Isso é segurança? Nada a ver.
Discussion
Mas isso é de uma burrice sem precedentes.
As imagens de status continuam acessíveis nas pastas ocultas das mídias do WhatsApp. Quando a gente abre lá o aplicativo também deduraria?
Visíveis somente a você, no seu dispositivo.
Em suma, sim. É segurança. Depois elaboro minha resposta melhor de acordo com suas dúvidas.
Você gosta do "Zapzap"?
Não, não gosto. Mas não é muito difícil entender essa política do WhatsApp. Aliás, tente agora mesmo tirar um print do seu app do Nubank.
Proteção contra screenshot é importante em apps bancários, wallets, gerenciadores de senhas. Mas se alguém compartilha um conteúdo para seus contatos, ele não é sigiloso que mereça ser protegido.
Também achei estranho quando o Telegram veio com essa de conteúdo protegido, não é possível encaminhar e nem baixar. Ok, mas fica tudo nas pastas ocultas, é só abrir lá.
Cara, posso fazer um comentário que não tem nada a ver com o tópico?
Eu gostaria de elogiá-lo publicamente. Sério mesmo. Embora já tenhamos tido diversas discordâncias públicas, sempre voltamos a conversar civilizadamente. E eu acho isso muito bonito. Aqui, se as pessoas se desentendem uma única vez, elas nunca mais olham na sua cara (isso quando não fazem doxing, ameaças de morte ou coisa ainda pior). Aliás, você não precisava nem ter trocado sua foto de perfil. Depois posso explicá-lo o porquê por DM.
É que eu praticamente não uso o WhatsApp. Esqueci que há essa configuração que permite escolher com quem queremos compartilhar o status. Então, de fato, realmente não faz muito sentido o aviso.
Você tem conta no Discord? Hoje eu vim trabalhar virado, nem dormi à noite. Passei a madrugada inteira conversando com as "coelhinhas" por lá (Kelinci, Lea e Emma, pessoas que conheci no IRC/Twitter, longa história). Deu 6 da manhã, eu fiz o café e me mandei. Há coisas incríveis acontecendo nos bastidores da Internet. Essa semana postarei algumas novidades (autorizado, claro).
O pior é que às vezes eu fico puto pra cacete com elas. O que eu vou falar agora pode soar um pouco machista, mas nesses casos (você saberá em breve) eu prefiro lidar com homens. Mulheres e pessoas trans parecem ter sangue de barata. Elas têm um granada nas mãos, estão sendo atacadas, e simplesmente se recusam a apertar a porra do pino.
Mas de todo modo, também fui convencido de que o Nostr não é seguro. O próprio Pamplona já jogou essa letra certa vez ("ninguém deveria ter apenas uma chave e tal"). Elas, inclusive, sabem as NSECs de alguns usuários bem conhecidos do Nostr Brasil. Não divulgam literalmente porque não querem, por pena ou simplesmente por respeito à tal "ética hacker". Soube que há muitos menores de idade aqui, na faixa dos 17 anos, até isso elas sabem.
Teve um momento do chat que eu as desafiei, criei uma conta, a acessei pela extensão nos2x, conforme elas pediram, e elas revelaram a NSEC da conta que eu havia acabado de criar🤣 . Quando não há uma empresa por trás, tudo fica muito mais frágil. E elas são profissionais, assim como acredito que Jack Dorsey e Fiatjaf também sejam, então estamos todos fodidos.
A única coisa que eu posso garantir é que sei que elas são boas pessoas, todas têm um bom coração e, pelo que conheço, não prejudicarão newbies ou pessoas inofensivas.
Sabe que é mais fácil ser lídar com os conflitos quando gostamos da pessoa. Me faz lembrar aquela cena de "Capitão América - Guerra civil" em que a Natasha pergunta ao Ronin se eles ainda seriam amigos depois que a guerra acabasse.
Eu sei que é recíproco, você também está sempre acessível, não guarda rancor e me respeita.
Estou vendo que temos que ficar mais atentos ao nosso descanso. Também tenho dormido tarde fazendo uns testes com apps. E hoje fiquei sabendo que andam falando que fico até tarde nos dispositivos namorando, só se for namorando bits. Mas é sério, sei como é falar com gente que tem fuso horário diferente, um dos dois acabam se lascando.
