Liberation du code du serveur?

[tuxayo]

Super nouvelle de voir que les applis Android et iOS sont enfin libres. Est-ce qu'il y a des plans pour le serveur?

[finiasz]

Super nouvelle de voir que les applis Android et iOS sont enfin libres. Est-ce qu'il y a des plans pour le serveur?

C'est encore un peu tôt pour le dire... Nous aimerions pouvoir le faire, mais ça ne sera probablement pas pour tout de suite. Notez que le serveur ne fait finalement que très peu de choses et son code présente assez peu d'intérêt par rapport à celui des applications 😁

[S0me6uy]

Hello,

C'est vrai que le serveur ne fait que très peu de choses, mais rendre seulement le code source de l'app publique sans mettre le code source serveur n'est pas très très raccord avec les principes de transparence totales, un peu à la mode telegram.

Ceci dit, je continue et je continuerai d'utiliser olvid depuis maintenant 1 an!

[Naia-love]

Exactement, par soucis de transparence et de confiance le codes serveur est intéressant, même si il fait peu au final ^^

Et surtout il est intéressant pour toute personne souhaitant selfhost un "relai" donc, même si il est déjà théoriquement possible grace a codes sources des apps et de la doc technique technique de s'en bricoler un je suppose , mais ceci simplifierait cella ^-^

[finiasz]

Pour information, nous avons donné une réponse détaillée sur cette question dans notre page de FAQ publiée ici :

Français : https://olvid.io/faq/serveur-et-open-source/ English: https://olvid.io/faq/server-and-open-source/

[fredericgermain]

Merci pour la page sur le serveur, mais il serait vraiment plus intéressant d'avoir le code serveur. Les images docker ok, mais c'est facile à générer avec les sources. Et le fait d’héberger le serveur sur AWS est plus qu'inquiétant.

[tuxayo]

C'est vrai que le serveur ne fait que très peu de choses, mais rendre seulement le code source de l'app publique sans mettre le code source serveur n'est pas très très raccord avec les principes de transparence totales

Et surtout ça rend le truc inforkable/non-réhébergable. Si sur l'unique serveur il y a un problème économique ou de gouvernance ou d'obligation légale vis à vis de l'état français. Alors il faut carrément changer d'outil ce qui est une grosse perte. Rien que par rapport aux obligations légales vis à vis de l'état français, ça fait que les gens en France qui fond des choses sérieuses[1] et qui ont vraiment besoin d'outils sécurisés ne devraient pas utiliser Olvid. Mais si le serveur était libre et qu'il y avait une instance (même sans fédération, c'est pas grave) dans un pays plus a l’abri de l'état français alors Olvid deviendrait pertinent.

[1] mouvements d'actions écologistes, altermondialistes, gilets jaunes, syndicats de lutte, journalistes d'investigation, etc. Ça sert plus a grand chose des outils de communications sécurisés si les gens qui prennent vraiment des risquent pour les causes les plus importantes ne devraient pas s'en servir.

[Naia-love]

Why closed? As completed even? I don't see any news about the server's code opening, nor anything new on github and all.

[fredericgermain]

J'imagine que le réseau n'est pas si confidentiel qu'on veut nous laisser croire. Il y a eu pas mal de réseaux sensés être sécurisés qui était totalement ouverts aux forces de l'ordre ces dernières années.

[S0me6uy]

@finiasz pourquoi fermer ? Le code va-t-il être rendu publique ? Pourquoi cela prend t'il autant de temps : un problème ?

[finiasz]

Désolé, l'issue a été fermée par erreur. Notre position sur l'ouverture du code du serveur reste pour l'instant la même. Voir https://olvid.io/faq/serveur-et-open-source/

Sorry, this issue was closed by mistake. Our position on the topic remains the same. See https://olvid.io/faq/server-and-open-source/

[finiasz]

J'imagine que le réseau n'est pas si confidentiel qu'on veut nous laisser croire. Il y a eu pas mal de réseaux sensés être sécurisés qui était totalement ouverts aux forces de l'ordre ces dernières années.

