Johan Empa @JohanEmpa

13 posts10 participants0 posts today

**Kevin Karhan** @kkarhan@infosec.space · 1d

It's worse than any #IRC, #Mumble or even the old #TeamSpeak & #Skype for that matter.
It combines the disadvantages of #Forum, #paywalled #documentation, #chat and #voicechat with 0 redeeming qualities (unlike #Zulip & Mumble & #XMPP+#OMEMO) it's just an #InformationBlackhole!

I'm shure fecking #dread has better moderation and I'd rather use #MicrosoftTeams + #Slack cuz those at least have proper #moderation tools.

And I'd rather subscribe to the #LKML and see my inbox getting hosed than using any shitty #SaaS!

Case in point: I'd rather #SelfHost all my comms infrastructure than to ever use something like Discord or any other #GDPR-violating SaaS that is just enshittification.

I'd rather recommend people to instead choose a tool that does everything but horrible to go with multiple smaller & good tools

Public Chat? IRC!
Group Voicechat? Mumble.
#Documentation? #mkDocs-material.
1:1 Chats? XMPP+OMEMO.
E2EE Group Chats? #deltaChat.
E2EE Calls? #WebCall.
Filehosting? #IPFS, #BitTorrent, oshi.at, etc. ...
…

Check @alternativeto and @european_alternatives for options.

YouTubeThe problem With DiscordBy RoyaltyIsHere

Replied in thread

**Debacle** @debacle@framapiaf.org · 1d

Debacle @debacle@framapiaf.org

@rubdos @ts-new

I agree, that there is no server-side meta data protection on #XMPP. But it compensates by

1. impede mass data surveillance, thanks to federation, and

2. making multiple accounts, incl. anonymous and burner accounts, very easy.

Note, that most #Jabber clients do default to #OMEMO E2EE "on" now. It took a long time, though.

**Daniel Gultsch** @daniel@gultsch.social · 2d

Daniel Gultsch @daniel@gultsch.social

A big thank you to Radically Open Security for performing the audit and to @nlnet for funding it.

Radically Open Security has been a long term partner of #Conversations_im ever since they did the first #OMEMO audit back in 2016!

Recent audit: https://conversations.im/2025_audit_conversations.pdf
OMEMO audit: https://conversations.im/omemo/audit.pdf

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · 2d

Kevin Karhan @kkarhan@infosec.space

@Blaumensch1 @kuketzblog nein.

#XMPP+#OMEMO & #PGG/MIME mit #SelfCustody und Anbietern in der #EU, die keine Niederlassung, Geschäftsrätigkeit oder Anteilseigner aus den #USA haben.

Bspw.: @monocles / #monoclesChat und @delta / #DeltaChat.

#CloudAct greift für alle die in den #USA agieren oder dort ne Dependance/Mutter-/Tochtergesellschaft haben!

#cloudact

**Daniel Gultsch** @daniel@gultsch.social · 2d

Daniel Gultsch @daniel@gultsch.social

Looks like Dino is enabling #OMEMO by default for the next release¹. I think that was the last of the major #XMPP clients to do so. Hopefully we can now put the "But XMPP is not encrypted by default" debate to rest.

¹: https://github.com/dino/dino/commit/fc6447c56e7fdaf6f6d843a2215d870caee4aba0

Replied in thread

**Debacle** @debacle@framapiaf.org · 3d *

3d *

Debacle @debacle@framapiaf.org

@Madmonkey @kenobit

Sorry, if I misintpret your post, trying to understand Italian based on my mediocre Spanish

#XMPP itself does not define #e2ee, but almost all clients do support #OMEMO encryption, which is more or less copied from Signal.

In addition, you can choose a trustworthy provider, such a #cooperative or club.

Maybe for that reasons, German #police seems to believe (wrongly), that #Jabber (the traditional name of XMPP) were "the first pillar of #cybercrime"!

#UseJabberDoCrime

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · 4d

Kevin Karhan @kkarhan@infosec.space

@stormii @karl_ist_super

#Signal würd' ich mir auch nicht geben...

Nutze seit 15+ Jahren nur #XMPP+#OMEMO!

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · 4d *

4d *

Kevin Karhan @kkarhan@infosec.space

@joo4mart @phreaknerd @melsdung Ja und entgegen @nocci's reply liefer ich "Praktikable Lösungen" auch.

Wenn #TechIlliterates sich nen #NSAbook oder #Freemailer-Account anlegen können, dann können die sich auch nen @monocles - Account machen oder jeden beliebigen #XMPP+#OMEMO-Client einrichten lassen.

Ich helfe auch gern, nur gegen Unwillen und Faulheit kann ich nicht agieren.

Besonders wenn ich weder dafür bezahlt noch dazu authorisiert bin als #WohlwollenderDiktator entsprechendes durchzusetzen!

Gibt @cryptoparty@mastodon.earth / @cryptoparty@chaos.social für jene die sich drum scheren.

Den Rest bestrachte ich als #Risiko in Sachen #InfoSec, und leider hat meine Lebenserfahrung mir damit bisher immer Recht gegeben!

Macht doch was ihr wollt aber heult nicht wenn vorhersehbare Konsequenzen weh tun!

