Aua #
Matrix, das tut weh (Hervorhebungen von mir):
Besides the observed implementation and specification errors, these vulnerabilities highlight a lack of a unified and formal approach to security guarantees in Matrix. Rather, the specification and its implementations seem to have grown “organically” with new sub-protocols adding new functionalities and thus inadvertently subverting the security guarantees of the core protocol. This suggests that, besides fixing the specific vulnerabilities reported here, the Matrix/Megolm specification will need to receive a formal security analysis to establish confidence in the design.
Zwei Punkte: In der Debatte #
XMPP vs. #
Matrix wird XMPP dafür kritisiert, dass es designtechnisch so alt und auf Grund seiner Erweiterbarkeit so "zersplittert" sei. Matrix auf der andern Seite ist sehr viel jünger, die Researcher sprechen aber dennoch von organisch gewachsenen Spezifikationen.
Und zweitens, die Aussagen der Reseacher klingen etwas dramatisch, aber ist das wirklich angemessen?
NebuchadnezzarMartin R. Albrecht, Sofía Celi, Benjamin Dowling and Daniel Jones. Practically-exploitable Cryptographic Vulnerabilities in Matrix. 2022 We report several practically-exploitable cryptographic vulnerabilities in the end-to-end encryption in Matrix and describe proof-of-concept attacks exploiting these vulnerabilities. When relying on...