jabber.ru сообщает о планах по развитию проекта

ну в принципе, иметь некую софтину для связи со мной не столь затруднительно.

есть ли нормальные SIP провайдеры с нормальным качеством связи? с клиентами нативными тоже как-то не всё слава богу.

да

В месте наличия у него супернод, серверов или как это там у них называется.
Ах да, они обозвали серверную часть клиентом. А как тогда юзера, который к клиенту коннектиться назвать?

По сути у них сеть из серверов, а ты коннектишься к одному из них.
IRC, Skype, что там ещё подобным образом работает?

Your home server stores all your conversation and account data.
Matrix provides identity servers to track which emails etc. belong to which Matrix IDs.

Ну и где тут по твоему децентрализация?

Да, было дело, там тёрли конференции сирийцев, непонятно чего творивших там.

то были домыслы, а это факт централизованого сбора информации

а для линукса нет. а если есть, то это кривое проприетарное гавно.

Не у всех.

Глупо верить на слово, что они не собирают информацию, которая приходит к ним в открытом виде. Это базовые принципы сетевой безопасности.

И ещё. Эта фича типа включается по запросу клиента. То есть, если ты веришь, что они раньше не собирали инфу, и веришь, что они не будут хранить переписку, пока клиент не согласится - то что изменилось?

Если не веришь, то почему раньше верил?

В jabber у тебя может быть otr.

А в телеграмме End-To-End чаты. И какая разница?

Вообще-то, для этого ещё надо, чтобы родственники согласились переехать, это куда тяжелее.

Поэтому сейчас важно иметь веб-опцию. Без этого очень сложно заинтересовать людей, привыкших к ВК, твиттерам итп.

Открытый и переносимый SIP уже сто лет как работает. И даже, как выясняется, Microsoft в своём Lync его полноценно поддерживает. Только вот пересадите на него виндузятников со скайпа - их и там всё устраивает, и свои контакт-листы им куда девать.

Проблема в том что SIP это не готовый сервис, а протокол. В него юзеру надо хоть немножко въехать, поставить клиент, настроить его (самая интересная часть программы), а потом могут начаться проблемы с НАТами и прочие прелести. У меня был опыт установки знакомым SIP-клиентов. В лучшую сторону картина стала меняться после появления WebRTC. Я думаю, это очень правильный путь решения проблемы voip. А теперь вот появился matrix, который еще и сигнальный протокол для webrtc. Всё открыто и свободно, можно экспериментировать.

Допилить cutegram, и будет.

У телеграмма нет свободного сервера и s2s?

Лол, не понимаю от чего они лезут на наш сервер.

Matrix децентрализован в той же степени, что и XMPP. «Федерация» называется.

https://intelfx.name/files/cif2015.pdf

Вань, да знаю я как это называется.
Но это гибридная сеть, а не децентрализованная. Фидо ты ж не назовёшь децентрализованной, а она с точки зрения архитектуры такая же, как и Matrix.

Мне вообще неясно, с какого фига federated стали называть децентрализованными, учитывая необходимость в ядре сети (aka связке серверов). Чисто децентрализованная - это только distributed network.

В этом плане Tox сильно круче, потому как использует честный DHT.

Пруфы чего, болезный? Того, что поделка таки привязана к мобилке? Или зазондированности? Так серверная часть с закрытым кодом. А по поводу «безопасности» - пользователи просил ввести систему обмена ключами, для реализации классического end2end шифрования, на что был получен ответ «не нужно, все хорошо и так, мы гарантируем». Наталкивает на мысли о MITM на стороне сервера, нет?

В общем, имеющий уши, как говорится, да услышит.

К вопросу об end2end чатах в telegram: http://habrahabr.ru/post/206900/

Не всем нужна абсолютная децентрализация в стиле DHT. Более того, мы тут обсуждаем конкретно альтернативы XMPP, который как раз-таки «федеративен».

Согласен, что не всем нужна. Но для тех целей, для которых разрабатываются все эти убийцы xmpp и прочих мессенджеров, глупо не использовать dht сотоварищи, когда технологии уже есть.

Зачем делать заведомо более слабую реализацию с федерацией?

У Tox (и у всего DHT-based) фундаментально другой набор фич, и сравнивать их некорректно. Я, допустим, хочу адекватный мультилогин и синхронизацию истории, и поднять свой сервер для совсем-совсем приватных вещей совершенно не проблема. Поэтому Matrix, будучи, по сути, «XMPP done right», моим юзкейсам идеально удовлетворяет, а Tox — нет (и никогда не сможет).

Также хочу заметить, что у слова «децентрализация» более широкое значение, и федеративные сети тоже называются децентрализованными. Короче, не путай с распределённостью.

Рекламные месаги будут присылать.

Нет. Но проверив исходный код клиента, можно убедиться, что они действительно шифруют клиент к клиенту.

А к чему этот вопрос?

UPD: История закончилась хорошо. Уязвимость исправлена, документация и приложения обновлены, искатели сокровищ багов мотивированы, что уже дало плоды (1, 2). Нужно отдать должное разработчикам Telegram-а, моментально отреагировавшим на статью.

