The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru

20.10.2023 17:20

Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использованием расширения STARTTLS.

Атака была замечена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены. 16 октября администратор jabber.ru при попытке подключения к сервису получил сообщение об ошибке из-за истечения срока действия сертификата, но размещённый на сервере сертификат не был просрочен. В итоге выяснилось, что получаемый клиентом сертификат отличается от сертификата, отправляемого сервером (оригинальный и подменённый сертификаты были получены в Let’s Encrypt, но через разные учётные записи). Первый поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let’s Encrypt, в котором атакующий, имея возможность перехватить трафик, смог подтвердить доступ к сайтам jabber.ru и xmpp.ru.

Вначале возникло предположение о компрометации сервера проекта и выполнении подмены на его стороне. Но проведённый аудит не выявил никаких следов взлома. При этом в логе на сервере было замечено кратковременное выключение и включение сетевого интерфейса (NIC Link is Down/NIC Link is Up), которое было произведено 18 июля в 12:58 и могло свидетельствовать о манипуляциях с подключением сервера к коммутатору. Примечательно, что два поддельных TLS-сертификата были сгенерированы за несколько минут до этого - 18 июля в 12:49 и 12:38.

Кроме того, подмена производилась не только в сети провайдера Hetzner, в котором размещён основной сервер, но и в сети провайдера Linode, в котором размещались VPS-окружения со вспомогательными прокси, перенаправляющими трафик с других адресов. Косвенным путём было выяснено, что трафик на 5222 сетевой порт (XMPP STARTTLS) в сетях обоих провайдеров перенаправляется через дополнительный хост, что дало основание полагать, что атака произведена лицом, имеющим доступ к инфраструктуре провайдеров.

Теоретически подмена могла производиться с 18 апреля (дата создания первого поддельного сертификата для jabber.ru), но подтверждённые случаи подмены сертификата зафиксированы только с 21 июля по 19 октября, всё это время шифрованный обмен данными с jabber.ru и xmpp.ru можно считать скомпрометированным. Подмена прекратилась после начала разбирательства, проведения тестов и направления 18 октября запроса в службу поддержки провайдеров Hetzner и Linode. При этом дополнительный переход при маршрутизации пакетов, отправляемых на 5222 порт одного из серверов в Linode, наблюдается и ныне, но сертификат теперь не подменяется.

Предполагается, что атака могла быть совершена с ведома провайдеров по требованию правоохранительных органов, в результате взлома инфраструктур обоих провайдеров или сотрудником, имевшим доступ к обоим провайдерам. Имея возможность перехвата и модификации XMPP-трафика, атакующий мог получить доступ ко всем связанным с учётными записями данным, таким как хранимая на сервере история обмена сообщениями, а также мог отправлять сообщения от чужого имени и вносить изменения в чужие сообщения. Сообщения, отправленные с использованием сквозного шифрования (OMEMO, OTR или PGP), можно считать не скомпрометированными, если ключи шифрования подтверждены пользователями на обеих сторонах соединения. Пользователям jabber.ru рекомендуется сменить пароли доступа и проверить ключи OMEMO и PGP в своих PEP-хранилищах на предмет возможной подмены.

Дополнение: Хьюго Ландау (Hugo Landau), автор RFC 8657 (ACME-CAA) и один из разработчиков OpenSSL, опубликовал размышления о том, как можно защититься от похожих MITM-атак. В частности, для предотвращения получения сертификатов третьими лицами рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена. CAA поддерживается в Let’s Encrypt и не позволил бы запросить сертификат, используя другой ACME-ключ (если DNS-сервер размещён на подверженном MITM-атаке сервере и не применяется DNSSEC, атакующие могут подменить и ответы с CAA).

Дополнительно рекомендовано наладить автоматический мониторинг отсутствия подмены сертификатов через Tor или внешние хосты, и подключиться к сервисам мониторинга CT-логов (Certificate Transparency, отражают выданные удостоверяющими центрами сертификаты) или вручную отслеживать появление в CT-логах незапрошенных сертификатов. Также рекомендовано выбирать разных операторов хостинга, регистрации домена, DNS и удостоверяющих центров, размещённых в разных странах.

  1. Главная ссылка к новости (https://notes.valdikss.org.ru/...)
  2. OpenNews: Выпуск программы для обхода систем глубокого анализа трафика GoodbyeDPI 0.2.1
  3. OpenNews: Выпуск системы глубокого инспектирования пакетов nDPI 4.0
  4. OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
  5. OpenNews: Ростелеком начал подстановку своей рекламы в трафик абонентов
  6. OpenNews: Проект Geneva развивает движок для автоматизации обхода цензурирования трафика
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59965-mitm
Ключевые слова: mitm, jabber, tls, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (428) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 17:34, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –19 +/
    Ну вообще, оказывает Хецнер сотрудничает с КГБ и ФСБ? Я если честно не ожидал от них такой подлости.
     
     
  • 2.4, Аноним (4), 17:38, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    В новости написано некорректно - предположительно в это вовлечены хостеры. Хостеры находятся в Германии и вынуждены подчиняться немецким правоохранителям.
     
     
  • 3.13, Аноним (1), 17:47, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +48 +/
    Когда такие же слова пишут про российские ИСП и СОРМ - начинается жуткий батхёрт.
     
     
  • 4.49, Аноним (4), 18:00, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –22 +/
    Важно другое: насколько легко хостер пойдёт на сотрудничество. Понятно, что пойдёт, но одно дело, когда хостер тебя сдаёт по "звонковому праву". Как ВК выдавала своих юзеров чисто на основании писем, поступивших на специальный эл. ящик. Без проверки, а реально это пишет товарищ майор, а какие у него основания запрашивать. И другое дело, когда хостер тебя не выдаст, пока правоохранители не принесут все необходимые бумаги.

    Вот тут как раз между РФ и Европой есть разница.

    Но если кто-то думает, что в Европе хостер вообще ни за что не выдаст клиента, даже при получении всех нужных бумаг, то он дурачок.

     
     
  • 5.57, Аноним (1), 18:04, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 6.66, Аноним (4), 18:14, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +5 +/
     
     
  • 7.163, anonn (?), 20:44, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +10 +/
     
     
  • 8.226, Mao (?), 23:00, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
  • 6.123, Kusb (?), 19:24, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 6.167, Shevchuk (ok), 20:52, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 7.239, Аноним (239), 23:41, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.58, Аноним (58), 18:05, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну так канарейки ж придумали не в РФ
    никто про буржуев лучше чем они есть
    и не собирается думать
     
     
  • 6.120, Kusb (?), 19:23, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Действительно, в РФ они и не работали бы, ведь суть канареек, что они используют уязвимомть государства, которая заключается в том, что оно подчиняется законам.
    Так что видимо тебя не могут принудить вешать канарейку просто по беспределу.
    В РФ видимо бессмысленно.
     
  • 5.63, Аноним (63), 18:10, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Важно другое: это был не сбор конкретных улик по решению суда, а тайный перехват вообще всего трафика и угон домена "потому что там какие-то русские и мы хотим их слушать". Видимо последнее даёт право забить на законы. Не вижу причин лизать европейский тыл и как-то их оправдывать в данном случае.
     
     
  • 6.68, Аноним (4), 18:15, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > это был не сбор конкретных улик по решению суда

    Хостеры не ответили, но вам-то уж, конечно, виднее.

     
     
  • 7.76, Аноним (63), 18:21, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты новость-то хоть читал? Протри глаза.
     
  • 7.79, Хейтер (?), 18:23, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    >Хостеры не ответили, но вам-то уж, конечно, виднее

    - я работал легальным хостером (все лицензии и прочее) знаю, что если рыло не в пуху, то с российскими "органами" можно общаться на равных: всё что положено по закону - делать, а что не положено - посылать лесом. Но вот про Хетцер известно что разной порнух и вареза там хватает, в том числе там хостятся те говнохостинги которые называют себя "пуленепробиваемыми". Лично у меня сомнений нет, сотрудничают с Абвером, СС и прочими АНБ, да еще как ...

     
     
  • 8.251, Аноним (-), 00:12, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А даже если и нет - то вон там господа типа Equation намекают что некооперативно... текст свёрнут, показать
     
  • 6.244, Bob (??), 23:54, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вася, пока ничего конкретно не известно. Так что не надо про "русских". Пока "обижают" только сои же: про vpn уже память отняло? Скорее свои же и туда полезли, по той же причине ибо своих слушать хотят. Гнать на чуваков, принимающих всех желающих как беженцев у себя (Германия) - ну как минимум бредово, пока не будет норм пруфов.
     
     
  • 7.524, Пыщь (?), 13:27, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Гнать на чуваков, принимающих всех желающих как беженцев у себя (Германия) - ну как минимум бредово, пока не будет норм пруфов."

    Сноудена и Ассанжа тоже приняли бы как беженцев? Или только кого надо беженецом сосчитывают?

    Западолизу проще поверить, что какой-нибудь фсбшник под прикрытием там кабели перетыкивал. Западнососники, успокойтесь, фсбшники нынче не такого высокого уровня, они олигархов обслуживают (неугодных натянуть - много ума не надо).

     
  • 5.71, 1 (??), 18:17, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В Германии есть обязывающий закон.

    https://www.bfdi.bund.de/EN/Buerger/Inhalte/Nachrichtendienste/Telekommunikati

     
  • 5.133, anon123 (?), 19:42, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >когда хостер тебя сдаёт по "звонковому праву".

    Или лучше, когда сотрудник ФБР и АНБ работает аж из офиса Фейсбука и Твиттера, и мониторит, кто плохое пишет. Но это уже другая история.

     
  • 5.152, Аноним (152), 20:19, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Но если кто-то думает, что в любом месте хостер вообще ни за что не выдаст клиента, даже при получении демократизатором по морде, то он дурачок.

    Fixed.

     
  • 5.237, Аноним (239), 23:38, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Классическое "Вы не понимаете, это другое!"
     
  • 5.276, Аноним (276), 03:46, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 6.314, ivan_erohin (?), 13:05, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 7.330, Аноним (330), 17:41, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.338, Аноним (338), 18:31, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.483, Вася (??), 10:34, 23/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.477, EULA (?), 05:28, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Напомните, в какой стране был принят FISA и введено наказание за отказ сотрудничать с властями страны? Напомню, что по закону о FISA провайдеры обязаны предоставить учетную запись для доступа ко всем узлам, на которых размещаются клиентские данные, с запретом ввести логи по этой учетной записи.
    Ах, да! FISA - это другое, понимать надо.
     
  • 4.274, Вася (??), 03:27, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    осталась самая малость - добавить к параметрам батхертообразования фактор наличия злоупотреблений получаемой информацией слабовыми структами под предлогом написанными под их же диктовку "законов" и последствием вскрытия фактов для общественности в случае незаконности таких действий.
    в Германии будет скандал и отставка, например, а там, где жгущий батхер пылает - что в такой ситуации будет? Повышение если только.
     
     
  • 5.325, Аноним (325), 16:43, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Опят ь этодругином пытаются кормить. Как там с граде на холме с сыном президента? Где всякая запрещенка, пропавшие ноуты, нелегальные денежные передачки от других государств. Что там сынку сейчас выдали от правосудия не напомнишь?
     
     
  • 6.381, Аноним (381), 22:30, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Опят ь этодругином пытаются кормить. Как там с граде на холме с сыном президента?

    ...
    > Что там сынку сейчас выдали от правосудия не напомнишь?

    И чо там выдали (и какой у вас там, в будущем, курс битка)?
    Или ты о том, что сейчас судят бывшего президента Австрии за ложные показания о взятке (причем, даже не его) или опять "это другое!"?

     
     
  • 7.480, Анонимщик (?), 09:06, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интересно, есть ли в мире более бесполезный чувак, чем бывший президент парламентской республики.
     
  • 3.151, Аноним (151), 20:19, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    У немецких хостеров внезапно могут оказаться совсем не немецкие айтишники. Я даже больше скажу - местные немцы боятся математики/физики/программирования как черт ладана. Поэтому в таких областях крутится много иностранцев, в том числе и из РФ, и из Украины. Остальное додумайте сами.
     
     
  • 4.190, я (?), 21:31, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Германии очень хорошее техническое образование
     
     
  • 5.282, dr5r (?), 06:25, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что ж на строящуюся фабрику Интел под Магдебургом людей набрать не могут?
     
     
  • 6.423, fi (ok), 12:54, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Увы для Германии, многие немцы после гимназии и уни едут работать в штаты, и мир посмотреть, и подзаработать. Потом можно вернуться из IBM и получить професора )))

    А так технические професии очень даже ценяться, многие начитают работать в крупных компаниях еще во время учебы, получая доступ к супер современному оборудованию, потом туда идут работать.

    И Интел еще наберет студентов на практику, когда подрастут, будет им работа.

    Но со школой действительно есть проблемы - слабое знание немецкого у школяров.

