https://ricochet.im/
Ricochet успешно прошел свой первый аудит.
Обнаружили 2 уязвимости, которые юзер должен сам запускать: одну критическую - в нике собеседника с HTML-тегами, предлагаемом в запросе от него в друзяшки, про которую давно уже знали и исправили в транке, другую некритическую - можно послать в сообщении урл из юникодных букв, который выглядит как урл в ASCII, но обв ведет на другой сервер → деанон. ВНЕЗАПНО, нехер открывать линки от кого попало не через Tor.
Разраб всё поправил (сверившись в том числе с аудиторами) и выкатил новый релиз:
https://github.com/ricochet-im/ricochet/releases/tag/v1.1.2
// P2P мессенжер через Tor hidden services - у каждого инстанса свой. Никаких посредников - никаких чужих серверов.
Групповых чатов еще нет (очень нескоро), OTR/Axolotl еще нет (автор хотел свой протокол, но возможно будет Axolotl), иконки в трее все еще нет (sic! пуллреквестам джва года, а все чинят конфликты).
Впрочем, что касается OTR - луковый TLS Tor-а достаточно надежен против дешифровки, а чаты можно делать Perfect forward secrecy - достаточно перезапустить Ricochet для новой сессии Tor-а с новыми ключами
@anonymous > trust us about us
Забавно.