برنامج Session للمراسلات المجهولة / المخفية

Abdulrhman · 31 ديسمبر 2021، 9:00م

بسم الله الرحمن الرحيم
والصلاة والسلام على سيدنا محمد وعلى اله وصحبه وسلم
اما بعد :

نبدأ بسؤال افتتاحي : هل يوجد برنامج تراسل لا يجمع البيانات الوصفية وفي الوقت عينه يسمح بالتخفي / المجهولية ؟

الجواب هو نعم لقد كان ricochet يقوم بذلك الا انه توقفت تحديثاته <1> . ايضا toxchat لكنه لايخفي البيانات الوصفية ويوجد CWTCH تطوره بطيء ومطوريه هم ثلاثة اشخاص فقط والى الان لايدعم ارسال صور والتسجيلات الصوتية .

شعلة أمل

يعتبر Session خليفة Ricochet وهو برنامج تراسل مفتوح المصدر وتشفيره E2EE (المرسل والمستلم فقط لهما الوسائل لفك تشفير الرسائل) كما انه مبني على سيجنال يستخدم الراوترات البصلية وتقنيات اخرى للتراسل بتخفي كما انه لايطلب رقم هاتف او حتى البريد الالكتروني لانشاء حساب وهو غير مركزي وسناتي على شرح هذا لاحقا ان شاء الله .

النقاط التي سنتحدث عنها باذن الله في هذا المقال هي النقاط التالية :

بروتوكول Session وتشفيره وبعض المعلومات عنه
الفرق بين المركزية واللامركزية ومابينهما
ماهي المجموعات المفتوحة والمغلقة ؟
كيفية تثبيت وتسجيل حساب او بالأحرى Session ID
اضافة جهات اتصال
بعض المحدودات في Session
مميزات تحت التجريب
بعض تقنيات Session
عيوب Session
شرح واجهة البرنامج

1 - بروتوكول Session وتشفيره وبعض المعلومات عنه
في البداية كان session يستخدم بروتوكول سيجنال لكن اتضح لمطوري session فيما بعد ان بروتوكول سيجنال ليس مصمم للامركزية والتخفي .

هناك مرحلتين. المرحلة الأولى هي نسخة معدلة من بروتوكول session الذي يحافظ على التوافق العكسي مع عملاء session القدماء الذين لا يزالون يستخدمدون بروتوكول Signal (بروتوكول session مع التوافق مع الإصدارات السابقة)

هذه المرحلة قد انتهت اي ان البرنامج حاليا في المرحلة الثانية

المرحلة الثانية لايوجد بها طبقة التوافق العكسي ، هذا الإصدار من البروتوكول اسمه بروتوكول session (التنفيذ الكامل).

حديثنا هنا سيكون عن بروتوكول Session التنفيذ الكامل .

مميزات بروتوكول Session :

