Логгируются только входящий и исходящий JID'ы, то есть без текста самого сообщения.

Если бы существовал такой функционал, то давно бы сделали и текст сообщения.

Никогда не был зареган на jabber.ru.

Да здравствует свой сервер, да желательно на VPN?

http://tox.im

функционал

И это... Где тег «танцпол»?

отклеился

Да. jabber.ru <-> jabber.ru можно сделать, а вот jabber.ru -> whatever и whatever -> jabber.ru конечно нельзя. Это если не рассматривать передачу plain текстом, но такого безобразия я уже пару лет не видел.

Как будто кто-то пользуется им.

Конечно. Не надо думать, что XMPP безопаснее ICQ.

jabber.org им не подвластен!

Все кто юзает *.ru сервисы очевидные ССЗБ.

мяу

jabber.org - еще более глючное говно, чем .ru

Где тег «танцпол»?

А, это уже не танцпол.

Не знаю. Ребят доссят, да. Но, сервис у них нормальный.

А с jabber.ru непонятно что. Теперь им надо либо делать «сервис-сеппуку» (закрыть сервис во имя справедливости), просто закрыться от угрызения совести, либо продолжать жить, сливая инфу в ФСБ, главное красным 24-м шрифтом написать, что «мы сливаем ваши данные». Можно еще просто продаться фсб с потрахами. Главное, что признались, уже за это респект. Ну и рунет rip.

Надо думать, что XMPP сильно-сильно безопаснее ICQ?

какой то помоему метод выпиливания самих себя просто или черный пиар, прям вот взяли и только к ним пришли и сказали?

на VPN

Может, на VPS?

А этим вашим jabber.ru кто-нибудь пользуется?

Как будто раньше ему можно было доверять свою переписку без PGP или OTR, или теперь для пользователей PGP/OTR что-то изменится.

man xep-0136 && man xep-0313

Да только по дефолту, этого функционала, нет не в одном jabber сервере. Более того даже сжатие на стороне сервера не нужно, и этим занимается сам клиент. И это не рекомендуется использовать. Второй ненужно гуглталк не нужен.

По дефолту ни в одном jabber сервере почти ничего нет, всё нужно самому настраивать.

А по поводу:

Да. jabber.ru <-> jabber.ru можно сделать, а вот jabber.ru -> whatever и whatever -> jabber.ru конечно нельзя. Это если не рассматривать передачу plain текстом, но такого безобразия я уже пару лет не видел.

Я всегда считал, что TLS спасает только от кулхакеров с wireshark на шлюзе по пути между сервером и клиентом, или между двумя серверами в случае s2s. На стороне сервера все равно всё расшифровывается.

Как работает xmpp? Сообщение идет от отправителя на сервер отправителя, затем на сервер получателя, затем получателю? И в каких точках оно шифруется/расшифровывается?

Я про это и сказал, имея private key на стороне сервера можно расшифровать. Но Forward Secrecy спасает.

Сообщение идет от отправителя на сервер отправителя, затем на сервер получателя, затем получателю?

Да.

И в каких точках оно шифруется/расшифровывается?

Во всех. Шифрован только канал передачи данных между компами, чтобы защитится от третьих лиц.

Впрочем, никто не мешает использовать OTR же, оно будет шифровать само сообщение которое будет расшифровано только получателем.

Сервер отдает клиенту свой открытый ключ, подписанный CA (или самоподписанный в зависимости от уровня бомжеватости владельца сервера). Клиент проверяет полученный ключ и, если все нормально, генерирует пару сессионных ключей, шифрует открытую часть серверным открытым ключом и шлет на сервер. Сервер его расшифровывает своим закрытым ключом и запоминает на время сесии. Так в моей голове работает TLS PFS. Каким местом оно спасает от расшифровки на сервере, я не знаю.

jabber.org им не подвластен!

Все кто юзает *.ru сервисы очевидные ССЗБ.

Не обольщайся, какой нибудь ж.орг подвластен кому нибудь другому. И кто ССЗБ — это ещё посмотреть надо.

https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-deploying...

Пете принадлежит jabber.org, он живет в США. Ему можно доверять :)

Спасибо, познавательная ссылка.

Ему можно доверять :)

А кому ты больше доверяешь Эдику Снежному или Пете?

У jabber.ru репутация mail.ru, IMHO.

И в каких точках оно шифруется/расшифровывается?

У отправителя и получателя.

Да никому не доверяю. Но русские сервисы у меня в «сером списке». Если есть альтернатива, то лучше индусокод, чем наше проснифанное и 100500 раз слитое. База всех жителей Москвы 2009 говорит о том, как у нас все секьюрно и как народ беспокоится о других. У федералах все абсолютно также, никто не виноват, никому это не надо, пристрелить сынку по малолетству ненаказуемо.

Если есть альтернатива, то лучше индусокод

Боюсь тебя огорчить, но качество кода от домена не зависит.

База всех жителей Москвы 2009 говорит о том, как у нас все секьюрно

А «все разговоры Ангелы Меркель» о чем говорят?

Боюсь тебя огорчить, но качество кода от домена не зависит.

Про качество я упомянул вскользь. Для примера, есть jabber.ru и jabber.org, допустим jabber.ru супернаворочен, а jabber.org так себе, но умеет базовый функционал. Других альтернатив нет, гипотетически. Я выберу jabber.org, ибо до него наши законы не доестучаться: домен зареган не у нас, прописан в днс не у нас, хостинг не у нас. Вобщем, фсб билеты на самолет выйдут дороже, чем навестить Женю в мск, с его jabber.ru, положить его на лопатки, разогреть паяльник и через 2 минуты Женя включает логирование на всю катушку {втихоря успевает чиркануть об этом на juick, пока феды вышли покурить на балкон}.

А все разговоры Ангелы Меркель о чем говорят?

А фиг ее знает. У меня больше шансов не заинтересовать лиц вне России, чем в России. Там я никто, а здесь какой-нить хмырь может что-то поиметь с выложенной в паблик обо мне инфы. Более того, хмырь скорее всего не попадет на иностранные ресурсы, где что-то выложено обо мне, тупо из-за своей некомпетенции и незнания английского, китайского, французского и т.п.

Это не значит, что у меня есть супертайны. Просто неприятно. Вот я ща на awhois.ru нашел массу инфы о себе, и фиг знает какого мать его в 2007 majordomo.ru слил всю эту инфу в паблик. Теперь даже не удалиться от туда, ибо awhois содержат нормальные чуваки и хз как с ними связаться.

Я как-то раз в выдаче гугла по совершенно обычному запросу нашел лог с какого-то жабир-сервера, лежащий в открытом доступе.

Я выберу jabber.org, ибо до него наши законы не доестучаться

ться

Не делай так больше.
А по поводу кто куда достучится — ты очень лестного мнения о «не наших» законах.

У меня больше шансов не заинтересовать лиц вне России

Т.е. «Ему можно доверять» == «Там на меня всем пох»?

В гугл и не такое найдешь. Да комнаты/конференции вот логируются совсем элементарно, и это часто есть в базовом функционале. А еще у некоторых плохих личностей есть привычки скидывать разговоры на pastebin'ы. А еще боты использовались практически каждым вторым для логирования тематических комнат еще до интернетовских времен. не пониманию почему слово логирование подчеркивается красным, неужели его нет в словаре?

ты очень лестного мнения о «не наших» законах

Это потому что «не наши» законы меня мало интересуют.

Т.е. «Ему можно доверять» == «Там на меня всем пох»?

Да. Видишь ли, тут если все расписывать как у меня в деталях выйдет на статью. Если надо что-то очень-очень приватное, то заработает приватный сервачек. Для рядовой переписки сойдет и чужой сервак в США, для чего-то проще можно сидеть и на ру-ресурсах, вот как на лоре.

Видишь ли, когда мне приспичит что-то скрыть от тех же США, я возьму бразильский или кубинский сервак. Своего рода «круги сервисов» :)

Если тебе есть что скрывать от США, но ничего не надо скрывать в РФ и ты готов в один прекрасный день увидеть свою переписку на rghost.ru — флаг в руки, твое дело, работай с .рф-сервисами.

Спасибо, выпиливаюсь

Если тебе есть что скрывать

Если бы тебе было что скрывать, тобою бы и так заинтересовались.
Думается, что новые законы направлены не против тех, кому есть что скрывать, они направлены в первую очередь против основной массы пользователей, как потенциальных террористов-смутьянов-революционеров. Типа «не болтай!».jpg

Жаль. В целом, давно уже основная переписка идет через свой сервер.

Надо думать, что ФСБ не сможет расшифровать информацию, например, если она зашифрована открытым ключом (PGP).

Как правильно «Ирак» или «Иран» ?

ФСБ чуть-чуть сложнее получить информацию, если она гуляет от сервера к серверу по шифрованному каналу. Но OTR ещё никто не отменял.

Если бы существовал такой функционал, то давно бы сделали и текст сообщения.

От текста сообщения можно отмазаться тайной переписки же.

А модуль для логгинга они написали сами.

Сообщение идет от отправителя на сервер отправителя, затем на сервер получателя, затем получателю?

Да.

И в каких точках оно шифруется/расшифровывается?

Клиент подключается к серверу (c2s), обменивается списком фич, открывает STARTTLS сессию (если поддерживается). С этого момента весь трафик между клиентом и своим сервером зашифрован. Соответственно, сообщение шифруется на клиенте отправителя и расшифровывается на сервере отправителя.

Сервер отправителя из расшифрованного сообщения извлекает адрес получателя. В случае, если этот адрес не находится на том же сервере, он устанавливает (или использует существующее) соединение с сервером получателя (s2s). При установке соединения так же, как и в случае с c2s, происходит обмен списком фич и открытие STARTTLS сессии (если поддерживается, гмыло, например, не поддерживает). Сообщение снова зашифровывается и уходит на сервер получателя.

Сервер расшифровывает сообщение, достаёт из него адрес получателя. В случае, если получатель онлайн с приоритетом >= 0, происходит доставка сообщения. Если соединение использует STARTTLS, то сообщение, соответственно, шифруется сервером и расшифровывается клиентом. Если получателя в онлайне нет, то сообщение сохраняется в базе оффлайновых, и будет доставлено при подключении.

Итого, сообщение перешифровывается 3 раза (клиент -> сервер, сервер -> сервер, сервер -> клиент). Любой из 2 серверов имеет возможность тихо и незамено положить сообщение себе в базу, после чего слить в ФСБ (или просто рекламщикам).

Хотите полной приватности — используйте end-to-end encryption, например, с помощью GnuPG (наличие поддержки gpg смотрите в документации по вашему клиенту).

GnuPG

ФСБКГБ ещё быстрее приедут, и даже паяльник брать не обязательно. Каждое сообщение обычно подписано ключом отправителя, каждое сообщение можно расшифровать ключом получателя даже спустя годы (forward secrecy нет).

Хотите полной приватности — используйте end-to-end encryption, например, с помощью GnuPG (наличие поддержки gpg смотрите в документации по вашему клиенту).

GPG к приватности вообще имеет отдалённое отношение. Безопасно — да, защита переписки — да, но внимания лишнего много привлекает, со всеми вытекающими.