LINUX.ORG.RU

Pica Pica Messenger 0.5.3

 , ,


1

1

Тихо и незаметно вышел новый релиз Pica Pica Messenger — программного обеспечения для организации децентрализованной распределенной защищенной системы обмена мгновенными сообщениями.

В состав Pica Pica входят две программы: pica-node — сервер-узел (нода) распределенной сети и pica-client — графический клиент. Распределенная сеть нод pica-node поддерживается на добровольных началах. Каждый желающий может установить на своем компьютере pica-node и обеспечивать передачу служебного трафика и сообщений между участниками сети.

Основные изменения:

  • исправления ошибок;
  • улучшены алгоритмы подключения и обновления списков узлов;
  • хранение истории сообщений клиентом и отложенная доставка сообщений оффлайновым собеседникам;
  • обновление протокола, позволяющее своевременно обнаруживать пропавшие соединения с клиентами и нодами;
  • бинарные пакеты для Ubuntu и Windows.

http://picapica.im/?page_id=33&lang=ru

Исходный код и бинарные пакеты

>>> Подробности



Проверено: mono ()
Последнее исправление: unfo (всего исправлений: 2)
            |Пика-пика!/
      A _ A |/
__   (o^-^o)
\_\_ |() ()\
   \\(")__(")
special-k ★★★★
()
Последнее исправление: special-k (всего исправлений: 1)
Ответ на: комментарий от dikiy

Простите, ...

... но нельзя ли это адово-явовское поделие (я про freenet в общем и целом) отправить в газенваген вослед за его «авторами»? На дезинфекцию, так сказать...

anonymous
()

В комментариях к каждой новости и теме в Talks про сабж вспоминают Пикачу и запускают сервер примерно на неделю. А потом снова забывают и продолжают использовать XMPP.

Nanodesu
()

Поковырял бы, но русаковский и хохляндский софт не трогаю ;)

paran0id ★★★★★
()
Ответ на: комментарий от antonsv

можно .deb пакеты и на дебиан попробовать поставить

Не проще ли из исходников собрать?

UNiTE ★★★★★
()

Два вопроса:

1. почему не используется zeromq, например?
2. почему комментарии в коде на русском?

anonymous
()

non-repudiation поддерживается? Есть какие-нибудь преимущества перед OTR?

Lennart
()

отложенная доставка сообщений оффлайновым собеседникам;

А где они хранятся?

anonymous
()
Ответ на: комментарий от anonymous

Локально, у отправляющего клиента. Пока получатель не появится в сети. Как в скайпе (или как было в скайпе раньше )

antonsv
() автор топика
Ответ на: комментарий от anonymous

Срочно курить маны на тему XDG_CONFIG_HOME и ко.

не нужно.

anonymous
()

Да они упоролись!

IPv6 and DNS format support will be added in future releases

Это что, мне теперь ipv4 светить во все поля?

devl547 ★★★★★
()
Ответ на: комментарий от anonymous

смешно
коментарии на русском - ясно же - потому, что авторы не владеют другими языками, они тут в соседнем треде за языки втирали, что английский не нужен

unt1tled ★★★★
()
Последнее исправление: unt1tled (всего исправлений: 1)

цитата из планов:

генерация клиентами самоподписанных сертификатов и использование SHA1 хэша от сертификата в качестве адреса

вообще-то sha1 не считается криптостойким, причём уже не первый год.

Кстати, а нет-ли описания протокола в более-менее формализованном виде? Я понимаю что формальной верификации в ближайших планах нет, но вдруг найдётся студент которого это заинтересует например.

Lennart
()

Комментарии на русском
SHA1

Мда. Первое терпимо, но второе... Учите матчасть уже. Напоминает новость с хабра о кокойто новой русской децентрализованной соцсети, которая тоже из велосипедии и левой пятки создателя состоит.

anonymous
()

Генту есть. Зачет. Помню когда только Pica только появилась сам лично примитивные ебилды сделал и запостил. Но сейчас ебилд «не мой, я просто разместил обьяву». Поставил ноду и клиент. Поддержу нодой. Кстати гладенько поставилось, запустилось, полет нормальный.

Почему анонсированы только Ubuntu и Windows, а Gentoo нет, хотя она первая на странице скачки? Можно было Windows проигнорировать, а Генту то зачем обижать?

PS: Кстати добавьте туда ебилд ноды.

anonymous
()
Ответ на: комментарий от Lennart

вообще-то sha1 не считается криптостойким, причём уже не первый год.