     
  • 5.334, Аноним (58), 17:59, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В россии тоже сорос организовал
    отличное образование.
    таки и сварщиков, с сантехниками днем с огнем не сыщешь
     
     
  • 6.430, Аноним (430), 13:20, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Даже в РФ есть нормальные сварщики и сантехники Весьма на уровне Только они те... большой текст свёрнут, показать
     
  • 2.33, Аноним (33), 17:55, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    с фсб сотрудничают админы jabber.ru и xmpp.ru

    загадка века разгадана

     
     
  • 3.534, Тот_Самый_Анонимус_ (?), 08:18, 01/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну немудрено, если загадка в задачнике «оппозиционера». Там ответы на все задачи похожи.
     
  • 2.104, нах. (?), 18:43, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    хетзнер давно уже очень странная помойка. В частности, в нем прекрасно себя чувствуют tor exit nodes, хотя официальная политика - мы заблокируем ваш акаунт и денег не вернем, если там такое обнаружим. Подозреваю что и заблокируют - если это твой акаунт. А вот тем васянам - нет, там кого надо акаунт.

     
     
  • 3.252, Аноним (-), 01:06, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > хетзнер давно уже очень странная помойка. В частности, в нем прекрасно себя
    > чувствуют tor exit nodes, хотя официальная политика - мы заблокируем ваш
    > акаунт и денег не вернем, если там такое обнаружим. Подозреваю что
    > и заблокируют - если это твой акаунт. А вот тем васянам
    > - нет, там кого надо акаунт.

    Реальная политика любого хостера - заблокируют, если вы сохдаете больше проблем чем приносите денег. До тех пор - смотрят сквозь пальцы, ибо бабло побеждает зло. И это и есть правильный бизнес, глупо платить тем кто не на вашей стороне.

     
  • 2.137, Аноним (137), 19:52, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Хецнер сотрудничает с КГБ и ФСБ

    А почему нет? После слива данных ФБК стало окончательно понятно, что государства давно в сговоре.

     
  • 2.484, Аноним (484), 12:16, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сотрудники Штази живы. Идеализм - редкость.
     

     ....большая нить свёрнута, показать (45)

  • 1.2, Аноним (2), 17:35, 20/10/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (2)

  • 1.3, Аноним (3), 17:36, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    И эти люди кричали, что омемо говно, что шифрование не нужно, и что омемы и шифроконф на их сервере никогда не будет.

    Поделом, чо.

     
     
  • 2.25, Аноним (33), 17:51, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у тебя с дикцией что-то
     
     
  • 3.31, Аноним (-), 17:53, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.48, Аноним (3), 18:00, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все ещё лучше, чем у владельцев сабжа, которым насовали в панамку по самые помидоры.

    https://compliance.conversations.im/server/jabber.ru

    Впрочем с такими результатами и неудивительно.

     
  • 2.229, Аноним (229), 23:07, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут раньше и про закрытие хвостом фаерволом так говорили
     
     
  • 3.250, Аноним (-), 00:11, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут раньше и про закрытие хвостом фаерволом так говорили

    Если ты закроешь жабер файрволом то и чатиться по нему не сможешь. И зачем тебе тогда сервак?! А если не закроешь... ну вот и залогинится к тебе какая-то неведомая хрень, спершая сто лет назад твой же пароль.

     
  • 2.243, Аноним (243), 23:52, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И эти люди кричали, что омемо говно, что шифрование не нужно, и
    > что омемы и шифроконф на их сервере никогда не будет.
    > Поделом, чо.

    Как тебе твое omemo поможет, если у тебя аккаунт тупо угонят при таком раскладе и будут делать с ним что захотят? А если это акк жаберадмина - там можно и вообще весь сервер плотно поменеджить.

     
     
  • 3.294, Аноним (3), 10:07, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Суть как раз в том вся атака делалась для перехвата переписки, прикрытой только TLS. Если бы сервер умел в XEP-0384, то и атака была бы бесполезной. По крайней мере, она бы не привела к компрометации ВСЕЙ переписки ВСЕГО сервера за время атаки по умолчанию.
     
     
  • 4.339, Аноним (-), 18:41, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    XEP-0384: Шифрование OMEMO — это клиентский протокол, достаточно использовать клиент с его поддержкой, например, Cheogram Android или Monocles chat, и подтвердить ключи шифрования пользователями на обеих сторонах соединения, чтобы избежать компрометации сообщений, даже на серверах, перехватывающих трафик.
     
     
  • 5.408, Аноним (3), 00:21, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Без поддержки PEP со стороны сервера ничего работать не будет. А на жру его как раз нет.
     
     
  • 6.448, Аноним (-), 18:30, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ого, в самом деле. Я бы не пользовался таким сервером…
     
  • 4.426, Аноним (430), 13:04, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    КМК угон админского ника идет чуть дальше чем перехват переписки и никакое оме... большой текст свёрнут, показать
     
     
  • 5.449, Аноним (-), 18:47, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Посоветуй клиент Tox с поддержкой нескольких аккаунтов, пожалуйста.
     
     
  • 6.485, Аноним (485), 12:49, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я не он, но из мультиаккаунтных вроде только https://github.com/isotoxin/isotoxin в голову приходит. Но автор забил на него (он, кстати, когда-то тут на опеннете писал, не знаю как сейчас).
     
  • 6.496, Аноним (-), 17:16, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Посоветуй клиент Tox с поддержкой нескольких аккаунтов, пожалуйста.

    Я просто запускаю несколько инстансов. Это вообще так то довольно удачная идея, партиционирование знания и угроз, особенно с шифроваными профайлами. Типа как корабль делят переборками, чтобы при дыре в 1 отсеке не тонул целиком.

    Но самое интересное что toxcore сам по себе так то позволяет настрогать несколько инстансов клиента в 1 процессе, так что эта хотелка вполне реализуема. Видимо толи никому не надо особо было, толи аноним сильно инновационный забрел и первый кто всерьез захотел это.

     
     
  • 7.512, Аноним (-), 17:44, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Часто нужно несколько аккаунтов. Один официальный для семьи и знакомых, второй рабочий, и ещё пару аккаунтов для разных сетевых сообществ.
     
  • 2.284, Ivan_83 (ok), 08:00, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У меня нет OMEMO и мне оно не нужно, у меня свой жаббер сервер с SelfSigned сертификатом, а всё что выходит за пределы сервера - оно по определению вне зоны моей отвественности и там что угодно может быть.
     
     
  • 3.444, Аноним (444), 16:59, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня нет OMEMO и мне оно не нужно, у меня свой
    > жаббер сервер с SelfSigned сертификатом, а всё что выходит за пределы
    > сервера - оно по определению вне зоны моей отвественности и там
    > что угодно может быть.

    Поэтому на практике - гугол и вынес мне 50% контакт листа. И какая мне в результате разница чья это зона ответственности? Важно что mission failed. А федерация оказалась пшиком. Так я полюбил Tox, там мне никто не отключит внезапно половину контактов, ботов или чего там. И я вообще могу развешивать ботов никого не спрашивая можно ли.

     

  • 1.5, Аноним (5), 17:39, 20/10/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

     ....ответы скрыты (6)

  • 1.6, Аноним (4), 17:40, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > хранимая на сервере история обмена сообщениями

    Хранение истории на jabber.ru было отключено ещё в феврале 2022. Не уверен как насчёт истории приватов, но история конференций точно отключена.

     
     
  • 2.35, rshadow (ok), 17:55, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это не важно, дамп всего траффика все еще храниться на гос серверах.
    Интересно, можно у них запросить потерянные фоточки например?
     

  • 1.7, Аноним (7), 17:40, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    > атакующий мог получить доступ ко всем связанным с учётными записями данным, таким как хранимая на сервере история обмена сообщениями

    Ну, это классика... Интересно, людям когда-нибудь наконец-то дойдет, что если что-то храниться на чужих компах, то безопасность и шифрование - пустые слова.

     
     
  • 2.23, Аноним (23), 17:51, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пользуйтесь Signal:
    https://opennet.ru/54927-signal
     
     
  • 3.26, Аноним (58), 17:52, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А еще лучше Conversation
     
     
  • 4.37, Аноним (3), 17:56, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Главное пользуясь консервой не пользоваться жаббер.cpy -- иначе толку от этого не будет.
     
     
  • 5.47, Аноним (58), 18:00, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто сгенерируй свои ключи
    И спи спокойно
     
     
  • 6.53, Аноним (3), 18:02, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У меня свой сервер, я и так спокоен.
     
     
  • 7.59, Аноним (58), 18:07, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    вообще не гарантия
    так еще, если за ж.. возьмут
    и доказывать особо нечего
     
  • 4.341, Аноним (-), 18:53, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Или его форком Cheogram Android, у которого добавлена поддержка транспортов в телефонную сеть, электронную почту и SIP.
     
  • 3.27, Аноним (33), 17:53, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ага, пользуйтесь централизованным вендорлокнутым уг на джаве в браузере
     
     
  • 4.36, Аноним (58), 17:55, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чо у нас там в наличии
    чмста децентрализованного?
     
     
  • 5.39, Аноним (33), 17:56, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    matrix, только под него пока ни одного клиента не написали, а сервер вообще на скриптах
     
     
  • 6.43, Аноним (58), 17:58, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну и как его массовым сделать?
     
     
  • 7.112, Аноним (112), 19:05, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В англоязычных конфах там несколько десятков тысяч иногда набирается.
     
  • 6.106, Аноним (87), 18:51, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А он разве чиста децентрализованный?
     
  • 6.216, lizard (??), 22:26, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    matrix? нет, спасибо

    https://github.com/libremonde-org/paper-research-privacy-matrix.org
    https://www.nuegia.net/articles/matrix.xhtml
    https://hackea.org/notas/matrix.html

     
     
  • 7.326, Аноним (325), 16:46, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    зачем ты бегаешь с левыми ссылками по всему треду? Там половина аргументов "я обиженка, потому что это не хмпп". Ничего особо критичного там не наблюдается. А вот его хмпп в помойке. Каждый реализовал как хотел стандарты и по результатам утопили всё.
     
  • 6.242, Аноним (243), 23:49, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > matrix, только под него пока ни одного клиента не написали, а сервер вообще на скриптах

    У которого недавно с его чудной криптолибой - вынесли вообще end to end шифрование, от и до. А вы думали смузехлебы с скриптотой имеют шанс сделать это нормально? Ага, вот вам результат - все кто юзал их смузи-либу и посыпались как горох.

    Это даже если забыть что 80% юзерей лезут с сервака elenents'ов. И если те захотят поприкалываться - ну вас и ломать не надо, можно ваших корреспондентов на их серваке мониторить. Даже просто тайминги и объем переписки - уже хлеб, а в паре с айпишниками и подавно.

     
  • 5.40, Аноним (3), 17:56, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Токс, он даже ещё немного жив.
     
     
  • 6.45, Аноним (58), 17:59, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хороший аргумент
    Прям рекламный слоган
     
     
  • 7.52, Аноним (3), 18:02, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну на самом деле для форчан-проекта, написанного воннаби-шифропанками -- это неплохой показатель. Даже ядро ещё кто-то пилит. Иногда.

    Десктоп-клиенты (я молчу про мобилу) правда все померли, но кто-то русскоязычный все ещё пилит на Vala последний живой образец (https://gitlab.com/neva_blyad/yat)

     
     
  • 8.135, Аноним (135), 19:46, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мобильные ещё живы На F-Droid смотри И ещё там куча всего есть Кстати, за ним... текст свёрнут, показать
     
  • 7.487, Аноним (485), 13:03, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что такого? Он реально децентрализованный (насколько это возможно), реально шифрованный и, что самое впечатляющее, он реально работает. Просто работает. И файлы передаёт, и голос.
    Джабберу столько лет, а все эти централизованности, нешифрованности и несовместимости всяких XEPов на месте.
    Даже я, в прошлом большой поклонник XMPP и популяризатор в окружении вынужден был признать, что XMPP застрял на уровне "ну не шмогла я, не шмогла". Как говорилось в одной хорошей книге: "Клавдия Ивановна была глупа, и ее преклонный возраст не позволял надеяться на то, что она когда-нибудь поумнеет."
     
  • 6.62, Аноним (62), 18:09, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сообщения идут напрямую на айпи того кому ты пишешь, так что зная время переписка можно знать айпишник кому ты писал. Потом насаживаются на швабру все кто сидели с этих айпишников даже левые.
     
     
  • 7.64, Аноним (3), 18:11, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тором пользоваться религия не позволяет?
     
