LINUX.ORG.RU
ФорумTalks

Приплыли

 , ,


1

3

http://juick.com/zinid/2732482

Для Ъ:

По понятным причинам запустили логгинг всех сообщений на jabber.ru/xmpp.ru. Логгируются только входящий и исходящий JID'ы, то есть без текста самого сообщения.

P.S может в виде новости запилить? Чтобы больше народу в курсе было?

★★★★★

Последнее исправление: x4DA (всего исправлений: 1)

Логгируются только входящий и исходящий JID'ы, то есть без текста самого сообщения.

Если бы существовал такой функционал, то давно бы сделали и текст сообщения.

anonymous_sama ★★★★★
()

Никогда не был зареган на jabber.ru.

a1batross ★★★★★
()
Ответ на: комментарий от x4DA

Да. jabber.ru <-> jabber.ru можно сделать, а вот jabber.ru -> whatever и whatever -> jabber.ru конечно нельзя. Это если не рассматривать передачу plain текстом, но такого безобразия я уже пару лет не видел.

anonymous_sama ★★★★★
()

Как будто кто-то пользуется им.

wakuwaku ★★★★
()
Ответ на: комментарий от x4DA

Не знаю. Ребят доссят, да. Но, сервис у них нормальный.

А с jabber.ru непонятно что. Теперь им надо либо делать «сервис-сеппуку» (закрыть сервис во имя справедливости), просто закрыться от угрызения совести, либо продолжать жить, сливая инфу в ФСБ, главное красным 24-м шрифтом написать, что «мы сливаем ваши данные». Можно еще просто продаться фсб с потрахами. Главное, что признались, уже за это респект. Ну и рунет rip.

gh0stwizard ★★★★★
()

какой то помоему метод выпиливания самих себя просто или черный пиар, прям вот взяли и только к ним пришли и сказали?

nerfur ★★★
()

А этим вашим jabber.ru кто-нибудь пользуется?

bluesman
()

Как будто раньше ему можно было доверять свою переписку без PGP или OTR, или теперь для пользователей PGP/OTR что-то изменится.

Deleted
()
Ответ на: комментарий от Deleted

Да только по дефолту, этого функционала, нет не в одном jabber сервере. Более того даже сжатие на стороне сервера не нужно, и этим занимается сам клиент. И это не рекомендуется использовать. Второй ненужно гуглталк не нужен.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

По дефолту ни в одном jabber сервере почти ничего нет, всё нужно самому настраивать.

А по поводу:

Да. jabber.ru <-> jabber.ru можно сделать, а вот jabber.ru -> whatever и whatever -> jabber.ru конечно нельзя. Это если не рассматривать передачу plain текстом, но такого безобразия я уже пару лет не видел.

Я всегда считал, что TLS спасает только от кулхакеров с wireshark на шлюзе по пути между сервером и клиентом, или между двумя серверами в случае s2s. На стороне сервера все равно всё расшифровывается.

Deleted
()

Как работает xmpp? Сообщение идет от отправителя на сервер отправителя, затем на сервер получателя, затем получателю? И в каких точках оно шифруется/расшифровывается?

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

Сообщение идет от отправителя на сервер отправителя, затем на сервер получателя, затем получателю?

Да.

И в каких точках оно шифруется/расшифровывается?

Во всех. Шифрован только канал передачи данных между компами, чтобы защитится от третьих лиц.

Впрочем, никто не мешает использовать OTR же, оно будет шифровать само сообщение которое будет расшифровано только получателем.

Stanson ★★★★★
()
Последнее исправление: Stanson (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Сервер отдает клиенту свой открытый ключ, подписанный CA (или самоподписанный в зависимости от уровня бомжеватости владельца сервера). Клиент проверяет полученный ключ и, если все нормально, генерирует пару сессионных ключей, шифрует открытую часть серверным открытым ключом и шлет на сервер. Сервер его расшифровывает своим закрытым ключом и запоминает на время сесии. Так в моей голове работает TLS PFS. Каким местом оно спасает от расшифровки на сервере, я не знаю.

Deleted
()
Ответ на: jabber.org им не подвластен! от gh0stwizard

jabber.org им не подвластен!