Não uso Discord, simplesmente acho tudo de ruim que um app de mensagens pode ter está reunido nele. É parecido com SMS, sem criptografia e código proprietário. Acho que nem devo ter testado.
Seria ruim se você divulgasse informações secretas sobre os projetos delas, ainda bem que tem consciência.
Eu acho importante que tenha hackers que vêem essas vulnerabilidades. Espero que elas notifiquem aos desenvolvedores dos clients e do protocolo Nostr. Cara, juro que confiava piamente no nos2x.
Acho que o fato de não tirar o pino da granada é questão de caráter e não tem muito a ver com gênero. São pessoas pacíficas e magnânimas.
E é legal ter amigos assim, tive uma há muito tempo, ela decidiu sumir. Era uma hacker de Portugal, a Maria. Ela conseguiu executar um vídeo remotamente no meu computador uma vez, um vídeo de terror. Nunca cheguei a pedir nada relacionado a hack para ela, quando eu precisei, ela já tinha sumido.
Sim, de fato, elas são o que poderíamos chamar de "hackers do bem", como a Luiza já havia me dito certa vez (ao contrário do Benjamin, com quem ela infelizmente se casou). Elas são profissionais que sempre me pareceram respeitar profundamente a tal "ética hacker" (nem sabia que isso existia), mas confesso que desanimei bastante do Nostr. Já estava meio desanimado na verdade (excesso de trolls, novos usuários desinformados, muitas crianças/adolescentes, perfis duplos e total ausência de conversas minimamente produtivas, exceto com você), mas elas também me provaram, na prática, que tudo por aqui é bastante vulnerável (veja o final da minha resposta anterior na thread). Conheci algumas dessas pessoas na época dos IRCs. Algumas delas, posteriormente, migraram para o Twitter no auge de tal rede social. Outras, infelizmente, também sumiram, tal qual a Maria que você também conheceu, de Portugal - curiosamente, não sei o porquê, quase todas elas são ou vivem em outros países. 🤷♂️
Ao contrário do que você ingenuamente disse, tais vulnerabilidades do Nostr não serão reportadas aos desenvolvedores *intencionalmente*. E não pense você que é porque elas são "más pessoas". Pelo contrário, alguns dos desenvolvedores daqui é que são mal intencionados (acredite você ou não). Aliás, soube que elas estão justamente explorando tais vulnerabilidades para não repetirem os mesmos erros na construção do ATProto. Além disso, algumas delas já tiveram graves desentendimentos no passado com muitos dos desenvolvedores que aqui estão. O próprio Jack Dorsey, inclusive, baniu a conta do irmão da minha "coelhinha" preferida (ela me pediu para não mais citar seu nome e nem marcá-la em minhas notas) quando ele era CEO do Twitter, justamente por causa de um desses desentendimentos que tiveram na época (ele e o irmão dela). Talvez você me pergunte? Mas e a NSEC da "coelhinha", como ela faz para se proteger? Há alguns métodos para isso. E isso sim é informação de utilidade pública, vamos lá?:
1º Software privado que automaticamente desabilita o NIP-05 em caso de acesso por IPs "desconhecidos"
2º Autenticação via dispositivo, mais detalhes aqui: https://github.com/lnbits/nostr-signing-device
3º Escolha de cliente confiável (dica: use o noStrudel)
4º Uso de relay privado
5º "O seu telefone é apenas um brinquedo. Pare de utilizá-lo" (traduzi do francês belga dela, escrito ontem no Discord)
Parece que (infelizmente, na minha modesta opinião) há uma guerra declarada entre Nostr e Bluesky. Ao contrário do que você talvez pense, elas estão sendo atacadas há muito tempo (inclusive pelo Vitor Pamplona, que ingenuamente pensei que fosse um "cara do bem", mas parece que estaria ingenuamente "sendo usado", segundo elas). Elas apenas estão buscando uma forma de se defenderem de algumas das injustiças que o Bluesky vem sofrendo. Fui inclusive autorizado a postar uma nota sobre isso (e em breve o farei, embora elas saibam que será em vão).
