TANUKI

JABBER и его безопасность

В этой теме 19 сообщений

Перефразировав известную столетиями поговорку о нынешних пользователях "аськи" можно сказать так: пока АОЛ не грянет, офисный планктон не перекрестится :) Вряд ли большой процент рядовых Интернет-пользователей до первой атаки АОЛ на альтернативные ИМ знали о том, что такое Jabber.

Однако, думающий человек всегда ищет альтернативу, а не ждет спасения в чудо-заплатках от разрабов КИПа, а потому предлагаю обсудить перспективы, нюансы и, естественно, особенности обеспечения безопасности в Jabber.

Меня особенно интересует безопасность Jabber. Я прекрасно понимаю, что большинство Jabber IM по-умолчанию поддерживают функцию PGP и двум шпиЙОнам достаточно просто обменяться ключами. Это не хит и не новье, скорее уже стандартный номер, который умеют исполнять и асько-ИМ, типа Миранда.

Я, как обычный заинтересовавшийся jabber-ом юзер пошерстил тему, и возникли у меня такие вопросы к знатокам jabber-а, которые и предлагаю обсудить.

1. Насколько я понял, главный плюс и минус jabber в том, что он децентрализован. С одной стороны - гут, весь jabber упасть не может. С другой стороны, учетка юзера (логин-пароль) и переписка хранятся на том сервере, на котором он зарегистрировался. Могут ли шаловливые ручки вадельца сервера добраться до переписки, пароля и т.д.? Надежно ли защищены такие серверы от простого хакера Васи и до тупого выноса компьютеров угрюмыми людьми в штатском, по сравнению с одним большим сервером типа АОЛ или тот же КИП (он же РБК)?

2. Где лучше заводить учетку? Понимаю, что лучше просто завести почту на гмейл, но гмейловский сервер не очень дружелюбен при работе с транспортами и урезан в плане конференций под ноль. Зато имеет высокую надежность в плане доступа извне.

Что скажите по поводу jabber.org или jabber.com? Насколько надежны эти сервера?

3. Если человеку важна конфиденциальность при минимуме затрат, может стоит ему завести учетку на каком-нибудь итальянском или даже швейцарском сервере? По крайней мере местный владелец сервера или обслуживающий персонал просто не прочтут переписку, ведь она по-русски...

4. Тот же вопрос касательно транспортов. Как мне видится, лучше завести заграничный транспорт аськи (тот же miranda.im или jabjab.de), чем на icq.freeside.ru, где владельцы попросту не смогут прочитать переписку по-русски.

5. Опрометчиво завел себе транспорт на freeside.ru и только потом понял, что непонятно кому доверил свой номер аськи и пароль+переписку, а так же адрес гмейл :( Или же история переписки через транспорт не хранится на сервере транспорта, а только номер аськи+пароль+засвеченный адрес гмейл? Может ли владелец сервера предоставляющего транспорт собирать базу имейлов и по ней спамить или продавать ее спамерам?

6. Где гарантия, что после отключения от транспорта (отписки или ОТрегистрации, через ту же Psi 0.12) все данные удаляются с сервера?

Это пока все вопросы :) Спасибо за комментарии :)

П.С. Альтернативу транспортам в виде комбайнов типа Пидгин, Инфиум, Миранда и пр. прошу не предлагать, ибо Пидгин неповоротливый даже на двухядерных ноутах с 2 Гб оперативки, Миранду надоело собирать по кускам, Инфиум вообще зловредная программа и хитрый шпион похлеще Одноклассников :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Попробую пригласить наших специалистов из конфы [email protected] Они уж точно ответят.