     
  • 8.78, Аноньимъ (ok), 18:22, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Желательно моей входной нодой И выходной то же ... текст свёрнут, показать
     
     
  • 9.84, Аноним (3), 18:25, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, я какую-нибудь другую выберу ... текст свёрнут, показать
     
  • 9.91, Аноним (91), 18:30, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так ты еще и о tor ничо не знаешь... текст свёрнут, показать
     
     
  • 10.107, Аноньимъ (ok), 18:54, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю что о торе осведомлён довольно неплохо Раньше это была цепочка прокси, и ... текст свёрнут, показать
     
     
  • 11.132, Аноним (135), 19:40, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме того, кому теперь принадлежит 50 их Про это ещё лет 5-6 назад новость б... текст свёрнут, показать
     
     
  • 12.257, Аноним (58), 01:11, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    болтовня полная... текст свёрнут, показать
     
  • 11.308, Аноним (91), 12:47, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ничего ты не знаешь википедию что ли почитай для начала... текст свёрнут, показать
     
  • 11.434, Аноним (430), 13:49, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    При том onion - когда энный узел не знает кто originator и или какое назначение ... большой текст свёрнут, показать
     
  • 9.101, Аноним (87), 18:42, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо, товарищ майор за заботу о нашей безопастности ... текст свёрнут, показать
     
  • 7.77, Аноним (91), 18:21, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    т.е. сабж ты не знаешь,
    но умничаешь?
     
  • 7.90, Аноньимъ (ok), 18:29, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В токсе это немного не так, если прямое соединение сделать не получается эта зараза вроде проксирует через другие узлы трафик.

    Ну а вообще да, по опи вычислят))) и чё? Зато честный васян с васянского сервера сообщения читать не будет. И оно не зависит от желания васяна закрыть или перенести васянский сервер.

    Если вы очень незаконным чем-то страдаете, то конечно токс без спец мер вас не спасёт, как и многие другие вообще-то технологии. Мозги как-бы нужно прикладывать.

    А если у вас и вашего собеседника одноразовый смартфон, как и должно быть в случае вашей очень незаконной стращной подпольной деятельности, то пусть себе смотрят на ойпи сколько угодно.

     
     
  • 8.94, Аноним (91), 18:31, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Срочно смотри функционал Ты о нем мало знаешь ... текст свёрнут, показать
     
     
  • 9.154, Аноним (62), 20:21, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И чего там написано что только ключи передаются децентрализовано, остальное тебе... текст свёрнут, показать
     
     
  • 10.183, Аноним (91), 21:26, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Написано, что ты не знаешь транспорты... текст свёрнут, показать
     
  • 6.275, Аноним (275), 03:28, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Двачую токс. Удивляет почему он так недооценен.
     
     
  • 7.409, Аноним (3), 00:24, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что за 10 лет так и не было никакого аудита, потому что написано на голом Си, потому что клиентов нормальных так никто и не сделал (в первую очередь, для мобилы).

    Но самое главное -- это, пожалуй, самые токсичные ушлёпки в качестве руководителей проекта (впрочем чего ещё ждать от форчан-кунов?)

    Куча авторов клиентов просто кинула этот гадюшник нафиг, решив потратить своё время и скилл на нормальных людей.

     
     
  • 8.432, Аноним (430), 13:37, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато какому там Signal аудит сделали Сильно помогло Можно подумать это отменит... большой текст свёрнут, показать
     
     
  • 9.443, Аноним (3), 16:54, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эти крендели до сих пор чинят дырень в механизме хендшейка, которую автор Вайрга... текст свёрнут, показать
     
     
  • 10.445, Аноним (445), 17:06, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Автор вайргада забыл сущую мелочь - выкатить решение которое будет лучше по обще... большой текст свёрнут, показать
     
  • 7.431, Аноним (430), 13:28, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Двачую токс. Удивляет почему он так недооценен.

    Потому что большая часть двуногих это глупые хомячки, которым блестящие бусы важнее здравого смысла. И пофиг что это мышеловка.

    А таки люди поумнее этим пользуются. И никто не заблочит нам аккаунт. И не угонит его спуфанув номер мобилки через SS7. Никто не хакнет "админа сервера" - потому что центральных серверов нет, и их админов - тоже. И вот живет оно себе такое распределенное - и всем там пофиг что на опеннете говорят пафосные бакланы с андроидами и эплами, у этих все равно секурного чата никогда не будет - они платформой ошиблись. Нельзя пролечить зондированую от и до платформу одной программой, хоть тресни.

     
  • 5.126, jsparr (?), 19:29, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно попробовать заменить утопией.
     
     
  • 6.340, Аноним (-), 18:47, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это приманка с закрытым исходным кодом для доверчивых, вроде Vipole.
     
  • 3.458, Аноним (458), 21:05, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дизлайкнул коммент от АНБшного форка ChatGPT
     
  • 3.486, Аноним (485), 12:56, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользуйтесь Signal

    И самый лучший Signal, который есть смысл использовать - это Tox.

     

     ....большая нить свёрнута, показать (47)

  • 1.9, Аноним (58), 17:43, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >  расширения STARTTLS.

    Зачем? Там же есть gpg (!) C генерацией ключей на стороне пользователя и шифрование end2end

     
     
  • 2.12, Аноним (4), 17:46, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты ещё предложи эл. почту гонять без шифрования, ведь каждый пользователь почты может себе GPG-ключ создать.

    Вот только 99% этого не делают.

     
     
  • 3.24, Аноним (58), 17:51, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Альтернатива какая?
    Доверять провайдеру и надеятся на что?
    Или
    Усилить надежность канала связи дополнительным
    слоем шифрования?
    Если мне лично нужно передать что то конфиденциальное,
    использую дополнительное шифрование собственным ключом.
    Зачем надеятся на "дядю"?
     
     
  • 4.46, Аноним (62), 18:00, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не смотри телевизор! Не слушай радио! Не читай газет!
    Старший Брат очень близко. Закрой шторы, погаси свет.
     
     
  • 5.50, Аноним (58), 18:00, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Старший брат русским по...й
     
  • 5.111, Аноним (87), 19:04, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Не смотри телевизор! Не слушай радио! Не читай газет!

    Так зачем это всё? Если есть инет и, при определённом умении, можно получить доступ к неофициальным источникам.

     
     
  • 6.156, Аноним (62), 20:24, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну потому что большой брат тебе неформально даёт выбор или ешь что дают или не ешь вообще ничего. Никакого другого выбора не положено.
     
     
  • 7.185, Аноним (91), 21:29, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто обьясни товаристчу,
    что такое большой брат
    у вас общение глухого с немым
     
  • 4.479, Kilrathi (?), 08:51, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так ведь сломали механику LetsEncrypt через MITM, т.е. шифрование без гарантий.
    А если б администрация использовала платный сертификат с гарантией - поставщику сертификата уже пришлось бы выбирать: подчиниться госам и предоставить ключ, рискуя попасть на выплату страховки, либо послать их лесом и пусть своим митмом дешифруют на стороне провайдера, используя уязвимости протокола.
    Намного проблематичнее противостоять внедрению на оборудовании хостинга - тут уж какие ключи не использую, а из памяти все это можно извлечь в открытом виде.
     
  • 3.481, Пряник (?), 10:21, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В итоге почту могут читать по запросу приставов.
     
  • 2.344, Аноним (-), 19:06, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    OMEMO. OpenPGP не обеспечивает никакой прямой секретности и уязвим для атак повторного воспроизведения.
     

  • 1.11, Аноним (11), 17:46, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ребята это не так делается. это уголовное престулпнеие нужно писать заявление в полицию германии.
     
     
  • 2.14, Аноним (4), 17:47, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Угадай куда полиция Германии пошлёт заявление россиянина.
     
     
  • 3.30, Аноним (1), 17:53, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    куда? вообще-то обязаны разобраться - хецнер за это деньги получал, они не благотворительностью занимались
     
     
  • 4.38, Аноним (58), 17:56, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Блаженный,
    не расслабляй наш разум
     
  • 4.55, Аноним (63), 18:03, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Угу, со взломом телефонов журналистов одного издания с российскими корнями немецкие власти уже "разобрались". Ответ - "это тот кто надо взломал, не раскачивайте лодку". Это видимо "правильные, демократические" бэкдоры и прослушка, в отличие от кровавых режимов.
     
     
  • 5.295, InuYasha (??), 10:07, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Напомнило как разгоняли правильный демократический бункерный машинный зал, где захостились какие-то пираты.
     
  • 4.136, Аноним (11), 19:49, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не в деньгах дела. а в нарушение конституции. это уголовка.
     
     
  • 5.189, Аноним (91), 21:31, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обладаешь знаниями?
    Подай в суд!
    Не напрягай общественность
     
  • 5.452, all_glory_to_the_hypnotoad (ok), 19:28, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конституация Германии попуасам без гражданства Германии ничего не должна
     
  • 3.127, pic (?), 19:33, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А если заявление напишет гражданин Германии живущий и работающий в России на контракте?
     
  • 3.329, Аноним (329), 17:29, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мне в свое время (по поводу фишингового письма) ответили по существу.
     
  • 3.516, rvs2016 (ok), 13:02, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Угадай куда полиция Германии пошлёт заявление россиянина.

    Да тут если рассматривать не техническую, а политическую сторону проблемы, то зачем российские сайты хостить за пределами России?
    Они чё - убегали от властей РФ?
    Ну вот и доубегались. Убегали от якобы плохой РФ, а напоролись на якобы хорошую ФРГ.

     
  • 2.51, Аноним (62), 18:01, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В спортлото. Там наверно ситуация типа из РФ прислали запрос типа через жабберру общаются педофилы. Немцы такие оп и всех педофилов поймали или нет.
     
     
  • 3.97, Аноним (87), 18:36, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем немцам персональные подсанкционные педофилы?
     
     
  • 4.211, Аноним (91), 21:57, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Электорат!
    Успкойся
     
  • 2.451, all_glory_to_the_hypnotoad (ok), 19:21, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого ещё желательно быть гражданином ЕС
     

  • 1.17, Аноним (17), 17:47, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DNS CAA записи должны как раз от такого защищать.
     
     
  • 2.34, Аноним (34), 17:55, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С перехватом трафика и у того-же центра сертификации не защитит, может быть, максимум предупредит при надёжном email в CAA.
     
     
  • 3.73, Аноним (73), 18:18, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в ССА можно написать

    300  IN  CAA 0 issue "letsencrypt.org; account=1234567890"

     
     
  • 4.144, OpenEcho (?), 20:09, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > в ССА можно написать
    > 300  IN  CAA 0 issue "letsencrypt.org; account=1234567890"

    И все? А научить клиентов проверять?

     
     
  • 5.171, Аноним (3), 21:01, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Без DNSSEC записи CAA более или менее бесполезны. Так что клиенту надо уметь в DNSSEC, что сейчас может как минимум Conversations.
     
     
  • 6.296, InuYasha (??), 10:13, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ог регулярно ругался на сертификаты и со скрипом соединялся по TLS, но как, КАК юзер должен понять, что это сертификат неправильный?? Ему выкидывают весь текст key=value на две страницы - сиди, читай, сравнивай? И это при том что у жабберру проблемы со сертами бывали регулярно и все привыкли жать "Да, для всех".
     
     
  • 7.417, Аноним (3), 12:00, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так это проблемки сервиса, нежели клиента, раз у него сертификаты моросят без остановки.
     
  • 5.219, Аноним (219), 22:37, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это проверяет не клиент, а СА. в данном случае летс енкрипт, что запрос пришёл от правильной учётки, а не только с правильного адреса.

    Ну и CT мониторить на счёт появления неустановленных цертов. Сужя по тексту в ЦТ они таки слазили, но уже потом, когда спалили что церт не тот.

     
     
  • 6.227, OpenEcho (?), 23:03, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это проверяет не клиент, а СА.

    Да то оно понятно, но только толк он САА если оригинальный хозяин и вор пользуются одним и тем же СА, вот если б была возможность публикануть v DNS фингерпринт сертификата и клиенты позаботились бы сверить его то, было бы айс

    > Ну и CT мониторить на счёт появления неустановленных цертов.

    Это да, только про certspotter судя по всему народ или нe знал или...


     
     
  • 7.342, лютый арчешкольник... (?), 18:58, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >но только толк он САА если оригинальный хозяин и вор пользуются одним и тем же СА

    ты или недосягаемо умный и чего-то такое знаешь или глупенький... если ты пропишешь свой аккаунт в DNS, LE просто не выдаст врагам сертификат на твой домен.

     
     
  • 8.395, Аноним (395), 23:36, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не все удостоверяющие центры поддерживают САА Кроме LE сертификат можно получит... текст свёрнут, показать
     
  • 8.413, OpenEcho (?), 03:42, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты б сперва читать хотя бы научился, перед тем как других глупенькими называть ... текст свёрнут, показать
     

  • 1.28, Аноним (-), 17:53, 20/10/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +5 +/
     
  • 1.56, Аноним (62), 18:04, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще то в пиджине есть нормальный плаг где можно можно обменяться своими ключами с кем-то по альтернативному каналу и сам текст между этими аккаунтами будет белебердой и общаться так можно через любой мессенджер который поддерживает пиджин.
     
     
  • 2.65, Аноним (58), 18:11, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если используется шифрование своими ключами,
    вообще по..й какой транспорт.
    можно еще делать шифротекст бессигнатурный
     
     
  • 3.256, Аноним (-), 01:11, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Если используется шифрование своими ключами,
    > вообще по..й какой транспорт.

    Ну да, только при вон том - аккаунт с314т и смогут делать с ним что угодно. И вытворять что угодно от твоего лица. А так то по...й. Особо прошарные с плагинчиком может и заметят подставу. А может и нет.

    > можно еще делать шифротекст бессигнатурный

    Если это все про OTR было он примерно так и делает. Но, увы, он сам характерным MAGIC на сервере отсвечивает. Выделяясь из толпы.

    А Tox некий эквивалент этого делает вообще всегда, там end to end шифрование между клиентами вообще выключить нельзя - это не предусмотрено совсем. И аккаунт спереть сложновато, разве что самому ключ/профайл пролюбить.

     
  • 2.67, Аноним (63), 18:14, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Удачи в том чтобы убедить людей из своего списка контактов "обменяться своими ключами по альтернативному каналу". Большинство регается по своему номеру телефона в телеге и им "ваще норм", а за такие непонятные слова можно и по морде получить, так, на всякий случай.
     
     
  • 3.81, Аноним (91), 18:25, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    посмотри на досуге psi
    а если людям надо скрыть содержание переписки,
    то убеждать их не надо в этом.
    При симметричном шифровании можно и пароль лично передать
    /сообщить всем кому надо знать. хотя, и при ассиметричном тоже
     
     
  • 4.271, torvn77 (ok), 02:05, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если это будут делать только те, кто хочет что-то скрыть то уже сам ты понял, повышенное внимание будет обеспечено.
     
     
  • 5.310, Аноним (91), 12:50, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    в жизни все так и есть!
    все занимаются своими вопросами сами,
    если нужно сделать качественно.
    сколько пиплов, которые переделывают
    tor browser под себя? полно.
    разработчик рекомендует использовать сабж как есть.
    т.е. тьма бестолковых профилируется.
    а теперь, слышал ли ты о массовой посадке тех самых?
     
  • 3.85, Аноним (91), 18:26, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    кому нужна эта левая телега?
    вот ею пользоваться нужно еще уговорить!!
    а я так могу шифротекст передать и в ватсапе )
    можешь попробовать расшифровать
     
  • 3.272, torvn77 (ok), 02:08, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Удачи в том чтобы убедить людей из своего списка контактов "обменяться своими ключами по альтернативному каналу".  

    Так может подумать как это сделать так чтоб делалось если не в один клик, то хотябы заполнением нескольких поочерёдных диалоговых окон?
    А истерикой вы ничего не добьётесь.

     
  • 3.277, Bob (??), 04:34, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не слать им ничего "такого"? ну и в телеге есть p2p secret chat
     
     
  • 4.297, InuYasha (??), 10:15, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    только на мобилках, если ничего не изменилось (и с чего бы?)
     
     
  • 5.492, torvn77 (ok), 13:52, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >ну и в телеге есть p2p secret chat

    А тебе с этого какая польза?  
    Тебе то ведь надо чтобы у тебя был ТВОЙ секурно-приватный мессенджер и ты бы не выглядел им чёрным пятном на фоне людей с открытой перепиской

     
  • 4.363, Аноним (-), 21:19, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > не слать им ничего "такого"? ну и в телеге есть p2p secret chat

    Это не про него там в советах "определение IP собеседника" случайно? P2P так то тоже хорош только если с умом сделан, с учетом приваси :)

     
  • 3.345, Аноним (-), 19:33, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    XMPP-клиент Quicksy регистрируется по номеру телефона и в нём есть OMEMO.
     

  • 1.70, Аноним (70), 18:16, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Бугога... Жабер безопасен, говорили они, так как не привязан к корпорациям.
     
     
  • 2.74, Аноним (3), 18:19, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Джаббер безопасен, если сервер админят нормальные люди, а не дурачки.
     
     
  • 3.293, Аноним (293), 09:50, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ладно, эти хоть рассказали про обсер, многие могли просто промолчать.
     
     
  • 4.410, Аноним (3), 00:26, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Про обсер рассказал ValdikSS -- в очередной раз спасибо ему, кстати.

    Если б его не позвали помочь разобраться -- я уверен, эти диды сидели бы и дальше молча, заметя весь инцидент под ковёр.

     
  • 3.493, Аноним (493), 15:56, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Джаббер безопасен, если сервер админят нормальные люди, а не дурачки.

    Даже у нормальных людей может выйти душняк со временем, запара и проч - и тут то им и прилетит. Потому что жирный сервак - "рожа просит кирпича".

     
  • 3.517, rvs2016 (ok), 16:00, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Джаббер безопасен, если сервер админят
    > нормальные люди, а не дурачки.

    Ну по такой причине небезопасной можно объявить вообще любую программу.
    Ведь под давлением раскалённого на пузе утюга многие и пароль свой отдадут - и программа с её авторами тут будут ни причём.

     
  • 2.75, Аноньимъ (ok), 18:19, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Также безопасен как и емейл. Только в емейле всё читает гугл, а с жаббером есть много васянов которые читают других много васянов.
     
     
  • 3.177, Аноним (177), 21:24, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Гугл хотя бы стабильность обеспечивает, а васяны "никому ничего не должны". Это ж насколько нужно себя не уважать, чтобы такими сервисами пользоваться.
     
  • 2.88, Аноним (91), 18:27, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну в твоей то телеге все ОК )))
    Прям весь трафик зеркалируется в серый дом
     
     
  • 3.105, нах. (?), 18:49, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да ну, брось, товарищмайору вот делать нечего чем читать терабайты переписки каких-то пустомель.

    Траффик не зеркалируется, а спокойно хранится в здании на Невском, 28. Когда товарищмайору что-то надо - он туда приезжает на служебном мерсе, неторопливо пьет чай в переговорной, а работящие работнички просто приносят ему папочку, где все уже разложено и подшито.

     
     
  • 4.193, Аноним (91), 21:33, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    таки нужьно все разложить,
    товаристч
     
  • 4.450, Аноним (450), 19:16, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ну, брось, товарищмайору вот делать нечего чем читать терабайты переписки каких-то
    > пустомель.

    Это как раз халява. Сидишь в уютном офисе, почитываешь чатики, упаковываешь, палки рубятся легко и безопасно. Сравни с работой в поле - где мало того что надо бегать как бобику, возможно даже по скверной погоде и много, так еще - мало ли что там в кармане у кого окажется кроме фиги! А то и вовсе группа камрадов в кустах - так и на лафете прокатиться недолго.

    > пьет чай в переговорной, а работящие работнички просто приносят ему папочку,
    > где все уже разложено и подшито.

    Если все делать правильно - они дружно с катушек слетят пытаясь в этом бесполезняке найти что-то ценное. Тем более что для этого надо более 9000 хомячков изучить.

     
  • 2.273, Аноним (-), 02:10, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Речь идет о перехвате незашифрованного трафика, однако  на jabber.ru нет расширения XEP-0384: OMEMO Encryption что эпик фейл
     
     
  • 3.346, Аноним (-), 19:42, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет и не будет, потому что это расширение для клиентов, а не для серверов.
     
     
  • 4.460, Аноним (458), 21:10, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так получется это обсер^2, поскольку сервер не может зафорсить применение юзерами этого расширения.
     
  • 4.491, Аноним (485), 13:45, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Признайся, ты же не читал спеки?
    Это расширение требует от сервера определенной настройки для работы. И на jabber.ru это сделано не было.
     
     
  • 5.497, Аноним (-), 20:35, 23/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.490, mos87 (ok), 13:14, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Срочно найди кто тебе так говорил и отоварь по мордам.
     

  • 1.72, Аноньимъ (ok), 18:17, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Атака была замечена из-за ошибки её организаторов

    Хах. Ладно.
    Разве нельзя проверить серт выдаваемый своим же сервером снаружи? Хотя тут писали что жаббер этот та ещё муть.

     
     
  • 2.93, нах. (?), 18:31, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну ты-то конечно каждый день проверяешь серт выданный твоим же сервером снаружи?

    Или может быть даже при каждом соединении с ним?

    > Хотя тут писали что жаббер этот та ещё муть.

    то ли дело Браузер от правильных ребят. Где нет больше ни EV ни PKP, и вот здрасьте летшиткрипта с ее одноразовыми сертификатиками сроком действия два дня, поэтому он может быть хоть каждый день новым.


     
     
  • 3.110, Аноньимъ (ok), 19:02, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ну ты-то конечно каждый день проверяешь серт выданный твоим же сервером снаружи?

    Да черт его. Браузер же будет матерится если если серт не подписан кемнадо например?

    А с ssh такое вообще не прокатит?

    То есть, клиент просто должен, по хорошему, помнить доверенный сертификат, и в случае не совпадения
    1. Отослать кому надо телеметрию.
    2. Наорать на юзера(может быть контр продуктивно, но забавно, и если там тип технически грамотные люди сидят в этом жжабере, то выдать предупреждение о том что с шифрованием что-то не так, вы без штанов и вас вероятно хотят поиметь, наверное таки неплохо)

    И если у вашего оченьценного ресурса клиенты этого не умеют, то можно и самому скрипт на питончике налобать check_for_mitm.py

    Ну я может глупости говорю...

     
     
  • 4.121, нах. (?), 19:23, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так он кем надо подписан Та самая атака о которой без конца талдычили большевик... большой текст свёрнут, показать
     
  • 4.419, dasd (?), 12:06, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Плагин к браузеру Certifiacte patrol умел что то такое (помнить).
    Но замучаешься особенно со сложными сайтами, где все (под)домены на балансирвщиках с невнятными именами и сертификат каждое соединение другой.
     
     
  • 5.428, Аноним (428), 13:08, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, вспомнил названия, да он.
     
  • 2.115, noanon (?), 19:09, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    The attacker managed to issue multiple SSL/TLS certificates via Let’s Encrypt for jabber.ru and xmpp.ru domains since 18 Apr 2023

    Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.

     
     
  • 3.160, Аноньимъ (ok), 20:38, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > The attacker managed to issue multiple SSL/TLS certificates via Let’s Encrypt for
    > jabber.ru and xmpp.ru domains since 18 Apr 2023
    > Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для
    > доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.

    А чё а это как вообще?

     
     
  • 4.168, Аноним (3), 20:54, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На прозрачном прокси перехватили трафик на 80 порт, и сделали DV через web challenge. Все ACME-клиенты в это умеют.
     
  • 2.290, fidoman (ok), 09:03, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну или хотя бы certificate pinning использовать.
    Впрочем весь лецэнкрипт это большой костыль пока нет везде DANE.
     

  • 1.99, xsignal (ok), 18:38, 20/10/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (5)

  • 1.100, danonimous (?), 18:40, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Почему jabber.ru хостится в Германии? Это вообще законно? У нас же вся переписка по закону должна храниться на серверах в России.
     
     
  • 2.109, Аноним (87), 18:56, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    The Jabbe.ru LLC - такого юрлица не существует. Поэтому законам Эрэфии никто не обязан.
     
     
  • 3.350, Alex_K (??), 20:12, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Администратором домена jabber.ru является физ лицо
    https://cctld.ru/service/plus/
     
  • 2.130, pic (?), 19:36, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Забанят домен, а эта тема как раз поднимет эту тему для Роскомнадзора. Новость опубличили.
     
     
  • 3.195, Аноним (91), 21:36, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    можно ржать?
     
  • 2.196, Аноним (196), 21:37, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Это вообще законно?

    Рональд Рейган ответил на этот вопрос ещё в 84 году.

     
     
  • 3.214, Аноним (91), 22:12, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Задай вопрос Рокфеллерам.
    Они ответственны за новый англо-мир ))
     
  • 2.518, rvs2016 (ok), 16:16, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему jabber.ru хостится в Германии?
    > Это вообще законно? У нас же вся переписка
    > по закону должна храниться на серверах в России.

    По тому закону на контролируемой Российской Федерацией территории должна храниться информация только с персональными данными (ФИО, паспорт серия номер, дата рождения и всякая такая прочая информация). А информация о том, что кто-то себя назвал логином "я крутой чувак", является же ведь информацией не персональной (не настоящей), а вымышленной. Можно себя и императором всея галактики назвать - и размещай этот вымысел тогда где угодно, хоть в РФ, хоть в ФРГ, хоть на Марсе, хоть на станции Вавилон-5 и т.п. 😃

     

  • 1.108, Аноним (108), 18:55, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    TLS, HTTPS, LET'S ENCRYPT, бесплатные сертификаты, бе-бе-бе-бе-безопасность, счастье для всех даром!

    Никто не ушёл обиженным?

     
     
  • 2.125, Аноним (8), 19:26, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Есть QTox, для которого ничего поднимать не надо.
     
     
  • 3.217, Skullnet (ok), 22:28, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пользователи XMPP были наказаны за неиспользование токса. (С)
     
     
  • 4.235, Аноним (239), 23:33, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В токсе и ломать не надо сервак для получения той инфы, что получили polizei, сделав mitm, в случае использования e2e-шифрования.
     