البساطة وسهولة ادارة مفاتيح التشفير :
يؤدي استخدام أزواج المفاتيح الحالية طويلة المدى إلى تبسيط الرسائل 1-1 بشكل كبير. لم تعد هناك حاجة لعمليات تبادل المفاتيح المعقدة و العمليات التي يصعب إدارتها بشكل خاص في بيئة لامركزية. <2> .
تعدد الاجهزة :
بموجب بروتوكول Session ، يمكن إعادة تنفيذ الأجهزة المتعددة من خلال مشاركة زوج المفاتيح طويل المدى للمستخدم مع جهاز جديد وتكرار الرسائل المرسلة مرة أخرى في سربهم الخاص وسناتي على كيفية فعل ذلك باذن الله <2> .
استعادة الحساب :
ستؤدي إزالة المفاتيح المؤقتة المخزنة فقط على جهاز محلي إلى زيادة إمكانية نقل حسابات Session بشكل كبير. هذا يعني أنه عند استعادة Session ID ، ستتمكن من تلقي رسائل جديدة على الفور <2> .
بساطة وسهولة الشفرة/الكود :
يحافظ بروتوكول Signal على ثلاثة تطبيقات معقدة ولكنها منفصلة لبروتوكول Signal بين عملاء Android و iOS وسطح المكتب.
تسمح بساطة بروتوكول Session بتنفيذ خطوط أنابيب التشفير وفك التشفير في أقل من صفحة بقيمة كود - كود يمكن توحيده بشكل فعال عبر جميع الأنظمة الأساسية. هذا يقلل بشكل كبير من صعوبة إجراء التغييرات المستقبلية ، كما أنه يسهل فهم البروتوكول وتحليله من منظور الأمان <2> .
مفتوح المصدر
سهولة انشاء حسابات متخفية /مجهولة وسهولة حذفها :
على عكس سيجنال وتيليجرام فان حسابات Session لاتحتاج الى رقم هاتف او بريد الكتروني . لذلك يمكنك انشاء حساب وحذفه في اي وقت يمكنك انشاء حسابات مختلفة . و لان حساب Session غير مرتبط برقم هاتف او بريد الكتروني فانه لا يدل (بسهوله) على هوية المستخدم الحقيقية <2> .
اللامركزية
الاسراب والراوترات البصلية :
تستخدم Session شبكة عقدة Oxen اللامركزية للتخزين وتوجيه الرسائل. هذا يعني أنه بخلاف تطبيقات المراسلة P2P يمكنك مراسلة مستخدمي Session عندما يكونون غير متصلين.

تتكون هذه الشبكة من العقد التي يديرها المجتمع والتي تتمركز في جميع أنحاء العالم. يتم تنظيم عقد الخدمة في مجموعات صغيرة مجموعات تعاونية تسمى الأسراب.
تقدم الأسراب وفرة إضافية وضمانات تسليم الرسائل حتى لو أن بعض عقد الخدمة
لا يمكن الوصول إليها.
و باستخدام هذه الشبكة ، لا يحتوي Session على نقطة مركزية
ولا يملك منشئو Session القدرة على الجمع أو التخزين معلومات شخصية عن الأشخاص الذين يستخدمون التطبيق.

للحماية من مراقبة الشبكة أو جمع معلومات حول المستخدمين ، كل رسائل Session تمر خلال الراوترات البصلية عبر الشبكة.

الراوترات البصلية
يتم توجيه كل رسالة مشفرة من خلال ثلاث عقد في Oxen شبكة عقد الخدمة ، مما يجعل من المستحيل فعليًا على العقد ان تقوم بتجميع معلومات ذات مغزى عن مستخدمي الشبكة. عندما يتم إرسال الرسالة ، ستعرف إحدى العقدة أن المرسل قد أرسل رسالة - لكن لا تعرف وجهتها وستعرف العقدة المختلفة أن جهاز الاستقبال لديه تلقيت رسالة ولكن لا تعرف مصدرها.
بتقييد إنشاء أو جمع البيانات الوصفية أو تحديدها يكتسب Session أيضًا مقاومة للرقابة <3> .

الحصول على الرسائل الحماية وتقليل المخاطر
نظرًا لأن جميع الرسائل في Session يتم توجيهها عبر الراوترات البصلية الى الاسراب ، فلا يمكن الحصول على الرسائل أثناء اتنقالها بواسطة مزودي خدمة الإنترنت أو عقد الخدمة في مسار الراوترات البصلية بسبب طبقات التشفير الإضافية التي توفرها . ومع ذلك ، يمكن الحصول على الرسائل من السرب ، إما عن طريق أي من العقد الموجودة في سرب المستلم (يتكون السرب في الغالب من 5-7 عقد خدمة ) أو بواسطة كيان آخر يقدم طلبًا إلى عقدة في سرب المستلم. <2> .