2. Заводить учетку на гмейле вообще противопоказано. Т.е. не заводить, а использовать. :) Они не подчиняются некоторым стандартам Jabber и в некоторых конференциях гмейловцев банят. То, что они не поддерживают букмарки, например, это их интимные проблемы. Но от того, что гмейл сыплет в конфу презенсы очень сильно раздражает. За что, собственно, их банят. Жабо.ру неплохой сервер, но Яндекс (ему жаббер.ру принадлежит) пока не выдерживает наплыва пользователей, после очередного подарка АОЛ. Думаю, это пока, а там Яндекс нарастит мощности. Жаббер.орг, если я не ошибаюсь, старейший. Говорят, стабильный, но так или нет - не знаю. Я держу две учетки, на жаббер.ру и на миранда.им. Миранда.им пока не самый стабильный, но еще ни разу не было, чтобы не работало одновременно две учетки. Если жаббер.ру прогинается, я просто отключаю его и остаюсь на резервном миранда.им. В самой миранде дал разным учеткам разные иконки и легко различаю их, если пишу jid2jid. А вообще, серверов превиликое множество. Ты сам можешь поднять сервер на своем собственном компе, если угодно. :)

3. Очень сильно сомневаюсь, что кому-то вообще нужно читать твою переписку. Но, аналогично п. 1

4. Какой толк от транспортов аськи? :) Не лучше ли в Миранде держать icq.dll и jabber.dll? :) Впрочем, каждый волен решать сам.

5, 6. Аналогично п.1

З.Ы. Используй уже собранную Миранду. ;) Например, мою :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
П.С. Альтернативу транспортам в виде комбайнов типа Пидгин, Инфиум, Миранда и пр. прошу не предлагать, ибо Пидгин неповоротливый даже на двухядерных ноутах с 2 Гб оперативки, Миранду надоело собирать по кускам, Инфиум вообще зловредная программа и хитрый шпион похлеще Одноклассников :)

думаю основная проблема именно в этом абзаце. на текущий момент стоит миранда с минимум плагинов, ничего специально не искал, не подбирал. единственное что сделал после заведения джабер аккаунта - установил плугин metacontacts.

теперь имеем быстрый, удобный инструмент, которые работает и с жабой и аськой одновременно, при этом нет дубликатов контактов в списке и не используются подозрительные транспорты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
З.Ы. Используй уже собранную Миранду. ;) Например, мою :)

Спасибо, за возможные ответы спецов :)

А что за сборочка? Любопытно глянуть :)

теперь имеем быстрый, удобный инструмент, которые работает и с жабой и аськой одновременно, при этом нет дубликатов контактов в списке и не используются подозрительные транспорты.

Да я в принципе не против Миранды. Просто совсем голой я ее не люблю - слишком простовата :) Минималистична. А с модерн-клист начинаются глюки со скинами некоторые :) Опять же, народ утверждает, что Миранда не на все 100 работает по джабберу. Хотя мне, по большому счету, полный функционал не требуется :) Просто надежная связь :) И все же Миранда мне видится оптимальным вариантом, хотя и ПСИ с транспортами ничего так, правда вот безопасность, конечно....

Да, транспорты - идея не самая удачная, но они популярны только потому, что выбор мульти-ИМ не так уж и велик :( Из достойных можно назвать вышеперечисленные и все :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А что за сборочка? Любопытно глянуть smile.gif

В выходные, ориентировочно, обзаведется жаббером. Тогда и дам ссылку.

А с модерн-клист начинаются глюки со скинами некоторые

Есть клист_найсер. А у модерна пока только один заметный глюк, автор знает, но сейчас он дома ремонт делает. Там глюк с прорисовкой при прокручивании списка скролом мыши.

Опять же, народ утверждает, что Миранда не на все 100 работает по джабберу

Отправь народ учиться. :) 100% никто не работает, но Миранда отвечает.

Диалог с одним из разработчиков Miranda IM, автором клист_модерна:

Сегодня FYR

11:12:03 1. сообщение дешифруются на стороне сервера при получении, далее перешифруются при отправке на другой сервер. Но на самом сервере можно логировать что угодна.

