Как стать автором
Обновить

Комментарии 67

От mail.ru такое просто нельзя ожидать. Либо гонят, либо черных ходов будет наделано…
Клиент в опенсурсе, если сервер тоже будет (у телеграма сервер тоже ещё не открыли), то почему бы и нет?
Потому что противоречит политике компании.
Откуда у вас данные?
Стыдно признаваться.
НЛО прилетело и опубликовало эту надпись здесь
Два с лишним года. Как-то там даже имел неосторожность предложить организовать передачу сообщений с end-to-end шифрованием…
Ничто не мешает делать свои сборки клиента.
Хватит насиловать труп.
Готов поспорить, что закладка будет в алгоритме генерации начального псевдослучайного ключа.
Да не, скорее всего просто не будет нормальной проверки ключа (сверки отпечатка, как в OTR), и нельзя будет понять, совершают ли MiTM.
Понятия не имею, почему многие мессенджеры этим грешат, цирк какой-то.
Понятие такое есть — театр безопасности.
На самом деле никто не собирается обеспечивать безопасность общения, людям дают лишь иллюзию того, что их общение безопасно, а большинству этого достаточно. Разбираться как на самом деле всё обстоит будут лишь единицы.
Хорошая попытка, mail.ru, но несколько поздновато пить боржоми…
Они таким образом хотят отсечь клиентов с альтернативных клиентов — qip и Миранды.
Если такое произойдет, мне будет проще не пользоваться протоколом ICQ и остаться на джаббере.
Так клиент в опенсурсе, легко и просто взять новый протокол.
Qip — unsupported, в миранде еще долго будут пилить новый протокол qip'a.
Начнём с того, что для VoIP модуля нет открытых исходников т.ч. у альтернативных клиентов нет шансов пострадать от этого.
А ICQ протокол в Miranda NG тих умирает за ненадобностью.
VoIP мне надо только в Skype и Tox.
«Сейчас шифрование аудио- или видеоразговоров через мессенджер не происходит, в результате становится возможным проведение MiTM-атаки», — сказал источник близкий к Mail.ru Group. После внедрения end-to-end шифрования, даже если во время работы будет задействован сервер, то посмотреть или послушать на нём ничего не удастся.

Тогда я не понял – почему вы заговорили о протоколе.
Неизвестно в какой степени end-to-end шифрования повлияет на текcтовый протокол ICQ.
На андроиде они поступили проще. Просто подали жалобу на сторонние клиенты в Google и тех повыкидывали из Google Play. (https://habrahabr.ru/post/179813/)
И такие поползновения до сих пор продолжаются.
мне будет проще не пользоваться протоколом ICQ и остаться на джаббере.

А что, жаббер уже перестал уметь с ICQ работать?
Вроде недавно заходил в свой jabber-аккаунт и обнаружил, что там все еще работает транспорт, подключенный аж 9 лет назад)
Комментарий как будто из 2008 года.
Лучше бы внедрили возможность сменить пароль у шестизнака.
а они еще кому то нужны?
Остались на продажу? )
Знакомый 15+ лет пользовался аськой, а недавно с другого устройства решил зайти. А пароль не помнит. Сначала пытался через сайт и поддержку восстановить или к телефону привязать, в итоге плюнул. Сегодня ему пароль из клиента аськи достал, но опять же даже зная пароль на сайте на новый поменять нельзя.
в предидущих темах уже не раз писали, что через ТП сменить можно.
Меня ТП вторую неделю динамит.
Да, но надо вспомнить и указать почту, на которую шла регистрация. Довольно затруднительно, тк было все более 10 лет назад. Ящик может и можно вспомнить но вот пароль. Если этот квест пройден, попросят еще указать пару номером, которые могут подтвердить что ты это ты. Итд. Короче я плюнул на все это и перешел на jabber.
еще бы номера удалять перестали. А то уже бизнес процветает — удаление номера на заказ…
Сотрудники, включая начальтво, вкурсе… но всем пофиг
Why, Mr. Anderson? Why, why? Why do you do it? Why, why get up? Why keep fighting? Do you believe you're fighting… for something? For more than your survival? Can you tell me what it is? Do you even know?
зачем icq когда есть telegram?
Потому-что аська-это простаивающий актив за много много денег, и сейчас во времена не простые — большие боссы требуют возврата вложенных средств. Видимо они поменяли команду на более адекватную, но как замеченной — уже поздно, поезд ушел. И текущая команда что-то да пытается там сделать…
Зачем telegram с закрытым сервером, когда есть полностью открытый jabber/tox ?
Там телефон нужен и нифига не удобно.
Зачем телеграмм, если есть аська с нужными контактами?
1) Ждем когда они сделают End2End
2) Сталкиваем лбами mail.ru и государство (ФСБ/Роскомнадзор)
3) Смотрим как end2end превращается в пустой пиар
3) Cмотрим на избирательное правосудие в действии ))
Выше уже несколько раз сказали про закладки. И волки сыты, и овцы целы.
Э… портируют MirOTR в нативный клиент? Или будут шифровать ключами, которые даст им сервер маилру?
Я вот чего не понимаю — по примеру телеграма это как? У телеграма нет end-to-end шифрования. Точнее есть, но только в специальном приватном режиме, использовать который постоянно мало кто будет (на это видимо и расчет).
Я вам кое что поясню, end-to-end шифрование в режиме — всегда, возможно только при условии что у клиента будет только 1 устройство.
Это серьезное ограничение для клиента, многие хотят поддержку своих профилей на более чем 1 устройстве.
Особенность end-to-end шифрования, без вникания в нюансы крипто-алгоритмов в том, что ключ физически находится только на одном оконечном устройстве клиента и не должен передаваться по сети.
Чтобы найти компромисс между поддержкой мультиустройств и в то же время дать возможность end-to-end шифрования секретные или шифрованные чаты делают как — дополнительная опция, кто хочет, или кому надо, без проблем создают канал и общаются(без возможности синхронизации нескольких устройств), а кому не нужно, получают синхронизацию всех данных и достаточную надежность, так как общий канал тоже все шифруют.
Это усложняет протокол, но решаемо — достаточно шифровать исходный текст разными публичными ключами, по числу устройств пользователя. насколько мне известно эпловский iMessage работает именно так.
Синхронизация — есть, история — есть, мультиустройства — есть, end-to-end — есть, оффлайн сообщения — есть.
P.S. случайная ссылка из гугла:
http://techcrunch.com/2014/02/27/apple-explains-exactly-how-secure-imessage-really-is/
  • Your public keys are sent to Apple’s servers. Your private keys are stored on your device. Apple never sees your private keys.
  • When someone starts an iMessage conversation with you, they fetch your public key(s) from Apple’s servers. Before that message leaves the sender’s device, it’s encrypted into something that only your device knows how to decrypt.
  • … You’ve actually got one set of keys for each device you add to iCloud, and each iMessage is encrypted independently for each device. So if you have two devices — say, an iPad and an iPhone — each message sent to you is actually encrypted (AES-128) and stored on Apple’s servers twice. Once for each device. When you pull down a message, it’s specifically encrypted for the device you’re on.
Не буду вступать в длинную переписку, скажу что вы совершенно перепутали симметричные и асимметричных методы шифрования.
Если вам интересно — почитайте о них отдельно
В данном случае везде речь идет о симметричных алгоритмах, упоминать в их контексте понятие — публичный ключ это нонсенс.
Не буду вступать в длинную переписку, скажу что вы совершенно перепутали симметричные и асимметричных методы шифрования.

см комментарий выше, там расписано (если цитат недостаточно указана ссылка на полную статью). Обычная гибридная схема, такая в ssl/https используется, ничего нового. при помощи публичного ключа шифруется сгенерированный секретный ключ, а уже им шифруется (aes, симметрично) основной текст. расшифровывается тоже обычно — при помощи приватного ключа достаем секретный ключ, им расшифровываем основной текст. кстати — в такой схеме нет необходимости хранить несколько копий основного тела сообщения
У эппл непонятная ситуация вот в чём — когда мы хотим отправить аймессадж, мы спрашиваем открытые ключи конкретного пользователя у сервера эппл, сервер отдает нам их список, мы кодируем сообщение для каждого устройства — всё хорошо, сообщение уходит зашифрованным для каждого устройства своим ключом. Но вот что мешает злоумышленнику "подсказать" отправителю дополнительно свой ключ? Если он это сделает, то отправитель зашифрует отдельную копию сообщения только для злоумышленника. Тогда смысл этого E2EE шифрования вообще теряется.
Да, проблема такая есть. И ее решение нетривиально. Собственно, та же проблема и с приватными e2e сообщениями почти везде, включая телеграм — нет хорошего способа узнать что публичный ключ действительно принадлежит собеседнику а не какому-то третьему лицу.
Решения есть но не сильно удобные.
Пример решения: программа-клиент генерирует сигнатуру на основе публичного ключа(ключей). это может быть картинка, текст и т д.
потом эти сигнатуры сверяются через любой сторонний канал (голосом по телефону например). Телеграм делает именно так, но они выбрали очень плохую визуализацию, пример: https://telegram.org/img/key_image.jpg
лучше бы там была случайно-бредовая текстовая фраза — ее хоть голосом можно передать
Похоже, Mail.ru хочет запрыгнуть в поезд: вся эта истерия с блокировкой IM в России+реквесты от полиции на создание собственного-православного IM.
Думаю, ICQ попытаются в ближайшее время представить нашему государству как единственную альтернативу и заблокируют все остальное(как вариант — сделают принудительный гейт в Telegram,What'sup,etc)
А я вот по-прежнему активно пользуюсь аськой, ищу в ней новых собеседников. Там сидит ещё довольно много людей, хотя, конечно, процентов 80 моего контакт-листа уже давно не заходит.
Развитие аськи — это хорошо, но я больше всего боюсь, что они поломают совместимость со старыми клиентами. Меня в первую очередь волнует Jimm его клоны (я очень привык к J2ME платформе), QIP. Ну и Miranda тоже должна работать. Если поломают совместимость — придётся от активного использования аськи уходить.
QIP, кстати, уже несколько дней не может подключиться к своим серверам. Т.е. учётные записи/почта **@qip.ru не работают. Пришлось заново знакомиться с Мирандой.
infium.exe /isolated
По примеру телеграма: это сделать самодельный крипто-протокол, на который плюёт каждый криптограф в мире?
на который плюёт каждый криптограф в мире
Интересно, а за последние несколько лет что-то изменилось, и пароли в базе больше не в плейнтексте?
Если поломают совместимость со сторонними клиентами (намеренно или случайно), то лично мне проще будет вообще не пользоваться ICQ, чем отказаться от Миранды.
Совместимость с альтернативными клиентами уже пострадала из-за изменений в механизме идентификации пользователя онлайн/оффлайн/на мобилке. В Adium, например, теперь оффлайн-мессаги не получить, если хотя бы раз залогиниться в официальный мобильный клиент аськи. Разумеется, в Adium уже никому дела нет до фиксов аськи.
Напишу про Jimm: он, естественно, не поддерживает стикеры и звонки, а оставшиеся в джимме старые функции аськи (xTra-статусы, P-статусы, фантомные контакты и прочее) теперь криво поддерживаются или не поддерживаются вообще на оф.клиенте.
Интересно, как теперь будет работать облачная история?
Сейчас чего-то ради интереса залез на сайт аськи.
Ностальгия как-никак с 2000 года.
Нашел там клиент для линуха, скачал.
Оказался обычный исполняемый файл, запустил, мухой подключился.
Знаете, клиент мне очень понравился внешне, минимализм, аккуратно всё.
Только с треем перемудрили, нафига делать через контекстное меню окрытие/скрытие вместо обычного клика?
Ещё только в онлайне показывает троих человек, а qutim видит пятерых.
И оба клиента параллельно работают 0_О
Кстати да, сам недавно обнаружил, что теперь могут сразу несколько клиентов одновременно, причем совершенно разных — qip, официальный, im+ на Андроиде… Раньше такого не было!
Уже больше года назад это сделали и пользователей, как обычно, не спросили. Раньше стоило зайти с другого клиента — и тебя с этого выкидывало, это была какая-никакая защита от угона уина, часто если тебя выкинуло с ошибкой "множественный вход" — удавалось метнуться и поменять пароль раньше хацкера. А могли бы сделать множественный вход настройкой.
Внедряет… как всегда они отстают даже от альтернативных клиентов. E2E шифрование давно уже практикуется в альтернативных клиентах, но из-за отсутствия стандарта совместимость довольно низкая.
Т.е. что они делают уникального — так это возможно установят общий стандарт на алгоритм шифрования для совместимости с альтернативными клиентами. Иначе… чем это будет лучше нынешней ситуации?
А что такое ICQ?)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории