LINUX.ORG.RU

Посоветуйте сервер XMPP, которому можно было бы доверять (либо мессенджер, которому можно было бы доверять).

 , , , ,


1

3

По сумме факторов. Аудит. Обновляемость. Поддержка сквозного шифрования (OMEMO). Uptime. Юрисдикция. Конфиденциальность.

Советуют jabber.ccc.de или xmpp.is Что можете о них сказать (хорошего или плохого)?

Или может вообще что-то иное. Например, Session messenger. Что о нём думаете?

Но то, что с Telegram нужно уходить уже даже слепому понятно. Сегодня была последняя капля: https://habr.com/ru/companies/pt/articles/889692/


Ответ на: комментарий от XZ

лучше готовый xmpp сервер посоветовали бы

Ну раз «готовый»... Буду оригинальным (или нет?) - Snikket!

YAR ★★★★★
()
Ответ на: комментарий от XZ

Там достаточно прочитать 2 слова: «преднастроенный Prosody»

YAR ★★★★★
()
Ответ на: комментарий от XZ

удовольствие это затратное

не вижу преимуществ по сравнению с готовым сервером

Ну вот момент затрат, например - уже, возможно, преимущество для кого-то.

А так-то - у меня 75$ в год на сервер + сколько-то там домен. Мне нормально. Пользуюсь я и еще несколько десятков человек + на сервере прочие проекты.

YAR ★★★★★
()
Ответ на: комментарий от YAR

Слушайте, а ведь еще такой момент - сервер то тоже не в каком-то межзвездном пространстве находится. Чем принципиально отличается свой сервер (арендуемый, еще скорее всего и виртуальный) в чужом дата-центре от аккаунта (также на чужой территории).

XZ
() автор топика
Ответ на: комментарий от XZ

Ну хотя бы «мой сервер - мои правила». Можно делать любые удобные настройки, чего на чужом сервере сделать уже не получится.

YAR ★★★★★
()
Ответ на: комментарий от YAR

Я, кстати, глупость написал. Плюсы, определенно, есть. Как минимум в том, что если сервер не светить явным образом, то и ломать его, например, с целью получения переписки, никому и в голову не придет. Автоматизированно, по крайне мере.

XZ
() автор топика
Ответ на: комментарий от XZ

При этом мой сервер не получит категорию «А» просто потому, что у меня нет разрешения на регистрацию из клиента. Авторы сайта из какой-то альтернативной реальности. Мне даже регистрацию через штатную веб-форму ejabberd'а пришлось прикрыть после того, как там, проходя капчу, зарегилось сотни полторы аккаунтов за день или около того.

YAR ★★★★★
()
Ответ на: комментарий от XZ

Просто я еще не дорос до такого уровня, чтобы заморачиваться с настройками.

Настроек на самом деле не так много. Основное старался расписать в мануалах для ejabberd и Prosody. Сниккет уже упоминал, там еще проще.

Мне достаточно, чтобы шифровалось, не падало и, желательно, не вело логи.

По каждому моменту ищется баланс доверия. К железу, софту, к провайдеру, хостеру, админу, центру сертификации и так далее.

Уверен, что админ не ведет неудобные для тебя логи? Пользуешься. Не уверен - настраиваешь свое.

YAR ★★★★★
()
Ответ на: комментарий от YAR

В целом да, рейтинги кажутся очень субъективными.

Нашлось еще одно сообщество. Я про них никогда даже и не слышал ранее.

Ключевые моменты

Исследования показывают, что наиболее надежными общинно поддерживаемыми XMPP-серверами, к которым можно подключиться, являются jabber.ccc.de и jabber.calyxinstitute.org. Оба сервера управляются уважаемыми организациями, такими как Chaos Computer Club и Calyx Institute, и имеют долгую историю надежной работы с акцентом на конфиденциальность и безопасность. Ожидаемо, оба сервера предлагают бесплатные аккаунты и поддерживают шифрование, но неожиданно, jabber.ccc.de особенно популярен в хакерском сообществе благодаря своей репутации.

