Перевод статьи про Matrix
Июль 5, 2023 - Время чтения: 50 минуты
Вступление
МATRIX продолжает расти. Даже французское правительство решило использовать ее. Однако многие активисты свободного программного обеспечения отказываются ее использовать.
Что бы вы подумали, если бы обнаружили, что новое программное обеспечение для обмена сообщениями, претендующее на децентрализацию, отправляет множество ваших личных данных и метаданных на свои центральные серверы, несмотря на то, что вы установили свой собственный экземпляр?
Программное обеспечение должно быть бесплатным, но этого недостаточно. Это история о том, как власти и шумихе удалось внедрить опасное программное обеспечение во многие сообщества свободного программного обеспечения.
Тревожная история (или, может быть, просто FUD)
XMPP и многие другие технологии уже существовали. Однако появилось новое программное обеспечение: Matrix. Ее целью было создать новую «экосистему» обмена мгновенными сообщениями и VoIP, в которой взаимодействовали бы различные приложения и сервисы. Они также утверждали, что могут создавать «полностью распределенные чаты без единой точки контроля» и управлять ими.
Это было повсюду, люди начали говорить об этом, как будто они приносили что-то действительно хорошее.
Matrix - это не программное обеспечение для сообщества, оно родилось [00] в Amdocs [01], многонациональной корпорации, основанной в Израиле.
В Интернете мы находим много фрагментов информации, связывающей Amdocs с израильской разведкой [02][03][04]. Мы не знаем, связано ли это с тем, что они хотели стереть свое изображение, но предположительно Amdocs больше не владеет проектом. Для Matrix была создана новая организация, New Vector. Тем не менее, там работают те же люди [05], и проект продолжает щедро финансироваться [06].
Мы серьезно не расследовали эти тревожные фрагменты информации, поэтому давайте рассматривать их как фальшивку и не будем задаваться вопросом, должно ли программное обеспечение Matrix иметь право [07] на кампанию бойкота, изъятия инвестиций и санкций или нет. Давайте просто сосредоточимся на фактах анализа программного обеспечения.
Проблемы со свободой
Децентрализация через централизацию
Matrix выступила с планом объединения всех существующих сетей обмена мгновенными сообщениями и VoIP через то, что они называют мостами [10], которые можно рассматривать как центр централизации, где можно анализировать метаданные, а также подходящее место для проведения атак "Человек посередине"
Кто-то может сказать, что объединение всего может быть законной целью. Тем не менее, некоторые люди начали сообщать об огромных объемах данных и метаданных, отправляемых на центральные серверы Matrix.
Решение Disroot
Смотреть в лицо реальным и ясным фактам
В 2019 году сообщество Grid protocol опубликовало свои Заметки о конфиденциальности и сборе данных Matrix.org [12], документ, который помогает нам оценить масштабы проблемы:
Эта исследовательская работа основана на многолетнем опыте работы в экосистеме Matrix и проверке фактов посредством публичного и частного общения. Для обеспечения точности некоторых утверждений, представленных в качестве фактов относительно реализаций, был использован обратный инжиниринг.
Нет, это не Facebook, это Matrix.
На этот раз, когда такая впечатляющая коллекция личных данных отправляется на центральные серверы Matrix, даже когда вы используете свой собственный экземпляр, мы должны взглянуть фактам в лицо: что-то серьезно не так.
Пытаюсь все исправить
На той же странице отчета можно проследить за темой, в которой разработчики Matrix пытаются защититься, но их защита подробно дискредитирована автором отчета.
спустя 5 лет после создания Matrix и после 5 лет централизованного получения такого скандального количества личных данных пользователей из своего «децентрализованного» программного обеспечения, только после публикации упомянутого отчета разработчики Matrix опубликовали некоторые «улучшения конфиденциальности» [13], направленные на устранение некоторых выявленных проблем.
Мы ее не читали. Мы не думаем, что стоит тратить больше времени. Мы понимаем, что ошибки есть всегда, но никто не может утверждать, что эта ценная подборка личных данных, отправленная на их центральные серверы, была ошибкой кода. Децентрализация была в их шумихе, но их код делал обратное.
Мы можем ошибаться, но мы должны принимать решения. К счастью, есть много других честных проектов, предлагающих децентрализованные инструменты, которые заслуживают нашего внимания.
Юридические вопросы
Сообществом Grid protocol также было опубликовано новое исследование [14]. На этот раз в нем содержалось много юридических ссылок на New Vector LTD и Matrix.org Foundacion CIC не справляется с различными юридическими вопросами.
Если вы обнаружите, что что-то неверно
TL; DR
Мы не рекомендуем Matrix, потому что считаем неприемлемым, что программное обеспечение, широко разрекламированное как децентрализованное, выпускается с отправкой скандального сбора личных данных на их центральные серверы, даже если вы запускаете свой собственный экземпляр.
Ссылки на archive.org