Где, когда, кем не считается? Можно ссылку? Собственно, можно выбрать и какой-нибудь другой более стойкий хэш, но вот SHA-1 используется по дефолту в большинстве X.509v3 сертификатов , а также в в bitcoin и многих других вещах, как-то их до сих пор не поломали

Кстати, а нет-ли описания протокола в более-менее формализованном виде?

Самое формализованное описание на данный момент здесь:

https://github.com/antonsviridenko/pica-pica/blob/master/doc/proto.txt

antonsv
() автор топика
Ответ на: комментарий от anonymous

Почему анонсированы только Ubuntu и Windows, а Gentoo нет, хотя она первая на странице скачки? Можно было Windows проигнорировать, а Генту то зачем обижать

Для Gentoo пакеты уже как бы были, а для убунты и оффтопика сейчас только появились, вот и один из поводов для новости. В прошлый раз народ бурно возмущался отсутствием deb-ов и сборки для семёрочки максимальной :)

Кстати добавьте туда ебилд ноды

Он есть,называется pica-node

antonsv
() автор топика
Ответ на: комментарий от antonsv

Где, когда, кем не считается? Можно ссылку?

Ты серьёзно что-ли? Ты взялся за разработку «безопасного» протокола и при этом никогда не слышал про sha-3? Не читал анонсы с профессиональных конференция? Вот например: https://www.rsa.com/rsalabs/node.asp?id=2834 - обрати внимание на год. Не читал работ по безопасности - роде этой: http://eurocrypt2009rump.cr.yp.to/837a0a8086fa6ca714249409ddfae43d.pdf

Чёрт, да ты хотя-бы просто гуглить про sha-1 пробовал?!

Воздержусь-ка я, пожалуй, от использования данного протокола - как-то очень настораживает отношение автора к криптографии.

Описание любопытно - непонятно, правда, откуда клиент берёт сертификат сервера: не любой-же принимается? иначе MITM :)

И как реализовано на практике - атака TLS-renegotiation не сработает я надеюсь?

Lennart
()
Ответ на: комментарий от Lennart

Ты серьёзно что-ли? Ты взялся за разработку «безопасного» протокола и при этом никогда не слышал про sha-3? Не читал анонсы с профессиональных конференция? Вот например: https://www.rsa.com/rsalabs/node.asp?id=2834 - обрати внимание на год. Не читал работ по безопасности - роде этой: http://eurocrypt2009rump.cr.yp.to/837a0a8086fa6ca714249409ddfae43d.pdf

Ну про это всё я читал, пока это при современных вычислительных мощностях не несёт практической угрозы. По крайней мере всякие гуглы и другие большие конторы в своих HTTPS сертификатах продолжают использовать SHA1. Как и ЛОР. Ну и OpenSSL пока что ничего более секьюрного, чем SHA1 в алгоритме подписи для сертификатов не поддерживает

Описание любопытно - непонятно, правда, откуда клиент берёт сертификат сервера: не любой-же принимается? иначе MITM :)

У сервера (ноды) своего сертификата нету, сертификаты есть только у клиентов. При подключении клиента к ноде нода проверяет, что сертификат клиента подписан корневым сертификатом, который лежит в дистрибутиве.

При подключении клиента к клиенту (через ноду) оба клиента проверяют сертификаты друг друга. При первом сеансе сертификат собеседника сохраняется и при дальнейших сеансах предъявленный сертификат сравнивается с сохранённым, при несовпадении соединение разрывается и выдается окошко с пугающими сообщениями о возможном MITM

antonsv
() автор топика
Ответ на: комментарий от Lennart

Воздержусь-ка я, пожалуй, от использования данного протокола - как-то очень настораживает отношение автора к криптографии.

Протокол тут стандартный TLS, велосипедов не изобретал

antonsv
() автор топика
Ответ на: комментарий от antonsv

всякие гуглы и другие большие конторы в своих HTTPS сертификатах продолжают использовать SHA1. Как и ЛОР

Именно это я и имею ввиду - показать пальчиком и сказать «а дядя тоже так делает» не считается безопасным подходом к дизайну криптопротоколов.

Протокол тут стандартный TLS, велосипедов не изобретал

Вообще-то «стандартный TLS» поддерживает множество опций и имеет несколько версий и расширений. Это не 3 магические буквы, которые автоматически сделают всё безопасным - от необходимости думать и анализировать они не избавят.

Посему настоятельно рекомендую прочитать http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html например и внимательно посмотреть на собственную реализацию.

Lennart
()
Ответ на: комментарий от naryl

Т.е. ничем не лучше и кроме автора никому не нужно, а написание вызвано только NIH-синдромом? Или автор просто забыл посмотреть существующие решения, прежде чем писать своё?

В любом случае, так делать не надо. Без киллер-фичи перед существующими решениями никто новым пользоваться не будет.

naryl ★★★★★
()
Ответ на: комментарий от antonsv

Вы - один из авторов? Я серьёзно советую посмотреть retroshare и найти ответ на два вопроса:

  1. Почему существующие пользователи retroshare, которым (предположим) нужен только обмен текстовыми сообщениями могут перейти на ваш продукт.
  2. Почему новые пользователи, которым (предположим) нужен только обмен текстовыми сообщениями выберут Pica Pica, а не retroshare.
naryl ★★★★★
()
Последнее исправление: naryl (всего исправлений: 1)
Ответ на: комментарий от Lennart

Прочитал. Статья интересная. Эта проблема давно уже исправлена в OpenSSL

antonsv
() автор топика
Ответ на: комментарий от Lennart

и отсутствие deniability чего стоят.

Такая цель - отсутствие deniablility - никогда и не ставилась, так что можно убирать из списка недостатков

antonsv
() автор топика
Ответ на: комментарий от naryl

retroshare посмотрел, общие принципы работы там приблизительно такие же, использование сети распределённых нод DHT(причем чужих), к которой к тому же у меня не получилось приконнектиться :) Ну и необходимость взаимного копирования сертификатов вручную позабавила, хотя это тоже один из возомжных и надежных вариантов реализации, только не очень удобный

Не понравилось позиционирование retroshare как социальной сети, с друзьями и друзьями друзей, расшариванием фоточек-картинок и т.д. Много лишних функций, на мой взгляд.

Pica Pica позиционируется как классический мессенджер, с функциями обмена текстовыми сообщениями и в будущем с голосовыми/ видеозвонками, передачей файлов и тунеллированием TCP соединений. И всё.

Ну и пользователей Retroshare никто никуда переходить не заставляет, пусть пользуются тем, что им нравится :)

antonsv
() автор топика
Ответ на: комментарий от antonsv

Отнюдь - то, что поддержки определённых возможностей нет даже в планах, ещё не делает отсутствие этих самых возможностей достоинством. Скорее наоборот.

Lennart
()
Ответ на: комментарий от antonsv

Не понравилось позиционирование retroshare как социальной сети, с друзьями и друзьями друзей

Т.е. вас смущает, что Retroshare - f2f сеть. :) А в Pica Pica в этом плане какой? «Классический мессенджер» в моём понимании - это IRC, т.е. вообще без контактов, с возможностью лёгкой смены идентификатора (ника) и с основным общением на каналах, а не в личных чатах.

naryl ★★★★★
()
Ответ на: комментарий от antonsv

icq и кактус

[Заголовок] - 2 байта с одинаковым значением, определяющим
тип сообщения ...0x03 0x03
(UIN вызываемого пользователя, в формате little-endian)

Всё понятно, УГ. Закапывайте ужо!

mumpster ★★★★★
()
Ответ на: комментарий от Lennart

i c q

необходимость специального сервера

вот! у меня - дежавю аськи... я же говорю - УГ, закапывайте.

mumpster ★★★★★
()
Ответ на: жаба от mumpster

тем более что есть XMPP/Jabber

более того - есть безопасный OTR, работающий поверх jabber, icq, irc, sip и чёрта лысого в придачу :-)

Lennart
()
Ответ на: комментарий от Lennart

Не, не, не. Я знаю дистр, куда прога ТС подойдёт! Болгенос! Очевидно же.))

mumpster ★★★★★
()
Ответ на: Ну, насколько я понимаю... от anonymous

Я там выше для ознакомления на torchat ссылку кинул.

make
make -C src/purple all
make[1]: Entering directory `/usr/src/RPM/BUILD/TorChat-torchat2/src/purple'
mkdir -p lib
fpc -Fu../core -Fu../core/lnet-0.6.5 -Fu./libpurple -FU./lib -FE../../bin -g- -CX -Cg -XX -Xs -O3 -k--reduce-memory-overheads -k--no-keep-memory   -dDebugToConsole -dDebugToFile purpletorchat.lpr
Компилятор Free Pascal версии 2.6.2 [2013/03/19] для i386
Copyright (c) 1993-2012 by Florian Klaempfl
Целевая ОС: Linux for i386
Компиляция purpletorchat.lpr
Фатально: Hе найден модуль system, используемый purpletorchat
Фатально: Компиляция прервана
Error: /usr/bin/ppc386 returned an error exitcode (normal if you did not specify a source file to be compiled)
make[1]: *** [all] Error 1
anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.