И ещё заглянул в описание протокола, и проверил описание nonce. Теперь это «Value generated by client». Расходимся.

К тому, что телеграмм будет работать ровно до тех пор, пока так хочет владелец сервера, и ты можешь быть там забанен по желанию левой пятки. В отличии от жаббера, где каждый волен поднять своего сервера и в целом сеть неподконтрольна отдельному человеку или организации в силу своей децентрализации, только отдельные сервера.

В любом случае, не вижу оснований доверять приложению с закрытым исходным кодом.

http://habrahabr.ru/post/207038/

Но исчезла ли уязвимость и стал ли Telegram защищён от не обнаружимого MITM? Есть мнение, что не стал и администраторы Telegram серверов всё ещё могут прослушать пользователей так, что проверка ключей покажет, что они совпадают.

1. Jabber-сервер - дело тонкое. Теоретически, его может поднять каждый. Но на практике окажется что для этого надо иметь VPS, белый IP, доменное имя и т.д. Или ухищрятся пробрасывать старый комп за роутер. Занятие совсем не для хомячков, не так ли? Полной децентрализованностью изкаробки обладает только Tox.

2. Если зарегистрироваться на публичном Jabber-сервере, админы точно так же, по желанию левой пятки, могут тебя забанить. И если владелец сервера захочет его внезапно закрыть, и послать всех на три буквы, он тоже может так сделать.

3. Телеграмовцы изначально заявляли об ориентированности на массового пользователя. Поди найди домохозяйку, которая может поднять сервер. См. п. 1

Для исправления этой уязвимости мессенджеру достаточно было бы проверить, что присылаемые g_a и g_b не равны единице

Первый комментарий

Нужно отметить, что проблема на клиентской стороне и не затрагивает безопасность самого протокола.

Ещё раз проверяем клиенты, и расходимся.

А ещё его писали отборные мрази. Олимпиадники, которые нихера не слышали про билдсистемы, сабмодули и теги в git. Про то, что они патчат башскриптами мейкфайлы, я вообще лучше бы не говорил.

И не надо читать овер9000 мануалов, чтобы была безопасность в Tox. А джабберы прослушивают.

Звучит прекрасно, но end2end шифрование как прослушают?

Была бы полезна возможность блокировать адреса на сервере, а то мне в jabber стал спам регулярно приходить.

Для блокировки спама есть carma. Но мне кажется про нее все забыли.

Это не противоречит моему утверждению о том, что джаббер не нужен. С ув.

Нука подними на предприятии TOX так чтоб новый сотрудник сразу получал доступ к адресной книжке и всем чата и при этом чтоб можно было общаться с внешними клиентами и чтоб при увольнении его учетка блокировалась.

Кто-нибудь уже сказал зачем оно нужно, если есть телеграм?

Телеграмм унылое гавно. Нука расскажи как мне зарегаться в телеграмм НЕ указывая телефон? И покажи мне десктоп клиента?

Тогда тут рулят воццапы и вайберы

Кстати если кто не в курсе вотсапп это иесть (был 100%) jabber без s2s и запустил его экс Житель СССР. И молодец. Бабла поднял немерянно взяв просто XMPP (правда под FreeBSD).

если твой круг общения не гомогенная масса - приходится держать на устройстве 100500 клиентов

Это большая беда. Особенно если у людей есть голова на плечах. Но у 99% у них там жопа. Тот, же Telegramm вполне могли организовать s2s Но у них даже имена через жопу сделаны @User. Что на Юзере? user@server это пользователь user на сервере server. Это URL. А что у телеграмм? Мозговой слизень на юзере? Уроды вместо ISO подтвержденного протокола сделали проприетарный велосипед. В 90-х так хотел сделать МС заменив http своим протоколом в МСН но не взлетело. А в 20ХХ взлетело из-за кучи тупых макак которые ставт телеграмм только потому, что у васи из соседнего подъезда он установлен. А потом цепочка доходит до нормальных людей.

Каюсь, да, протокол свой плюс ещё никакой возможности проверить MITM если его делает сервер.

Я тебе больше скажу. Протокол может быть какой угодно. И клиента ты проверил и закладок нет, а потом с апп стор или гугл плей только тебе прийдет клиент который будет включать микрофон, камеру и хоть каждую координату передавать полковнику. И как ты от этого обезопасишся? А если в даркнете УЖЕ есть услуга за 10000$ мы вам спали ВСЕ на телефоне клиента?

Дуров сказал, что коммерческой выгоды он не имеет и что у него бабла ДОСТАТОЧНО и что он за швабодку. Дуров и про VK такое говорил. И? Давайте верьте ему и дальше, а он будет горящие 100$ купюры кидать в окно на потеху себе.

матриксе проверка доставки из коробки, а в жаббере не везде.

в 98 году народ не тупил в GSM сетях. Но в XMPP это МОЖНО было добавить и ДОБАВИЛИ. Да часть клиентов не научились. А что с расширяемостью у матрикса? Как там в JSON с пространством имен? XPath уже придуман?