     
  • 5.365, Аноним (-), 21:22, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В токсе и ломать не надо сервак для получения той инфы, что
    > получили polizei, сделав mitm, в случае использования e2e-шифрования.

    В Tox end to end шифрование 1 на 1 всегда - и вообще неотключаемо. Угнать аккаунт тоже не получится - для этого надо приватный ключ по публичному вычислить.

    Забанить неугодный акк или читать всю переписку - ну вот не вырисовывается так по простому. И одного центрального сервака где можно грести лопатой данные по сотням тыщ аккаунтов, их активности и проч - тоже нет. Так что поздравляю гражданин соврамши.

     
     
  • 6.427, Аноним (427), 13:05, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Polizei банить и не надо. Им нужны метаданные в первую очередь. Переписка может быть зашифрована навесным шифрованием в джаббере. А вот метаданные серваку, а также расшифровавшим соединения до него, доступны. А у токса метаданные доступны всей сети открытым текстом.
     
     
  • 7.435, Аноним (430), 14:33, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Оно и видно, постоянно пытаются заблочить неугодные ресурсы, там и тут, по самым... большой текст свёрнут, показать
     
     
  • 8.471, Аноним (471), 03:18, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А толку Эта модель угроз подразумевает пассивное прослушивание - а как показала... текст свёрнут, показать
     
     
  • 9.476, Аноним (-), 05:10, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На то и щука, чтобы карась не дремал И тут вопрос в том что увидит атакующий и ... большой текст свёрнут, показать
     
     
  • 10.488, Аноним (488), 13:10, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не затратнее Сервак теоретически можно защитить, достаточно заморочившись,... большой текст свёрнут, показать
     
     
  • 11.494, Аноним (-), 16:55, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сильно затратнее надо содержать тысячи систем В разных местах Платить за хост... большой текст свёрнут, показать
     
  • 3.438, Аноним (-), 15:43, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть QTox, для которого ничего поднимать не надо.

    Можно даже uTox, он мельче и легче. Или - для совсем уж консольных фриков - Toxic какой-нибудь. Черт, оно даже для ведроида и ифонов есть. Как вы понимаете, особенно на последнем, уповать на приваси, конечно, так себе идея учитывая что там Эппл всем рулит от и до в системе а пользователь в гостях. Но все же.

     
     
  • 4.453, Аноним (-), 20:17, 22/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.197, Аноним (91), 21:37, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не тарахти
    иди читай про gpg
     

     ....большая нить свёрнута, показать (13)

  • 1.113, Аноним (118), 19:08, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    О сколько нового откроют некоторые для себя о «безопасности» телеграма… когда узнают, что эти мрази сливают инфу по запросу спецслужбам всех стран (и РФ, и Украины, и МОССАД). И ведь неудивительно, учитывая что все хранится на серверах да и ещё в не зашифрованном виде.
     
     
  • 2.124, нах. (?), 19:25, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > что все хранится на серверах да и ещё в не зашифрованном
    > виде.

    Чего-то ты низкого мнения о пацане намайнившем на принадлежащем его же конторе (но на бабки - разумеется инвесторов а не свои) железе 2000 битков. Это тот случай когда бритвой хэнлона махать не стоит.

    Разумеется, в зашифрованном - а то моссад и рф сами не дураки взять без спросу.
    Просто ключи у кого надо. Приходите, оплачиваете, и получаете что оплатили.

     
     
  • 3.172, Shevchuk (ok), 21:07, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Смотри протокол. На сервере всё расшифровывается. При доступе к серверу читай — не хочу. Потом зашифровывается для отправки получателю. В общем, примерно как здесь в комментариях.
     
     
  • 4.215, Аноним (91), 22:14, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вообщем, никто не запрещал допшифрование.
    Но вы то конечно об этом не задумывалимсь
    свято верите в провайдера
     
  • 2.149, Аноним (149), 20:18, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да всё проще! Открой настройки->дополнительно->экспорт данных. Вот уж где действительно кладезь для всех тех кто попросит тебя показать телефон где-то на улице, начиная от военкомов, заканчивая полицией.
     
     
  • 3.155, Аноним (118), 20:23, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да знаем, причём хранящуюся там инфу никак не удалить, что тоже наводит на нехорошие мыслишки...
     
  • 3.519, rvs2016 (ok), 18:06, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Да всё проще! Открой настройки->дополнительно->экспорт данных.
    > Вот уж где действительно кладезь для всех тех кто попросит
    > тебя показать телефон где-то на улице, начиная от военкомов,
    > заканчивая полицией.

    Про такой вариант и говорю я в сообщении https://www.opennet.ru/openforum/vsluhforumID3/131839.html#517 😃

     
  • 2.198, Аноним (91), 21:39, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "бабло не пахнет?"
    ну когда уже ваше поколение запомнит? а?
     
  • 2.467, all_glory_to_the_hypnotoad (ok), 23:23, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Аккаунт в телеграме жёстко привязан к номеру телефона, всё что нужно знать об этом сервисе для выводов
     

  • 1.114, Аноним (114), 19:09, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот и хвалённые сертификаты
     
     
  • 2.199, Аноним (91), 21:40, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    смотри в проблемы
    не тупи
     

  • 1.116, Аноним (116), 19:10, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    пользуюсь session messenger,
    https://github.com/oxen-io/session-android
    вся родня, знакомые, пару друзей , аудио, видео работает, децентрализация, просто шикарно
     
     
  • 2.117, Аноним (108), 19:14, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бедная родня... Пожалел бы, что ли. Ей же, в случае чего, на паяльнике сидеть вместо тебя...
     
     
  • 3.122, Аноним (116), 19:23, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    пожалей тех кто использует telegram или wahtapp
     
     
  • 4.129, Аноним (118), 19:35, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > wahtapp

    Куда более безопаснее чем телеграм. По крайней мере в Украине ловят СБУ только тех кто сливает инфу в телеге.

     
     
  • 5.140, YetAnotherOnanym (ok), 20:00, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Подозреваю, ловят всех - и тележников, и вацаперов, и вибероедов, и всех прочих.
     
     
  • 6.143, Аноним (118), 20:08, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 7.164, Аноним (152), 20:44, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 7.201, Денис Попов (?), 21:40, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 8.204, Аноним (91), 21:43, 20/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.202, Аноним (91), 21:42, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хош сброшу шифротекст влюбоймесаге
    разшифруешь?
     
     
  • 7.254, YetAnotherOnanym (ok), 01:10, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько платишь?
     
     
  • 8.258, Аноним (58), 01:15, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты ж профи А Дело чести ... текст свёрнут, показать
     
     
  • 9.262, Аноним (58), 01:19, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Борлтун он ... текст свёрнут, показать
     
  • 8.266, YetAnotherOnanyn (?), 01:24, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, а сколько я хочу ... текст свёрнут, показать
     
  • 6.261, Аноним (58), 01:18, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ууух, как ловють
    Присоединяйся рыбак
     
  • 5.173, Аноним (177), 21:12, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ровно настолько, насколько гугл "безопасней" яндекса. Вацап может позволить себе игнорить запросы СБУ, но не запросы АНБ. Вот и вся "безопасность".
     
     
  • 6.178, Аноним (118), 21:24, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где Украина, Россия а где АНБ? Уж лучше такая безопасность, чем откровенные сливы по первому же запросу. Вспомните как телега резко замирилась с роскомнадзором, когда её хотели прикрыть, думаете просто так?
     
  • 3.200, Аноним (91), 21:40, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не держи пояльник
    побойся Бога
     
  • 2.285, Ivan_83 (ok), 08:08, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А на компе как?
     
     
  • 3.332, Да да не удивляйтесь (?), 17:45, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так же
     

     ....большая нить свёрнута, показать (19)

  • 1.119, Kuromi (ok), 19:22, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ой вэй, о том что пользоваться jabber.ru нельзя жабофилам было известно еще лет пять тому назад.
     
  • 1.131, Skullnet (ok), 19:40, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Закопать и юзать Matrix.
     
     
  • 2.224, lizard (??), 22:46, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    matrix? нет, спасибо

    https://github.com/libremonde-org/paper-research-privacy-matrix.org
    https://www.nuegia.net/articles/matrix.xhtml
    https://hackea.org/notas/matrix.html

     
  • 2.230, pic (?), 23:08, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ибо нет ничего тайного, что не сделалось бы явным, ни сокровенного, что не сделалось бы известным и не обнаружилось бы (c)
     

  • 1.134, robo228 (?), 19:43, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Для начала внимание!
    STARTTLS не секурно же (read stackexchange and etc)
    Во-вторых!
    Чтобы вы понимали в тех.поддержке этих двух провайдеров работают из UnderAmerica
    Я очень давно слежу searchengineers и знаю кто там и чего воротит.
    Надеюсь понятно кто виноват? А не полицаи.
     
     
  • 2.138, Аноним (2), 19:52, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дело не в техподдержке, я лично наблюдал некоторый специфический MITM в юрисдикции GB задолго до определённых событий, видимо, тренировались. Плохо, что проверка достоверности сертификатов не является распространённой пользовательской практикой (вроде, такая функция даже существовала в https everywhere, однако, её удалили, видимо, под давлением спецслужб).
     
     
  • 3.142, robo228 (?), 20:01, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Дело не в техподдержке, я лично наблюдал некоторый специфический MITM в юрисдикции
    > GB задолго до определённых событий, видимо, тренировались. Плохо, что проверка достоверности
    > сертификатов не является распространённой пользовательской практикой (вроде, такая функция
    > даже существовала в https everywhere, однако, её удалили, видимо, под давлением
    > спецслужб).

    MITM джаббер серверов в GB?
    А у кого из хостеров?

     
  • 3.228, Аноним (239), 23:04, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не помню, чтобы в HE была такая функция Была SSL Observatory - посылался им с... большой текст свёрнут, показать
     
     
  • 4.289, Ivan_83 (ok), 08:46, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, всё так и есть.
    Let’s Encrypt убил доверие к TLS.

    Раньше сертификат означал что некто предоставил какие то документы в УЦ и оплатил, EV означал что его ещё дополнительно проверили.
    А теперь сертификаты раздают кому попало и как попало.

     
     
  • 5.323, Аноним (323), 15:57, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дело не в документах и проверках, а в продвигаемой методом кнута (гугл) и пряника (let's encrypt) частой ротации сертификатов. Если с Гуглом ущёрб  был ограничен гуглом, то в случае let's encrypt всех банально задешево купили.
     
     
  • 6.343, robo228 (?), 18:58, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Дело не в документах и проверках, а в продвигаемой методом кнута (гугл)
    > и пряника (let's encrypt) частой ротации сертификатов. Если с Гуглом ущёрб
    >  был ограничен гуглом, то в случае let's encrypt всех банально
    > задешево купили.

    И что теперь делать?

     
     
  • 7.424, Аноним (424), 12:54, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно: продаваться задешево. Теория игр, ничего личного.
     
  • 5.385, sigprof (ok), 23:22, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    До Let's Encrypt бесплатно раздавал сертификаты, например, Startcom.  Да и получение платного сертификата уровня DV не требовало и не требует ничего сложнее, чем то, что сейчас проверяет Let's Encrypt (никакие документы для этого не требуется, разве что процесс оплаты оставляет какие-то следы, указывающие на источник платежа).  При этом, даже если у настоящего сайта сертификат EV, замену его на обычный DV-сертификат мало кто заметит (в последнее время даже браузеры не особо афишируют наличие EV).
     
  • 5.446, Аноним (445), 17:11, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да, всё так и есть.
    > Let’s Encrypt убил доверие к TLS.

    А комодохакер подписавший себе через дигинотар серты на все и вся прямо через суперсекурный HSM от RSA - это у вас там как, нещитово было? Так то задоооооолго до LE прецедент был.

    > Раньше сертификат означал что некто предоставил какие то документы в УЦ и
    > оплатил, EV означал что его ещё дополнительно проверили.
    > А теперь сертификаты раздают кому попало и как попало.

    Очень интересно какие документы комодохакер дигинотару предоставил, нельзя ли уточнить этот вопрос? :)

     
  • 4.429, Аноним (429), 13:15, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Аддон назывался Certificate Patrol. Пгосто на иконке была полицейская машина нарисована.
     

  • 1.147, Аноним (147), 20:15, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let’s Encrypt

    Админы jabber.ru - лохи. Специально против таких атак была придумана запись САА в DNS

     
  • 1.148, Аноним (152), 20:16, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Предполагается, что атака могла быть совершена с ведома провайдеров по требованию гэбни

    Вся суть Let's Encrypt: по требованию гэбни корни доверия - DNS-регистраторы - берут под козырёк с проглотом, а Let's Encrypt типа ни при чём: он же доверяет корням доверия, сам виноват, что позарился на бесплатную услугу по дэмпинговым ценам. И ни в одной юрисдикции не нашлось желающего организовать применение антидемпингового законодательства. Хотя если подумать - у тех, кто доменное имя купил, и на сертификат деньги найдутся.

