Security Week 24: приватность Zoom и браузера Brave

Прошедшая неделя принесла пару интересных новостей на тему приватности наших данных. В обоих случаях тайна переговоров и пользовательской активности в браузере обсуждалась в субъективном ключе. Такие дискуссии не очень конструктивны по своей сути — кто-то говорит: «Мне кажется, надо делать так», другие отвечают: «А нам так не кажется». Продолжаться подобные беседы могут до бесконечности, и, к сожалению, не всегда удается договориться даже по каким-то простым вещам. Конкретный пример: на ежеквартальном звонке с инвесторами гендиректор Zoom Эрик Юанг объявил (новость, обсуждение на Хабре) о скором внедрении системы сквозного шифрования видеозвонков. И тут же добавил, что такая технология, в отличие от существующих, менее стойких методов, будет доступна только тем, кто платит за услуги компании. Алекс Стамос, бывший руководитель отдела инфосек-подразделения Facebook, недавно нанятый Zoom консультантом по безопасности, обосновал такое решение в Twitter. Если коротко: в теории end-to-end-шифрование делает переговоры недоступными для всех, кто не участвует в звонке, включая самого поставщика услуги, госорганы, конкурентов и простых любителей вломиться в чужую, плохо защищенную беседу. Так как абьюз сервиса теле-конференц-связи происходит в основном среди бесплатных пользователей, вводить более серьезную защиту для них преждевременно: иначе будет сложно бороться с теми, кто использует Zoom в нелегальных целях. При этом технически аудит зашифрованных звонков можно проводить, ослабляя защиту, например, путем создания кольцевого буфера, хранящего последние пару минут переговоров: если участники звонка пометят обсуждение как незаконное, расшифрованный буфер именно с этим моментом беседы отправится модераторам на рассмотрение. Zoom решил так не делать, что и послужило поводом для горячего обсуждения. Читать дальше →

Источник: Хабрахабр