Hacker News Digest

Автор Heather Burns рассказывает о необходимости "de-Appling" в Великобритании после решения Apple отключить Advanced Data Protection (ADP) из-за требований законодательства по Investigatory Powers Act. Пользователи, уже включившие ADP, должны будут вручную отключить его, иначе потеряют доступ к iCloud. Это затронет 10 категорий данных: iCloud Backup, Drive, Photos, Notes, Reminders, Safari Bookmarks, Siri Shortcuts, Voice Memos, Wallet Passes и Freeform, которые потеряют end-to-end шифрование. Остальные 15 категорий и коммуникационные сервисы вроде iMessage останутся зашифрованными по умолчанию.

Для тех, кому критично шифрование, автор рекомендует срочно перенести эти данные из iCloud. Предлагает использовать сервисы с end-to-end шифрованием, такие как Proton, Standard Notes, Obsidian или Joplin, и избегать миграции к другим крупным технологическим компаниям. Для заметок советует приложение Exporter для преобразования в markdown. Автор подчеркивает, что это часть более широкой тенденции к уходу от американских технологических платформ.

• UK закон требует от Apple отключить E2EE для пользователей в Великобритании, что вызвало обсуждение о том, что это значит для приватности и безопасности данных, и почему Apple не может просто отказаться от выполнения такого закона.
• Обсуждение также коснулось трудностей, с которыми сталкиваются пользователи, которые хотят отказаться от услуг Apple и других компаний, которые подвержены подобным требованиям.
• Участники обсуждения также затронули вопрос о том, что может означать это для будущего приватности и безопасности данных, и как это может повлиять на другие компании и их пользователей.
• Также обсуждалось, что пользователи могут защитить свои данные, и какие альтернативы могут быть использованы для тех, кто хочет отказаться от услуг таких компаний.
• Наконец, обсуждалось, что это может означать для будущего приватности и безопасности данных в целом, и как это может повлиять на другие компании и их пользователей.

Telegram’s end-to-end encryption is vulnerable to sophisticated attacks that could enable large-scale surveillance. Researchers demonstrated that an attacker can exploit weaknesses in Telegram’s MTProto2.0 protocol to recover encryption keys with high probability using relatively few queries. This attack leverages the protocol’s padding mechanism, highlighting a critical design flaw. While official clients may be safer due to open-source scrutiny, third-party clients could be compromised, making this a significant threat. The study also proposes a simple fix to the padding mechanism that would mitigate this risk, suggesting that Telegram’s current encryption needs urgent revision to prevent potential state-level exploitation.

• Обсуждение охватывает уязвимости и риски безопасности в Telegram, особенно в отношении шифрования и возможных бэкдоров.
• Подчеркивается, что атаки требуют скомпрометированного клиента, что значительно снижает непосредственную угрозу для большинства пользователей.
• Отмечается, что сквозное шифрование (E2E) в Telegram по умолчанию отключено для большинства чатов, что увеличивает риски.
• Указывается, что существуют критические уязвимости в реализации шифрования Telegram (MTProto), делая его менее надежным по сравнению с конкурентами.
• Подчеркивается, что даже при использовании E2E, архитектура "клиент-сервер" и зависимость от доверенного сервера представляют фундаментальные риски.

Идея личного хранения данных, предложенная ещё в 2009 году Тимом Бернерсом-Ли, набирает актуальность на фоне растущих проблем с приватностью и контролем над информацией. Его концепция Socially Aware Cloud Storage и более поздний Solid Protocol предполагают, что пользователи должны хранить данные в одном месте под своим контролем, а приложения — запрашивать доступ к ним. Это меняет парадигму владения данными: вместо корпоративных «силосов» информация становится личным активом, которым можно осознанно управлять.

Хотя Solid пока не достиг массового распространения, его принципы воплощаются в таких проектах, как AT Protocol от Bluesky. Ключевая мысль: данные, генерируемые вами в разных сервисах — от умных часов до соцсетей, — должны быть доступны вам в едином формате и пространстве. Это не только вопрос приватности, но и практической пользы: объединённые данные могут раскрывать новые insights, оставаясь под вашим контролем.

• Скептицизм относительно практической реализации и массового внедрения концепции личных хранилищ данных из-за отсутствия рыночных стимулов для компаний, доминирования удобства над приватностью и технических сложностей, таких как управление схемами данных.
• Предложение постепенных, эволюционных улучшений вместо радикальных изменений, с акцентом на решения, которые предлагают немедленные преимущества по сравнению с текущим статус-кво, например, сквозное шифрование и децентрализованные протоколы.
• Упоминание существующих технологий и инициатив (Bluesky, Solid, IPFS, самохостинг), которые пытаются решить проблему владения данными, но сталкиваются с барьерами в виде сложности использования, бизнес-моделей и необходимости сетевого эффекта.
• Признание того, что проблема часто носит не технический, а экономический и поведенческий характер: пользователи ценят удобство, а компании извлекают выгоду из централизованного хранения и монетизации данных.
• Ностальгия по более открытому и децентрализованному интернету прошлого и осознание того, что для изменений可能需要 сочетание законодательного давления, прорывных приложений и смены парадигмы в восприятии данных как обязательства, а не актива.