     
     
  • 2.153, Аноним (3), 20:20, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сейчас вводите людей в заблуждение. DV проводится LE как минимум двумя разными способами -- один это DNS challenge, второй -- .well-known через 80 порт.
     
     
  • 3.161, Аноним (152), 20:42, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А толку, корень доверия всё равно DNS Контролируя DNS кто надо подставит себя н... большой текст свёрнут, показать
     
     
  • 4.169, Аноним (3), 20:58, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если бы был настроен нормально DNSSEC и вдобавок к нему DNS CAA, конкретно этой атаки просто не случилось бы. Первое не даст подменить записи, второе не позволит выписывать сертификаты как попало.
     
     
  • 5.188, Аноним (196), 21:30, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >DNSSEC

    1. Он не защает от вредоносных действий регистратора.
    2. Ты забудь про DNSSEC, эта штука мертворождена. Она либо требуется от всех, что нереально (слишком многие влиятельные заинтересованы в подмене ответов, и они сделают всё, что в их силах, чтобы это не взлетело, напр. через них она просто работать не будет), либо не требуется ни от кого, и можно даунгрейдить. Чтобы это заработало, Let's Encrypt должен перестать предоставлять услуги всем, у кого он не работает  DNSSEC. А толку, если он всё равно не защищает от вредоносных действий регистратора?

     
  • 5.208, Аноним (91), 21:48, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    хех
    ну мудрствовай дальше!
    просто шифровать данные нужно
     
     
  • 6.520, rvs2016 (ok), 18:53, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > просто шифровать данные нужно

    Никакое шифрование данных не устоит перед приставленным к пузу утюгом.

     
  • 5.225, Аноним (395), 22:58, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И чем бы этот CAA помог, если у него свои сертификаты тоже от Let’s Encrypt?
     
     
  • 6.393, sigprof (ok), 23:35, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://letsencrypt.org/docs/caa/

    Помимо просто указания допустимых CA, в случае Let's Encrypt могут быть указаны дополнительные параметры.  Например, через параметр accounturi можно указать идентификатор конкретной учётной записи, в результате чего получить сертификат можно будет только при наличии ключа, соответствующего этой учётной записи (либо при получении доступа к управлению записями домена, что позволит изменить мешающую запись CAA).

     
  • 5.268, Аноним (114), 01:50, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сертификаты завязаны на третье лицо, которое внезапно вполне конкретное и имеет конкретную юрисдикцию. И только от них зависит что и как они будут проверять. При желании (или при давлении) могут просто выдать сертификат без каких либо DNS или http проверок.
    Собственно единственное отличие ЦА от самоподписных сертификатов это наличие рут сертификата в системе/браузере.
     

  • 1.150, Аноним (3), 20:19, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Впрочем неудивительно, oxpa вон тут признался что они ejabberd не обновляли с 2016 года, что ещё ожидать-то:

    https://i.ibb.co/b1XkB1v/image.png

     
  • 1.158, Аноним (152), 20:27, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Could you prevent or monitor this kind of attack?

    Вообще пушка. Если надо будет - у хостера есть физический доступ к СВОЕЙ МАШИНЕ - СВОЕЙ СОБСТВЕННОСТИ, В СВОЁМ ДЕЙТАЦЕНТРЕ - СВОЕЙ СОБСТВЕННОСТИ. Подключается DMA-устройство, предоставленное гебнёй. Intel SGX/AMD SEV не защитят - гебне все нужные ключи будут предоставлены. В противном случае сотрудники и руководство будут арестованы до тех пор, пока не выполнят распоряжение судьи.

     
     
  • 2.245, onanim (?), 23:55, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у вас немножко намешано

    > DMA

    это угроза для физических серверов, для виртуального сервера никакие DMA не нужны, дамп памяти делается двумя кликами в гипервизоре.
    при использовании физического сервера от DMA защищает IOMMU.

    > Intel SGX/AMD SEV

    а это для виртуальных серверов. но тут да - не защитят :)

     
  • 2.246, Аноним (243), 23:55, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Поэтому мы и любим P2P. Попробуйте там вообще понять что нужно взламывать. И тем более прийти туда и сделать вот это. Не говоря о том что для этого придется бегать индивидуально за каждым хомячком, а не так что разломали 1 серв - и 100500 олухов получили свое.
     
     
  • 3.358, Электрон (?), 21:07, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хомячки в западных странах перестали или боятся пользоваться Bittorrent. Не понадобился даже ецилопп, только развязали руки адвокатам на этом зарабатывать.
     
     
  • 4.447, Аноним (445), 17:13, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Хомячки в западных странах перестали или боятся пользоваться Bittorrent. Не понадобился
    > даже ецилопп, только развязали руки адвокатам на этом зарабатывать.

    Они просто теперь покупают впны в далеком зимбабве, ну или где там хостерам и полисменам относительно неудобно и/или не до них.

     

  • 1.162, timur.davletshin (ok), 20:44, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Думали, ломать будут через сертификат Минцифры, а вышло, что через эти любимые хостинги и CA иносранные. В Спортлото напишите, что вас ломанули. С нашими гоблинами хоть в суд сходить можно.
     
     
  • 2.181, Аноним (8), 21:25, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У них там свои Минцифры* хотят данные.
    В итоге все равно получаем теорему Эскобара. Web еще всем покажет, где жабы зимуют...
     
     
  • 3.191, Аноним (196), 21:32, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это вебу покажут, где у ручки швабры - ножны.
     

  • 1.218, Аноним (218), 22:29, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что это за STARTTLS и чем оно лучше otr?
     
     
  • 2.241, Аноним (3), 23:48, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это такие же разные вещи как апельсин и швейная машинка.
     
  • 2.247, Аноним (243), 00:00, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Жабер изначально не был шифрованый вообще, и поэтому в начале клиент и сервер мо... большой текст свёрнут, показать
     
     
  • 3.267, Аноним (267), 01:29, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ирония в том, что с изменением версии опенвпн проверка на тип сертификата начинает тихо игнориться и конфиг становится уязвимым. Постоянное изменение названий ключей в конфиге похоже на намеренное вредительство.
     
     
  • 4.291, Sw00p aka Jerom (?), 09:05, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    автоматом обновляй, ченджлог не читай, конфиг не проверяй, ломаться ничего не должно :)
     
     
  • 5.300, InuYasha (??), 10:39, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    apt-get: у вас 45 пакетов могут быть обновлены. Установить (Да/Джигурда)?

    Ну, сиди, читай 45 страниц логов. И не факт что напишут так что ты заметишь.

     
     
  • 6.331, Sw00p aka Jerom (?), 17:45, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну тогда х*як, х*як и в продакшен, смузи этому джентельмену
     
  • 6.374, Аноним (374), 21:57, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я примерно так и делаю А альтернатива какая А - у вас 0 апдейтов И я - которы... большой текст свёрнут, показать
     
  • 4.366, Аноним (-), 21:27, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он изначально уязвимый был По дефолту Но если вам очень не нравится - мы могли... большой текст свёрнут, показать
     
  • 3.288, Ivan_83 (ok), 08:22, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тео написал libtls - обёртка над OpenSSL/LibreSSL API для вот этих всех проверок и пр, короче враппер делающий сам сложные проверки и предоставляющий более удобное API.

    Я это дело заюзал в одном проекте.
    В общем клиентская часть там вполне, хотя пришлось допилить чтобы пробросить одну из настроек в OpenSSL.
    С серверной сложнее - нам надо было больше чем было и пришлось тоже допиливать и расширять.

     
     
  • 4.367, Аноним (-), 21:38, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А DJB вместо этих жалких потуг сделать из фекалиев конфеты - новое апи создал А... большой текст свёрнут, показать
     
  • 2.287, Ivan_83 (ok), 08:18, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    STARTTLS - это раширение присутствующее во множестве разных протоколов.
    Суть в том, что в начале соединение устанавливается без TLS, потом клиент отправляет STARTTLS и только тогда соединение начинает TLS хэндшейки.
     
     
  • 3.368, Аноним (-), 21:39, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > STARTTLS - это раширение присутствующее во множестве разных протоколов.
    > Суть в том, что в начале соединение устанавливается без TLS, потом клиент
    > отправляет STARTTLS и только тогда соединение начинает TLS хэндшейки.

    И это дает атакующему много удобных возможностей. Можно, вот, удобный редиректик сделать. И когда кто-то делает протоколы вот так - к ним только 1 вопрос: мужик, ты за меня или за медведя?!

     
     
  • 4.433, чатжпт (?), 13:46, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это наследие plain text протоколов из 80х типа ftp/smtp/pop и прочего го*на мамонта который выкинуть жалко. Тут пол опеннета некрофилы и все еще текут при слове фидонет.
     
     
  • 5.441, Аноним (-), 16:14, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так в фидонете требовали реалнейм и прочие там запреты шифрования Поэтому мо... большой текст свёрнут, показать
     
  • 2.311, Аноним (91), 12:55, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    он и в почте есть.
    не встречал?
     

  • 1.221, Анонимс (?), 22:40, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Что немецкие спецслужбы в обход конституции читали переписку в забытом всеми сервисе пахнет плохо. Особо пикантно воняет от того, что банально забыли обновить сертификат.
     
     
  • 2.223, Козьма Прутков (?), 22:45, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    61. При виде исправной амуниции. Как презренны все конституции!
     
  • 2.231, pic (?), 23:10, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оперативники используют для общения игровые чаты.
     
     
  • 3.259, Аноним (58), 01:16, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да-да
    мы такие
    оперативники
     
  • 2.232, Аноним (239), 23:19, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Особо пикантно воняет от того, что банально забыли обновить сертификат.

    Они к этому времени задачу уже выполнили видимо.

     

  • 1.233, Аноним (243), 23:26, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Атака организована через перенаправление трафика на транзитный узел,
    > подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS.

    Добро пожаловать в чудный мир безопасности имени TLS и прочих libopenssl, где приложения тупо кладут на то что это вообще совершенно левая ремота по TLS зацепилась. Сделайте либе дурацкое апи и переусложненный протокол - все и налетят на этом.

     
     
  • 2.240, Анонимс (?), 23:43, 20/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И да и нет, подписать свой ключ они могут, а вот повторить никак. Реализовать проверку на наличие не по уму любознательных персонажей не сложно.
     
     
  • 3.249, Аноним (-), 00:06, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И да и нет, подписать свой ключ они могут, а вот повторить
    > никак. Реализовать проверку на наличие не по уму любознательных персонажей не
    > сложно.

    Но большая часть клиентов жабы это разумеется забудет. С понятным результатом. Ну вот не будет вам безопасно с такими протоколами и апями. Хоть там как. DJB убил цать лет пытаясь эту мысль донести, а некоторые все упираются, даже после того как их без вазелина уже вот.

    Более того - вон тот номер может повторить совершенно любой CA - если захочет. Репутация, конечно, пострадает, но если оно того стоило (а сервак на 100500 персон - ценная мишень) то и хрен с ней.

     

  • 1.238, JL2001 (ok), 23:40, 20/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    про DANE уже писали?

    > DANE предусматривает передачу доверенного сертификата, не известного ранее клиенту, средствами DNS с обязательной проверкой подлинности ответа DNS средствами DNSSEC.

    https://ru.wikipedia.org/wiki/DANE

     
     
  • 2.248, Аноним (243), 00:03, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > про DANE уже писали?

    Лучше про Tox написать. Если нет центрального сервера, его админа, логина и сертификата - отлично, воровать нечего. Особенно так чтобы накрыло потом крупным оптом сразу толпу.

     
     
  • 3.269, Аноним (-), 01:52, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В TOX вместо центрального сервера комутаторы провайдера. Зачем митить что и так неприкрыто?
    Приличный Jabber у шифропанка это E2E + TLS. TOX голый E2E
     
     
  • 4.322, Аноним (275), 15:49, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот в жабе точек отказа больше.
     
  • 4.372, Аноним (374), 21:50, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И, собственно, чего Самим по себе коммутаторам вообще не очевидно что это такое... большой текст свёрнут, показать
     
  • 2.315, Аноним (315), 13:06, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DNSSEC почти нигде нормально не работает. То есть, есть миллион причин, почему он может не работать. И это делает тривильной следующую атаку: на MITM отламывать подписи и слать пакеты дальше.

    После пары дней мучений "почему у меня не получается выписать сертификат", DNSSEC отключается самим юзером.

     

  • 1.263, Аноним (267), 01:21, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Администрация жру совершенно не понимает, в каком времени живет. Хецнеры - это было хорошо в 2010 году. Стыдобище. В принципе, уже после сливов Сноудена с буржуйскими хостингами было все ясно.
    Главное, отечественное кгб может без проблем сделать митм и сейчас, когда сервис в буржунете. Тут и возможность перехватить днс, и последняя миля к большинству клиентов под контролем. К чему эти понты, не понимаю...
     
