Jabber и ICQ с позиции Концепции Общественной Безопасности.

[nahy]

Вот отличная статья о том почему лучше пользоваться открытым протоколом xmpp/jabber а не закрытым icq.

Мотиватор:

В кратце по теме:
Jabber - это не программа, а целая технология, целая концепция:

Технология Jabber известна как открытая, безопасная, свободная от рекламы альтернатива IM таких как AIM, ICQ, MSN, и Yahoo. В своей основе Jabber является протоколом потоковой передачи данных XML и технологий, которые позволяют передать между двумя объектами в Интернете сообщения, презентацию или другую структурированную информацию близко к реальному времени. Технология Jabber'a обладает рядом ключевых преимуществ:

1. Открытость - протокол Jabber свободен, открыт, общедоступен и понятен. Существует множество открытых реализаций серверов, клиентов и библиотек, поддерживающих Jabber.
2. Стандартность - "The Internet Engineering Task Force" (IETF) формализовал основу протокола потоковой маршрутизации XML и одобрил её для IM и презентационных технологий, представив Jabber как XMPP. XMPP спецификации развиваются очень быстро в рамках проекта IETF.
3. Доказанность - разработка технологии Jabber была начата Jeremie Miller в 1998 и достаточно стабильна на сегодняшний день; сотни разработчиков работают над технологией Jabber, десятки тысяч Jabber-серверов работают в Интернет, и миллионы людей используют Jabber в качестве системы обмена сообщений.
4. Распределенность - архитектура сети Jabber подобна электронной почте, каждый может запустить собственный Jabber сервер, позволяя людям и организациям полноценно использовать IM-систему для собственных нужд.
5. Безопасность - сервер Jabber может быть отключен от Интернет и работать автономно, реализации серверов поддерживают SSL-соединение, клиентские программы используют PGP шифрование.
6. Расширяемость - используя XML, любой может расширить протокол Jabber новыми функциональными возможностями.
7. Гибкость - Jabber-приложения позволяют включить IM в управление сетью, передачи файлов, игр и удаленного мониторинга различных систем.
8. Разнообразность - множество компаний и open-source проектов используют Jabber-протокол для создания и развертывания real-time приложений и сервисов. Вы никогда не разочаруетесь, используя Jabber технологии.

если вы не специалист в области комп. технологий, то просто довертесь спецам, радеющим за КОБ. А лучше конечно самому про все узнать, благо в инете информации достаточно.

так что если уж продвигать КОБ, то с помощью соответствующих ей инструментов...

Для осваивающих КОБ мы открыли специальную конференцию ради общения и быстрого обмена идеями.

Адрес конференции - kob@conference.jabber.ru

А ещё вчера мы скинулись и арендовали бота Теперь конференция записывается.

[Серхио]

так и знал... =) ещё до прочетния статьи у меня были точно такие же мысли, когда задумывался об аське... но переводить всех на джабер... не знаю зачем, мне как то кисло на это соц опросы и тп. У меня блатной инвиз номер, с антиспамом, на всякие уловки типа отпраь н сообщений я никогда не ведусь, а того кто мне это присылает вежливо прошу в следующий раз такое не присылать.

[Снежный Барсик]

так я не понял чем лучше с точки зрения пользователя не разбирающегося в сетевых технологиях. концептуально чем лучше ?
исключает "прослушивание" ?
гарантированно не теряются сообщения ?

[Silvestr]

C Джаббером не связывлся, но если система действительно открытая

Цитата:

Существует множество открытых реализаций серверов, клиентов и библиотек, поддерживающих Jabber.

то, можно действительно исключить прослушку (по крайней мере сильно её усложнить) ... но там ещё понадобится серьёзное шифрование данных (кстати, в америке АНБ запретило использовать продвинутые протоколы шифрования данных на законодат. уровне ... как с этим в России?)