Описание серверов

jabber.ccc.de управляется Chaos Computer Club, известной организацией, занимающейся цифровыми правами и безопасностью. Сервер работает уже много лет и славится своей надежностью и приверженностью конфиденциальности пользователей.

jabber.calyxinstitute.org управляется Calyx Institute, некоммерческой организацией, сосредоточенной на разработке и продвижении технологий конфиденциальности. Этот сервер предоставляет безопасную и бесплатную услугу с акцентом на анонимность и защиту данных.

Почему можно доверять

Оба сервера имеют сильную репутацию благодаря своей долгой истории, строгим мерам безопасности и поддержке сообщества. Они регулярно обновляются и имеют прозрачные политики конфиденциальности, что делает их подходящими для пользователей, ищущих надежные XMPP-услуги.

XZ
() автор топика

Но это неточно. Потому, что это всего лишь ответ ИИ.

XZ
() автор топика

jabber.ccc.de предлагает доступ через Tor, что добавляет уровень анонимности (Ccc Website).

jabber.calyxinstitute.org также поддерживает доступ через Tor и фокусируется на конференц-связи (Calyx Public Jabber/XMPP Server).

Вот это скорее минус. Доказывай потом, что не слон.

XZ
() автор топика
Ответ на: комментарий от Aceler

А почему нельзя использовать телеграм как транспортную систему?

- все сообщения передаем в зашифрованном виде; - каждое сообщение обязательно содержит в себе подпись, при этом в идеале, и подпись и ключ меняется каждый раз по заранее обозначенному алгоритму; - если злоумышленник угоняет аккаунт, максимум, что он получает - список контактов, но переписываться с ними он не сможет, так как любое нешифрованное сообщение, равно как и шифровка но без подписи, будет означать что аккаунт был угнан.

Интересно, как бы это реализовать на практике? Или глупость?

XZ
() автор топика
Ответ на: комментарий от XZ

Интересно, как бы это реализовать на практике?

Поставь и себе и своим респондентам ayugram, там есть поддержка OTR.

Хотя проще тогда пользоваться matrix, там всё это из коробки.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

ayugram

Крутая вещь. Даже немного страшно ставить такое. )) Хотя, почему бы и нет.

matrix

Тогда опять возврат к нашим баранам с выбором сервера и клиентов под все платформы. Свой сервер там наверное точно не поднимешь, ресурсов много жрет, насколько я слышал.

XZ
() автор топика

Retroshare поверх i2p.
Во всех остальных могут взять за мягкие уязвимые места, в случае если скажете что-нибудь не то (оскорбите чувства верущих, например), или поменяются законы.

Shushundr ★★★★★
()
Ответ на: комментарий от XZ

Свой сервер там наверное точно не поднимешь, ресурсов много жрет, насколько я слышал.

Как маршрутизация текстовых сообщений (в узком кругу друзей) может в принципе жрать много ресурсов?

Человек не может генерировать столько сообщений чисто физически. (робот может, но мы же не про DDOS говорим).

Может быть запросами истории можно загрузить сервер, но на это должны быть предусмотрены rate limits и пр. throttling.

MirandaUser2
()
Ответ на: комментарий от XZ

У Tox раньше всё грустно с кодом. Не пойму только на этом клиенте, или на каком-то другом. И команда та же, или другая…

Вы задолбали копировать эту дурацкую статью уже 8 летней давности.

Skullnet ★★★★☆
()
Ответ на: комментарий от XZ

Да. Согласен, что хочешь полной анонимности - поднимай свой сервер. Но удовольствие это затратное.

Да ни разу.

hateyoufeel ★★★★★
()
Ответ на: комментарий от Shushundr

Анекдот вспомнил: Дед, чтобы спасти деньги от инфляции, на все сбережения купил бронированную входную дверь. Пока ходил на рынок, злоумышленники её вскрыли. Ничего в квартире не взяли, потому что и взять-то было нечего. А на столе оставили записку: «Ты, дед, так больше не шути!»

XZ
() автор топика
Ответ на: комментарий от MirandaUser2

Об этом не подумал. Ведь действительно, нагрузки то не будет.