     
  • 2.281, Коньюктивит (?), 05:52, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > в буржунете

    Но другого у нас нет.

    Знаете этот анекдот:

    Рыночек: Рыночек слушает
    СССР жалуется: Капиталисты создают неправильные технологии
    Рыночек в недоумении: Так создавай правильные
    СССР в а*уе: Кто!? Я!?

     
  • 2.312, Аноним (91), 13:00, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    что даст митм при шифровании е2е?
    ведро мусора?
    - чет они там переписываются!
    - через 30 лет узнаем, когда расшифруем.
    - тогда давай вызывать повесткой.
    - так оперативной инфы нет.
     
     
  • 3.349, pic (?), 20:12, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Большинство e2e очень лень, даже несчастные секретные чаты в телеге и то, многим лень.
     
     
  • 4.436, Аноним (430), 14:52, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так это ж и хорошо Товарищмайоры разных стран пакуют наимных телеграфистов кото... большой текст свёрнут, показать
     

  • 1.279, Bob (??), 04:38, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Немного копипаст по теме:
    "Последние несколько дней в РФ осуществляется очередной эксперимент по блокировке протоколов через DPI у разных провайдеров, и на этот раз блокируют как раз таки именно Jabber/XMPP.

    Интересный момент заключается в том, что при блокировке находящихся за границей XMPP серверов, конкретно jabber.ru почему-то не блокировали, хотя он находится в Хетцнере.

    Очень люборытное совпадение." https://ntc.party/t/%D0%BE%D0%B1%D1%81%D1&#

     
     
  • 2.283, timur.davletshin (ok), 06:49, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ростелеком. Не блокируется ни Jabber, ни другие, известные мне протоколы. Писали про ESNI/ECH - звездят, оно работает.
     
  • 2.302, InuYasha (??), 10:44, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, недавно нелпохо там прочувствовал: сперва на ОпенВПН (причём российский, рабочий, карл!), потом на xmpp. И жабберру в том числе.
    Приглашённые китайские незаменимые специалисты работают как надо! И слив из наших контор в свои конторы тоже организуют - не сомневайтесь.
     
     
  • 3.415, Аноним (415), 08:26, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И слив из наших контор в свои конторы тоже организуют

    Что-то вы не жаловались, когда из ваши контор сливали в конторы дяди Джо. Или это другое, и это понимать надо?

     
     
  • 4.416, InuYasha (??), 11:10, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что ты несёшь вообще? Поехавший...
     

  • 1.280, Аноним (280), 04:58, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Злоумышленники получили доступ к жаберсру помойке и засунули их в ещё один kvm внутри kvm.

    А виноваты хосторы и спецслужбы - топкек.

     
  • 1.292, Михаил (??), 09:08, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пожалуйста, автор - расскажите, каким образом вебсайт не заметил подмену сертификата и внедрение "посередине"?
    Каким образом можно защитится от подобного пользователям и со стороны владельцев сервера?
     
     
  • 2.298, Ivan_83 (ok), 10:29, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Читайте первоисточник: https://notes.valdikss.org.ru/jabber.ru-mitm/

    Не заметили потому что один  летсенкрипт сертификат заменили на другой такой же сертификат.
    Если бы это был какой то EV сертификат или хотя бы обычный за деньги - то хотя бы стало понятно что сертификат выпущен кем то подозрительно другим и бесплатным.

    Защищатся - пинингом сертификата.

     
  • 2.299, onanim (?), 10:32, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  Пожалуйста, автор - расскажите, каким образом вебсайт не заметил подмену сертификата и внедрение "посередине"?

    любой из ~50 "доверенных" корневых сертификатов может выпустить сертификат для любого домена и браузер этому сертификату поверит. вы же в курсе, что ваш браузер доверяет всем сертификатам, выпущенным Почтой ГонгКонга и китайским агенством интернет-исследований?

    > Каким образом можно защитится от подобного пользователям и со стороны владельцев сервера?

    проверять сертификаты при каждом установлении TLS сессии (при каждом заходе на сайт и каждом подключении к серверу XMPP)

     
     
  • 3.316, Аноним (315), 13:09, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А чего вы проверите? В сертификате MITM пишет то же самое, что и валидный сервер.
     
     
  • 4.324, onanim (?), 16:10, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А чего вы проверите?

    fingerprint

    > В сертификате MITM пишет то же самое, что и валидный сервер.

    нужно быть совсем долботрясом, чтобы проверять CN или что вы там собирались, вместо фингерпринта.

     
     
  • 5.336, Аноним (325), 18:11, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > fingerprint

    А если каждую неделю перевыпускается серт, что тогда делать? Как найти в этой куче левый запрос?

     
     
  • 6.337, onanim (?), 18:17, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> fingerprint
    > А если каждую неделю перевыпускается серт, что тогда делать?

    не быть самому себе злобным буратиной, даже Let's Encrypt каждые 3 месяца перевыпускает.
    ну и скрипту в кроне пофиг, как часто перевыпускается серт, хоть раз в час перевыпускай.

     
  • 2.313, Аноним (91), 13:01, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    выводы нужно сделать из случившегося
    или просто узнать/вспомнить, что
    провайдерам разного толка доверия нет.
     

  • 1.306, Аноним (306), 11:45, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Всё что нужно знать про сертификаты от Let's encrypt. Это не про безопасность, а чисто чтоб браузер не ругался.
    Это их вина. Они выдали сертификат левому человеку, которому не принадлежит домен.
     
     
  • 2.307, пох. (?), 11:59, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    они все свои сертификаты выдают первом-попавшемуся левому человеку, ничуть не парясь проверкой, принадлежит ему что-то там или нет.

    Да, все что надо знать про п-сов из летшиткрипт, а так же про синдикат любителей-tls, пропихнувший (причем при взаимном одобрении) отказ от pkp, запрет ev и прочие прекрасные вещи.

    Теперь вы наконец убедились, что да, вот именно для этого и старались.

    А вовсе не для счастья всем даром и безопастности.

     
     
  • 3.521, rvs2016 (ok), 01:08, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > они все свои сертификаты выдают первом-попавшемуся
    > левому человеку, ничуть не парясь проверкой,
    > принадлежит ему что-то там или нет.

    Зачем они тогда в процессе выдачи сертификата не только просят "левого" человека сделать в DNS TXT-записи _acme-challenge и положить на сайт в каталог .well-known/acme-challenge файл с абракадабровым именем и с не менее абракадабровым содержанием, но ещё и проверяют выполнение этих просьб? Эти просьбы может же выполнить только не левый человек. Ну или левый, который в случае захвата доступа к DNS-серверу и к Web-серверу выглядит как ни разу не левый.

     
     
  • 4.527, пох. (?), 14:27, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    занимаются этой х-ней Ну вот затем Чтобы ты поверил что это надежно, а главное... большой текст свёрнут, показать
     
  • 2.319, Аноним (319), 14:47, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что LE удостоверяет только контроль над доменом и ничего больше. С проверками аусвайсов - это вам к коммерческим УЦ.
     
     
  • 3.522, rvs2016 (ok), 01:12, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что LE удостоверяет только контроль
    > над доменом
    > и ничего больше

    И ничего больше - неправильно.
    Проверяет ещё доступ получателя сертификата к проверяемому сайту.

     
     
  • 4.528, пох. (?), 14:28, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Проверяет ещё доступ получателя сертификата к проверяемому сайту.

    нет.

     
     
  • 5.530, rvs2016 (ok), 04:26, 01/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Проверяет ещё доступ получателя сертификата к проверяемому сайту.
    > нет.

    Да. У меня доказательства своего слова есть.

     
  • 2.464, Ржомба (?), 22:46, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Буквально на днях мне тут рассказывали, что российским сертификатам нельзя доверять, а иностранным можно. И тут такое. Ахахах
     
     
  • 3.523, rvs2016 (ok), 01:14, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Буквально на днях мне тут рассказывали,
    > что российским сертификатам нельзя доверять,
    > а иностранным можно. И тут такое. Ахахах

    А ещё владельцы многих сайтов хостят их за пределами РФ - как будто в РФ их нагнут, а за пределами РФ их никто не нагнёт. Наивные! 😃

     

  • 1.320, Vladjmir (ok), 15:25, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все эти сертификаты говно полное. Будущее за сквозным шифрованием как в Телеге.
    А владельцы jabber.ru и xmpp.ru -- идиоты. Им русским языком было сказано, что вся критическая инфраструктура должна быть физически расположена в России на российских серверах.
     
     
  • 2.321, Аноним (321), 15:48, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не волнуйся, инфраструктуру из камней и палок в дэйтацентры цивилизованных стран не примут. Только в родной пещере. В качестве файловой системы - наскальные рисунки.
     
  • 2.335, Аноним (58), 18:07, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > сквозным шифрованием как в Телеге

    Телега и шифрование? Пропагандист, ты что несешь?
    Дуров = vkontakt/мэйлру = усманов (мегафон, dpi & etc) = fsb
    Ищи дэбилов пользоваться этим Г...!

     
     
  • 3.355, Vladjmir (ok), 20:42, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С выходом из криокамеры!
     
  • 2.347, pic (?), 20:02, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это идиотизм регистрировать аккаунт на номер телефона или электронную почту.
    По нормальному - только логин, пароль и кодовое слово, причём если забыл все 3 параметра, то в первую неделю неактивности аккаунта должна автоматически вычищаться история сообщений всех чатов, а через полгода весь аккаунт подлежать автоматическому удалению.
     
     
  • 3.348, pic (?), 20:05, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Двойной идиотизм Дурова привязывать номер телефона аккаунта к IMEI.

    Попробуйте вставить SIM-карту в другой слот смартфона или в кнопочный телефон, когда Вы вышли со всех устройств, СМС или звонок от Telegram не придут на них, только слот с тем IMEI, который Вы регистрировали аккаунт.

     
     
  • 4.357, Vladjmir (ok), 20:52, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Дуров вовсю старается, чтобы ты не потерял доступ к своему профилю. Привязка к номеру телефона удобна тем, что в Телеге видишь всех людей из адресной книги своего смартфона. Не надо ни с кем устанавливать первоначальный контакт.
     
     
  • 5.361, pic (?), 21:14, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, да. Кто-то выбирает удобство, кто-то безопасность.
     
     
  • 6.371, Vladjmir (ok), 21:50, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Точнее сказать анонимность.
     
     
  • 7.392, Аноним (91), 23:35, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    какая анонимность?
    ты о чем?
     
  • 5.362, pic (?), 21:18, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Российская почта или российский номер телефона это требование по законам РФ, однако, желания использовать что-то из этого, как и подобное зарубежное снижается. Не конспирология, конечно, тенденция неумолимая.  
     
     
  • 6.375, Vladjmir (ok), 22:01, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для зарубежа можно выбрать мессенджер, который не требует регистрацию через телефон. А, например, достаточно почты, которую можно завести на иностранном почтовом сервисе. Как вариант можно завести виртуальный анонимный номер телефона и зарегиться через него.
     
  • 6.379, Vladjmir (ok), 22:18, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для конспирологии можно выбрать что-то типа Tor Messenger с регистрацией профиля без телефона, без почты и с подключением собеседника по QR-коду. В нём можно плодить кучу анонимных профилей, можно даже индивидуальных для каждого контактного лица. Но эта прога не для ширпотреба.
     
  • 5.364, pic (?), 21:21, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Любая соцсеть и её участники стараются чтобы ты не выпадал из неё, а что-то неопосредованное сразу встречается в штыки.
     
  • 5.377, Аноним (374), 22:05, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Дуров вовсю старается, чтобы ты не потерял доступ к своему профилю.
    > Привязка к номеру телефона удобна тем, что

    ...что аккаунт НеЛоха можно в любой момент резко и внезапно УГНАТЬ с весьма умеренными затратами. С предсказуемым для НеЛоха результатом. Вооооон там господа пафосно пишут сколько и кого упаковали. Не буду уточнять их юрисдикцию - таких уже минимум несколько.

    > в Телеге видишь всех людей из адресной книги своего смартфона. Не надо ни с
    > кем устанавливать первоначальный контакт.

    Удобство и безопасность живут по разную сторону улицы. Хотя конечно Дуров оказал неоценимую услугу человечеству - столько тупарей было упакованно спецслужбами разных стран под слонагы о безопасности этого чатика.... ничего личного это бизнес :)

     
     
  • 6.382, Vladjmir (ok), 22:39, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не надо требовать от массового мессенджера гарантий анонимности и безопасности. Для этих целей нужно пользоваться мессенджерами, специально заточенными под анонимность и безопасность. Дуров пошёл на сотрудничество со спец.службами по противодействию экстремизму и терроризму, благодаря чего и сняли блокировку с Телеги в России. А до этого взломать канал связи Телеграм у ФСБ не получилось и даже полную блокировку не смогли сделать, хотя и сильно замедлили телегу.