Aliás, a minha coelhinha preferida (cunhada de Luiza) recentemente foi vítima de uma grande injustiça por aqui. O @ish4k sabe perfeitamente bem do que estou falando. Elas agora estão apenas tentando descobrir quem foi o "mandante" e qual era a intenção por trás (ou se foi apenas uma mera coincidência). Cara, às vezes eu fico pensando e chego até a ficar emocionado. Eu sou um cara de muita sorte, sabia? Um simples funcionário público que apenas teve o privilégio de conhecer algumas das mentes mais brilhantes na época dos IRCs e, principalmente, na época de ouro do Twitter. Elas apresentaram-me ao bitcoin (e numa época em que eu odiava criptomoedas), ensinaram-me a configurar os meus próprios nós e, hoje, estão literalmente mudando os rumos da Internet. Infelizmente, não tenho mais contato com algumas dessas pessoas. Por outras, como a Luiza, eu simplesmente me apaixonei feito um adolescente bobo (mesmo sabendo que ela era comprometida). Talvez pelo fato de ela ser a única Cristã e não hacker do grupo. Com outras, ainda mantenho contato e faço questão de preservar o vínculo que tivemos noutrora.
Aliás, foi esta última que me ensinou um truque para não ser vítima de doxing. Algo que literalmente pode ter salvado a minha vida. Curiosamente, a Luiza caiu no próprio truque que a cunhada me ensinou sem saber que ela já havia me ensinado. Que irônico, não? Bem, águas passadas, já nos perdoamos publicamente, inclusive. Depois, se tiver interesse, posso explicá-lo, é um truque bem simples na verdade.
Muito tempo depois, soube que isso já era uma pratica absolutamente comum e amplamente difundida entre hackers no final dos anos 90 (embora eu, particularmente, não ache tão ético assim). No início, confesso que ignorei o conselho, mas quando vim para o Nostr, por sorte (ou intuição do que estaria por vir, sabe-se lá Deus), lembrei-me de tal conselho e resolvi por em prática. E deu certo. O menino Crysis acha que tirou onda. Mas com o perdão do termo, é o típico otário que se acha esperto. Dark e Sophia (que na verdade é um rapaz e nem sequer é trans) idem. Já soube, inclusive, que as NSECs de ambos estão entre as quais as "coelhinhas" têm acesso. Como disse, não divulgam porque tem pena. Aliás, há uma duplicidade absurda de IPs por aqui. Só para você ter uma ideia, soube que há um indivíduo que possui nada mais nada menos do que 103 NSECs diferentes, acredita!? Mas, como disse, soube que muitas dessas pessoas são crianças ou adolescentes (e até mesmo as fotos de perfil também corroboram tal informação que elas tecnicamente já sabem de forma comprovada). Além disso, as "coelhinhas" entendem que outros são apenas "jovenzinhos de direita conhecendo a Internet" (palavras de uma delas, não minhas).
Elas verdadeiramente são pessoas de bom coração. Acredite você ou não, o mal está do lado de cá. Inclusive, fui plenamente convencido por uma delas de que a minha presença no Nostr está "fazendo um contraponto interessantíssimo para o falso pretexto de 'liberdade de expressão' utilizado por @fiatjaf" (será que fui tão ingênuo assim? 🤷♂️).
Segundo a minha coelhinha preferida postou ontem à noite no Discord: "nunca haverá verdadeira liberdade de expressão onde um determinado grupo é ampla maioria" (essa frase foi traduzida do francês, e não foi dita diretamente para mim, foi postada por ela no Discord se referindo ao Nostr. Perdoe-me por qualquer erro contido na tradução, mas acho que a tradução está correta).
Bem, por enquanto é isso. Elas se comunicam em outros idiomas por lá (inglês e francês, geralmente), então sou obrigado a traduzir tudo o que escrevem. Mas pelo o que entendi, elas têm dúvidas se vale a pena ou não desmascarar o Nostr. Até que ponto isso valeria a pena? Enfim...
Só por curiosidade, xará, lembra daquela nota racista do maiô das modelos? Sim, era racismo, como eu já havia desconfiado. Aquele usuário é um velho conhecido delas. Contudo, infelizmente, a maioria das provas dependem de raciocínio e capacidade de investigação (não que você não tenha, mas sempre é possível ser menos ingênuo com supremacistas). Eu, aliás, perguntei para ele lembra? "Qual a diferença?" E ele jamais respondeu nem responderá. Só não vê quem não quer...