XZ
() автор топика
Ответ на: комментарий от XZ

Свой сервер там наверное точно не поднимешь, ресурсов много жрет, насколько я слышал.

У меня дендрит работает на VPS за 10 евро вместе с кучей другого софта. Conduwuit аналогично ест, то есть почти ничего. Рекомендую второй, потому что разработка Dendrite вроде как на паузе и новых фич можно ждать долго придётся.

В принципе, даже Synapse для одного-двух юзеров жрать будет мало, он на больших чатах по 10к человек начинает вешаться.

Тогда опять возврат к нашим баранам с выбором сервера и клиентов под все платформы

Element есть везде. Под линуксом ещё неплох nheko.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от Skullnet

Да я то что, мне то Tox нравится. Но самостоятельно его аудит я провести не могу. Как говорится, что где услышал.

XZ
() автор топика
Ответ на: комментарий от hateyoufeel

А что там с трафиком? А то меня тут собрались камнями забить, что «мало того, что еще одно приложение ради тебя ставить, так еще и трафик будет все время идти». )

XZ
() автор топика
Ответ на: комментарий от XZ

А что там с трафиком?

Сколько насрёшь, столько и будет. Я же не знаю, что ты там будешь пересылать. Если пошлёшь 10 гигов порно, то будет 10 гигов трафика. Сервисный трафик достаточно минимален.

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel

Понял. Вот как раз про сервисный и хотел уточнить.

XZ
() автор топика
Ответ на: комментарий от XZ

Как говорится, что где услышал.

Там написали какую-то хрень, тем более написали хрен сколько лет назад. Такой информации по умолчанию доверять нельзя.

Skullnet ★★★★☆
()

Сегодня была последняя капля

Ну поставь пароль то на телеграм.

Защищаться методом неуловимово джо - плохая идея, а жаббер вроде даже список сессий показывать не умеет. Ломанут и не узнаешь.

(если что у меня есть свой xmpp сервер для семьи, сначала жил в кладовке, теперь на впске)

sergej ★★★★★
()
Ответ на: комментарий от Skullnet

Значит и на Tox стоит тоже посмотреть.

XZ
() автор топика
Ответ на: комментарий от sergej

В том то и дело, что облачный пароль никак не помешает злоумышленнику сидеть одновременно с пользователем в сети. Одно только что не сможет выкинуть владельца аккаунта из сети. Вернее сможет, но и самого разлогинит.

XZ
() автор топика
Ответ на: комментарий от XZ

Ну это надо прям сессию спереть, а это всё таки относительно сложно. Если кто-то это смог, так он и всё остальное скорее всего спёр.

sergej ★★★★★
()
Ответ на: комментарий от hateyoufeel

он на больших чатах по 10к человек начинает вешаться.

А выше вон человек рассказывает, что «зачем для текста много ресурсов» :)

YAR ★★★★★
()
Ответ на: комментарий от YAR

Ну скорее не очень. У меня он показывает только активные сессии и на сервере не сохраняет. Или можно сделать чтоб на сервере сохранял и потом показывал всех кто когда либо подключался?

sergej ★★★★★
()
Ответ на: комментарий от sergej

Если со стороны сервера - то да, есть лог, например, ejabberd'а, там все подключения. Можно отсеять по конкретному JID'у и смотреть, кто/когда/откуда подключался.

YAR ★★★★★
()

Доверять никому нельзя. Да, сервер на ХМРР можно поднять… но там будут уязвимости.

tiinn ★★★★★
()
Ответ на: комментарий от Dimez

Только вот, к великому сожалению, jabber давно умер :(

У мя там в контактах целая одна девчонка есть. Так что, не совсем :) умер

tiinn ★★★★★
()
Ответ на: комментарий от XZ

Но с Телеграм мне кажется тут уже полный флеш рояль.

Это только кажется

tiinn ★★★★★
()
Ответ на: комментарий от XZ

Оба сервера управляются уважаемыми организациями

Угу, а потом выяснится, что эти уважаемые организации ВСЮ доступную информацию сливают в АНБ…

tiinn ★★★★★
()

Свой почтовый сервер + delta chat.

ipwild
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.