Предложение ЕС «Контроль за чатами» угрожает фундаментальным правом на приватность в Европе, требуя массового сканирования всех сообщений, фото и видео на устройствах пользователей под предлогом защиты детей. Это фактически уничтожает сквозное шифрование, создавая бэкдор для хакеров и враждебных государств, что даже разведки признают катастрофой для национальной безопасности. Германия, исторически защищавшая приватность, сейчас рискует отступить от своих принципов, что стало бы стратегической ошибкой в условиях геополитической нестабильности.

Signal рассматривает это как экзистенциальную угрозу и заявляет, что предпочтёт уйти с рынка, чем встроить систему слежки, поскольку шифрование либо работает для всех, либо не работает вообще. Решение Германии может определить будущее приватных коммуникаций в Европе — сохранятся ли они или будут подорваны массовой слежкой, угрожающей экономической и социальной безопасности. Важно не допустить повторения истории, но уже с масштабными базами данных и крайне чувствительной информацией.

• Пользователи выражают поддержку Signal и её борьбе против инициативы ЕС "Chat Control", видя в ней массовую слежку под предлогом защиты детей.
• Обсуждается опасность принятия закона, который может привести к сканированию всего контента на устройствах и уничтожению приватности и сквозного шифрования.
• Участники сравнивают "Chat Control" с практиками Штази и Гестапо, подчёркивая репрессивный характер инициативы и её угрозу гражданским свободам.
• Высказывается критика в адрес немецких политиков и партий (CDU, SPD), которые, по мнению комментаторов, исторически лоббируют тотальную слежку и ограничение свобод.
• Обсуждаются технические и правовые последствия, включая возможный запрет децентрализованных сетей и необходимость активного политического сопротивления.

Meta представила новую функцию для Messenger, позволяющую отправлять сообщения между разными платформами мессенджеров, такими как WhatsApp и Instagram. Это шаг к соответствию требованиям Европейского цифрового рынка (DMA), который обязывает крупные технологические компании обеспечивать совместимость сервисов. Пока функция доступна в тестовом режиме для ограниченного числа пользователей в ЕС.

Основное внимание уделяется безопасности: сообщения шифруются сквозным шифрованием, даже при передаче между платформами. Это позволяет пользователям общаться, не теряя приватности. Однако некоторые функции, такие как редактирование сообщений или чаты с несколькими участниками, пока недоступны при кросс-платформенной переписке.

• Высокая оценка визуального стиля, графики и плавности работы на мобильных устройствах.
• Критика управления камерой и элементов геймплея, вызывающих у некоторых пользователей тошноту.
• Восхищение технической реализацией, включая малый вес игры и использование Three.js без игрового движка.
• Запросы на добавление обучения и более понятных указаний для выполнения заданий.
• Общее впечатление умиротворения, вдохновения и ностальгии по инди-проектам.

ЕС продвигает законопроект ChatControl, который обяжет все платформы обмена сообщениями сканировать личные переписки и изображения пользователей — включая зашифрованные мессенджеры вроде Signal и WhatsApp. Цель формально — борьба с материалами о сексуальном насилии над детьми, но метод подразумевает тотальный мониторинг без возможности отказа. Регламент автоматически применяется во всех странах ЕС и может отменять национальные конституционные гарантии приватности.

Технически сканирование нарушает принципы сквозного шифрования, создаёт риски ложных срабатываний и уязвимо для обхода злоумышленниками. Против выступают учёные и эксперты по безопасности. Инициатива также выгодна коммерческим игрокам, продающим технологии мониторинга. Сейчас идёт обсуждение среди стран-членов ЕС, но если закон примут, это установит глобальный прецендент массовой слежки под предлогом защиты детей.

• Опасения потери контроля над правительством и гражданских свобод из-за массового сканирования личной переписки
• Критика неэффективности мер в борьбе с CSAM, поскольку они не устраняют коренные причины и легко обходятся преступниками
• Сомнения в законности инициативы, противоречащей праву на приватность (Статья 8 ECHR), и мотивах властей
• Предложение технических обходных решений (например, PGP, собственные серверы) и использование открытого ПО для защиты приватности
• Непонимание технических деталей реализации инициативы и её применения к opensource-приложениям и не-EU юрисдикциям

Европейский Союз продвигает законопроект «Chat Control», который обяжет технологические компании сканировать все личные сообщения пользователей, включая защищённые сквозным шифрованием. Это достигается за счёт клиентского сканирования (CSS), когда контент проверяется на устройстве до отправки, что создаёт уязвимости для хакеров, корпораций и правительств.

Инициатива не только подрывает конфиденциальность, но и угрожает безопасности интернета в целом — приватные переговоры перестанут быть таковыми. Mozilla призывает исключить сквозное шифрование из требований сканирования, отказаться от ослабления защиты и привлекать независимых экспертов для оценки рисков. Уже сейчас позиции стран ЕС разделились, и важно повлиять на решение регуляторов.

• Опасения по поводу массового сканирования личных сообщений и подрыва приватности под предлогом борьбы с преступностью.
• Критика двойных стандартов, когда законодатели хотят ввести контроль для граждан, но исключить из-под него себя и силовые структуры.
• Убежденность, что закон не сломает, но обесценит шифрование, отправив обычных пользователей под наблюдение по умолчанию.
• Опасения, что успешное принятие закона в ЕС создаст прецедент для авторитарных режимов по всему миру.
• Призывы к сопротивлению и переходу на альтернативные, более защищенные методы общения.

• Бывший глава кибербезопасности WhatsApp подал в суд на Meta, заявив, что компания ставила под угрозу миллиарды пользователей.
• По его словам, инженеры WhatsApp могли перемещать и красть контакты и IP-адреса.

• Бывший глава безопасности WhatsApp обвинил Meta в том, что 1500 инженеров имели неограниченный доступ к метаданным пользователей без аудита.
• Некоторые бывшие сотрудники Meta утверждают, что доступ к данным строго логируется и карается увольнением, но другие сомневаются в реальном контроле.
• Участники обсуждения подчеркивают: даже при E2E-шифровании метаданные (контакты, IP, аватарки) остаются уязвимы, если «концы» контролируются компанией.
• Несколько комментаторов считают, что WhatsApp — это «feature, not bug» для разведок, особенно вне США и Китая.
• Появляются призывы переходить на открытые решения вроде Signal с открытым кодом и воспроизводимыми сборками.

Что такое Chat Control
ЕС хочет заставить мессенджеры и почту сканировать все переписки на «подозрительный» контент автоматически и до отправки. Это касается даже зашифрованных чатов.

Почему это плохо

• Тотальный массовый контроль, а не выборочный.
• Конец приватной переписки и доверию к европейским сервисам.
• Ложные срабатывания: интимные фото, медкарты, ЛГБТ-подростки — всё попадёт в базу.
• Хакеры и злоупотребления: централизованные сканы — приманка для атак и утечек.
• Детей не спасёт: реальные преступники уйдут в даркнет и зарубежные платформы.

Как отразится

• В ЕС: придётся соглашаться или уезжать.
• За пределами: европейские письма и звонки станут «прослушиваемыми» по умолчанию; тренд быстро расползётся в другие страны.

Что делать

1. ЕС-граждане:
   • Написать депутатам Европарламента (пошаблонно тут → saveprivacy.eu).
   • Подписать европетицию Stop Scanning Me.
2. Всем:
   • Перейти на открытые, проверенные мессенджеры с端到端-шифрованием (Signal, Matrix, XMPP+OMEMO).
   • Отказаться от «безопасных» облаков Big Tech, использовать шифрование клиента (Cryptomator, age).
   • Рассказать друзьям, поделиться мемами и роликами (#StopChatControl).

Ссылки

• Кратко и по-русски: edri.org, epicenter.works
• Видео: Patrick Breyer, The Hated One
• Петиции и инфа: stopchatcontrol.eu, saveprivacy.eu

• Chat Control — это предложенный ЕС регламент, обязывающий все сервисы сканировать переписку и файлы, включая зашифрованные, на предмет «запрещённого контента».
• Участники обсуждения считают молчание СМИ и общества тревожным; статья, вызвавшая тред, критикуется за невнятное изложение сути.
• Технически инициатива невыполнима без разрушения end-to-end шифрования и встроенных бэкдоров; злоумышленники просто перейдут на самописные каналы.
• Многие видят в проекте «размыкание» охвата: сначала борьба с CSAM, далее — копирайт, политический диссонанс, коммерческий шпионаж и тренировка ИИ.
• Германия пока против, но новое правительство ещё не высказалось; считается, что позиция Берлина (и/или Парижа) решит исход голосования.
• Пользователи призывают переходить на самостоятельные, несовместимые протоколы и отказываться от «удобных» централизованных мессенджеров.

SQLite начинался как TCL-расширение и до сих пор носит его отпечаток: гибкая типизация, синтаксис $var в SQL и единственный адаптер внутри ядра — tclsqlite.c. Сегодня ядро на чистом C и работает без TCL, но вся разработка и тестирование держится на нём: 90 % кода тестов на TCL, генерация сборок, документация и релизы полностью автоматизированы скриптами makefile.tcl.

• Команда SQLite общается в приватном чате на собственном Tcl/Tk-скрипте (~1000 строк), который работает и как клиент, и как сервер.
• С 2021 г. основное общение перешло в встроенный Fossil-чат: он E2E-шифрован и доступен из любого браузера.
• SQLite сохраняет Tcl-наследие: sqlite3_analyzer — это тоже Tcl-программа, упакованная в С-обёртку.
• Подстановка $uid в SQL безопасна: токен распознаётся парсером SQLite, а не «eval»-ится Tcl.
• Участники защищают выбор Tcl: он компактен, стабилен и удобно встраивается в С, что важнее модных языков.