Посоветуйте сервер XMPP, которому можно было бы доверять (либо мессенджер, которому можно было бы доверять).

лучше готовый xmpp сервер посоветовали бы

Ну раз «готовый»... Буду оригинальным (или нет?) - Snikket!

Спасибо! Читаю.

Там достаточно прочитать 2 слова: «преднастроенный Prosody»

удовольствие это затратное

не вижу преимуществ по сравнению с готовым сервером

Ну вот момент затрат, например - уже, возможно, преимущество для кого-то.

А так-то - у меня 75$ в год на сервер + сколько-то там домен. Мне нормально. Пользуюсь я и еще несколько десятков человек + на сервере прочие проекты.

Слушайте, а ведь еще такой момент - сервер то тоже не в каком-то межзвездном пространстве находится. Чем принципиально отличается свой сервер (арендуемый, еще скорее всего и виртуальный) в чужом дата-центре от аккаунта (также на чужой территории).

Ну хотя бы «мой сервер - мои правила». Можно делать любые удобные настройки, чего на чужом сервере сделать уже не получится.

Я, кстати, глупость написал. Плюсы, определенно, есть. Как минимум в том, что если сервер не светить явным образом, то и ломать его, например, с целью получения переписки, никому и в голову не придет. Автоматизированно, по крайне мере.

https://providers.xmpp.net/

Провайдеры XMPP разделены на категории A, B, C, D, где категория A считается самой надежной. Chaos Computer Club даже и не указан.

При этом мой сервер не получит категорию «А» просто потому, что у меня нет разрешения на регистрацию из клиента. Авторы сайта из какой-то альтернативной реальности. Мне даже регистрацию через штатную веб-форму ejabberd'а пришлось прикрыть после того, как там, проходя капчу, зарегилось сотни полторы аккаунтов за день или около того.

Привет. Здесь можно посмотреть список сторонних XMPP провайдеров https://providers.xmpp.net/

Клиенты для телефона можно найти в F-droid так же есть интересные форки с ш2з ( i2p) https://github.com/r4sas/Conversations-I2P

Просто я еще не дорос до такого уровня, чтобы заморачиваться с настройками.

Настроек на самом деле не так много. Основное старался расписать в мануалах для ejabberd и Prosody. Сниккет уже упоминал, там еще проще.

Мне достаточно, чтобы шифровалось, не падало и, желательно, не вело логи.

По каждому моменту ищется баланс доверия. К железу, софту, к провайдеру, хостеру, админу, центру сертификации и так далее.

Уверен, что админ не ведет неудобные для тебя логи? Пользуешься. Не уверен - настраиваешь свое.

https://compliance.conversations.im/old/ - такая ссылка актуальнее может быть.

Одна хорошо, две лучше ))

В целом да, рейтинги кажутся очень субъективными.

Нашлось еще одно сообщество. Я про них никогда даже и не слышал ранее.

Ключевые моменты

Исследования показывают, что наиболее надежными общинно поддерживаемыми XMPP-серверами, к которым можно подключиться, являются jabber.ccc.de и jabber.calyxinstitute.org. Оба сервера управляются уважаемыми организациями, такими как Chaos Computer Club и Calyx Institute, и имеют долгую историю надежной работы с акцентом на конфиденциальность и безопасность. Ожидаемо, оба сервера предлагают бесплатные аккаунты и поддерживают шифрование, но неожиданно, jabber.ccc.de особенно популярен в хакерском сообществе благодаря своей репутации.

Описание серверов

jabber.ccc.de управляется Chaos Computer Club, известной организацией, занимающейся цифровыми правами и безопасностью. Сервер работает уже много лет и славится своей надежностью и приверженностью конфиденциальности пользователей.

jabber.calyxinstitute.org управляется Calyx Institute, некоммерческой организацией, сосредоточенной на разработке и продвижении технологий конфиденциальности. Этот сервер предоставляет безопасную и бесплатную услугу с акцентом на анонимность и защиту данных.

Почему можно доверять

Оба сервера имеют сильную репутацию благодаря своей долгой истории, строгим мерам безопасности и поддержке сообщества. Они регулярно обновляются и имеют прозрачные политики конфиденциальности, что делает их подходящими для пользователей, ищущих надежные XMPP-услуги.

Но это неточно. Потому, что это всего лишь ответ ИИ.

jabber.ccc.de предлагает доступ через Tor, что добавляет уровень анонимности (Ccc Website).

jabber.calyxinstitute.org также поддерживает доступ через Tor и фокусируется на конференц-связи (Calyx Public Jabber/XMPP Server).

Вот это скорее минус. Доказывай потом, что не слон.

И хранить на ней базу данных!

qTox

А почему нельзя использовать телеграм как транспортную систему?

- все сообщения передаем в зашифрованном виде; - каждое сообщение обязательно содержит в себе подпись, при этом в идеале, и подпись и ключ меняется каждый раз по заранее обозначенному алгоритму; - если злоумышленник угоняет аккаунт, максимум, что он получает - список контактов, но переписываться с ними он не сможет, так как любое нешифрованное сообщение, равно как и шифровка но без подписи, будет означать что аккаунт был угнан.

Интересно, как бы это реализовать на практике? Или глупость?

Интересно, как бы это реализовать на практике?

Поставь и себе и своим респондентам ayugram, там есть поддержка OTR.

Хотя проще тогда пользоваться matrix, там всё это из коробки.

У Tox раньше всё грустно с кодом. Не пойму только на этом клиенте, или на каком-то другом. И команда та же, или другая... https://habr.com/ru/articles/276665/

ayugram

Крутая вещь. Даже немного страшно ставить такое. )) Хотя, почему бы и нет.

matrix

Тогда опять возврат к нашим баранам с выбором сервера и клиентов под все платформы. Свой сервер там наверное точно не поднимешь, ресурсов много жрет, насколько я слышал.

Retroshare поверх i2p.
Во всех остальных могут взять за мягкие уязвимые места, в случае если скажете что-нибудь не то (оскорбите чувства верущих, например), или поменяются законы.

Свой сервер там наверное точно не поднимешь, ресурсов много жрет, насколько я слышал.

Как маршрутизация текстовых сообщений (в узком кругу друзей) может в принципе жрать много ресурсов?

Человек не может генерировать столько сообщений чисто физически. (робот может, но мы же не про DDOS говорим).

Может быть запросами истории можно загрузить сервер, но на это должны быть предусмотрены rate limits и пр. throttling.

У Tox раньше всё грустно с кодом. Не пойму только на этом клиенте, или на каком-то другом. И команда та же, или другая…

Вы задолбали копировать эту дурацкую статью уже 8 летней давности.

Да. Согласен, что хочешь полной анонимности - поднимай свой сервер. Но удовольствие это затратное.

Да ни разу.

Анекдот вспомнил: Дед, чтобы спасти деньги от инфляции, на все сбережения купил бронированную входную дверь. Пока ходил на рынок, злоумышленники её вскрыли. Ничего в квартире не взяли, потому что и взять-то было нечего. А на столе оставили записку: «Ты, дед, так больше не шути!»

Об этом не подумал. Ведь действительно, нагрузки то не будет.

Свой сервер там наверное точно не поднимешь, ресурсов много жрет, насколько я слышал.

У меня дендрит работает на VPS за 10 евро вместе с кучей другого софта. Conduwuit аналогично ест, то есть почти ничего. Рекомендую второй, потому что разработка Dendrite вроде как на паузе и новых фич можно ждать долго придётся.

В принципе, даже Synapse для одного-двух юзеров жрать будет мало, он на больших чатах по 10к человек начинает вешаться.

Тогда опять возврат к нашим баранам с выбором сервера и клиентов под все платформы

Element есть везде. Под линуксом ещё неплох nheko.

Да я то что, мне то Tox нравится. Но самостоятельно его аудит я провести не могу. Как говорится, что где услышал.

А что там с трафиком? А то меня тут собрались камнями забить, что «мало того, что еще одно приложение ради тебя ставить, так еще и трафик будет все время идти». )

А что там с трафиком?

Сколько насрёшь, столько и будет. Я же не знаю, что ты там будешь пересылать. Если пошлёшь 10 гигов порно, то будет 10 гигов трафика. Сервисный трафик достаточно минимален.

Понял. Вот как раз про сервисный и хотел уточнить.

Как говорится, что где услышал.

Там написали какую-то хрень, тем более написали хрен сколько лет назад. Такой информации по умолчанию доверять нельзя.

Сегодня была последняя капля

Ну поставь пароль то на телеграм.

Защищаться методом неуловимово джо - плохая идея, а жаббер вроде даже список сессий показывать не умеет. Ломанут и не узнаешь.

(если что у меня есть свой xmpp сервер для семьи, сначала жил в кладовке, теперь на впске)

Значит и на Tox стоит тоже посмотреть.

В том то и дело, что облачный пароль никак не помешает злоумышленнику сидеть одновременно с пользователем в сети. Одно только что не сможет выкинуть владельца аккаунта из сети. Вернее сможет, но и самого разлогинит.

Ну это надо прям сессию спереть, а это всё таки относительно сложно. Если кто-то это смог, так он и всё остальное скорее всего спёр.

использовать телеграм как транспортную систему?

Чтобы что?

Можно, конечно, просто зачем?

жаббер вроде даже список сессий показывать не умеет

https://upload.jabberworld.info/u/ec27dcda43c1bdb422cd46afa492a43811cee88a/P4...

Так устроит? Такое сто лет есть.

он на больших чатах по 10к человек начинает вешаться.

А выше вон человек рассказывает, что «зачем для текста много ресурсов» :)

Можно, конечно, просто зачем?

Чтобы вот это: https://datatracker.ietf.org/doc/rfc5514/

Ну скорее не очень. У меня он показывает только активные сессии и на сервере не сохраняет. Или можно сделать чтоб на сервере сохранял и потом показывал всех кто когда либо подключался?

Если со стороны сервера - то да, есть лог, например, ejabberd'а, там все подключения. Можно отсеять по конкретному JID'у и смотреть, кто/когда/откуда подключался.

Доверять никому нельзя. Да, сервер на ХМРР можно поднять… но там будут уязвимости.

Только вот, к великому сожалению, jabber давно умер :(

У мя там в контактах целая одна девчонка есть. Так что, не совсем :) умер

Но с Телеграм мне кажется тут уже полный флеш рояль.

Это только кажется

Оба сервера управляются уважаемыми организациями

Угу, а потом выяснится, что эти уважаемые организации ВСЮ доступную информацию сливают в АНБ…

Свой почтовый сервер + delta chat.