11:12:25 2. не пользовался, я на ж.ру

11:13:19 3. это миф.. при надобности получат любую переписку. а без надобности вы нах ни кому не нужны

11:13:44 4. могут возникнуть проблемы с кодировкой

11:14:10 5. да может. модет и логи настроить

11:14:22 6. нет никаких гарантий

Сегодня Umnik

11:14:35 Ага, спасибо. :)

Сегодня FYR

11:14:49 и вообще - здесь все до боли аналогично e-mail

Сегодня Umnik

11:16:06 Тем, а наша работа с жаббером. Цитата: "Опять же, народ утверждает, что Миранда не на все 100 работает по джабберу".

11:16:13 Что можно ответить?

Сегодня FYR

11:16:30 нет ниодного клиента реализовавшего все JEP

11:16:53 список реализованных у нас JEP можно увидеть, где то был список

11:17:29 если же какой то JEP реализован не правильно - то это бага,которая должна быть зафикшена

Сегодня Umnik

11:17:39 А что-то касалось "Миранда отвечает какому-то стандарту"

11:17:46 Было в прошлом году такое что-то

Сегодня FYR

11:18:52 был набор JEP который должны реализовать клиенты чтобы отвечать чтото типа basic jabber client 2008, advanced2008,

11:19:08 мы там были гдето ближе к топу еще тогда

Сегодня Umnik

11:19:27 Сейчас не выпали из топа?

Сегодня FYR

11:19:39 не должны были

Сегодня Umnik

11:19:56 Ога, спасибо.

Отредактировал Umnik
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо автору топикстартеру за тему, только у меня больше вопросов чем ответов, прошу меня простить :)

Миранду использовал для входа в разные локальные сети нашего города, давно, когда она была еще версии 0.4+, какая сейчас не знаю, давно отказался в пользу QIP и он был моим браузером в ICQ до последнего момента. Больше месяца не пользовался ICQ, кто-нибудь не расскажет, что там случилось, на сколько я понял, от нас хотят отказаться, так как наши хулиганы друг у друга воруют номера?...

И на сколько я слышал, у нас в России хотят придумать альтернативу в лице Jabber ?

Слышал еще слушок, Миранда хочет разобраться с Mail.ru (с ее агентом) так как последние "стащили" кусок открытого исходного кода и внедрили в свой клиент поддержку Jabber... на сколько и это правда?

На счет того, что многие хотят сохранить тайну переписки, думаю что это вряд ли получиться, везде где есть сервер обмена сообщений, есть и логи... В то время когда наши депутаты, милиция, фсб и тд хотят от нас полной "прозрачности" вы хотите спрятаться ? :lol: Если хотите сохранять тайность переписки, используйте программы прямого доступа с шифрованием канала, ключей, сообщений... :)

-----------

Если здесь не удобно ответить, то согласен в другую тему :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://habrahabr.ru/blogs/im/51041/

http://habrahabr.ru/blogs/im/51259/

http://habrahabr.ru/blogs/im/51375/

Это про jabber в Миранде и в МРА

Отредактировал Umnik
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sorry, skipped

Жабо.ру неплохой сервер, но Яндекс (ему жаббер.ру принадлежит) пока не выдерживает наплыва пользователей, после очередного подарка АОЛ. Думаю, это пока, а там Яндекс нарастит мощности. Жаббер.орг, если я не ошибаюсь, старейший. Говорят, стабильный, но так или нет - не знаю.

Здесь список различных jabber-серверов, в котором, в частности, указаны их uptime'ы. Правда, сервера jabber.ru и.т.п. я в списке не нашёл, но на страничке есть возможность задать вопрос автору, потому, данный пробел, вероятно, легко устраним. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
думаю основная проблема именно в этом абзаце. на текущий момент стоит миранда с минимум плагинов, ничего специально не искал, не подбирал. единственное что сделал после заведения джабер аккаунта - установил плугин metacontacts.

И как работает? Потому как, исходя из обсуждения, плагин пока не очень стабилен в работе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И как работает? Потому как, исходя из обсуждения, плагин пока не очень стабилен в работе.