في الوقت الحالي ، لم تتم المصادقة على طلبات استرداد الرسائل ، مما يعني أنه يمكن لأي مستخدم طلب رسائل أي مستخدم آخر (وهي مشفرة). للحد من الحصول عليها ، سيطلب توقيعًا من المفتاح طويل المدى لمقدم الطلب. سيتم التحقق من صحة هذا التوقيع من خلال عقدة الخدمة ، مما يضمن أن الأطراف غير المصرح لها لا يمكنها الحصول على البيانات من الأسراب دون أن تكون قادرة على إنتاج توقيع من مفتاح طويل المدى ينتمي إلى رسالة مخزنة. هذا لا يمنع الحصول عليها في كل السيناريوهات , فيمكن لمهاجم يتمتع بموارد جيدة ودوافع كافية تشغيل عقد الخدمة وسحب الرسائل مباشرة من قاعدة البيانات الخاصة به. ومع ذلك ، سيكون هذا مكلفًا جدا نظرًا لمتطلبات التخزين اللازمة لتشغيل عقدة الخدمة (مايقدر ب 15000 دولار ). بالاضافة الى ،أن عقد الخدمة لا يمكنها اختيار أسرابها ، فإن استهداف مستخدمين معينين سيكون صعبًا لدرجة الاستحالة العملية <2>.

ملخص ماسبق :
يقلل بروتوكول Session بشكل كبير من تعقيد التطبيق ، ويزيد من إمكانية نقل الحساب ، كل ذلك مع زيادة الموثوقية وجعل الميزات المطلوبة بشدة مثل تعدد الأجهزة ، واستعادة الحساب ، والتحسينات القادمة الأخرى أسهل في التنفيذ بشكل كبير <2> .

2- الفرق بين المركزية و اللامركزية و مابينهما

المركزية
هي ان تدير جهة واحد جميع الخوادم ومشكلتها بالنسبة الى الخصوصية ان هذه الجهة ستخزن البيانات الوصفية كما انه يمكن لجهة معينة تملك السلطة بارغامها على الاطلاع على بيانات المستخدمين , مثل الواتساب والتيليجرام وسيجنال .

شبه اللامركزية
هي ان تدير عدة جهات عدة خوادم فيمكن للمستخدم اختيار الجهة التي يثق بها او انه يستضيف خادم شخصي والشبه المركزية افضل من المركزية ولكن مشكلتها تكمن بانك يجب ان تثق بجهة معينة او ان تستضيف خادم شخصي و ليس بمقدور الجميع استضافة خادم شخصي فقط ليدير بياناته مثل شبكة ماتركس الاتحادية .

اللامركزية
كل مستخدم مسؤول عن بياناته لايوجد جهة تتحكم بالبيانات مثل Toxchat , Ricochet , Session .

وSession لامركزي لكن هذا لاينطبق على المجموعات المفتوحة وسناتي على ذكرها باذن الله تعالى.

3- ماهي المجموعات المفتوحة والمغلقة ؟

المجموعات المغلقة :
المجموعات المغلقة عبارة عن محادثات جماعية مشفرة بالكامل من طرف إلى طرف. يمكن ل 100 شخص المشاركة في دردشة جماعية مغلقة. يتم تخزين رسائل المجموعة على الشبكة اللامركزية session ، دون استخدام أي خادم (خوادم) مركزية <4> (Groups).

المجموعات المفتوحة :
المجموعات المفتوحة هي قنوات عامة كبيرة حيث يمكن لمستخدمي Session التجمع ومناقشة أي شيء يريدون. المجموعات المفتوحة ، على عكس الخدمات الأخرى في Session ، مستضافة ذاتيًا وبالتالي فهي ليست لامركزية بالكامل(شبه لا مركزية). يجب على شخص ما تشغيل خادم يخزن سجل رسائل المجموعة المفتوحة. بالإضافة إلى ذلك ، نظرًا لأن خوادم المجموعة المفتوحة يمكن أن تخدم آلاف المستخدمين ، فإن الرسائل يتم تشفيرها فقط أثناء نقلها إلى الخادم بدلاً من أن تكون مشفرة بالكامل من طرف إلى طرف(باختصار مثل الغرفة العامة في ماتركس) <4> (Groups).
يتم تحديد سياسات الاعتدال من قبل المجتمع الذي سيدير الخادم شبه اللامركزي .

ملاحظة هامة : في المجموعات المفتوحة سيظهر حساب session الخاص بك مثلما يحدث في تيليجرام وماتركس ولكن هذه تعتبر مشكلة بالنسبة لsession كما انه اذا حدثك شخص غريب وطلب معلومات شخصية فقم بحظره مباشرة لانه اذا قام باي شيء فلايمكنك استرداده ولن تعلم من هو

4- كيفية تثبيت Session وتسجيل Session ID

يمكن تثبيت session على كل الانظمة تقريبا لتحميله اذهب الى موقع التحميل

ونختار النظام الذي نريده ثم نقوم بتثبيته بالنسبة الى دبيان فهناك مستودع خاص به ايضا Session لديه مستودع على اف-درويد <4> (Privacy > Can you list Session on F-Droid).

وسنبدأ بانظمة الهواتف تحديدا الاندررويد
اولا كيفية اضافة مستودع اف-درويد
نذهب الى الاعدادت ثم المستودعات ثم نضغط على زر ال+ الموجود في الزاوية

ننسخ رابط المستودع ونلصقه في مكانه رابط المستودع ثم ننسخ الfingerprint ونلصقه في مكانه المخصص كما في الصورة :

ثم نحدث المستودعات في اف درويد من خلال سحب الشاشة من الاعلى الى الاسفل وبعد ذلك نقوم بالبحث عن session ونقوم بتثبيته .

تسجيل حساب Session

نضغط على Create Session ID
ستظهر لك شاشة مكتوب عليها Say hello to your SESSION ID وباختصار شديد Session ID هو بمثابة رقم الهاتف في التيليجرام او الواتساب .

نضغط على الاستمرار ( continue)

اكتب اسمك ومن ثم continue

والان سيظهر خياران كلاهما يتعلقان بالاشعارات الاول الوضع السريع ويتم فيه استخدام خدمات جوجل او ميكرو جي

الخيار الثاني هو الوضع البطيء وطريقة عمله هي انه سيعمل في الخلفية وسيقوم باشعارك في حال وصلت رسائل جديدة , اختر ماتريد

تم بحمد الله انشاء الحساب نختم هذا الامر بحفظ الrecovery phrase

ماهو الrecovery phrase ؟
نظرًا لأن Session لا يحتوي على خادم مركزي يخزن معلومات حول هويتك ، فإن استعادة حسابك باستخدام طريقة اسم المستخدم وكلمة المرور التقليدية غير ممكنة. عبارة الاسترداد الخاصة بك عبارة عن بذرة يمكن استخدامها لاستعادة معرف Session الحالي إلى جهاز جديد

تأكد من تخزينه في مكان آمن! <4> .

نضغط على continue

نضغط على copy ونقم بحفظ الrecovery phrase في مكان امن

لايختلف الامر في لينوكس و الانظمة الاخرى .

كيف ندخل على مجموعة session المفتوحة ؟
قام مطوري session بعمل مجموعة مفتوحة يوجد بها اكثر من 3000 شخص

في الهواتف نضغط على علامة + الخضراء ثم على شكل كوكب ستظهر مجموعات مفتوحة قام مطوري Session بوضعها افتراضيا .

5-اضافة جهات اتصال

لاضافة شخص ما نعطيه Session ID او هو من يعطينا الSession ID من خلال ارسالها نصيا او ارسال رمز الQR

1- نضغط على ايقونة الحساب

2- ننسخ Session ID

3-او من خلال استخدام رمز QR

اذا احد ما ارسل لنا Session ID الخاص به فكيف نقوم باضافته ؟

بالضغط على علامة ال+

ونضع Session ID الخاص به المكان الظاهر في الصورة ومن ثم نضغط next

6-محدودات في Session

بعض المحدودات في Session : -

لايمكن ارسال ملفات حجمها اكبر من 10 ميجا وهذا يؤثر على المقاطع المرئية والتسجيلات الصوتية ولكن يمكن استخدام onion share او Muwire .
لايوجد حتى الان نسخ احتياطي .

7 - مميزات في المرحلة التجريبية :

تحت التجريب :

الاتصالات
p2p

مخطط لها :
امكانية رفع حجم الملفات اكبر من 20 ميجا

8- بعض التقنيات التي تستخدم في Session :

تقنية Lokinet
راوترات بصلية قوية وسريعة بما يكفي للتعامل مع الاتصالات الصوتية في الوقت الفعلي ، مما يجعله جزءًا مهمًا من خطة إضافة مكالمات صوتية مشفرة من طرف إلى طرف (قد تكون ميزة مدفوعة).

ملاحظات:
1-على الحاسوب و الهاتف يمكن اغلاق session بكلمة سر
2- ان كنت تريد تصوير الشاشة في الهاتف قم تعطيل المنع من خلال الاعدادات > الخصوصية .

9- عيوب Session :
1-النمو السريع :
قد يتساءل البعض كيف يمكن ان تكون هذا عيبا ؟ اليس هذا امر جيد ؟
هو امر جيد بلاشك بل هو امر عظيم لكن هذا لا يعني انه ليس لديه جانب سيء , ماهو الجانب السيء ؟
النمو السريع يعني اضافة مميزات وحذف بعض الاشياء الغير مفيدة , بطريقة اخرى التعديل على الشفرة المصدرية .
صحيح انه هناك فريقا امنيا فحص شفرة Session من قبل لكن النمو السريع لهذا البرنامج يعني تعديل الشفرة بكثرة لذلك الفحص(audit) لايعتبر مفيدا الان .
ولقد سالت احد المطورين على مجموعة Session المفتوحة ان يقوموا بعمل فحص جديد لكنه قال : الفحص الامني من طرف ثالث غير مفيد ويكلف الكثير من المال والفحص الداخلي اكثر فائدة .
لكن بما ان Session مفتوح المصدر فيمكنك قراءة الشفرة بأي وقت .

2- المميزات المدفوعة :
هناك خطة لوضع بعض المميزات المدفوعة في Session وذلك للاسباب التالية :

1- بعضها يحتاج الى الكثير من المال

2-ازدياد المستخدمين بشكل كبير

من وجهة نظري الدعم المادي امر مهم لاستمرار المشروع وعدم موته مثل Ricochet او ان يصبح غير مفيد مثل CWTCH لكن هذا لايعني ان جعل بعض الميزات مدفوعة ليس من عيوب هذا المشروع <5>.

10 - واجهة برنامج Session :

على لينوكس :

1 : يظهر مسار الراوترات البصلية
2 : التبيديل بين المظهر الليلي والنهاري
3 : الدخول الى المجموعات المفتوحة
4 : انشاء مجموعة مغلقة
5 : اضافة شخص جديد
6 : الملف الشخصي للحساب
7 : جهات الاتصال
8 : الاعدادات

على الهاتف (اندرويد) :

1 : الملف الشخصي
2 : مسار الراوترات البصلية
3 : اضافة اشخاص وانشاء مجموعة مغلقة و الدخول الى مجموعات مفتوحة

1 : اضافة شخص ما
2 : انشاء مجموعة مغلقة
3 : الدخول الى المجموعات المفتوحة

تساؤلات :

هل يمكن تشغيل Session على هونكس ؟ وهل هذا امن ؟
هل يوجد فرق في الامان اذا استخدم Session على لينوكس بدلا من الاندرويد ؟
هل تم عمل audit ل Session ؟ نعم

هذا الموضوع فائز بجائزة أسس للكتابة

هذا الموضوع فائز بجائزة أسس للكتابة وهي اول جائزة عربية مخصصة للكتابة عن البرمجيات الحرة والمفتوحة.

الموضوع متوفر على مدونة gnulinuxsa هنا:

Abdulrhman · 31 ديسمبر 2021، 9:40م

Session ID الخاص بي سيكون موجود في ملفي الشخصي
وساقوم بانشاء مجموعة مغلقة لمن اراد التجربة

FarisZR · 1 يناير 2022، 9:40م

جميل لديهم ميزات رهيبة. وتطبيقهم حاليا افضل من element.

لكن ارى ميزه شبكة ماتركس هي البساطة والاعتماد.
يعني ماتركس هي شبكة عادية تعاملها كانها بريد. ليست مربوطة بعمل رقمية او اي شيء غريب ليس له علاقه بالشبكة.
فقط سيرفرات و api محدد, مع معايير محدده اي احد يطبقها ويصبح لديه سيرفر ماتركس.

بالاضافة كما قلت معتمد, فهو مستخدم من 12 حكومة الان. وسوف يستخدم بشكل مكثف في القطاع العام.
وبالنسبه للامركزية الكاملة… يعني عدم اعتماد على اي سيرفر, ماتركس يعمل على هذا بطريقة ذكيه. من ارسال رسائل بدون انترنت الى عمل اتفاق بين مستخدم وسيرفر بحيث لا تضيع الرسائل عند ارسالها والمستخدم غير متوفر.

ايضا من السهل اكتشاف الاشخاص. لا داعي لكود عشوائي او qr. فقط اسم مع دومين وانتهى.

Kaaled · 1 يناير 2022، 11:03م

تطبيق جميل أستخدمه منذ 3 أشهر مستقر و أنصح به.

Abdulrhman · 2 يناير 2022، 11:25ص

ماتركس رهيب وممتاز لكنه لايهتم بالتخفي او المجهولية لان هذا ليس الهدف منه .

لا تضيع الرسائل عند ارسالها والمستخدم غير متوفر.

حتى Session
يوجد مايسموه TTL (Time-to-live) وهي المدة التي تبقى فيها الرسائل محفوظة داخل الاسراب , بعد هذه المدة يتم حذف الرسائل من الاسراب

FarisZR · 2 يناير 2022، 12:03م

التخفي ممكن في ماتركس.
يمكنك فتح سيرفر داخل شبكة تور, ويمكنك انشاء حساب وهمي مثل بريد بروتون مثلا.
لذلك لا ارى مشكله فيه. وليست فيه مشاكل session من ناحيه اكتشاف المستخدمين.

لذلك هو سهل للجميع. ويمكنك التخفي فيه.

Abdulrhman · 2 يناير 2022، 1:57م

هل يقوم بمحو البيانات الوصفية ؟ وهل قام احد بتجربة الامر ؟

FarisZR · 2 يناير 2022، 2:17م

بالنسبه للشبكة لا يوجد اي شيء يمنعه ان يعمل على تور. فقط لن يستطيع التواصل مع الناس خارج تور.
اما بالنسبة للبيانات الوصفية اتوقع انهم يعملون على تخفيفها. بس بما انها شبكه عامه صعبه تنهيها بالكامل لانك تتعامل مع عده سيرفرات بعده اصدارات

Abdulrhman · 2 يناير 2022، 2:37م

فقط لن يستطيع التواصل مع الناس خارج تور.

اذا لم تستطع استخدام وسيلة تواصل للتواصل فلن تكون هناك فائدة منها

بما انها شبكه عامه صعبه تنهيها بالكامل لانك تتعامل مع عده سيرفرات بعده اصدارات

ايضا اقرا ماتحت Australia في FAQ لتعلم ماهيو تاثير البيانات الوصفية على خصوصية المستخدمين .

FarisZR · 2 يناير 2022، 2:41م

في حاله استخدامك لتور فانت تريد ان تتواصل مع ناس محددين.
وحسب التطورات الاخيره وهي عدم ربط حساب بسيرفر معين قد يصبح مثل tormail.

اما بالنسبه للبيانات الوصفية. برنامج session تعامله كانه سيجنل, لكن سيرفراته نفسها غير مركزية.

ماتركس تعامله كبريد. هناك الف سيرفر باصدارات مختلفه قد لا يتبعون المعايير نفسهم وقد يستخدمون برمجيات مختلفة. هذا جزء من نجاحة.

الفرق ان البريد معيار حجري لا احد يريد ان يغيرة وماتركس معيار قوي مطلوب ومحدث

Abdulrhman · 2 يناير 2022، 2:46م

افكار ماتركس جميلة سنرى ذلك باذن الله في الايام القادمة .

Abdulrhman · 4 يناير 2022، 7:33م

السلام عليك ورحمة الله اخي @Anonymous مارأيك بالامر

Anonymous · 11 يوليو 2022، 6:08م

شكرا لك اخي @Abdulrhman مجهود رائع جزاك الله خير الجزاء.

ملاحظه: قمت باصلاح بعض الاخطاء الاملائيه الطفيفه.

هونكس(محطه العمل) يجعل جميع اتصالاتك تذهب عبر تور وتنصيب سيشن فيه يعني ان سيشن لن يعرف ابدا الIP الحقيقي الذي تتصل منه, ولكن لا يمكن عمل اتصال هاتفي اذا كان اتصالك عبر Tor.

بحسب اطلاعي على سيشن فهو لا يستخدم تور في اتصالاته ولكن فقط يستخدم نفس التصميم لذلك هو لا يواجه مشكله Tor over Tor اذا استخدم مع تور فهو امن في الاستخدام مع تور.

اضافه بعض العيوب الاخرى لسيشن:

بطئ الردود والتفاعل مع المشاكل التي ينبه اليها مثال: (وفي الامثله الاخرى ايضا)

قام بحذف خاصيه الPFS مقارنه ببروتوكول Signal وهذا تقليل امني:

github.com/oxen-io/session-desktop

Perfect forward secrecy

مفتوحة 10:35AM - 20 May 22 UTC

مغلقة 05:36AM - 11 Aug 22 UTC

slrslr

1) "Session does [not](https://getsession.org/blog/session-protocol-technical-i…nformation) support perfect forward secrecy, which is when an encryption system automatically and frequently changes the keys it uses to encrypt and decrypt information, such that if the latest key is compromised it exposes a smaller portion of sensitive information." Source: https://www.privacyguides.org/real-time-communication/#session 2) "Does the app enforce perfect forward secrecy? No" Source: https://www.securemessagingapps.com Maybe Session does not collect significant amount of "sensitive information", yet can it be improved by having perfect forward secrecy? https://www.perfectforwardsecrecy.com/index.php https://www.signal.org/blog/asynchronous-security/

يوجد لديه مشكله في الاتصالات البصليه الخاصه به:

github.com/oxen-io/session-desktop

Flawed path selection which effect anonymity

مفتوحة 11:46PM - 01 Jun 22 UTC

Nurmagoz

**Describe the bug** Session use 3 nodes located on different areas which mak…es it hard to track who is using and where its going depend on the ends: (area = country = ISP) you -> X node in area 1 (know who you are) -> Y node in area 2 (doesnt know who you are, where are you going) -> Z node in area 3 (know where are you going but not who you are) -> Friend This is good if XYZ located on different areas of the world. But where it will be bad path? : If X and Z located in the same area then the whole 3 points of connections will be reduced to one: you -> X node in area 1 (know who you are) -> Y node in area 2 (doesnt know who you are, where are you going) -> Z node in area 1 (**know who are you and where are you going**) -> Friend So the 3 nodes can be drawn similar as this: you -> X node in area 1 (**know who are you and where are you going**) -> Friend **To Reproduce** Can bee seen from session path **Screenshots or Logs** ![session-path](https://user-images.githubusercontent.com/11895339/171519224-83a1804f-be1d-4462-8558-d32aceda5989.png) **Other information (please complete the following information):** * Device: PC * OS: Debian 11 * Session Version or Git commit hash: v 1.8.6 --------------- Wow getting wider: ![funnysessions](https://user-images.githubusercontent.com/11895339/206952786-69e28839-4fdb-4b9b-b0e5-53071ac24857.png)

مشاكل امنيه اخرى في تساؤل:

github.com/oxen-io/session-desktop

session private messenger does not consider supply chain attacks yet?

مفتوحة 08:30AM - 17 May 22 UTC

مغلقة 04:53AM - 03 Feb 23 UTC

adrelanos

help wanted

The copay wallet (hosted by bitpay, a big Bitcoin payment processing company) ha…d backdoor: <blockquote>If more than 100 BTC, steal it. Otherwise, don’t bother.</blockquote> sources: * https://www.synopsys.com/blogs/software-security/malicious-dependency-supply-chain/ * https://github.com/dominictarr/event-stream/issues/116 * https://github.com/dominictarr/event-stream/issues/116#issuecomment-441759047 How does session private messenger mitigate such issues supply chain attacks?

من باب التنبيه: مقره سيشن في استراليا واستراليا لديها قانون يجبر الشركات على التعاون مع الامن وعمل ابواب خلفيه واعطاء مفاتيح التشفير وقام سيشن بتوضيح ذلك:

muji · 13 يوليو 2022، 7:49م

موضوع جميل جدا، ومجهود احترافي في الشرح والسرد وتصميم الصور. شكر الله لك.

رأيي الشخصي أن عنوان موضوعك لا يعبر عن محتواه القيم بالشكل المطلوب، فأنا شخصيا ظننت لوهلة قبل الدخول أنها مقدمة بسيطة عن تطبيق Session. لكن بعد اطلاعي على الموضوع وجدت أنه تتوفر فيه شروط المراجعة الكاملة، فقد شرحت البروتوكول وآلية العمل، شرحت مفهوم اللامركزية، شرحت تثبيت التطبيق وشرحت واجهته بالصور المرفقة، بالإضافة للميزات والعيوب.
لذلك أقترح عليك بعد إذنك أن تضيف كلمة “مراجعة” لعنوان مقالك، علَّ ذلك يكون وسيلة جذب لمثل هذا المحتوى القيم.

Nullium0000 · 4 مارس 2026، 12:49ص

شرح جيد احسنت عملاً يا صديقي

لكن لدي ملاحظه :-

إلا يوجد مجتمع عربي واحد مفتوح عليه هذا غريب انه تطبيق يوفر التخفي و بعد كل هذا الوقت بالكاد اري روابط لمجتمعات عربيه عليه و الاجانب عندهم مجتمعات مفتوحه كثير نحتاج لمجتمع او اثنين معروف روابطهم و جاهزين للاستقبال و موجهين للعرب

و أيضا قد يكون من الصعب الانتشار في المجتمعات السريه دون مجتمع واحد مفتوح وهذا ما يجعل الأمر أكثر سهوله و متعه

موقعهم group session بصراحه غبي تصميمه و انا مو ملاقي روابط لو احد موافق ممكن نسوي مجتمع عربي علني في التطبيق و نخليه للنقاش عن مختلف الأشياء و بما انه مجهول بيكون في حريه التعبير

ما رايكم

هذا المعرف الخاص بي

055ff82dc32d9df18e760de3db6aefc87d862f26a764dcc42c108df47bc6d5dd61

تواصل معي لأنشأ واحد او نتناقش

Mohamed7AbdELhalim · 10 مارس 2026، 1:48ص

موجود لمنصة أسس

Nullium0000 · 10 مارس 2026، 7:09م

حقاً لا أجد رابط خاص تطبيق session

Mohamed7AbdELhalim · 16 مارس 2026، 11:06ص

على ماتريكس

Mohamed7AbdELhalim · 16 مارس 2026، 11:08ص

أنا جاهز للتجربة

Mohamed7AbdELhalim · 16 مارس 2026، 11:09ص

أين هذه الميزة؟ Brir?