LINUX.ORG.RU
ФорумTalks

ICQ vs People


0

0

=============================
Системное сообщение
=============================
ICQ не поддерживает используемую вами версию. Скачайте бесплатную авторизованную версию ICQ с официального web-сайта ICQ.

=============================
System Message
=============================
The version you are using is not supported by ICQ. Download a free authorized ICQ version from ICQ's official website.

У меня одного такое?

☆☆☆☆☆
Ответ на: комментарий от anonymous

> всё не читал поэтому не знаю кто нибудь уже догадался или нет но логиница в ICQ нужна в инвизибле и тада всё харашо - можна даже ставить визибл по отношению к конкретным избранным контактам и всё работаит

а у миня ни работаит

anonymous
()
Ответ на: комментарий от anonymous

>Pidgin 2.5.2 работает через tor

А как настраивал?

Запустил tor на 9050-м порту и privoxy на 8118. Прописал Пиджину юзать HTTP-прокси localhost:8118. При коннекте - всё та же ошибка от UIN=1.

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

Пардон, уже разобрался. HTTP не нужен, соединился прямо по SOCKS5 на 9050.

Да, через tor работает.

Осталось только задушить сволочей, которые по tor'у киношки качают :)

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

>>>Осталось только задушить сволочей, которые по tor'у киношки качают :)

Тор подствляет нерусские Ip адреса отсюда и работает. Т е видимо подойдет любой прокси сервер с нерускким IP.

anonymous
()

Вышел фикс для квипа, так что аськокапец, похоже, откладывается((

Будем надеяться и верить в ребят из AOL.

anonymous
()

qip вроде выпустил рабочую версию, значит и остальные скоро подтянутся. А жаль было б неплохо пару дней без аськи

Freek
()

Нашлось очень простое решение, старый добрый toonel.net :)

B084 ★★
()
Ответ на: комментарий от KRoN73

Всё, на balancer.ru транспорт запустил через tor. Работает. Только сообщения по 20 секунд идут :)

KRoN73 ★★★★★
()
Ответ на: комментарий от Freek

Если я правильно понял http://chatlogs.jabber.ru/miranda-im@conference.jabber.ru/2009/01/22.html , то qip просто коннектит всех своих клиентов через незабаненный прокси? Гениально)))

anonymous
()

с хабра:

"Похоже что команда разработчиков QIP нашла решение проблемы, уже доступны рабочие билды QIP Infium 9022. С нами делиться дальнейшим описанием проблемы они отказываются..."

Ильхамушка пидарко

anonymous
()
Ответ на: комментарий от anonymous

> Народ, подскажите, через тор тоже чтоль небезопасно?

На опеннет написали уже что аську через тор угнали.

> Жабер не предлагать

Только жаббер.

> всех поставщиков и продактов на жабер не перевести.

У нас для таких mini-faq есть c реальным примером утечки конфиденциальной инфы через ICQ и кратким списком потенциальных проблем похуже. Есть почта, а кому нужно общение в реальном времени ставит жаббер, случаев чтобы поставщики упирались я не помню.

anonymous
()
Ответ на: комментарий от anonymous

>"Похоже что команда разработчиков QIP нашла решение проблемы, уже доступны рабочие билды QIP Infium 9022. С нами делиться дальнейшим описанием проблемы они отказываются..."

не деляться скорее всего чтобы AOL не понял че-кого и не замял дело...

st0ke
()
Ответ на: комментарий от KRoN73

> Да, через tor работает.

Почитай на опеннете - там у чувака, который tor юзал, уже аську угнали. ICQ никаких SSL'ей не поддерживает, а на exit нодах торовских ловилку всякой вкуснятины поставить - милое дело.

anonymous
()
Ответ на: комментарий от anonymous

> У нас для таких mini-faq есть c реальным примером утечки конфиденциальной инфы через ICQ и кратким списком потенциальных проблем похуже.

реквестирую

opensuse
()
Ответ на: комментарий от anonymous

Да, с базой этих картинок что-то они намутили :)

JackYF ★★★★
()
Ответ на: комментарий от opensuse

> реквестирую

К сожалению, оно не для публики. Но свое написать особой проблемы я не вижу.

anonymous
()
Ответ на: комментарий от anonymous

> У нас для таких mini-faq есть

чем я не "такой"?

> Но свое написать особой проблемы я не вижу

будь другом, напиши. мне интересно почитать будет

opensuse
()
Ответ на: комментарий от soomrack

Надо срочно в АОЛ толкать идею, что бы замутили шифрование при коннекте, что бы все сторонние клиенты отпали на долго

Siado ★★★★★
()
Ответ на: комментарий от anonymous

>И что?