Elas também se perguntam isso por lá: "Será que os usuários do Nostr terão capacidade de raciocínio e interesse em buscar a verdade ou simplesmente se negarão a raciocinar e vê-la por si mesmos?"
Pelo que traduzi de outro post escrito pela minha coelhinha preferida em francês, também soube que há várias provas mais técnicas (plenamente investigáveis e acessíveis a desenvolvedores mais profícuos), mas pelo que soube há uma questão "político-ideológica" envolvida, então eles (aqui do Nostr) preferem fechar os olhos e criarem perfis de backup. Pesquise, isso é público, aliás!
Enfim, realmente fui totalmente convencido de que 95% dos usuários do Nostr são mera massa de manobra. Semana que vem, aliás, começarei meu processo oficial de migração para uma instância lá do Mastodon executada pela coelhinha nº 2 (gente boa demais também). Oficialmente, também já soube que o Bluesky é o novo Twitter (pode tirar o print e me cobrar daqui a 2 anos!). Não, daqui a 2 anos não estarei mais aqui 😄. No entanto, diferentemente do Twitter, conheço algumas das pessoas que lá estão e sei (dentro do meu limite de conhecimento técnico) que, pelo menos, não serei enganado e que, diferentemente do Nostr, haverá rotação de chaves e os clientes somente podem ser construidos usando a base do cliente oficial, justamente para evitar a criação de clientes por desenvolvedores de "fundo de quintal" que expõe deliberadamente as NSECs de seus usuários por meio de backdoor em aplicativos frágeis e extensões intencionalmente mal desenvolvidas.
Aliás, ontem uma delas disse a seguinte frase (certamente uma daquelas frases que jamais esquecerei): "Descentralização é ótimo, mas descentralização em excesso gera vulnerabilidades. Por isso, o Signal é mais seguro do que o SimpleX. As pessoas são idiotas de se preocuparem em fornecer seus números de telefone. Eles já saberiam isso de outra forma mesmo...". Confesso que não tenho conhecimento técnico para analisar ou julgar tal informação, mas pelo gabarito de quem a falou, dou essa informação como certa!
P.S.: Passei publicamente as dicas que a minha coelhinha preferida me passou em off (os 5 itens) porque sei que 99,9% dos usuários do Nostr são tecnicamente incapazes de realizarem todos os processos envolvidos. Principalmente o primeiro. E isso apenas propicia segurança total quando usados concomitantemente, todos os 5 juntos! Mas, estatisticamente, soube que 99% dos usuários do Nostr preferem usar um brinquedo chamado celular 😄.
Só um adendo quanto ao link do item 2, caso você realmente tenha conhecimento técnico ou vá executá-lo algum dia:: "but using is Nos2X is far more convenient." Isso é ***MENTIRA***. A "coelhinha" o utiliza fazendo o envio diretamente para o dispositivo! A vulnerabilidade reside justamente na tal da "conveniência". ***CUIDADO***. Não use o Nos2x.
Legal, meu caro. Você realmente estava animado para escrever essa nota.
Gostei da dica, embora eu não saiba realmente o que signfica todos os termos. Estou usando o noStrudel, é um client bacana para usar no celular também e parece que é um dos melhores no computador. Parei de usar o client android para ver se evito de ficar muito tempo na internet perdendo tempo. Enfim, será que é seguro usar Amber no dispositivo móvel para assinar tudo por bunker? Achei essa ideia bem bacana. Parei de usar o relay privada da Citrine, é meio difícil, talvez teste o app de relay que o nostr:npub1vxd0dfst8ljvwva2egrpc53ve8ru78v8aaxfpravchkexmfmmu3sqnrs50 me indicou, para computador. Estou tentando ver a questão de verificação de hash ou assinatura PGP para instalar mais sossegado.
Essa concorrência entre redes sociais é normal. Só não existe, por exemplo, entre Facebook e Instagram, por serem da mesma empresa. Só não pode ser uma concorrência desleal.
Desejo que o desenvolvimento desses projetos delas dêem supercerto.
Parece que elas vivem no Canadá, onde os dois idiomas são oficiais, inglês e francês.
Eu ainda acredito que o Nostr tem futuro, a menos que haja outro protocolo descentralizado e livre muito superior a este no futuro, pois esse tipo de ferramenta me interessa profundamente, não que não possa usar ferramentas centralizadas ou federadas (até uso e recomendo algumas).
Obrigado por partilhar essas coisas, para quem quer continuar usando isso aqui é bom saber.
Sobre a questão do uso de celular, acho que a maioria das pessoas só conta com acesso móvel, poucos possuem computadores, entre os que possuem, querem também a conveniênica do acesso em outros lugares, embora os laptops possam fazer isso, eu mesmo só tenho desktop, por isso o acesso móvel para mim é muito mais necessário do que para outras pessoas, e ainda assim menos do que aqueles que só contam com dispositivos móveis.
> Estou usando o noStrudel, é um client bacana (...) e parece que é um dos melhores no computador.
R.: Sim, soube inclusive que é tecnicamente o mais seguro.
> Parei de usar o client android para ver se evito de ficar muito tempo na internet perdendo tempo.
R.: Sim, isso é ótimo. Além de você evitar perder tempo com interações e notificações inúteis no Nostr, também soube que esses aplicativos para celular não são tão seguros quanto os desenvolvidos para PC.
> Enfim, será que é seguro usar Amber no dispositivo móvel para assinar tudo por bunker?
R.: Confesso que não sei dizer. Eu teria que perguntar isso para elas, mas as dicas que recebi no Discord foram aquelas cinco etapas que lhe passei.
> Talvez teste o app de relay que o @idsera me indicou, para computador.
R.: Não sei do que você está falando, mas se for um relay, a melhor opção é usar um relay privado, como lhe passei nas cinco dicas para se manter seguro.
> Essa concorrência entre redes sociais é normal...
R.: Sim e não. Neste caso, especificamente, há uma clara questão ideológica/revanchista por trás (basta você reparar o quanto eles atacam o Bluesky e simplesmente ignoram completamente a existência de outras redes muito piores, como o chinês TikTok e até mesmo o próprio Twitter de Elon Musk, por exemplo.
> Desejo que o desenvolvimento desses projetos delas deem super certo.
R.: Sim, eu também! E é justamente por isso que vou sair do Nostr. Estar aqui é como estar na plateia do show de um mau artista (tipo um funkeiro que canta músicas que fazem apologia a crimes). Ao estar na plateia, querendo ou não, já estou prestigiando o "espetáculo".
> Parece que elas vivem no Canadá, onde os dois idiomas são oficiais, inglês e francês.
R.: Não, apenas um deles (o único homem do grupo, por sinal). A maioria delas mora nos EUA e na Bélgica (país em que fala-se bastante o francês, assim como o holandês e até mesmo o alemão).
> Eu ainda acredito que o Nostr tem futuro, a menos que...
R.: O futuro de qualquer "rede social" depende *muito* de seus próprios usuários, assim como de quem o administra ou o desenvolve/financia. Por mais que a ideia do protocolo seja de fato boa, apenas isso não o sustentará de pé. Aliás, por que você acha que até hoje grandes empresas de renome e notável prestígio não criaram contas em Gab Social, Truth Social e Nostr?
> Sobre a questão do uso de celular, acho que a maioria das pessoas só conta com acesso móvel, poucos possuem computadores...
R.: Sim, infelizmente essa é a realidade de muitos brasileiros. Mas também é um dos pontos que os deixam mais vulneráveis. Aliás, até o Google tem acesso as NSECs de muitos aqui, caso usem o GBoard e já tenham copiado e colado as mesmas para a área de transferência. Eles só não exploram porque não tem o menor interesse nisso.
Estava falando que o Nostr parece ainda bem utilizado, quando vamos na parte "Global" e vemos muitas notas sendo enviadas e muitos comentários também sendo feitos a qualquer hora do dia.
Também que, anteriormente, as redes morriam por falta do patrocínio, deve ser por questão de verba a poucos anúncios que Orkut e Google + fecharam. Nostr é diferente. As pessoas aqui começaram com poucos e nem teve um crescimento expressivo ainda e os caras estão ainda entusiasmados.
Aqui cada indivíduo tem responsabilidade pelo que posta, pelo modo descentralizado como funciona, o Fiatjaf não é o dono, ele não pode fechar o Nostr nem se quisesse. Aqui cada um pode ter seu relé e moldar o código aberto do protocolo ao seu belprazer. E eu acho isso muito bom.