0.14.0.9 - вообще никаких нареканий, но я в принципе человек не привередливый. всего у меня 10 метакконтактов, весь лист контактов - около 200...

ps о глюках его я только из интернета узнал, причем не понял о каких именно глюках был разговор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Метаконтакт не стабилен. Я удивляюсь сборщикам, которые пихают его в свои сборки для других. Кроме того, оба import (стандартный и от Био) криво обрабатывают метаконтакты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я юзаю google и меня он полностью устраивает, для меня там есть все необходимое - обмен сообщениями, передача аудио и видео. Вообще мне лично мало просто IM-клиента, поэтому выбор идет скорее между онлайн платформами. Поэтому сейчас для меня альтернативы две - Google и Windows Live. В последней есть свой Windows Live Messanger, достаточно мощный и симпатичный.

Вообще стоит присмотреться к Windows Live, сейчас все это хозяйство находится в бете, но возможности очень большие (своя соц. сеть, почта, контакты, документы, файлы (Sky Drive на 25Гб), фото, видео и т.п. ). Почту, календарь и контакты можно синхронизировать с Outlook!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вообще стоит присмотреться к Windows Live, сейчас все это хозяйство находится в бете

Согласен, присмотритесь. Тема уже есть>>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итак, насколько я понял, Jabber, как и любой посредник передачи данных является слабым звеном, ибо владелец сервера может вести логи, не удалять информацию через транспорт после отписки от транспорта и хранить пароли к аське, а так же адрес почты использовать для спама. Это не есть гут.

Как отнесутся спецы к тому, что следует заводить учетку и при необходимости транспорт на заубежных серверах? PGP - это понятно, но я в том плане, что бы шаловливые ручки админа-владельца Васи просто не добрались "почитать" любовную переписку из любопытства... :)

По поводу ап-таймов, я так, чем больше (100%) тем лучше? Но пишут на разных форумах, что если 100% значение, то значит сервак вообще не перегружался ни разу, а значит и необходимые обновления могли быть не установлены :(

При использовании транспортов заметил огромный минус: если вы подключились к одному транспорту, а он перестал работать, то при переключении на другой транспорт у вас в контакт-листе начинается мешанина в виде контактов с никнеймами и просто номерами. Т.е. контакты просто двоятся, ибо каждый транспорт с разным результатом вытягивает их с АОЛ. Одному удается подтянуть ники, другому только номера или номера с некоторыми никами вперемушку :( Как с этим бороться? Пользовать только один транпсорт?

Заметил так же, в той же Psi, что при отписки (ОТрегистрации) от использования транспорта подтянутые им контакты вида [email protected] остаются в контакт листе, хоть и не активны. А если эти контакты убить, то они убиваются и с сервера АОЛ :( Тажа ситуация с гмейл - зайдя в почту вы увидите листе чата подятнутые транспортом номерки аськи, удаление которых из гмейл ведет к удалению их с АОЛ :( Очень нестабильная система, короче :(

Главный минус - минимум информации для обычного, рядового пользователя по нюансам Jabber. Все написанное мной выше я почерпнул только на практике, на форумах об этом не пишут, да и единого форума, как асечка.ру, к примеру, по Джабберу я не нашел. остальные форумы мало-информативны (особенно фирменный по ПСИ) и малопосещяемы :(

А мне бы думалось, что пользователю, который решил перейти на джаббер, куда полезней знать о нюанса с транспортами, ведении логов на серверах, и прочих мелочах, чем просто читать однообразные и хвалительные ура-статьи из серии: "Переходи на джаббер - убей аську". :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

TANUKI

С вопросами по жабберу можешь обращаться в конференцию [email protected]

Это не есть гут.

Если ты реально параноишь и считаешь, что ты кому-то нужен (в смысле слежки), подними жабосервер у себя на компе.

