| 29 Sep 2019 |
 tulir | In reply to @homebeach:matrix.org
Tuleeko muuten 1:1 chatit toimimaan sillattujen käyttäjien kanssa, jos noi vetää sen salauksen päälle? ei | 14:31:17 |
 vurpo | Mutta E2E:n käyttäminen ilman out-of-band -vertailua suojaa kuitenkin kaikilta passiivisilta hyökkäyksiltä (salakuuntelija ei voi lukea viestejä vaikka verifiointia ei ole tehty) | 14:31:24 |
| vurpo | Helpoin tapa tehdä botti on niin että se vain lähettää kaikki viestit kaikille laitteille huoneessa, eli jos jonkun palvelimen ylläpitäjä suorittaa aktiivista hyökkäystä niin sekin kuulee botin lähettämät viestit, mutta passiiviselta salakuuntelulta se on kuitenkin suojassa | 14:42:41 |
| vurpo | Se on varmaan yleisin tapaus, kun kyse ei ole siitä että botti kertoo erittäin salaista tietoa, vaan siitä, että joku haluaa käyttää bottia huoneessa joka on E2E | 14:44:19 |
| vurpo | (ainoa puuttuva pala olisi että UI antaa helposti valita milloin botti saa ja milloin se ei saa minun lähettämiä viestejä) | 14:45:26 |
| vurpo | * (ainoa puuttuva pala olisi että clientin UI antaa helposti valita milloin botti saa ja milloin se ei saa minun lähettämiä viestejä) | 14:45:43 |
 flux | joo, tuo olisi hyvä. käytännössä pitäisi olla esim. joku regexp joka määrää mitä viestejä voidaan lähettää kanavan ei-luotetulle botille; tyypllinen botin käyttömalli on sanoa joku komento tai botin nimi viestissä. tämän voisi konffata kanavalle vaikka admin tai kukin asiakas itse. | 14:46:57 |
| vurpo | Yleinen UI-ongelma E2E:n kanssa on että sitä voi käyttää eri tavoilla riippuen mitä siltä odottaa, mutta pitkien juttujen selittäminen on hankalaa ja monimutkaista eikä käyttäjää kiinnosta | 14:52:44 |
| flux | tuon patternin defaultarvon voisi määrittää automaattisesti nolla lisättävillä integraatioilla. tietysti kukapa sen sitten varmistaa että serverille ei ole ujutettu jotain hienoa integraatiota joka syö kaiken liikenteen. | 14:54:14 |
| vurpo | Jos vain painaa "send anyway" eikä verifioi mitään avaimia niin on kuitenkin suojattu kaikilta passiivisilta salakuunteluhyökkäyksiltä, mutta jos joku palvelimen ylläpitäjä välissä hyökkää aktiivisesti esim. lisäämällä feikkilaitteita sinne jotka vastaanottaa viestejä, niin siitä suojautuu vain vertailemalla avaimia out-of-band
| 14:54:29 |
| flux | ja toisaalta potentiaalisesti epämiellyttävä ux jos jokainen sellainen bottiviesti pitäisi prefixata botin nimellää | 14:54:36 |
| vurpo | In reply to@vurpo:hacklab.fi
Jos vain painaa "send anyway" eikä verifioi mitään avaimia niin on kuitenkin suojattu kaikilta passiivisilta salakuunteluhyökkäyksiltä, mutta jos joku palvelimen ylläpitäjä välissä hyökkää aktiivisesti esim. lisäämällä feikkilaitteita sinne jotka vastaanottaa viestejä, niin siitä suojautuu vain vertailemalla avaimia out-of-band
Esimerkiksi WhatsAppin UI olettaa automaattisesti että käyttäjä haluaa käyttää sitä ensimmäisellä tavalla, ja siitähän nousi uutishaloo viime vuonna mutta se toimii kuitenkin täysin suunnitellusti | 14:57:46 |
| tulir | In reply to @flux:matrix.org
ja toisaalta potentiaalisesti epämiellyttävä ux jos jokainen sellainen bottiviesti pitäisi prefixata botin nimellää ei botin nimellä tietenkään vaan botin mainostamalla komennolla | 15:10:52 |
| tulir | bottien devit laittaa etukäteen botin profiiliin mitä komentoja ne tukee ja sit clientit encryptaa ainoastaan asianmukaset viestit niille | 15:15:36 |
| flux | tavallaan ihan just kuten sen pitäisi toimia, tosin bottiprefixillä ainakin olisi selvä mille botille se viesti menee ;) | 15:32:28 |
| flux | mutta näemmä tuo proposal nähdäkseni kattaa senkin, jos asiakakat tietävät käytetyn määrämuotoisen protokollan ja tarkalleen ketkä ovat botteja | 15:35:46 |
| flux | sellainen viritelmä voisi olla jännittävä, että voisi olla widgettejä/hyperlinkkejä jotka kulkevat matrixin kautta. esimerkiksi äänestysbotti voisi tarjota optiot tuollaisina nappuloina, ja silti
- pitää äänet anonyyminä muille
- tunnisata klikkaajan matrix-identiteetti luotettavasti
- ei ole tarvetta muodsostaa dm-yhteyttä bottiin
| 15:38:08 |
| flux | kai tulir tuolta kaivaa sillekin proposalit kohta ;) | 15:38:24 |
| tulir | https://github.com/matrix-org/matrix-doc/pull/2192? | 15:41:41 |
| flux | nice, mutta ei taida ihan olla noita ylläolevia täyttävä. kelailin tosin vain läpi. en välitä että on erityinen poll-rajapinta, tosin onhan tietysti korkeammankin tason abstraktioista etuja, se vain kuormittaa clientin tekijää enemmän | 15:55:20 |
| tulir | siis inline widgetithän tekis noi kaikki | 16:08:18 |
 homebeach | Niin tolla inline widgetillä sais sitten myös sillattua Telegramin pollit ja pelit ym? | 20:00:45 |
| 30 Sep 2019 |
|  Deleted account 318591634 changed their display name from homebeach to Tadzi. | 15:16:52 |
| 3 Oct 2019 |
|  @jaywink:basshero.org changed their profile picture. | 07:35:15 |
 cos | Synapse 1.4 pihalla | 13:19:29 |
 @maakuth:koti.vuorio.org | olikos se niin, että konffin puukotusta luvassa | 14:02:52 |
| tulir | ei varmaan | 14:03:09 |
| flux | tarttis päivitellä postgressi niin pääsisi taas päivitysjunaan :) | 14:03:32 |
| tulir | paitsi jos käyttää jotain turhia ominaisuuksia kuten matrix.org:n identity serveriä | 14:03:54 |
| flux | muistaakseni synapse ei osannut tehdä debianissa 3-way-mergeä konfigille, vai onko se jo korjatttu? | 14:04:34 |
