Безопасность систем мгновенного обмена сообщениями на базе протокола XMPP: настоящее и будущее

[gnum]

Почему то опять в защите передаваемых данных не упомянуто ни гпг ни отр, а так спасибо за статью.

[Osipov]

Спасибо, дополнил. Действительно очень актуально при передаче конфиденциальной информации.

[Gorthauer87]

Мало того, оно сделано на уровне протокола, а не как в аське.

[Alss]

я до сих пор не могу поверить в то, что люди вслепую ищут кого-то (земляков, однофамильцев, тёзок и т.п.). поэтому и считаю, что VJUD может быть полезен только если ты запамятовал правильный ник

[syncro]

раньше таким способом «знакомились», сейчас социальные сети и специализированные сайты наверное удобнее,)

[Alss]

НЕ ВЕРЮ! %)

[Osipov]

Плюс ко всему, лет 5 назад поиск в аське стал нереально глючить. В этой связи найти человека по указанным им в инфо имени, фамилии и другим данным очень трудно.

[VolCh]

Кстати одна из причин низкой популярности фэйсбука по сравнению с в контактом в России, имхо, как раз отсутствие полноценного (по всем или большинству полям) поиска.

[syncro]

главная причина по-мойму в том, что о нем меньше говорят, а насчет поиска: я никого не искал, он сам прошерстив почту напредлагал и догнал по количеству друзей число накопленных за пару лет вконтактике. От низкой активности там число небольшое канеш.

[Osipov]

Были умельцы, которые на jabber.ru и qip.ru осуществляли поиск по популярным именам, получали конкретные учетные записи и пытались рассылать нежелательные сообщения. Эту проблему очень быстро можно решить использованием специального шейпера, ограничивающего выдачу (так поступили администраторы qip.ru) или отключением сервиса vjud (такое ограничение действует на jabber.ru/xmpp.ru)

[Stepanow]

Ещё бы ICQ-транспорты научились отсекать запросы на добавление из ICQ-сети от роботов на основе теста тьюринга с возможностью самому задавать вопрос и ответ к нему… А то постоянные запросы, которые приходится отклонять пачками не глядя (даже если они не все от роботов).

[syncro]

тот, которым пользуюсь я умеет просто отсекать. Впринципе, этого хватает, главное не забывать отключать, когда добавляетесь с хорошим человеком. Покопайтесь в настройках своего.

[shoguevara]

Транспорты?

[shoguevara]

Сорри, прокосил…

[shoguevara]

Это я понял) Только коммент мой ни к селу, ни к городу)))

[MainNika]

Spectrum умеет. Кроме всего прочего, умеет даже файлики передавать сквозь транспорт. Написан на плюсах и стабилен. Кроме того можно подключить дополнительные транспорты в виде джаббера, мсна, аима и т.п. Из минусов — тянет на дебиане кучу зависимостей из-за libpurple0-minimal (возможно это можно как-то обойти).

[MainNika]

Извиняюсь, я мельком прочитал сообщения, думал что вас мучила проблема постоянных авторизаций.

[Stepanow]

Ну на безрыбье и полное отключение запросов пригодится, спасибо.

[MainNika]

Именно то, что я показал, это фишка транспорта.
dl.dropbox.com/u/3971799/screens/3.png

[JiLiZART]

прям вовремя, как раз на эту тему задумался для своего jabber сервера

[syncro]

не переживайте, 5 лет назад вот тоже самое говорили: вот мол грянет уже завтра волна и… а Джо и ныне там. Но пока исправно работают транспорты ничего плохого в этом нет, правда, сейчас транспорт до скайпа мне был бы нужнее наверное.

[Stepanow]

code.google.com/p/karaka/
со второй попытки в нужный топик =)

осталось уговорить знакомого админа поднять её на сервере

[syncro]

вот-вот, они все какие-то подозрительные, а поставить то мне и самому есть куда. Мне за державу обидно,)
Но вроде скайп обещал апи не требующий инстанса клиента…

[ArtemTrickster]

По моему сейчас в ICQ всё же появилось шифрование, кажется в Пиджине в версиях для разработчика по умолчанию включено.

[Osipov]

Сейчас официально серверы не поддерживают шифрование, об этом заявили представители Mail.ru Group.

[VenomBlood]

Если они его когда-нибудь и добавят — то добавят и СОРМ к нему, так что смысла в шифровании будет очень мало.

[Fak3]

А можно ссылочку?

[Osipov]

habrahabr.ru/company/mailru/blog/112196/#comment_3589740

[047]

Это все понятно, реализовать в открытом протоколе можно абсолютно все.
Но вот кто за все время существования джаббера именно в публичных сервисах и конференциях прикрутил такой функционал типа антибрута и капчи? Я сколько лазил на забугорных конфах, на наших конфах — нигде такого не встречал.

[Osipov]

Капча включется опционально владельцем команты на conference.qip.ru и conference.jabber.ru к примеру. Входит в официальный комплект поставки Ejabberd.
По поводу антибрута — не реализовано еще, я об этом писал в посте.

[ComodoHacker]

неправомерно рекламируемая информация размещалась в теле запроса авторизации. В Jabber нет такого понятия, как текст в запросе авторизации: отправляется лишь iq-запрос подписки на прием/получение презенсов (то есть статусов присутствия по сути) от конкретного контакта.

Спам можно размещать и в имени контакта, представьте себе.

[Osipov]

Извиняюсь, промахнулся. Ответил Вам ниже.

[Osipov]

Нетрудно запретить регистрацию таких аккаунтов. Возможность фильтровать станзы также никто не отменял. Можно организовать в пределах сервера фильтрацию не только имен JID, но и информации в vcard.

[Tishka17]

В Jabber нет такого понятия, как текст в запросе авторизации: отправляется лишь iq-запрос подписки на прием/получение презенсов

Неправда. Во-первых, запрос подписки это тоже presence, что несколько затрудняет его фильтрацию его с помощью privacy. Во-вторых, текст в нем разрешен (в том же status) и клиенты его умеют показывать, а транспорты указывать.

[Osipov]

Благодарю за поправку. Действительно, запрос подписки на присутствие является презенсом. Однако ничто не мешает фильтровать станзы на стороне сервера при помощи дополнительных фильтров.