То, что пароля в открытом виде не передаётся. Даже в случае (достаточно трудоёмкого) подбора md5-коллизии, она позволит авторизоваться от твоего имени, но не поменять пароль на ICQ-сервере. Так как это делается только через сайт и только с прямым паролем. Значит, зайти от твоего аккаунта смогут, увести его - нет.

Где я не прав? :)

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

> Где я не прав? :)

Никаких подборов не нужно, если у тебя есть хэш, ты уже можешь по нему авторизоваться. Пароль поменять наверное не получится, да. Хотя если там всего навсего md5, паролей подобрано все равно будет достаточно.

anonymous
()
Ответ на: комментарий от KRoN73

Авторизовываться ты сможешь, имея хэш и отсылая его серверу. Подобрав пароль, при котором получается этот хэш ты уже сможешь творить с аккаунтом все что угодно. Не обязательно md5-коллизию, ты ведь в процессе подбора можешь найти и оригинальный пароль.

YAR ★★★★★
()

че-то через tor выжирает трафик, а толку никакого - сыпет ошибкой на невозможность соединения, и мол TTL ауентификация тайм аут 8) Видать нищебродский GPRS не катит...

Andru ★★★★
()
Ответ на: комментарий от anonymous

>Никаких подборов не нужно, если у тебя есть хэш, ты уже можешь по нему авторизоваться. Пароль поменять наверное не получится, да.

Тогда это не так страшно. Увести аккаунт, значит, не смогут. А приватной инфой по ICQ всё равно не делятся :) Кроме того, если аккаунт у тебя в онлайне почти постоянно, то при попытке зайти со стороны это будет сразу обнаружено вышибанием твоего клиента.

KRoN73 ★★★★★
()
Ответ на: комментарий от YAR

>Подобрав пароль, при котором получается этот хэш ты уже сможешь творить с аккаунтом все что угодно.

Только авторизоваться. Сменить пароль не сможешь.

>Не обязательно md5-коллизию, ты ведь в процессе подбора можешь найти и оригинальный пароль.

Вероятность нахождения оригинального пароля --> 0 :) Там же не "12345" у вменяемых людей стоит.

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

> Увести аккаунт, значит, не смогут.

* сразу не смогут.

И вообще я не уверен что там действительно md5. Осенью когда баловался везде был plaintext.

anonymous
()
Ответ на: комментарий от anonymous

>сразу не смогут.

Так предложи вариант реального увода :) Подбор пароля не предлагать. Не прокатит. Перехвата md5 от пароля для аутентификации хватит, а для смены пароля - нет.

>И вообще я не уверен что там действительно md5. Осенью когда баловался везде был plaintext.

У меня же pyicq-t. Опенсорсовый. Естественно, я первым делом проверил куски кода, где формируется пакет аутентификации :) Там от настройки конфига зависит. У меня включена <usemd5auth/>

А вот напрямую из того же Пиджина выходить боюсь. Там настройки такой нет, а чем он авторизуется - Х.З. Распаковывать сорцы ломает :) Так что - пока через транспорт сижу.

KRoN73 ★★★★★
()

Всё, вроде, и в Миранде уже разобрались. Эти, в отличии от Кипа сорцы не прячут, так что завтра решение будет уже во всех клиентах.

И чего, интересно, этой акцией AOL добился? Очередного пиара альтернативным клиентам и протоколам? :D

Большое спасибо компании America-On-Line за сеанс благотворительности! :D

KRoN73 ★★★★★
()
Ответ на: комментарий от anonymous

Нет, народ уже разобрался с принципом. Цитирую:

=== cut ===
(02:58:53) persei: sequence id начальный должен быть не случайным, дальше он инкрементируется пока за ffff не перевалится, там с нуля начинается
=== cut ===

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

Про перевалку через 256 и в официальных доках написано, здесь ничего нового. Вот seed seq id уже интереснее, если он действительно не случайный.

anonymous
()
Ответ на: комментарий от KRoN73

> Так предложи вариант реального увода :) Подбор пароля не предлагать. Не прокатит. Перехвата md5 от пароля для аутентификации хватит, а для смены пароля - нет.

На опеннете реальный увод, если чувак не гонит конечно. На самом деле увод и не нужен - достаточно грохнуть контакт лист и считай то же самое что ты завел новую аську - часть контактов конечно тебе напишет, но большая часть будет потеряна. Либо можно написать оскорбления каждому контакту - тоже расхлебывать придется не слабо.

> А вот напрямую из того же Пиджина выходить боюсь

О чем и речь.

Tor, кстати, еще и тормозной как пц. Думаю, его элементарно забанят лимитом на round trip.

anonymous
()
Ответ на: комментарий от KRoN73

> Всё, вроде, и в Миранде уже разобрались. Эти, в отличии от Кипа сорцы не прячут, так что завтра решение будет уже во всех клиентах.

Ход за AOL. Напишу таки бота который ловит пароли и делает гадости, поставлю на VPS в пиндосии exit node и проксик. Тех, кто будут пытаться обойти AOL сменив айпишнек, буду карать я лично.

anonymous
()
Ответ на: комментарий от KRoN73

http://dev.aol.com/aim/oscar/#FLAP

Datatype: FLAP__Header

The header contains the frame type, a sequence number, and the length of the following data segment. The sequence number is independently sequential in each direction. Packets from the server to client have one sequence number, while the packets from the client to server have a different independently increasing number. If the server receives a sequence number out of order it will terminate the connection. A common mistake is to use a u08 to represent the sequence number, which will roll over at 255 and cause the server to disconnect the client.
Name	Type	Notes
startMarker	u08	ASTERISK (literal ASCII ‘*’)
frameType	u08	[Class: FLAP__FRAME_TYPE] Frame type
sequenceNumber	u16	Initialized to a _random_ value, increments for each send
payloadLength	u16	Length of data, does not include the 6 byte header length

anonymous
()
Ответ на: комментарий от KRoN73

> А вот напрямую из того же Пиджина выходить боюсь. Там настройки такой нет, а чем он авторизуется - Х.З. Распаковывать сорцы ломает :) Так что - пока через транспорт сижу.

pidgin-2.5.3/libpurple/protocols/oscar/family_auth.c
там есть функция
aim_encode_password_md5(const char *password, size_t password_len, const char *key, guint8 *digest)

остаётся надеяться, что пиджин её использует :)

Spacer
()
Ответ на: комментарий от anonymous

>На опеннете реальный увод, если чувак не гонит конечно.

Он мог юзать plaintext аутентификацию.

>достаточно грохнуть контакт лист и считай то же самое что ты завел новую аську - часть контактов конечно тебе напишет, но большая часть будет потеряна

Ну, значит мне просто проще. Я сам по ICQ уже много лет первым не пишу :) Все нужные _мне_ люди - в Jabber'е. По ICQ обычно ищут меня.

>Либо можно написать оскорбления каждому контакту - тоже расхлебывать придется не слабо.

Для любого человека, знающего меня в онлайне, это будет первым же признаком, что аккаунт не под моим управлением :) Когда у меня первый раз UIN увели, то смену манеры общения _сразу же_ человек пять просекли. И это даже без оскорблений...

>Tor, кстати, еще и тормозной как пц.

Сообщения самому себе идут 15..20 секунд. Значит в один конец - 7..10 секунд. В принципе, терпимо.

>Думаю, его элементарно забанят лимитом на round trip.

Ась? Это как? :)

KRoN73 ★★★★★
()
Ответ на: комментарий от anonymous

Да и не ICQ-шников ты карать будешь, а обслуживать раздачи вареза, порнухи и видео с файлопомоек :D

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

> Он мог юзать plaintext аутентификацию.

Ну видимо так и было. Если вы точно уверены, что у вас используется MD5 и надежный пароль - можете юзать аську через тор, и тогда ваш акк не угонят, а всего навсего сотрут контакт лист или обматерят всех контактов.

> Ась? Это как? :)

Ну вот увидят что ответ на keepalive от сервера от тебя приходит через 15..20 секунд и пошлют нахрен. Я думаю даже на распоследних GPRS и спутниковой связи задержки меньше.

Хотя думаю, у них там целый комплекс мер, и вчера была лишь проба пера.

anonymous
()
Ответ на: комментарий от anonymous

>Я думаю даже на распоследних GPRS и спутниковой связи задержки меньше.

Я летом сидел на GPRS и максимальный пинг был около 30 секунд :D

>Хотя думаю, у них там целый комплекс мер, и вчера была лишь проба пера.

Ну, вон, сейчас алгоритм с Миранды прикрутят на pyicq-t и можно будет отказаться от Tor'а.

KRoN73 ★★★★★
()
Ответ на: комментарий от KRoN73

> И не жалко тебе бабок на VPS? :)

У меня скидки :)

> Да и не ICQ-шников ты карать будешь, а обслуживать раздачи вареза, порнухи и видео с файлопомоек :D

Да я вот как раз думаю как бы зарезать эту хренотень, но остаться при этом exit нодой. Слать RST на SYN для всех соединений не на :5190 шоле...

anonymous
()
Ответ на: комментарий от KRoN73

> Ну, вон, сейчас алгоритм с Миранды прикрутят на pyicq-t и можно будет отказаться от Tor'а.

Было бы здорово еще DDOS qip.ru устроить, чтобы лемминги обновиться не смогли.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.