Было, и были энтузиасты, но постепенно огрехи в дизайне этого протокола и его несоответствие современным требованиям привели к тому, что он стремительно теряет популярность.

Да не идеал, а что есть ХОТЬ ОДИН протокол у которого такое количество фич?

Не вижу особой разницы между сабжевым jabber.ru и telegram в плане 'там могут быть не хорошие дядьки на сервере'

Смени сервер телеграмм на другой.

Даже telegram доверяя больше.

Ага, логика где? Телеграмм обслуживает ДУРОВ. Это тип который покатал мента на капоте (или сфабриковано, что покатал). В теории он уже в международном розыске и уже должен срок мотать. Но не мотает. Ой ля. Касперского не напоминает? Я на 99% уверен, что Дуров торгует инфой. Доказать это я не могу, но нет НИ одной причины не делать это.

для телеграма есть нормальный (с оговорками) кроссплатформенный клиент.

Ссылку клиента под Linux c GUI.

будто так сложно прикрутить к телеграмовскому клиенту otr

Нука, нука можно инструкцию (без варианта набрать текст в GnuPG и скопипастить шифр)?

В любом случае, не вижу оснований доверять приложению с закрытым исходным кодом.

Приложение как раз таки с открытым исходным кодом. Протокол тоже открыт. Закрыта только серверная часть.

По сравнению с другими подобными приложениями, типа всяких виберов, вотсапов, и прочего, это уже огромный шаг вперёд. Не даёт 100%-ных гарантий безопасности, но это уже лучше чем например, втентакль. Простота настройки и ориентированность на массы позволяет пересадить простых хомячков без особого труда. Присутствует в том числе и веб-клиент, пусть и без end2end.

Как человек, который частенько пытался пересадить своих хомячков на XMPP, могу сказать, что настроить среднестатистический клиент XMPP для хомячка гораздо труднее, чем телеграмм. И ИМХО, именно это погубило XMPP для масс.

Jabber странная вещь. Огромное количество фич и расширений, а такая простая задача, как запустить свой собственный сервер с федерацией и поддержкой аудио - до сих пор с лёгкостью сожрёт неделю экспериментов с разными реализациями и конфигами.

Да легко. Только кто барышню танцует..... Кто это оплатит? Я уже сказал вотсап и есть XMPP 300 млн клиентов с 1$ в год. Люди из Сбербанка, Центробанка, ФСБ его используют. Передают отчетность и все остальное.

В телеграм уже встроен свой OTR, называется End2End чат. А прикручивать OTR к OTR, только потому что первому OTR не доверяешь, это уже диагноз.

Только проверка? А можно было бы сделать несколько автоматических попыток доставки.

Это очень глупый способ. А если я тебе фотку в пятнадцать метров херну? А сам буду на море где за скалой GPRS не торт? Зарядку мне Пушкин принесет?

Люди из Сбербанка, Центробанка, ФСБ его используют. Передают отчетность и все остальное.

И зря. Судя по тому что написано в википедии, дыр у Whatsapp навалом.

Возможно, покупка скайпа микрософтом - это один из самых тяжелейших поражений мира открытых исходников и открытых протоколов за последние годы

Это когда скайп стал ОТКРЫТЫМ?

Открытый и переносимый SIP уже сто лет как работает.

И через QoS его ломают ВСЕ (ну ок почти все) провайдеры предоставляющие IP телефонию

Сообщение в 15 метров? Но зачем?

Закрыта только серверная часть.

Этого достаточно. Непонятно, хранит оно логи или нет, если хранит, то как и в каком виде. Плюс авторизация через мобильник сводит на нет всю приватность и анонимность.

По сравнению с другими подобными приложениями, типа всяких виберов, вотсапов
Не даёт 100%-ных гарантий безопасности, но это уже лучше чем например, втентакль.

Уровень доверия ко всему этому одного порядка.

могу сказать, что настроить среднестатистический клиент XMPP для хомячка гораздо труднее, чем телеграмм.

Это да. Но вот смысла пиарить Telegram на IT ресурсах я не вижу.

именно это погубило XMPP для масс.

Нет. XMPP погубило нежелание корпораций иметь не подконтрольное им целиком средство коммуникации. Напомню, еще раз про пик популярность XMPP, когда за него схватились google, facebook, yandex, lj, популярный в СНГ клиент qip тихо и незаметно перетаскивал на него пользователей icq, вконтакте... Но немножко подумав, все они начали или сворачивать поддержку или лепить особенности реализации, делающие протокол несовместимым.

Возможно, покупка скайпа микрософтом - это один из самых тяжелейших поражений мира открытых исходников и открытых протоколов за последние годы

Это когда это скайп за всю свою историю хоть раз был открытым?

А вот то, что не предусмотрено создание своих серверов, ибо сервер проприетарный, это да.

Мужик ты на LOR или в чатике обсуждающих детей мамочек? Ну какой адрес у клиента в телеграмм? Какой там s2s. Нет его и не будет. Протокол как у ICQ шестизнак. А два сервера это шардинг