Но пишут на разных форумах, что если 100% значение, то значит сервак вообще не перегружался ни разу, а значит и необходимые обновления могли быть не установлены sad.gif

100% аптайма, это близко к мифу. :) Конкретно для сайта, указанного Михаилом, это означает, что сервер был проверен х раз и все х раз он был доступен. В уже указанной конфе зайти в приват боту Талисман (если такого имени не будет, напиши в чат "тест" без кавычек, Талисман ответит "пассед") и напиши "аптайм жабосервер". И узнаешь его аптайм. :) Конечно, это не самый логичный путь, но я живу в той конфе, потому для меня он является единственно правильным и удобным. :)

Минусы транспорта можно свести на нет, если:

1. Использовать мультипротокольный клиент, типа Миранды, где протоколы разделены. Т.е. не использовать транспорт. :)

2. Используя метаконтакты и...

3. ...Использовать серверы, где транспорты умеют преобразовать УИН в ник

Я выбрал путь 1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если ты реально параноишь и считаешь, что ты кому-то нужен (в смысле слежки), подними жабосервер у себя на компе.

Я выбрал путь 1.

1. Насколько это сложно сугубо для себя в плане настройки и ресурсов ноута? В смысле, я не собираюсь сервер делать публичным, юзать самостоятельно :)

2. Да я тоже пошерстил с разных сторон и вижу, что так таки выгодней всего и удобнее...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не знаю, даже не задумывался реально о собственном сервере... Возможно, тебе ответят все в той же конфе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. от нас хотят отказаться, так как наши хулиганы друг у друга воруют номера?...

2. И на сколько я слышал, у нас в России хотят придумать альтернативу в лице Jabber ?

3. Слышал еще слушок, Миранда хочет разобраться с Mail.ru (с ее агентом) так как последние "стащили" кусок открытого исходного кода и внедрили в свой клиент поддержку Jabber... на сколько и это правда?

1. Не в воровстве номерков дело :) Просто на территории СНГ (или юридически правильней сказать бывшего СССР) народ активно пользуется альтернативными клиентами типа КИП, Миранда и др., что очень нервирует АОЛ, ибо народ таким образом избавляет себя от просмотра рекламы, что печалит АОЛ :) Потому он хотят всех насильно пересадить на родной клиент :)

2. Ну не то что бы придумать альтернативу, а предложить ее :) Jabber существует достаточно давно, просто народ стал активнее интересоваться этой темой из-за выкрутасов АОЛ-а :)

3. Про это ответить ничего не могу. Тоже слышал что кто-то у кого-то что-то слизал, но подробностей не знаю :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

whoernet выпустил новый jabber-клиент

  1. Сильно изменили работу с историей в сторону повышения удобства.
  2. Переработали меню настроек, убрав не самые важные элементы в расширенные настройки, а более важные вернув из расширенных настроек в общее меню.
  3. Изменили меню, доступное по нажатию правой кнопки мыши в полях списка контактов и чатов. Теперь часто используемые действия будут выполняться гораздо быстрее.
  4. После перезапуска клиента восстанавливаются все вкладки, которые были открыты на момент закрытия.
  5. Теперь все сообщения (в том числе технические, например, запрос на авторизацию), связанные с контактом из вашего контакт-листа, отображаются в окне чата, а не в отдельно всплывающих окнах с технической информацией.
  6. Сделали полностью портативную сборку клиента.
  7. Улучшили поиск по контакт-листу.
  8. Изменили и значительно улучшили работу многострочных вкладок.
  9. На вкладке при общении с контактом вы видите название текущей группы, в которой он находится.
  10. Стало возможно копировать часть выделенного URL входящих сообщений, а не только весь URL целиком.
  11. При открытии чата с контактом вы сразу видите пять последних сообщений (число можно менять в настройках) с этим контактом, что помогает вспомнить, что обсуждалось ранее.
  12. OTR-шифрование работает «из коробки», при первом же запуске программы.

скачать бесплатно можно с их сайта https://whoer.net/ru/im

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS