знакомы?» и предлагал её добавить во френды. И это при том, что в Facebook я с телефона заходил лишь 1 раз и потом из него вышел…
0
Для этого фейсбук и купил ватсап, чтобы сливать телефонную книгу. Это давно не новость.
+1
Крайне интересно было бы знать, как осуществляется product management в WhatsApp, позволяя этому продукту совершенствоваться, но оставаться эффективным и удобным, каковы приоритеты.

Потому что не надо ходить далеко за примерами, где мессенджер достаточно быстро оброс какой-то невероятной ерундой, его интерфейс либо мутировал в нечто крайне неудобное, либо пытается что-то все время навязать, либо просто так и не стал сколько-нибудь удобным.

Вот тот же Facebook Messenger, у которого три страницы со списками пользователей. При этом одна из страниц все время норовит разделиться на секции, которые нельзя отключить раз и навсегда, а одна из этих секций дублирует функционал другой страницы (Active). Звучит, как шизофрения.

Аналогичная жуть у Skype и многих других.
0

В статье есть немного про то, что они ставят в приоритет при разработке. Но это статья о технологической части разработки, а не административной, так что об управлении особенно не идет речь.

0
Вот они так сели на erlang… А способен ли на подобные объёмы golang?
0

Я думаю, мы об этом узнаем только если кто-то, кто использует golang и имеет подобные масштабы об этом расскажет. Я слышал, что серверная часть Dropbox написана практически полностью на Go.

0
Но Facebook идёт на шаг впереди. Они не только разрабатывают отдельные приложения для конкретных задач, они предоставляют несколько конкурирующих приложений, предоставляющих схожую функциональность, и эти приложения не обязательно имеют общий бекенд.

Не могу сказать, что это так уж хорошо. ФБ-приложение было замечено в пожирании батареи, а тут целых два.
Вдобавок у Messenger не отключаются уведомления, только через системный запрет.
После «улучшения» я просто снес оба приложения :)
0
>Система вошла в состояние гонок.
Я подозреваю, имеется в виду race condition? Странно видеть перевод этого термина, в литературе обычно его не переводят. Несмотря на то, что по ссылке переведен
0
32 инженера, один разработчик приходится на 14 миллионов активных пользователей.

Казалось бы круто 32 разработчика на такой проект, но кажется на практике все было не совсем так:

Back in 2012, WhatsApp had only 30 full-time and 5 part-time employees in their small office in Mountain View…

Most of the in-house employees were focused on customer support and operations, while development was handled offshore…

Источкик

Вот вам и 32 разработчика. На Украину они девелопмент походу аутсорсили. Вот тут еще одно свидетельство.
0

Возможно, но в оригинале именно 32 разработчика, так что все претензии — к оригинальному автору.


К тому же:


Back in 2012, WhatsApp had only 30 full-time and 5 part-time employees in their small office in Mountain View…

Здесь говорится про конкретный офис, что было в других, и были ли другие офисы, не сказано.


Most of the in-house employees were focused on customer support and operations, while development was handled offshore…

Это утверждение, кстати, не отменяет того, что разработчиков было 32. Там просто говорится о том, что большая часть сотрудников были саппортами. Но это не означает, что тех самых аутсорсеров было не 32.

Only those users with full accounts are able to leave comments. , please.