это конечно экстренные меры, которые потянут определённые затраты (аппаратный сервер в интрнете) + покупка IP адреса в инете + провайдер + поддержка + ... обычно имеет такую инфраструктуру создают солидные коммерческие организации

[Usr]

Цитата:

Сообщение от Silvestr

это конечно экстренные меры, которые потянут определённые затраты (аппаратный сервер в интрнете) + покупка IP адреса в инете + провайдер + поддержка + ... обычно имеет такую инфраструктуру создают солидные коммерческие организации

Сервер может быть и виртуальным за пару десятков долларов в месяц. Это практически все финансовые затраты. Так что не все так страшно. Для начала ресурсов будет вполне достаточно. Но ставить свой сервер особого смысла нет - если преследуется цель избежания перехвата сообщений, то достаточно использовать ПО с шифрованием у отправителя и расшифровкой у получателя, и можно использовать любой общедоступный сервер (http://www.jabberes.org/servers/). Об отказе в использовании системы Windows речи даже не идет - это само собой разумеющееся, иначе от кейлогера никакое шифрование не спасет. Из ПО (клиентов) использовать только открытое. Об использовании QIP даже не задумывайтесь. Как пример, клиент Pidgin с криптующим плагином pidgin-encryption.

[Небесный]

Зачем сейчас покупать выделенный сервер? Читайте статью внимательно, а не между строк. Там собраны все ссылки для того, чтобы можно было во всём разобраться "с нуля".

[Usr]

Цитата:

Сообщение от Небесный

Зачем сейчас покупать выделенный сервер? Читайте статью внимательно, а не между строк. Там собраны все ссылки для того, чтобы можно было во всём разобраться "с нуля".

Что-то сомнения меня берут, что с нуля можно разобраться по этой статье, в которой к тому же есть противоречия (совет пользоваться открытым ПО, какое оно все хорошее и тут же ссылка на софт под windows, которым автор сам и пользуется, похоже).
Я уж не говорю о замудренности описанного шифрования для того, кому это в новинку.
Если не использовать шифрование от отправителя к получателю (учитывая, что люди могут пользоваться разным клиентским софтом, шифрование может быть затруднительным), то Silvestr вполне резонно завел разговор про свой сервер - наивно полагать, что на общедоступных серверах не ведется логирование переписки, тем более если российским сервером пользоваться.
На всех серверах есть поддержка SSL шифрования, но это поможет только от перехвата сообщения до сервера, а не на самом сервере и далее.

[VAngeR]

А у меня свой Jabber сервер vanger.ru =)

[Silvestr]

Цитата:

Зачем сейчас покупать выделенный сервер?

Скажите мне кому пренадлежит предлогаемый вами Jabber сервер и я скажу вам кто будет владеть инфомацией. Там приводится список доступных серверов. Так вот владельцы этих серверов и будут иметь доступ к переписке всех пользователей. Вы готовы поручиться, что владельцы этих серверов не продадут инфу или не отдадут её даром когда их пощимят?

Сейчас все КПЕшники пользуются самыми разными системами (например, ICQ, Skype, MSN, Yahoo, ... электронная почта) и отслеживать это труднее чем когда все будут переведены на единый сервер и единый протокол.

И вообще надо всем иметь ввиду, что идеально защищенного канала быть не может. Есть только понятие "овчинка не стоит выделки", т.е. ломать будет дороже, чем стоимость самой информации. Идеальный вариант, это сервер в штабе КПЕ ... но это дорогое удовольствие. И даже в этом случае данные могут быть легко перехвачены снифферами или более продвинутым прогр. обеспечением (например, сетевой анализатор - Network Instruments Observer). Тогда надо подключать шифрование данных, например SSL ... но это всё равно не даёт абсолютной гарантии. Максимальная гарантия может быть тогда, когда ключ передан физическим путём (из рук в руки) для одного защищённого канала...

В целом я считаю, что open source системы вещь замечательная, если их правильно использовать ... так что против Jabber ничего не имею ... я всего лишь за их правильное применение

[alexander_aa]

А вот касательно спама, типа ребенку нужна кровь или там что произойдет несчастье, если не отправишь еще кому нибудь.
Вот об этом хотелось спросить? в статье , что это типа определить как идет сеть сообщений. А зачем это нужно? Извините, если немного не так вопрос задал, я тут совсем еще новичек..

[Usr]

Цитата:

Сообщение от Silvestr

Тогда надо подключать шифрование данных, например SSL ... но это всё равно не даёт абсолютной гарантии. Максимальная гарантия может быть тогда, когда ключ передан физическим путём (из рук в руки) для одного защищённого канала...

Это уж совсем откровенная паранойя либо незнание, как происходит шифрование. SSL (шифруется только канал передачи, парой асимметричных ключей) ни от чего не спасет, и никто его ломать не будет, если нужна будет информация, перехватят в другом месте - нагрянут маски-шоу в офис и возьмут сервер. Ключ шифрования при SSL постоянно меняется - ключи сессионные, т.е. на каждое подключение свой ключ или даже смена ключей в течение одной сессии. Сессионные ключи генерируются асимметричной парой ключей.
При шифровании самого сообщения - шифрование также асимметричное (шифруется открытым ключем, а расшифровывается закрытым, который никуда не передается и находится только у владельца). Открытый ключ можно вручить хоть самому злоумышленнику - ему он будет полезен так же, как мертвому припарка.
Ни в том, ни в другом случае физическая передача ключа не нужна.

[jameslawrence]

Цитата:

Сообщение от nahy

В кратце по теме:
Jabber - это не программа, а целая технология, целая концепция:

Технология Jabber известна как открытая, безопасная, свободная от рекламы альтернатива IM таких как AIM, ICQ, MSN, и Yahoo. В своей основе Jabber является протоколом потоковой передачи данных XML и технологий, которые позволяют передать между двумя объектами в Интернете сообщения, презентацию или другую структурированную информацию близко к реальному времени. Технология Jabber'a обладает рядом ключевых преимуществ:

1. Открытость - протокол Jabber свободен, открыт, общедоступен и понятен. Существует множество открытых реализаций серверов, клиентов и библиотек, поддерживающих Jabber.
2. Стандартность - "The Internet Engineering Task Force" (IETF) формализовал основу протокола потоковой маршрутизации XML и одобрил её для IM и презентационных технологий, представив Jabber как XMPP. XMPP спецификации развиваются очень быстро в рамках проекта IETF.
3. Доказанность - разработка технологии Jabber была начата Jeremie Miller в 1998 и достаточно стабильна на сегодняшний день; сотни разработчиков работают над технологией Jabber, десятки тысяч Jabber-серверов работают в Интернет, и миллионы людей используют Jabber в качестве системы обмена сообщений.
4. Распределенность - архитектура сети Jabber подобна электронной почте, каждый может запустить собственный Jabber сервер, позволяя людям и организациям полноценно использовать IM-систему для собственных нужд.
5. Безопасность - сервер Jabber может быть отключен от Интернет и работать автономно, реализации серверов поддерживают SSL-соединение, клиентские программы используют PGP шифрование.
6. Расширяемость - используя XML, любой может расширить протокол Jabber новыми функциональными возможностями.
7. Гибкость - Jabber-приложения позволяют включить IM в управление сетью, передачи файлов, игр и удаленного мониторинга различных систем.
8. Разнообразность - множество компаний и open-source проектов используют Jabber-протокол для создания и развертывания real-time приложений и сервисов. Вы никогда не разочаруетесь, используя Jabber технологии.

Это всё справедливо так же относительно IRC. Однако что касается пункта 5. SSL и PGP это не есть одно и тоже. Тем более использование PGP в IM это полный бред, но если комп быстрый, то вперёд с песнями. Только если PGP понравится, то используйте по крайней мере ElGamal (Аллах Акбар).

[Usr]

Цитата:

Сообщение от jameslawrence

Это всё справедливо так же относительно IRC. Однако что касается пункта 5. SSL и PGP это не есть одно и тоже. Тем более использование PGP в IM это полный бред, но если комп быстрый, то вперёд с песнями. Только если PGP понравится, то используйте по крайней мере ElGamal (Аллах Акбар).

Людей пугать не надо своими неадекватными заявлениями. Работа с PGP в плане производительности не будет заметна даже на нетбуках, а на настольных ПК и подавно, какой бы алгоритм для шифрования не был выбран. С большим расходом трафика, которым тут пугают (оверхед), тоже все не так страшно. В десятки раз больше трафика можно сэкономить, если научиться резать рекламные баннеры или отключать картинки при просмотре в браузере, если уж в Томске такой ужасно дорогой интернет. Хотя, надо отметить, что часто использую джаббер (и даже не один аккаунт одновременно) с мобильным интернетом (который стоит практически одинаково во всех регионах России) и никаких особых трат не ощущаю. Да даже для студента, если у него единственный доход - стипендия, такие заявления по поводу трафика абсурдны.

[jameslawrence]

Цитата:

Сообщение от Usr

Людей пугать не надо своими неадекватными заявлениями. Работа с PGP в плане производительности не будет заметна даже на нетбуках, а на настольных ПК и подавно, какой бы алгоритм для шифрования не был выбран. С большим расходом трафика, которым тут пугают (оверхед), тоже все не так страшно. В десятки раз больше трафика можно сэкономить, если научиться резать рекламные баннеры или отключать картинки при просмотре в браузере, если уж в Томске такой ужасно дорогой интернет. Хотя, надо отметить, что часто использую джаббер (и даже не один аккаунт одновременно) с мобильным интернетом (который стоит практически одинаково во всех регионах России) и никаких особых трат не ощущаю. Да даже для студента, если у него единственный доход - стипендия, такие заявления по поводу трафика абсурдны.

Если для Вас не так всё страшно, значит всё в порядке. Для информации скажу, что жители Томска во внешней сети только в IRC сидят, а про серфинг это только для тех, у кого там анлим. А этот форум они и в помине не видели. Если у вас особых трат нет, то это не значит, что эти траты для всех одинаково ощутимы. А Вы я смотрю типа эксперт ай ти. Скажите мне пожалуйста Ваше мнение насчёт SSL сертификата на jabber.ru.

[Usr]

Цитата:

Сообщение от jameslawrence

Если для Вас не так всё страшно, значит всё в порядке. Для информации скажу, что жители Томска во внешней сети только в IRC сидят, а про серфинг это только для тех, у кого там анлим. А этот форум они и в помине не видели. Если у вас особых трат нет, то это не значит, что эти траты для всех одинаково ощутимы. А Вы я смотрю типа эксперт ай ти. Скажите мне пожалуйста Ваше мнение насчёт SSL сертификата на jabber.ru.

Не буду спорить насчет тяжкой доли томских интернетчиков, потому что там не живу, но верится с трудом, что все плохо (т.е. сильно дорого) с инетом в столице области. Я не ит специалист, но активно интересующийся, особенно в плане защиты информации. jabber.ru никогда не пользовался и не буду, но вот специально зарегистрировался, чтобы посмотреть, чего же там такого странного может быть - разочарован, ничего необычного, SSL, конечно же, есть, сертификат непросроченный (до марта'09 годен), т.е. SSL вполне себе работает.

[jameslawrence]

Цитата:

Сообщение от Usr

Я не ит специалист, но активно интересующийся, особенно в плане защиты информации. jabber.ru никогда не пользовался и не буду, но вот специально зарегистрировался, чтобы посмотреть, чего же там такого странного может быть - разочарован, ничего необычного, SSL, конечно же, есть, сертификат непросроченный (до марта'09 годен), т.е. SSL вполне себе работает.

Если Вы не ит специалист тогда, выдам вам секрет проблемы. Этот сертификат САМОСИГНИРОВАННЫЙ (Self-Signed), что просто идиотизм и что делает подключение уязвимым для Man-In-The-Middle-Attack, так как нет возможности проверить сертификат на подлинность.