@fredericgermain Comme expliqué dans notre page https://olvid.io/faq/serveur-et-open-source/ le serveur ne joue aucun rôle dans la sécurité d'Olvid. Le code du client suffit à prouver que les échanges ne peuvent pas être écoutés. Et pour les réseaux "sécurisés" auxquels vous faites allusion, je ne crois pas que le code du client était open source !

[fredericgermain]

Difficile de vérifier que les apps déployées sur les stores sont effectivement issue de ce code source.

[finiasz]

C'est justement l'intérêt de l'open source : si vous ne faites pas confiance à la version distribuée par les stores, vous pouvez très facilement recompiler l'application à partir des sources. Le seul souci est l'absence de notifications push, et c'est pour cela que nous avons mis en place un système de websocket qui permet de s'en passer.

[Neustradamus]

To follow this ticket.

[gagzzz]

C'est un peu une blague les raisons citées pour ne pas rendre publique le backend. Aucune de ces raisons n'est réellement valable, d'un point de vue technique:

• Le modèle de sécurité d’Olvid vous protège de son serveur → ceci n'est pas une raison, c'est une excuse, une justification. Heureusement que l'E2EE protège (en partie) d'une faiblesse du serveur!
• Le code source actuel est aussi en grande partie de la configuration AWS → là non plus il n'y a AUCUNE raison de ne pas publier. Énormément de petits projets utilisent AWS et du "serverless" (avec d'énormes guillemets, cette réthorique de la magie des serveurs est vraiment pourrie).
• Le serveur d’Olvid est en évolution permanente → encore une tentative de justification! Quel appli d'IM ne voit pas son code évoluer continuellement?? Il n'y pas de raison de ne pas publier ce code. (et si les dev le voulaient, il serait possible de s'assurer dans l'appli de la version du serveur et agir en conséquence)
• Le risque de déni de service → AAH ! Enfin une vraie raison! Vous kiffez la sécurité par l'obscurité ! En vrai c'est naze, c'est aujourd'hui bien connu que ce modèle ne marche pas. Et concernant les DOS, juste au dessus vous assumez être dépendants d'AWS et de serverless, donc les DOS ça devrait aller non?

En tous cas voilà qui montre qu'il n'est pas possible d'avoir confiance en Olvid. Vous faites du blabla sur l'open-source et sur le fait que l'intelligence de l'appli se trouve dans les clients, mais vous refusez de livrer la source du backend. Ça n'a aucun sens, si ce n'est que vous cachez quelque chose, ou que vous souhaitez garder le monopole (auquel cas assumez-le, merde)

ciao

==== ENGLISH ====

I find the reasons to keep the backend closed-source exposed in Server and Open Source quite funny, from a tech perspective:

• Olvid’s security model protects you from its server → that is not a reason, that's a justification, some kind of fake apology. Glad E2EE reduces the potential harm of a vulnerable server! That's what it's for!
• The current source code is also largely AWS configuration → still not a reason to keep it private. So many little projects use AWS and so-called serverless infrastructure (but fuck the rhetorics of cloud servers… all that code is run on servers…)
• Olvid’s server is constantly evolving → lol that doesn't mean anything. What production code is not evolving? Quote me any IM server which code doesn't change… There is no reason to not publish that code.
• The risk of denial of service → AH! That's eventually a reason! You like Security through obscurity don't you! Surprisingly it's a known fact today that this model is a relic of the past and doesn't work in the modern world. With regards to DOS attacks, it should be fine right, since you use the AWS serverless, don't you think?

Anyways that all shows one shouldn't trust Olvid. You're talking about opensource and about how security is handled by the client app, but you refuse to publish the backend? Sorry but that doesn't make sense at all. Or maybe you're hiding something. Or maybe you just want to keep monopoly and should be clear about it.

bye