Все кто юзает *.ru сервисы очевидные ССЗБ.

Не обольщайся, какой нибудь ж.орг подвластен кому нибудь другому. И кто ССЗБ — это ещё посмотреть надо.

J ★★★★★
()
Ответ на: комментарий от anonymous_sama

Спасибо, познавательная ссылка.

Deleted
()
Ответ на: комментарий от cvs-255

И в каких точках оно шифруется/расшифровывается?

У отправителя и получателя.

StReLoK ☆☆
()
Ответ на: комментарий от J

Да никому не доверяю. Но русские сервисы у меня в «сером списке». Если есть альтернатива, то лучше индусокод, чем наше проснифанное и 100500 раз слитое. База всех жителей Москвы 2009 говорит о том, как у нас все секьюрно и как народ беспокоится о других. У федералах все абсолютно также, никто не виноват, никому это не надо, пристрелить сынку по малолетству ненаказуемо.

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Если есть альтернатива, то лучше индусокод

Боюсь тебя огорчить, но качество кода от домена не зависит.

База всех жителей Москвы 2009 говорит о том, как у нас все секьюрно

А «все разговоры Ангелы Меркель» о чем говорят?

J ★★★★★
()
Последнее исправление: J (всего исправлений: 1)
Ответ на: комментарий от J

Боюсь тебя огорчить, но качество кода от домена не зависит.

Про качество я упомянул вскользь. Для примера, есть jabber.ru и jabber.org, допустим jabber.ru супернаворочен, а jabber.org так себе, но умеет базовый функционал. Других альтернатив нет, гипотетически. Я выберу jabber.org, ибо до него наши законы не доестучаться: домен зареган не у нас, прописан в днс не у нас, хостинг не у нас. Вобщем, фсб билеты на самолет выйдут дороже, чем навестить Женю в мск, с его jabber.ru, положить его на лопатки, разогреть паяльник и через 2 минуты Женя включает логирование на всю катушку {втихоря успевает чиркануть об этом на juick, пока феды вышли покурить на балкон}.

А все разговоры Ангелы Меркель о чем говорят?

А фиг ее знает. У меня больше шансов не заинтересовать лиц вне России, чем в России. Там я никто, а здесь какой-нить хмырь может что-то поиметь с выложенной в паблик обо мне инфы. Более того, хмырь скорее всего не попадет на иностранные ресурсы, где что-то выложено обо мне, тупо из-за своей некомпетенции и незнания английского, китайского, французского и т.п.

Это не значит, что у меня есть супертайны. Просто неприятно. Вот я ща на awhois.ru нашел массу инфы о себе, и фиг знает какого мать его в 2007 majordomo.ru слил всю эту инфу в паблик. Теперь даже не удалиться от туда, ибо awhois содержат нормальные чуваки и хз как с ними связаться.

gh0stwizard ★★★★★
()
Ответ на: комментарий от anonymous_sama

Я как-то раз в выдаче гугла по совершенно обычному запросу нашел лог с какого-то жабир-сервера, лежащий в открытом доступе.

polym
()
Ответ на: комментарий от gh0stwizard

Я выберу jabber.org, ибо до него наши законы не доестучаться

ться

Не делай так больше.
А по поводу кто куда достучится — ты очень лестного мнения о «не наших» законах.

У меня больше шансов не заинтересовать лиц вне России

Т.е. «Ему можно доверять» == «Там на меня всем пох»?

J ★★★★★
()
Ответ на: комментарий от polym

В гугл и не такое найдешь. Да комнаты/конференции вот логируются совсем элементарно, и это часто есть в базовом функционале. А еще у некоторых плохих личностей есть привычки скидывать разговоры на pastebin'ы. А еще боты использовались практически каждым вторым для логирования тематических комнат еще до интернетовских времен. не пониманию почему слово логирование подчеркивается красным, неужели его нет в словаре?

anonymous_sama ★★★★★
()
Ответ на: комментарий от J

ты очень лестного мнения о «не наших» законах

Это потому что «не наши» законы меня мало интересуют.

Т.е. «Ему можно доверять» == «Там на меня всем пох»?

Да. Видишь ли, тут если все расписывать как у меня в деталях выйдет на статью. Если надо что-то очень-очень приватное, то заработает приватный сервачек. Для рядовой переписки сойдет и чужой сервак в США, для чего-то проще можно сидеть и на ру-ресурсах, вот как на лоре.

Видишь ли, когда мне приспичит что-то скрыть от тех же США, я возьму бразильский или кубинский сервак. Своего рода «круги сервисов» :)

Если тебе есть что скрывать от США, но ничего не надо скрывать в РФ и ты готов в один прекрасный день увидеть свою переписку на rghost.ru — флаг в руки, твое дело, работай с .рф-сервисами.

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)

Спасибо, выпиливаюсь

Lordwind ★★★★★
()
Ответ на: комментарий от gh0stwizard

Если тебе есть что скрывать

Если бы тебе было что скрывать, тобою бы и так заинтересовались.
Думается, что новые законы направлены не против тех, кому есть что скрывать, они направлены в первую очередь против основной массы пользователей, как потенциальных террористов-смутьянов-революционеров. Типа «не болтай!».jpg

Volodymyr
()

Жаль. В целом, давно уже основная переписка идет через свой сервер.

YAR ★★★★★
()
Ответ на: комментарий от Darth_Revan

Надо думать, что ФСБ не сможет расшифровать информацию, например, если она зашифрована открытым ключом (PGP).

Deathstalker ★★★★★
()
Ответ на: комментарий от Deathstalker

ФСБ чуть-чуть сложнее получить информацию, если она гуляет от сервера к серверу по шифрованному каналу. Но OTR ещё никто не отменял.

Darth_Revan ★★★★★
()
Ответ на: комментарий от anonymous_sama

Если бы существовал такой функционал, то давно бы сделали и текст сообщения.

От текста сообщения можно отмазаться тайной переписки же.

А модуль для логгинга они написали сами.

INFOMAN ★★★★★
()
Ответ на: комментарий от cvs-255

Сообщение идет от отправителя на сервер отправителя, затем на сервер получателя, затем получателю?

Да.

И в каких точках оно шифруется/расшифровывается?

Клиент подключается к серверу (c2s), обменивается списком фич, открывает STARTTLS сессию (если поддерживается). С этого момента весь трафик между клиентом и своим сервером зашифрован. Соответственно, сообщение шифруется на клиенте отправителя и расшифровывается на сервере отправителя.

Сервер отправителя из расшифрованного сообщения извлекает адрес получателя. В случае, если этот адрес не находится на том же сервере, он устанавливает (или использует существующее) соединение с сервером получателя (s2s). При установке соединения так же, как и в случае с c2s, происходит обмен списком фич и открытие STARTTLS сессии (если поддерживается, гмыло, например, не поддерживает). Сообщение снова зашифровывается и уходит на сервер получателя.

Сервер расшифровывает сообщение, достаёт из него адрес получателя. В случае, если получатель онлайн с приоритетом >= 0, происходит доставка сообщения. Если соединение использует STARTTLS, то сообщение, соответственно, шифруется сервером и расшифровывается клиентом. Если получателя в онлайне нет, то сообщение сохраняется в базе оффлайновых, и будет доставлено при подключении.

Итого, сообщение перешифровывается 3 раза (клиент -> сервер, сервер -> сервер, сервер -> клиент). Любой из 2 серверов имеет возможность тихо и незамено положить сообщение себе в базу, после чего слить в ФСБ (или просто рекламщикам).

Хотите полной приватности — используйте end-to-end encryption, например, с помощью GnuPG (наличие поддержки gpg смотрите в документации по вашему клиенту).

INFOMAN ★★★★★
()
Ответ на: комментарий от INFOMAN

GnuPG

ФСБКГБ ещё быстрее приедут, и даже паяльник брать не обязательно. Каждое сообщение обычно подписано ключом отправителя, каждое сообщение можно расшифровать ключом получателя даже спустя годы (forward secrecy нет).

Хотите полной приватности — используйте end-to-end encryption, например, с помощью GnuPG (наличие поддержки gpg смотрите в документации по вашему клиенту).

GPG к приватности вообще имеет отдалённое отношение. Безопасно — да, защита переписки — да, но внимания лишнего много привлекает, со всеми вытекающими.

shahid ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.