[jabber][paranoia] шифрование

Все мои знакомые использую для шифрование плагин OTR, который есть для всех нормальных IM.

OTR тоже стоит. Так вот, xmpp сам по дефолту уже шифрованный или нет?

> Так вот, xmpp сам по дефолту уже шифрованный или нет?

та же википиди об этом говорит, что лень прочитать?

Безопасность: XMPP серверы могут быть изолированы от публичных сетей XMPP (например, во внутренней сети компании) и хорошо защищены (благодаря использованию SASL и TLS) встроенными в ядро XMPP спецификациями. Для поддержки использования шифрования канала XMPP Standards Foundation также использовал вспомогательный certification authority в xmpp.net, обеспечивая цифровые сертификаты для администраторов XMPP серверов при содействии StartCom Certification Authority (который является основным хранителем сертификатов для всех вспомогательных). Многие реализации серверов используют SSL при обмене между клиентом и сервером, и немало клиентов поддерживают шифрование с помощью PGP/GPG внутри протокола.

Зависит от клиента и сервера.

нет не шифрованный, для шифрования базового нужно использовать SSL соединение, оно в большинстве серверов предоставляется из коробки.

Ага. А если в Пиджине выбрано Require encryption, то он не даст приконнектится, если сервер не использует SSL?
jabber.ru и гугловский - там с ssl'ем из коробки?

гугл из каропки, j.r раньше навеска, сейчас уже наверна из каропки

нет не шифрованный, для шифрования базового нужно использовать SSL соединение, оно в большинстве серверов предоставляется из коробки.

XMPP поверх SSL уже в основном не используют. Перешли на TLS.

так пишешь как буд-то это абсолютно разные протоколы))) суть у них одна и та же TLS вышел из SSL

так пишешь как буд-то это абсолютно разные протоколы))) суть у них одна и та же TLS вышел из SSL

Суть то одна, но принцип разный.

Окей, возьмем, допустим, gmail. Два юзера общаются друг с другом по xmpp с gmail'овских аккаунтов. Можно ли сказать, что они общаются по безопасному шифрованному каналу? Или все-таки нет?

Если юзают OTR то да, если нет то коварный Г прочтет их переписку и сдаст гестапо.

да можно сказать, если допустить что Google не является объектом от которого нужно защищаться) т.е. фактически в идеальных условиях соединение (канал) может считаться безопасным. Проблемы могут возникнуть если сервер сломают и если история хранится на сервере то она станет доступной, ну и естественно сам Google при законных обстоятельствах может получить возмозможность к прочтению. Поэтому применяют PGP и OTR, чтоб обезопаситься от таких ситуаций, т.е. дают 99,9% гарантии что третьи лица не смогут прочесть. Но на сколько нужна такая избыточность в вашем случае, решать конечно вам.