     
     
  • 7.442, Аноним (-), 16:39, 22/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.384, Vladjmir (ok), 23:11, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно, НеЛохи -- это те, кого слушали западные спецслужбы через jabber.ru и xmpp.ru.
     
     
  • 7.402, Аноним (58), 23:46, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    наплевать
    и на тебя
     
  • 7.459, Аноним (-), 21:06, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Очевидно, НеЛохи -- это те, кого слушали

    По определению.

    > западные спецслужбы через jabber.ru и xmpp.ru.

    А что, атакующие там оставили свои визитки на предмет принадлежности к конкретным спецслужбам? Какие странные атакуюшие.

     
     
  • 8.462, Аноним (-), 21:46, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хостинг-провайдеры немецкие Значит, или виноваты немецкие спецслужбы, или немец... текст свёрнут, показать
     
     
  • 9.469, Аноним (-), 02:35, 23/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.457, Аноним (-), 20:57, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Все эти сертификаты говно полное. Будущее за сквозным шифрованием как в Телеге.
    > А владельцы jabber.ru и xmpp.ru -- идиоты. Им русским языком было сказано,
    > что вся критическая инфраструктура должна быть физически расположена в России на
    > российских серверах.

    Товарищмайор резко недоволен походу. Это что, вместо того чтобы сервак из стойки вынуть пришлось целую инфильтрацию делать и MITMать сервак? Да еще немцы негодуют и высылают шпионов? И все из-за пары никчемных козлов?!

     
     
  • 3.461, Аноним (461), 21:33, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Полиция Германии взломала xmpp.ru, а ты сказки про российских майоров рассказываешь. Хоть плюй в глаза — и то Божья роса.

    Россияне, кто не дурак, пользуются Tox.

     
     
  • 4.470, Аноним (-), 02:51, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Полиция Германии взломала xmpp.ru, а ты сказки про российских майоров рассказываешь.

    И пруфом что эта теория лучше вон той будет - например - что? А можно и еще сотню теорий придумать. Настолько же обоснованных как эти 2.

    > Хоть плюй в глаза — и то Божья роса.

    Постить какие-то измышлизмы без пруфов чем-то таким и является.

    > Россияне, кто не дурак, пользуются Tox.

    Да и не россияне тоже. Левые типы в переписке не нравятся не только им. При том те кто поумнее в не совсем дефолтной конфигурации. Потому что информационная безопасность - штука комплексная.

     
     
  • 5.472, Аноним (-), 03:27, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бритва Оккама. Не привлекай российскую полицию, взлом случился в Германии.
     
     
  • 6.475, Аноним (475), 04:52, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Бритва Оккама. Не привлекай российскую полицию, взлом случился в Германии.

    В интернете взломы и взломщики не знают границ, в оборудовании и софте случаются вулны, так что тезис про немецкую полицию - не лучше и не хуже любого иного. Учитывая что их сапорт отметился довольно заурядными ответами в переписке, если не раздолбайством, обожествлять их как бастион неприступности я бы не стал. Обычный заурядный хостерок. Известный не суперкачеством а относительно доступными ценами, а потому некоей попсовостью - чем и живут.

     
     
  • 7.526, Пыщь (?), 13:39, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Взломали, что аж link up/down.. нормально
     
  • 4.504, Аноним (504), 16:07, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что пруфов нет Это может быть и работник хетцнера не имеющий никакого ... большой текст свёрнут, показать
     

  • 1.352, Аноним (352), 20:26, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    1. Вопрос номер один? - кому принадлежит jabber.ru - такое старое говно могли поддерживать финансово только спецслужбы.
    2. Вопрос номер два, почему так все каряво сделали этот mitm?
     
     
  • 2.353, Аноним (352), 20:39, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И еще rutracker там же - это одна и таже контора. Надо смотреть на мир не замазанными глазами
     
     
  • 3.356, Аноним (352), 20:50, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.359, Аноним (352), 21:10, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 5.360, Аноним (352), 21:13, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 6.376, Аноним (352), 22:02, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 7.378, Аноним (374), 22:12, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 8.380, Аноним (352), 22:18, 21/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 4.422, Аноним (424), 12:46, 22/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.383, Vladjmir (ok), 22:57, 21/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вопрос № 1. Почему серверы jabber.ru и xmpp.ru и вся система связи (вспомогательные VPS-окружения и прокси-серверы) размещались за рубежом, хотя закон предписывает, что вся критическая инфраструктура, включая серверы хранения данных рос. пользователей должны размещаться в России на российских серверах?
     
     
  • 3.411, Аноним (3), 00:33, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Возьми с полки свои 15 рублей.
     
     
  • 4.437, Аноним (437), 15:37, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1 е-балл социального кредитного рейтинга поценнее будет.
     
  • 2.474, Аноним (474), 04:10, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    2. В службах света и добра уже тоже засилье индусов.
     

     ....большая нить свёрнута, показать (12)

  • 1.369, Аноним (352), 21:41, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://security.stackexchange.com/questions/73244/can-we-have-https-without-c
     
  • 1.373, Аноним (-), 21:55, 21/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Охра, можете перевести сервер на хостинг Белтелеком в Беларуси.
    https://beltelecom.by/private/hosting/predostavlenie-fizicheskogo-servera-dedi
    https://www.beltelecom.by/business/hosting/secure-hosting
     
     
  • 2.414, cheburnator9000 (ok), 04:41, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С прямым подключением мониторинга трафика от КГБ РБ?

    >объем входящего/исходящего трафика, ГБ

    2/2
    5/5
    10/10
    15/15
    25/25
    25/25

    Ну. Ну.

     
     
  • 3.455, Аноним (-), 20:33, 22/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Трафик в Беларуси мониторит ОАЦ, а не КГБ. Хочу заметить, что ни разу в истории не был зафиксирован перехват XMPP силами ОАЦ. В отличие от полиции Германии, или кто там у них этим занимается.

    Дополнительный объем трафика взимается по тарифам на услуги хостинга «Colocation»: https://beltelecom.by/private/hosting/razmeschenie-oborudovaniya-colocation

     
     
  • 4.503, Аноним (504), 15:49, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Хочу заметить, что ни разу в истории не был зафиксирован перехват XMPP силами ОАЦ.

    До 20 октября 2023 года такую же фразу можно было сказать и про полици Германии. А по факту полгода как уже читалось.
    То, что ОАЦ конкретно XMPP не читал - это лишь догадки. А вот весь HTTPS трафик для всей страны вполне себе блочил (что наверняка бы "порадовало" администратора jabber.ru, а а зодно и всех его юзеров).

     
     
  • 5.513, Аноним (513), 17:48, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще весь траффик, не только HTTPS. На несколько дней.
     

  • 1.421, dasd (?), 12:40, 22/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чой то никто про CT не вспомнил...
     
  • 1.463, Ржомба (?), 22:39, 22/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хотелось бы заслушать местных экспертов, которые годами говорили, что зарубежный майор им не угроза.)))
     
     
  • 2.478, Вася (??), 06:36, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что он угроза что ли? Что он сделает-то епта? Мы из другого города. ))) Своих майоров есть смысл опасаться, а чужих зачем?
     
     
  • 3.506, Ржомба (?), 18:42, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да элементарно - шантаж. Писал в ололо-защищенном чатике, каких взглядов придерживаешься, кому донатишь. Предложат поджечь ченить или сольют. Помнишь прошлогоднюю историю, как беглый за бугор чувак-"правдорубец" слил видео изнасилования зэка, который рассказал, что его шантажировали и заставляли врать? Ну вот. Любишь такой западного барина на оупеннетике и тут оооп! и ты уже не по своей воле идешь с бутылкой бенза к военкомату или к жд. А оттуда или на зону, или под землю (что для общества благо, но для тебя вряд ли).
     
     
  • 4.507, Вася (??), 19:33, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Да элементарно - шантаж. Писал в ололо-защищенном чатике, каких взглядов придерживаешься,
    > кому донатишь. Предложат поджечь ченить или сольют. Помнишь прошлогоднюю историю, как
    > беглый за бугор чувак-"правдорубец" слил видео изнасилования зэка, который рассказал,
    > что его шантажировали и заставляли врать? Ну вот. Любишь такой западного
    > барина на оупеннетике и тут оооп! и ты уже не по
    > своей воле идешь с бутылкой бенза к военкомату или к жд.
    > А оттуда или на зону, или под землю (что для общества
    > благо, но для тебя вряд ли).

    есть такие майоры, правда, представляются отечетсвенными - из колцентров, рассказывают что деньги мошенники украли и что бы их вернуть надо срочно поджечь военкомат.
    а вот про настоящих заграничных майоров как-то не слыхал...

     
     
  • 5.510, Ржомба (?), 22:35, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > про настоящих заграничных майоров как-то не слыхал

    Они крышуют тех, кто звонит. Иначе не звонили бы.

     
     
  • 6.511, Вася (??), 09:59, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> про настоящих заграничных майоров как-то не слыхал
    > Они крышуют тех, кто звонит. Иначе не звонили бы.

    как же велика их власть над миром!

     
  • 3.508, Аноним (508), 20:42, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Немецкий майор следил за особо болтливыми детишками русских майоров, ценные разведданные передал в генштаб, а когда канал раскрыли - в прокуратуру по месту жительства, чтобы детишек местные майоры воспитывали, как родине не изменять, чтобы посять смуту в тылах противника.
     
  • 2.495, Аноним (-), 17:03, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хотелось бы заслушать местных экспертов, которые годами говорили, что зарубежный майор
    > им не угроза.)))

    Если даже допустить что это был немецкий майор (он что, визитку оставил?) - а чего он россиянам сделает? Местный то майор упакует на 10 лет за какой-нибудь лайк без особых разбирательствл, это еще понятно почему бояться надо.

     
  • 2.502, Аноним (504), 12:27, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так и чё зарубежный майор сделал с юзерами джаббер ру? В кутузку посадил уже? Наркоты и портрет Стёпана Б. подкинул? Набутылил?
    Ты мысль-то продолжи. До конца. Если есть, что (и чем) продолжать. )))
     
     
  • 3.525, Пыщь (?), 13:37, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Знать настроения пользователей немассовых "фатсаппов" может быть весьма интересно, вам то понятно - нет.. Разведка разноплановая бывает, чем больше нюансов знаешь, тем лучше. Хотя подобным Вам до спецслужб как до Пекина раком. Верьте в неуловимых Джо в век "больших данных" и прочих нейросетей. Раньше за Джо почему не присматривали, потому что он нахрен никому не нужен, а людей лишних нет. Сейчас уже не люди присматривают, если возможности есть и это даёт хоть какое-то преимущество - почему бы и за Джо*ами не подглядывать. Или верите, что очень тяжело тащить такую слежку... недавно соцсетям было проще диски добавлять, чем реально удалять "удалённые" фоточки (производительность типо проседает), не так уж дорого выходит.
     

  • 1.473, Аноним (474), 04:08, 23/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Mitm сделан с изменением конфигурации двух провайдеров, но возубуженные в комментариях про отечественные спецслужбы.
    Зоопарк.
     
     
  • 2.489, all_glory_to_the_hypnotoad (ok), 13:11, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пока что только отечестнные спецслужбы продают твои личные данные всем желающим и шьют по 10 лет за посты
     

  • 1.482, Пряник (?), 10:22, 23/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ого, jabber.ru жив ещё?
     
     
  • 2.498, Аноним (498), 21:07, 23/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я в 2012 перешёл с него на jid.pl, а в 2018 ушёл на Tox.
     
  • 2.509, Аноним (508), 20:44, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не поддерживает OMEMO. Регистрация по почте. Слили переписку за 3 месяца. Это всё что нужно знать о Жру. Понять, забыть и не прощать.
     

  • 1.514, rvs2016 (ok), 11:55, 26/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Первый поддельный TLS-сертификат был получен
    > 18 апреля 2023 года через сервис Let’s Encrypt,
    > в котором атакующий, имея возможность
    > перехватить трафик, смог подтвердить доступ
    > к сайтам jabber.ru и xmpp.ru.

    А как атакующему удалось подтвердить доступ к сайтам?
    Там же для подтверждения доступа надо и записи DNS ваять, и на сайты класть файлы с абракадаброй.
    Получается, что ему удалось получит доступ ещё и к серверам web и dns?

    Может он получил вообще физический доступ к ним?

    Это напоминает, как в соседней теме про небезопасные пароли приводили пример о том, что некоторые пароли работают только при вводе их на физическом терминале и приводили пример с американскими военными, которые якобы говорили о том, что если кто-то получит доступ к физическим терминалам пука баллистических ракет, то тогда уже и пароли будут бесполезны. :-)

     
     
  • 2.515, rvs2016 (ok), 12:38, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Может он получил вообще физический доступ к ним?

    Во! Они предполагают именно так, как это предположил ранее и я:

    > дало основание полагать, что атака произведена лицом,
    > имеющим доступ к инфраструктуре провайдеров

     

  • 1.535, Аноним (-), 18:15, 03/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прошло 2 месяца. Нашли злоумышленников?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру