Hacker News

Erakutsi HN: Terminal Telefonoa - E2EE Walkie Talkie Komando lerrotik

Iruzkinak

11 min read Via gitlab.com

Mewayz Team

Editorial Team

Hacker News

Garatzaileek beren telefonoa eraikitzen dutenean: Pribatutasun-lehenengo negozio-komunikazioaren gorakada

Hacker News-en azken argitalpen batek mundu osoko milaka ingeniariren arreta erakarri zuen: garatzaile batek guztiz enkriptatutako walkie-talkie bat eraiki zuen, erabat komando-lerrotik exekutatzen dena, aplikazio-dendarik, zerbitzari korporatiborik, harpidetzarik gabe. Erantzuna berehalakoa eta elektrikoa izan zen. Ehunka iruzkin gainezka sartu ziren - zaletuenak ez ezik, CTOen, segurtasun-ikertzaileen eta startup-en sortzaileen eskutik, guztiak isil-isilik frustrazio bera jasan zuten: negozio-komunikazio-tresna modernoak, beren leundu eta integrazio guztietarako, funtsean hautsita daude pribatutasunari dagokionez. Terminal Telefonoak nerbio bat jo zuen asteburuko hackea baino zerbait sakonagoa adierazten duelako. Enpresa gehienek lozorroan hartu duten zaintza lagungarria den eta datuak biltzeko komunikazio-azpiegituraren arbuio gero eta handiagoa da.

Zure Slack laneko eremuaren sekretu zikina

Enpresa-jabe gehienek uste dute komunikazio-plataforma bat ordaintzeak beren elkarrizketak pribatuak direla esan nahi duela. Ez dira. Mezularitza-plataforma nagusiek - Slack, Microsoft Teams, baita bideokonferentzia-tresna askok ere - hornitzaileak enkriptatze-gakoak dituen arkitekturan funtzionatzen dute. Horrek esan nahi du plataformak zure taldeak bidaltzen dituen mezu guztiak irakur ditzakeela, eta jurisdikzio batzuetan legez behar duela. Zure prezioen estrategiako elkarrizketak. Eskuratze-helburuei buruzko eztabaidak. Langileen gai sentikorrei buruzko HR-ko eztabaidak. Hori guztia zuk kontrolatzen ez dituzun zerbitzarietan dago, inoiz adostu ez dituzun alderdiek irakur dezaketela.

Zenbakiak soberan daude. Electronic Frontier Foundation-ek 2024ko inkesta batek aurkitu zuen enpresen komunikazio-tresnen % 12k baino gutxiagok benetako enkriptatzea muturreko enkriptatzea eskaintzen dutela modu lehenetsian. Beste % 88ak segurtasun ikertzaileek "garraioan enkriptatzea" deitzen dutena eskaintzen du; horrek lasaigarria dirudi baina zure mezuak Interneten bidaiatzen duzun bitartean nahastu egiten direla esan nahi du, gero deszifratu eta hornitzailearen zerbitzarietan irakurtzeko moduan gordetzen direla. 10 pertsonako abiarazte baterako, baliteke hau konpromezu onargarria iruditzen. nominaren datuak, HR erregistroak eta bezeroen finantza-informazioa kudeatzen dituen 138.000 erabiltzaileko plataforma batentzat, bistan ezkutatzen den erantzukizuna da.

Terminal Phone proiektuak hutsune hori modu basatian agerian utzi zuen. Kendu Interfazea, emoji erreakzioak, kanalen hierarkiak eta talde-komunikazio gehienetarako behar duzuna, egia esan, nahiko txikia da: hitz egiteko modu bat, entzuteko modu bat eta nahi duen hartzaileak bakarrik esandakoa deskodetu dezakeen bermea. Terminal Telefonoak hirurak ematen ditu komando-gonbita batetik. Minimalismoa ez dela muga bat; diseinu-filosofia bat da, enpresek komunikazio-segurtasunari buruz nola pentsatu behar duten inplikazio larriak dituena.

Mutur-bukaerako enkriptatzea benetan zer esan nahi du zure negozioarentzat

Mutur-bukaerako enkriptatzeak (E2EE) esan nahi du mezuak igorlearen gailuan enkriptatuta daudela eta hartzailearen gailuan soilik deszifratu daitezkeela. Zerbitzariak —edo pareko tresnen kasuan, edozein errele-azpiegiturak— ez du inoiz eduki zure edukia irakurtzeko gai diren gakoak. Pentsa ezazu norbaiti gutun-azal itxi bat ematearen eta mezulari bati postal bat ematearen eta irakurtzen ez duen itxaropenaren arteko aldea dela.

Enpresentzat, E2EE benetakoak arrisku-kalkulua guztiz aldatzen du. Zure komunikazio-hornitzailearen datu-urratze batek ezin du zure mezuaren edukia agerian utzi hornitzaileak inoiz deszifratzeko gaitasunik izan badu. Zure elkarrizketetarako gobernuaren zitazioek ez dute ezer erabilgarria. SaaS saltzaileko atsekabetuta dagoen langile batek ezin du zure barneko eztabaidetara sartu. Hauek ez dira mehatxu teorikoak: benetako negozioei eragin dieten gertakari dokumentatuak dira, plataforma-hausteetan komunikazio pribilegiatuek agerian utzi zituzten enpresa juridikoetatik hasi eta erosketa-negoziazioak ustez arriskutsuak diren saltzaileen langileen bidez filtratutako enpresa berrietaraino.

"Komunikazio tresna seguruena eraiki zuen enpresak ere zure mezuak irakurri ezin dituena da. Hori ez da ezaugarri bat; enpresa-plataforma gehienek nahita saihestu duten arkitektura-aukera da, zure datuak haientzat zure pribatutasuna zuretzat baino baliotsuagoak direlako."

Terminal Phone-k erakutsitako walkie-talkie ereduak beste dimentsio bat gehitzen du: iragankortasuna. Ahots bidezko irrati-komunikazio tradizionalak ez du transkripziorik, ez bilaketarik egin daitekeen artxiborik, ez zerbitzari batean eserita dagoen erregistro iraunkorrik zitazioa edo hackeatua izateko zain. Negozio-elkarrizketa jakin batzuetarako (negoziazio sentikorrak, giza baliabideen aurretiazko eztabaidak, erabaki formal bat hartu baino lehen estrategia-saioetarako) enkriptatutako ahots-komunikazio iragankorrak gaur egun enpresa-tresna nagusirik ez duen babes-profila eskaintzen du.

Garatzaileen Komunitatea Kanariar gisa Ikatz Meategian

Ez da kasualitatea Terminal Phone garatzaileen komunitatetik atera izana. Komunikazio-sistemak eraikitzen dituzten ingeniariek gehienek baino hobeto ulertzen dute nola funtzionatzen duten zehatz-mehatz eta konfiantza non jartzen den inplizituki —eta askotan justifikagabe—. Garatzaileak lehendik dauden plataformak erabili beharrean beren komunikazio-tresnak hutsetik eraikitzen hasten direnean, lehendik dauden plataformek benetako beharrizan bat bete ez dutela adierazten du.

Eredu hau teknologiaren historian zehar errepikatu da. Lehendik zeuden posta elektronikoko bezeroek garatzaileei huts egin zienean, Mutt eraiki zuten. Lehendik zeuden IRC bezeroak ez zirenean, Weechat eta irssi eraiki zituzten. Slack zaindua eta zaratatsua sentitzen hasi zenean, garatzaileek Mattermost eta Matrix bezalako auto-ostatatutako alternatibak eraiki zituzten. Terminal Telefonoa leinu honetako azken sarrera da: beste pertsona batekin modu seguruan hitz egin nahi zuen norbaitek eraikitako tresna bat, hirugarrenek giltzak, erregistroak edo leveragerik eduki gabe.

Enpresen liderrentzako ondorio praktikoak nabarmenak dira. Zure ingeniaritza-taldea komunikazio-tresna alternatiboak aztertzen edo eraikitzen ari bada, portaera hori ez da zaletasun bitxi bat, antolakuntza-seinale bat da. Zure langile teknikoak, egunero erabiltzen dituzun tresnen arkitektura ulertzen dutenak, ez dira komunikazio sentikorretarako tresna horietaz fidatzen. Tresna ofizialen eta benetako segurtasun-beharren arteko hutsune horrek arreta exekutiboa merezi du.

Enpresa bakoitzak bere komunikazio-pilari buruz egin beharko lituzkeen bost galdera

Terminal Phone eztabaidak galdera sorta erabilgarria sortu zuen, informazio sentikorra maneiatzen duen edozein erakundek bere egungo komunikazio tresnei buruz erantzun beharko lituzkeenak. Enpresa gehienek erantzun zintzoak kezkagarriak izango dituzte.

  • Nork ditu enkriptatze-gakoak? Erantzuna zure saltzailea bada zure erakundea baino, zure mezuak ez dira benetan pribatuak.
  • Zer gertatzen da mezuen datuekin saltzailea eskuratzen bada edo porrot egiten badu? Mezuen artxiboak enpresari transferitzen zaizkion aktibo baliotsuak dira.
  • Zure saltzailea legez behartuta egon daiteke zure mezuak aurkeztera? Jurisdikzio gehienetan, plataforma gehienetan, erantzuna baiezkoa da.
  • Zure egungo tresnak E2EE egiaztagarria eskaintzen al du, edo enkriptatzeari buruzko marketin-hizkuntza besterik ez? Eskatu dokumentazio teknikoa, ez salmenta-materiala.
  • Ba al duzu zure plataforma nagusia saihesten duen benetako eztabaidak egiteko komunikazio-protokolorik? Erakunde gehienek ez dute, eta hau segurtasun hutsune esanguratsua da.
  • Nola jakingo zenuke zure komunikazio-plataforma arriskuan egon balitz? SaaS tresna gehienentzat, erantzuna hau da: ziurrenik ez zenuke egingo, beranduegi izan arte.

Hauek ez dira galdera paranoikoak. Segurtasunarekin arduratzen den edozein erakundek erantzun beharko lituzkeen oinarrizko behar den diligentzia galderak dira. Gehienek ezin dutela hitz egin komunikazio-tresna modernoen erosotasunak oinarrizko segurtasun-pentsamendua lekuz aldatu duen.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Komunikazio segurua enpresa-sistema eragile moderno batean integratzea

Enpresa gehienen erronka ez da haien komunikazio-segurtasuna desegokia denik identifikatzea; komunikazio-praktika seguruagoak integratzea da, eraiki duten lan-fluxuaren eraginkortasuna suntsitu gabe. Hor dago Mewayz bezalako tresnen atzean dagoen filosofia. CRM, HR, nominak, fakturak eta talde-eragiketak finkatzen dituen negozio-sistema eragile modular batek ez ditu datuak zentralizatzen soilik, negozio-funtzio guztietan segurtasun-politika koherenteen oinarri arkitektonikoak sortzen ditu.

Taldearen komunikazioa, proiektuen kudeaketa, bezeroen datuak eta finantza-erregistroak gobernatutako plataforma bakar batean bizi direnean, zerbait kritikoa lortzen duzu: datuak tratatzeko politika koherenteak aplikatzeko eta betearazteko gaitasuna. Segurtasuna ez da tresna indibidualetan lotzen duzun ezaugarria; nahita arkitekturatik sortzen den propietate bat da. Datuen subiranotasuna eta segurtasun modularra kontuan hartuta eraikitako plataformei esker, erakundeek defini dezakete, adibidez, HR eztabaidak edo bezeroen finantza-negoziazio-kategori batzuek enkriptatze estandar handiagoak behar dituztela, eta, ondoren, politika hori automatikoki betearaztea, langile indibidualengan unean unean tresna egokiak egiteko konfiantza izan beharrean.

Walkie-talkie paradigmak komunikazio-modalitateei buruzko ikasgai bat ere eskaintzen du. Enpresa-elkarrekintza guztiak ez dira testuak izan behar, bilaketak egin daitezkeenak eta betiko artxibatuak. Mewayz-ek negozio-funtzio anitz teilatu baten azpian integratzeko aukera ematen du mailakako komunikazio-moduak eskaintzeko (non ohiko eragiketek kanal estandarrak erabiltzen dituzten eta benetako eztabaida sentikorrak berme handiagoko protokoloen bidez bideratzen dituztenak), langileek guztiz bereizitako tresna-multzoen artean testuingurua aldatzeko eskatu gabe.

Elkarrizketa hau behartuko duen presioa

Elkarrizketa hau abstraktua ikusten duten enpresa-liderentzat, erregulazio panorama oso konkretu bihurtzear dago. GDPR, HIPAA, SOC 2 eta sortzen ari diren AIren gobernu-esparruek inplikazioak dituzte komunikazio sentikorrak non gordetzen diren, nork atzi ditzakeen eta norbanakoek deskribatzen dituzten datuekiko zein eskubide dituzten. Deszifratu daitezkeen mezuak gordetzen dituen plataforma baten bidez pazienteen arretari buruz eztabaidatzen duten osasun-hornitzaileek HIPAA urratzen ari dira. Saltzaile baten zerbitzarietan dituzten komunikazio pribilegiatuek galdera larriak dituzte abokatu-bezero pribilegioaren doktrinaren arabera. Informazio publikoa ez den materiala maneiatzen duten finantza-zerbitzuen enpresek SEC eta FINRA-k plataformaren konfigurazio lehenetsi gehienek betetzen ez dituzten komunikazio-erregistroak zaintzeari aurre egiten diote.

Europar Batasunak burujabetza digitalari eta datuak lokalizatzeko eskakizunei buruz egiten ari den lana beste konplexutasun-geruza bat gehitzen ari da. Jurisdikzioetan jarduten duten erakundeek gero eta gehiago ezin dute AEBetan oinarritutako SaaS komunikazio-plataforma bakar batean fidatu zerbitzatzen duten merkatu bakoitzaren legezko eskakizun gatazkatsuak asetzeko. Alemanian, Frantzian eta Erresuma Batuan jarduten duten enpresek AEBetan sortutako komunikazio-plataforma gehienek modu desegokian edo koherentean kudeatzen dituzten datuak bizitzeko eskakizunak dituzte.

Aurrera begirako erakundeak ez daude komunikazio-segurtasunaren auditoria bat eskatuko duen arauzko zigorren baten zain. Azpiegitura eraikitzen ari dira orain: benetako E2EE aukerak dituzten plataformak hautatzen, komunikazio-kategoria desberdinetarako datuen gobernantza politikak ezartzen eta komunikazio segurua beren negozio-arkitektura operatibo zabalagoan integratzen dute. Inbertsio proaktiboaren kostua apala da. Gertakari baten ondoren betetze erreaktiboaren kostua neurri handi batean handiagoa da normalean, ospearen kaltea kontuan hartu gabe.

Zer terminaleko telefonoak ondo egiten duen enpresa-tresnak okertzen diren

Terminal Phoneren dotoretasuna da bere muga. Gauza bat egiten du - bi alderdien arteko ahots-komunikazio enkriptatua - sinpletasun erradikalarekin eta funtzionamenduari buruz zintzotasun erradikalarekin. Ez dago backend opakorik, ez fidatu-me-it's-secure marketin-hizkuntzarik, ez dago hirugarrenen zerbitzaririk saioen datuak dituenik. Iturburu kodea irakurgarria da. Zifratze-protokoloa ikuskagarria da. Mehatxu eredua gardena da. Hau da enpresa-komunikazio-tresnei eutsi behar zaien estandarra, eta ia bat ere ez.

Datorren hamarkadarako egokiak diren komunikazio-azpiegiturak eraikitzen dituzten enpresentzat, Terminal Phone-ren ikasgaiak praktikoak eta gauzagarriak dira. Lehenik eta behin, exijitu gardentasun teknikoa zure komunikazio-saltzaileei, ez marketin-hizkuntza, baizik eta gakoen kudeaketari, datuen atxikipenari eta sarbide-kontrolei buruzko benetako dokumentazioa. Bigarrenik, segmentatu zure komunikazioa sentsibilitate mailaren arabera eta aplikatu tresna egokiak maila bakoitzean. Hirugarrenik, integra ezazu komunikazio segurua zure negozioaren sistema eragilean arkitektura mailan, gehigarri gisa tratatu beharrean. Mewayz-en plataforma modularra erabiltzen duten erakundeek egiturazko abantaila bat dute hemen: HR, finantzak, bezeroen kudeaketa eta talde-eragiketak sistema bateratu baten barruan gobernatzen direnean, segurtasun-politikak modu koherentean inplementa daitezke tresna indibidualaren esku utzi beharrean.

Bere aisialdian Terminal Phone eraiki zuen garatzaileak benetako arazo bat konpondu zuen: norbaitekin modu seguruan hitz egin nahi zuen, eta ez zuen tresna nagusirik eskaintzen berme hori. Hau konpontzeak hutsetik zerbait eraiki behar zuela, terminal batean, komando-lerroko tresnak erabiliz - 50.000 milioi dolar enpresen komunikazio-plataformek gauza bera eskaintzen ez duten bitartean - industriaren lehentasunak non egon diren jakin behar duzun guztia esaten dizu. Enpresa-lider guztien galdera hauxe da: hausturaren bat itxarongo duten euren lehentasunak non egon behar zuten jakiteko.

Ohiko galderak

Zer da zehazki terminalean oinarritutako E2EE walkie talkie bat eta nola funtzionatzen du?

Terminalean oinarritutako end-to-end enkriptatutako walkie talkie bat komando-lerroko aplikazio bat da, audioa harrapatzen duena, lokalean enkriptatzen du parte-hartzaileek soilik dituzten gako kriptografikoak erabiliz eta sare baten bidez transmititzen duena, bitartekari-zerbitzaririk edukia irakurtzeko gai izan gabe. Ahots-aplikazio nagusiek ez bezala, hirugarrenek ezingo dute zure elkarrizketetan sartu, garatzaileak barne. Zure shell ingurunean exekutatzen da guztiz, eta ez du aplikazio-dendaren instalaziorik behar.

Zergatik garatzaileek gero eta gehiago eraikitzen dituzte beren negozio-komunikazio tresnak?

Datu bilketarekin, pribatutasun-politika opakuekin eta saltzaileen blokeoarekin frustrazioak garatzaile asko bere burua ostatzera edo hutsetik eraikitzera bultzatu ditu. Ingeniariek ikuskagarritasuna baloratzen dute: haien elkarrizketak maneiatzen dituen kodea irakurri nahi dute. DIY mugimendu honek negozio-tresnetan gardentasun eskaera zabalagoa islatzen du. Mewayz bezalako plataformek (app.mewayz.com) talde teknikoak ez direnentzat zuzentzen dute hori, pribatutasunarekin kontzientea den, 207 moduluko negozio-OS bat eskainiz, 19 $/hilean, inori terminal bat ukitu behar izan gabe.

Komando-lerroko walkie talkie bat praktikoa al da eguneroko negozio-komunikaziorako?

Garatzaile asko dituzten taldeentzat, erabat — latentzia minimoa da eta konfigurazioa arina da. Hala ere, langile ez-teknikoak barne talde mistoentzat, komando lerroko oztopoa esanguratsua da. Enpresa gehienek proiektuen kudeaketarekin, CRMarekin eta fakturazioarekin integratzen duten komunikazio tresnak behar dituzte. Mewayz bezalako soluzioek lan-fluxu hauek plataforma bakar batean finkatzen dituzte app.mewayz.com helbidean, eta CLI tresna autonomo batek berez eman ezin duen zabalera operatiboa eskaintzen du.

Nola desberdintzen da amaierako enkriptatzea honelako tresnetan ohiko aplikazioek eskaintzen dutenarekin?

Slack edo Zoom bezalako aplikazio nagusiek garraiatzen ari diren datuak enkriptatzen dituzte, baina askotan zerbitzarietan deszifratzen dituzte, hau da, hornitzaileak teorian zure edukia atzi dezake. Egiazko E2EE-k enkriptatzea eta deszifratzea amaierako puntuetan soilik gertatzen direla ziurtatzen du - zerbitzariak ez du inoiz testu arrunta gordetzen. Kode irekiko terminal-tresnek hori egiaztagarria egiten dute kode-ikuskapenen bidez. Azpiegitura kudeatu gabe E2EE nahi duten enpresentzat, horretarako eraikitako plataforma seguruak ebaluatzea izaten jarraitzen du aurrera egiteko biderik praktikoena.