MastodonDer vegane Debianer 🇺🇦 🍀 (@joo4mart@social.tchncs.de)@phreaknerd @kkarhan@infosec.space @melsdung@nrw.social @nocci@punk.cyber77.de @torproject@mastodon.social @monocles@monocles.social Danke für die klare Sicht auf die wesentlichen Dinge. Zudem sollten wir immer bedenken, dass ca. 95% der Menschen keine Nerds sind, die sich stundenlang mit Details spezifischer Software beschäftigen wollen/können. Und für diesen vielen Menschen braucht es praktikable Lösungen.

#thxbye #EOD

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · 5d

Kevin Karhan @kkarhan@infosec.space

@phreaknerd @melsdung @nocci exakt deshalb rate ich zu #XMPP+#OMEMO ( @monocles & @gajim ) sowie #PGP/MIME ( @delta & @thunderbird ), denn nur #dezentral mit #SelfCustody aller #Keys besteht echte #E2EE!

Außerdem funktionieren die einwandfrei via @torproject / #Tor und damit auch noch #anonym!

Ich helfe gern "#Normies" und "#TechIlliterates" darauf umzustellen...

#normies #TechIlliterates

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · 5d *

5d *

Kevin Karhan @kkarhan@infosec.space

@pixelcode @phreaknerd @melsdung @nocci das bzgl. #Signal halte ich bestenfalls für ne #Werbelüge, weil nicht evidenzierbar!

Anders als @signalapp fällt @monocles jedenfalls nicht unter #CloudAct und verlangt keine #PersönlichenDaten.wie #Telefonnummer.

Und wer #monocles oder anderen Anbietern nicht vertraut kann #XMPP selbst.hosten und hat bei #OMEMO ohnehim doe Kontrolle über die Schlüssel.

Bei #Signal hingegen ist weder #SelfHosting noch #SelfCustody möglich!

Alles andere ist naiver Glauben dass @Mer__edith für Nutzer*innen Knast riskieren würde…
https://infosec.space/@kkarhan/114234551915193036

Infosec.SpaceKevin Karhan :verified: (@kkarhan@infosec.space)Content warning: Rant re: Signal Shills being dangerous Tech Illiterates

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · 6d

Kevin Karhan @kkarhan@infosec.space

@ainmosni @rysiek +9001%

Just like #IRC & #XMPP+#OMEMO and #PGP/MIME will do the same for #GroupChats and #Messaging in general!

Replied in thread

**Debacle** @debacle@framapiaf.org · 6d

Debacle @debacle@framapiaf.org

Whining about MS Windows

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · 6d

Kevin Karhan @kkarhan@infosec.space

@phreaknerd @melsdung @nocci bis darauf dass #Signal auch unter #CloudAct fällt und genauso zentralisiert ist wie #Telegram und genauso #TrustMeBro in Sachen Nicht-Kooperation agiert...

Geb' dir lieber #XMPP+#OMEMO, denn das geht über @torproject / #Tor und selbst wenn bspw. @monocles na Anfrage bekämen könnten die faktisch nichts brauchbares abgeben selbst wenn all deren Hardware beschlagnahmt würde.

#xmpp #omemo #tor

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · Apr 5

Apr 5

Kevin Karhan @kkarhan@infosec.space

@AndreasEsch Garnicht!

Dieselben Leute würden auch abhitlern wenn das deren Nachbarn machen!

Solche #Gruppenzwang|skinder kannste nur dazu zwingen, indem du konsequent auf #XMPP+#OMEMO migrierst und dich allem anderen verweigerst!!!

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · Apr 4

Apr 4

Kevin Karhan @kkarhan@infosec.space

@Wyatt_H_Knott precisely that

There are evidently superior alternatives like the #Fediverse & #XMPP+#OMEMO like @gajim / #gajim and @monocles / #monoclesChat.

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · Apr 1 *

Apr 1 *

Kevin Karhan @kkarhan@infosec.space

@byte roflmao!

Unlike #XMPP+#OMEMO... ^

**Daniel Gultsch** @daniel@gultsch.social · Mar 29

Mar 29

Daniel Gultsch @daniel@gultsch.social

There are no known security issues with "Siacs OMEMO" / OMEMO v0.3¹ despite of what some very loud Signal fans would like you to believe. It has been audited by a third party² who took a longer look at it than all of the Signal fans combined.

Yes, #OMEMO v0.7+ (or TWOMEMO ) is a cleaner spec with more features (most notably Stanza Content Encryption). That’s why we wrote it. I’m a co-author. That doesn’t mean v0.3 is insecure.

¹: https://xmpp.org/extensions/attic/xep-0384-0.3.0.html
²: https://conversations.im/omemo/audit.pdf

xmpp.orgXEP-0384: OMEMO Encryption

#XMPP

Replied in thread

**Kevin Karhan** @kkarhan@infosec.space · Mar 28

Mar 28

Kevin Karhan @kkarhan@infosec.space

@signalapp no it's not.

Otherwise #OrganizedCrime would choose #Signal so hard, you'd be shutdown within weeks by the #FBI and @Mer__edith would be forced to "pull a #LavaBit" and face jailtime for obstruction of justice or snitch on users!

Being a #centralized, #SingleVendor & #SingleProvider solution subject to #CloudAct makes you inherently vulnerable by your own choice and thus trivial to shutdown compared to real #E2EE with #SelfCustody of all the keys and true #decentralization as well as #SelfHosting (i.e. #PGP/MIME [see @delta / #deltaChat et. al.] and #XMPP+#OMEMO [see @monocles / #monoclesChat et. al.]!)