forum.opennet.ru - "Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru" (426)

"Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru"	+/–
Сообщение от opennews (??), 20-Окт-23, 17:34
Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59965
Ответить \| Правка \| Cообщить модератору

Оглавление

Ну вообще, оказывает Хецнер сотрудничает с КГБ и ФСБ Я если честно не ожидал от, Аноним (1), 17:34 , 20-Окт-23, (1) –19

В новости написано некорректно - предположительно в это вовлечены хостеры Хосте, Аноним (4), 17:38 , 20-Окт-23, (4) +8

Когда такие же слова пишут про российские ИСП и СОРМ - начинается жуткий батхёрт, Аноним (1), 17:47 , 20-Окт-23, (13) +48

Важно другое насколько легко хостер пойдёт на сотрудничество Понятно, что пойд, Аноним (4), 18:00 , 20-Окт-23, (49) –22

Скрыто модератором, Аноним (1), 18:04 , 20-Окт-23, (57) +2

Скрыто модератором, Аноним (4), 18:14 , 20-Окт-23, (66) +5

Скрыто модератором, anonn (?), 20:44 , 20-Окт-23, (163) +10

Скрыто модератором, Mao (?), 23:00 , 20-Окт-23, (226) –3

Скрыто модератором, Kusb (?), 19:24 , 20-Окт-23, (123) +2
Скрыто модератором, Shevchuk (ok), 20:52 , 20-Окт-23, (167) +3

Скрыто модератором, Аноним (239), 23:41 , 20-Окт-23, (239)

ну так канарейки ж придумали не в РФникто про буржуев лучше чем они естьи не соб, Аноним (58), 18:05 , 20-Окт-23, (58) +2

Действительно, в РФ они и не работали бы, ведь суть канареек, что они используют, Kusb (?), 19:23 , 20-Окт-23, (120) +1

Важно другое это был не сбор конкретных улик по решению суда, а тайный перехват, Аноним (63), 18:10 , 20-Окт-23, (63) +15

Хостеры не ответили, но вам-то уж, конечно, виднее , Аноним (4), 18:15 , 20-Окт-23, (68) –2

Ты новость-то хоть читал Протри глаза , Аноним (63), 18:21 , 20-Окт-23, (76) +1
- я работал легальным хостером все лицензии и прочее знаю, что если рыло не в , Хейтер (?), 18:23 , 20-Окт-23, (79) +9

А даже если и нет - то вон там господа типа Equation намекают что некооперативно, Аноним (-), 00:12 , 21-Окт-23, (251)

Вася, пока ничего конкретно не известно Так что не надо про русских Пока об, Bob (??), 23:54 , 20-Окт-23, (244)

Гнать на чуваков, принимающих всех желающих как беженцев у себя Германия - ну, Пыщь (?), 13:27 , 27-Окт-23, (524)

В Германии есть обязывающий закон https www bfdi bund de EN Buerger Inhalte Na, 1 (??), 18:17 , 20-Окт-23, (71) +4
Или лучше, когда сотрудник ФБР и АНБ работает аж из офиса Фейсбука и Твиттера, и, anon123 (?), 19:42 , 20-Окт-23, (133)
Fixed , Аноним (152), 20:19 , 20-Окт-23, (152) +2
Классическое Вы не понимаете, это другое , Аноним (239), 23:38 , 20-Окт-23, (237) +2
Скрыто модератором, Аноним (276), 03:46 , 21-Окт-23, (276) –1

Скрыто модератором, ivan_erohin (?), 13:05 , 21-Окт-23, (314) +2

Скрыто модератором, Аноним (330), 17:41 , 21-Окт-23, (330)
Скрыто модератором, Аноним (338), 18:31 , 21-Окт-23, (338)

Скрыто модератором, Вася (??), 10:34 , 23-Окт-23, (483)

Напомните, в какой стране был принят FISA и введено наказание за отказ сотруднич, EULA (?), 05:28 , 23-Окт-23, (477)

осталась самая малость - добавить к параметрам батхертообразования фактор наличи, Вася (??), 03:27 , 21-Окт-23, (274) +2

Опят ь этодругином пытаются кормить Как там с граде на холме с сыном президента, Аноним (325), 16:43 , 21-Окт-23, (325)

И чо там выдали и какой у вас там, в будущем, курс битка Или ты о том, что , Аноним (381), 22:30 , 21-Окт-23, (381)

Интересно, есть ли в мире более бесполезный чувак, чем бывший президент парламен, Анонимщик (?), 09:06 , 23-Окт-23, (480) +1

У немецких хостеров внезапно могут оказаться совсем не немецкие айтишники Я даж, Аноним (151), 20:19 , 20-Окт-23, (151) –5

В Германии очень хорошее техническое образование, я (?), 21:31 , 20-Окт-23, (190) –1

Что ж на строящуюся фабрику Интел под Магдебургом людей набрать не могут , dr5r (?), 06:25 , 21-Окт-23, (282)

Увы для Германии, многие немцы после гимназии и уни едут работать в штаты, и мир, fi (ok), 12:54 , 22-Окт-23, (423)

В россии тоже сорос организовалотличное образование таки и сварщиков, с сантехни, Аноним (58), 17:59 , 21-Окт-23, (334)

Даже в РФ есть нормальные сварщики и сантехники Весьма на уровне Только они те, Аноним (430), 13:20 , 22-Окт-23, (430)

с фсб сотрудничают админы jabber ru и xmpp ruзагадка века разгадана, Аноним (33), 17:55 , 20-Окт-23, (33) –4

Ну немудрено, если загадка в задачнике 171 оппозиционера 187 Там ответы на , Тот_Самый_Анонимус_ (?), 08:18 , 01-Дек-23, (534)

хетзнер давно уже очень странная помойка В частности, в нем прекрасно себя чувс, нах. (?), 18:43 , 20-Окт-23, (104) +2

Реальная политика любого хостера - заблокируют, если вы сохдаете больше проблем , Аноним (-), 01:06 , 21-Окт-23, (252)

А почему нет После слива данных ФБК стало окончательно понятно, что государства, Аноним (137), 19:52 , 20-Окт-23, (137) –1
Сотрудники Штази живы Идеализм - редкость , Аноним (484), 12:16 , 23-Окт-23, (484)

Скрыто модератором, Аноним (2), 17:35 , 20-Окт-23, (2) –2

Скрыто модератором, Аноним (18), 17:49 , 20-Окт-23, (18) –1

Скрыто модератором, Аноним (33), 17:59 , 20-Окт-23, (44) –2

И эти люди кричали, что омемо говно, что шифрование не нужно, и что омемы и шифр, Аноним (3), 17:36 , 20-Окт-23, (3) +7

у тебя с дикцией что-то, Аноним (33), 17:51 , 20-Окт-23, (25) –1

Скрыто модератором, Аноним (-), 17:53 , 20-Окт-23, (31)
Все ещё лучше, чем у владельцев сабжа, которым насовали в панамку по самые помид, Аноним (3), 18:00 , 20-Окт-23, (48) +1

Тут раньше и про закрытие хвостом фаерволом так говорили, Аноним (229), 23:07 , 20-Окт-23, (229)

Если ты закроешь жабер файрволом то и чатиться по нему не сможешь И зачем тебе , Аноним (-), 00:11 , 21-Окт-23, (250)

Как тебе твое omemo поможет, если у тебя аккаунт тупо угонят при таком раскладе , Аноним (243), 23:52 , 20-Окт-23, (243)

Суть как раз в том вся атака делалась для перехвата переписки, прикрытой только , Аноним (3), 10:07 , 21-Окт-23, (294)

XEP-0384 Шифрование OMEMO 8212 это клиентский протокол, достаточно использов, Аноним (-), 18:41 , 21-Окт-23, (339)

Без поддержки PEP со стороны сервера ничего работать не будет А на жру его как , Аноним (3), 00:21 , 22-Окт-23, (408)

Ого, в самом деле Я бы не пользовался таким сервером 8230 , Аноним (-), 18:30 , 22-Окт-23, (448)

КМК угон админского ника идет чуть дальше чем перехват переписки и никакое оме, Аноним (430), 13:04 , 22-Окт-23, (426)

Посоветуй клиент Tox с поддержкой нескольких аккаунтов, пожалуйста , Аноним (-), 18:47 , 22-Окт-23, (449)

Я не он, но из мультиаккаунтных вроде только https github com isotoxin isotoxi, Аноним (485), 12:49 , 23-Окт-23, (485)
Я просто запускаю несколько инстансов Это вообще так то довольно удачная идея, , Аноним (-), 17:16 , 23-Окт-23, (496)

Часто нужно несколько аккаунтов Один официальный для семьи и знакомых, второй р, Аноним (-), 17:44 , 25-Окт-23, (512)

У меня нет OMEMO и мне оно не нужно, у меня свой жаббер сервер с SelfSigned серт, Ivan_83 (ok), 08:00 , 21-Окт-23, (284) –2

Поэтому на практике - гугол и вынес мне 50 контакт листа И какая мне в результ, Аноним (444), 16:59 , 22-Окт-23, (444)

Скрыто модератором, Аноним (5), 17:39 , 20-Окт-23, (5) –4

Скрыто модератором, Аноним (8), 17:42 , 20-Окт-23, (8) +1
Скрыто модератором, Аноним (18), 17:49 , 20-Окт-23, (20) +2

Скрыто модератором, Аноним (33), 17:51 , 20-Окт-23, (22)
Скрыто модератором, Аноним (58), 17:54 , 20-Окт-23, (32)

Скрыто модератором, Аноним (58), 17:53 , 20-Окт-23, (29) –1
Скрыто модератором, Аноним (87), 18:26 , 20-Окт-23, (87)

Хранение истории на jabber ru было отключено ещё в феврале 2022 Не уверен как н, Аноним (4), 17:40 , 20-Окт-23, (6)

это не важно, дамп всего траффика все еще храниться на гос серверах Интересно, м, rshadow (ok), 17:55 , 20-Окт-23, (35) +2

Ну, это классика Интересно, людям когда-нибудь наконец-то дойдет, что если чт, Аноним (7), 17:40 , 20-Окт-23, (7) +10

Пользуйтесь Signal https opennet ru 54927-signal, Аноним (23), 17:51 , 20-Окт-23, (23) +1

А еще лучше Conversation, Аноним (58), 17:52 , 20-Окт-23, (26)

Главное пользуясь консервой не пользоваться жаббер cpy -- иначе толку от этого н, Аноним (3), 17:56 , 20-Окт-23, (37)

Просто сгенерируй свои ключиИ спи спокойно, Аноним (58), 18:00 , 20-Окт-23, (47)

У меня свой сервер, я и так спокоен , Аноним (3), 18:02 , 20-Окт-23, (53)

вообще не гарантиятак еще, если за ж возьмут и доказывать особо нечего, Аноним (58), 18:07 , 20-Окт-23, (59)

Или его форком Cheogram Android, у которого добавлена поддержка транспортов в те, Аноним (-), 18:53 , 21-Окт-23, (341)

ага, пользуйтесь централизованным вендорлокнутым уг на джаве в браузере, Аноним (33), 17:53 , 20-Окт-23, (27) +4

Чо у нас там в наличиичмста децентрализованного , Аноним (58), 17:55 , 20-Окт-23, (36)

matrix, только под него пока ни одного клиента не написали, а сервер вообще на с, Аноним (33), 17:56 , 20-Окт-23, (39)

ну и как его массовым сделать , Аноним (58), 17:58 , 20-Окт-23, (43)

В англоязычных конфах там несколько десятков тысяч иногда набирается , Аноним (112), 19:05 , 20-Окт-23, (112)

А он разве чиста децентрализованный , Аноним (87), 18:51 , 20-Окт-23, (106)
matrix нет, спасибоhttps github com libremonde-org paper-research-privacy-mat, lizard (??), 22:26 , 20-Окт-23, (216)

зачем ты бегаешь с левыми ссылками по всему треду Там половина аргументов я об, Аноним (325), 16:46 , 21-Окт-23, (326)

У которого недавно с его чудной криптолибой - вынесли вообще end to end шифрован, Аноним (243), 23:49 , 20-Окт-23, (242)

Токс, он даже ещё немного жив , Аноним (3), 17:56 , 20-Окт-23, (40) +1

Хороший аргументПрям рекламный слоган, Аноним (58), 17:59 , 20-Окт-23, (45) +2

Ну на самом деле для форчан-проекта, написанного воннаби-шифропанками -- это неп, Аноним (3), 18:02 , 20-Окт-23, (52) +1

Мобильные ещё живы На F-Droid смотри И ещё там куча всего есть Кстати, за ним, Аноним (135), 19:46 , 20-Окт-23, (135) +2

А что такого Он реально децентрализованный насколько это возможно , реально ши, Аноним (485), 13:03 , 23-Окт-23, (487)

Сообщения идут напрямую на айпи того кому ты пишешь, так что зная время переписк, Аноним (62), 18:09 , 20-Окт-23, (62)

Тором пользоваться религия не позволяет , Аноним (3), 18:11 , 20-Окт-23, (64) –1

Желательно моей входной нодой И выходной то же , Аноньимъ (ok), 18:22 , 20-Окт-23, (78) –1

Спасибо, я какую-нибудь другую выберу , Аноним (3), 18:25 , 20-Окт-23, (84)
так ты еще и о torничо не знаешь, Аноним (91), 18:30 , 20-Окт-23, (91)

Думаю что о торе осведомлён довольно неплохо Раньше это была цепочка прокси, и в, Аноньимъ (ok), 18:54 , 20-Окт-23, (107)

Кроме того, кому теперь принадлежит 50 их Про это ещё лет 5-6 назад новость б, Аноним (135), 19:40 , 20-Окт-23, (132)

болтовня полная, Аноним (58), 01:11 , 21-Окт-23, (257) –1

ничего ты не знаешь википедию что ли почитай для начала, Аноним (91), 12:47 , 21-Окт-23, (308) –1
При том onion - когда энный узел не знает кто originator и или какое назначение , Аноним (430), 13:49 , 22-Окт-23, (434)

Спасибо, товарищ майор за заботу о нашей безопастности , Аноним (87), 18:42 , 20-Окт-23, (101) +1

т е сабж ты не знаешь,но умничаешь , Аноним (91), 18:21 , 20-Окт-23, (77)
В токсе это немного не так, если прямое соединение сделать не получается эта зар, Аноньимъ (ok), 18:29 , 20-Окт-23, (90) +2

Срочно смотри функционалТы о нем мало знаешь , Аноним (91), 18:31 , 20-Окт-23, (94)

И чего там написано что только ключи передаются децентрализовано, остальное тебе, Аноним (62), 20:21 , 20-Окт-23, (154)

Написано, что ты не знаешь транспорты, Аноним (91), 21:26 , 20-Окт-23, (183) –1

Двачую токс Удивляет почему он так недооценен , Аноним (275), 03:28 , 21-Окт-23, (275) +1

Потому что за 10 лет так и не было никакого аудита, потому что написано на голом, Аноним (3), 00:24 , 22-Окт-23, (409) +1

Зато какому там Signal аудит сделали Сильно помогло Можно подумать это отменит, Аноним (430), 13:37 , 22-Окт-23, (432)

Эти крендели до сих пор чинят дырень в механизме хендшейка, которую автор Вайрга, Аноним (3), 16:54 , 22-Окт-23, (443)

Автор вайргада забыл сущую мелочь - выкатить решение которое будет лучше по обще, Аноним (445), 17:06 , 22-Окт-23, (445)

Потому что большая часть двуногих это глупые хомячки, которым блестящие бусы важ, Аноним (430), 13:28 , 22-Окт-23, (431)

Можно попробовать заменить утопией , jsparr (?), 19:29 , 20-Окт-23, (126)

Это приманка с закрытым исходным кодом для доверчивых, вроде Vipole , Аноним (-), 18:47 , 21-Окт-23, (340)

Дизлайкнул коммент от АНБшного форка ChatGPT, Аноним (458), 21:05 , 22-Окт-23, (458)
И самый лучший Signal, который есть смысл использовать - это Tox , Аноним (485), 12:56 , 23-Окт-23, (486)

Зачем Там же есть gpg C генерацией ключей на стороне пользователя и шифрова, Аноним (58), 17:43 , 20-Окт-23, (9) –1

Ты ещё предложи эл почту гонять без шифрования, ведь каждый пользователь почты , Аноним (4), 17:46 , 20-Окт-23, (12) +1

Альтернатива какая Доверять провайдеру и надеятся на что ИлиУсилить надежность к, Аноним (58), 17:51 , 20-Окт-23, (24) +4

Не смотри телевизор Не слушай радио Не читай газет Старший Брат очень близко , Аноним (62), 18:00 , 20-Окт-23, (46) –1

Старший брат русским по й, Аноним (58), 18:00 , 20-Окт-23, (50)
Так зачем это всё Если есть инет и, при определённом умении, можно получить дос, Аноним (87), 19:04 , 20-Окт-23, (111)

Ну потому что большой брат тебе неформально даёт выбор или ешь что дают или не е, Аноним (62), 20:24 , 20-Окт-23, (156)

Просто обьясни товаристчу,что такое большой брату вас общение глухого с немым, Аноним (91), 21:29 , 20-Окт-23, (185)

Так ведь сломали механику LetsEncrypt через MITM, т е шифрование без гарантий А, Kilrathi (?), 08:51 , 23-Окт-23, (479)

В итоге почту могут читать по запросу приставов , Пряник (?), 10:21 , 23-Окт-23, (481)

OMEMO OpenPGP не обеспечивает никакой прямой секретности и уязвим для атак повт, Аноним (-), 19:06 , 21-Окт-23, (344)

ребята это не так делается это уголовное престулпнеие нужно писать заявление в , Аноним (11), 17:46 , 20-Окт-23, (11) +4

Угадай куда полиция Германии пошлёт заявление россиянина , Аноним (4), 17:47 , 20-Окт-23, (14) –2

куда вообще-то обязаны разобраться - хецнер за это деньги получал, они не благо, Аноним (1), 17:53 , 20-Окт-23, (30) +5

Блаженный,не расслабляй наш разум, Аноним (58), 17:56 , 20-Окт-23, (38) +1
Угу, со взломом телефонов журналистов одного издания с российскими корнями немец, Аноним (63), 18:03 , 20-Окт-23, (55) +5

Напомнило как разгоняли правильный демократический бункерный машинный зал, где з, InuYasha (??), 10:07 , 21-Окт-23, (295)

не в деньгах дела а в нарушение конституции это уголовка , Аноним (11), 19:49 , 20-Окт-23, (136) +2

Обладаешь знаниями Подай в суд Не напрягай общественность, Аноним (91), 21:31 , 20-Окт-23, (189) –1
Конституация Германии попуасам без гражданства Германии ничего не должна, all_glory_to_the_hypnotoad (ok), 19:28 , 22-Окт-23, (452)

А если заявление напишет гражданин Германии живущий и работающий в России на кон, pic (?), 19:33 , 20-Окт-23, (127)
Мне в свое время по поводу фишингового письма ответили по существу , Аноним (329), 17:29 , 21-Окт-23, (329)
Да тут если рассматривать не техническую, а политическую сторону проблемы, то за, rvs2016 (ok), 13:02 , 26-Окт-23, (516)

В спортлото Там наверно ситуация типа из РФ прислали запрос типа через жабберру, Аноним (62), 18:01 , 20-Окт-23, (51) +2

Зачем немцам персональные подсанкционные педофилы , Аноним (87), 18:36 , 20-Окт-23, (97) +1

Электорат Успкойся, Аноним (91), 21:57 , 20-Окт-23, (211)

Для этого ещё желательно быть гражданином ЕС, all_glory_to_the_hypnotoad (ok), 19:21 , 22-Окт-23, (451)

DNS CAA записи должны как раз от такого защищать , Аноним (17), 17:47 , 20-Окт-23, (17)

С перехватом трафика и у того-же центра сертификации не защитит, может быть, мак, Аноним (34), 17:55 , 20-Окт-23, (34)

в ССА можно написать 300 IN CAA 0 issue letsencrypt org account 1234567890 , Аноним (73), 18:18 , 20-Окт-23, (73) +1

И все А научить клиентов проверять , OpenEcho (?), 20:09 , 20-Окт-23, (144)

Без DNSSEC записи CAA более или менее бесполезны Так что клиенту надо уметь в D, Аноним (3), 21:01 , 20-Окт-23, (171) –1

Ог регулярно ругался на сертификаты и со скрипом соединялся по TLS, но как, КАК , InuYasha (??), 10:13 , 21-Окт-23, (296)

Ну так это проблемки сервиса, нежели клиента, раз у него сертификаты моросят без, Аноним (3), 12:00 , 22-Окт-23, (417) –1

Это проверяет не клиент, а СА в данном случае летс енкрипт, что запрос пришёл о, Аноним (219), 22:37 , 20-Окт-23, (219) +2

Да то оно понятно, но только толк он САА если оригинальный хозяин и вор пользуют, OpenEcho (?), 23:03 , 20-Окт-23, (227)

ты или недосягаемо умный и чего-то такое знаешь или глупенький если ты пропиш, лютый арчешкольник... (?), 18:58 , 21-Окт-23, (342)

Не все удостоверяющие центры поддерживают САА Кроме LE сертификат можно получит, Аноним (395), 23:36 , 21-Окт-23, (395)
Ты б сперва читать хотя бы научился, перед тем как других глупенькими называть , OpenEcho (?), 03:42 , 22-Окт-23, (413)

Скрыто модератором, Аноним (-), 17:53 , 20-Окт-23, (28) +5
Вообще то в пиджине есть нормальный плаг где можно можно обменяться своими ключа, Аноним (62), 18:04 , 20-Окт-23, (56)

Если используется шифрование своими ключами,вообще по й какой транспорт можно е, Аноним (58), 18:11 , 20-Окт-23, (65)

Ну да, только при вон том - аккаунт с314т и смогут делать с ним что угодно И вы, Аноним (-), 01:11 , 21-Окт-23, (256)

Удачи в том чтобы убедить людей из своего списка контактов обменяться своими кл, Аноним (63), 18:14 , 20-Окт-23, (67) +5

посмотри на досуге psiа если людям надо скрыть содержание переписки,то убеждать , Аноним (91), 18:25 , 20-Окт-23, (81)

Если это будут делать только те, кто хочет что-то скрыть то уже сам ты понял, по, torvn77 (ok), 02:05 , 21-Окт-23, (271) +1

в жизни все так и есть все занимаются своими вопросами сами,если нужно сделать к, Аноним (91), 12:50 , 21-Окт-23, (310)

кому нужна эта левая телега вот ею пользоваться нужно еще уговорить а я так мог, Аноним (91), 18:26 , 20-Окт-23, (85)
Так может подумать как это сделать так чтоб делалось если не в один клик, то хот, torvn77 (ok), 02:08 , 21-Окт-23, (272)
не слать им ничего такого ну и в телеге есть p2p secret chat, Bob (??), 04:34 , 21-Окт-23, (277)

только на мобилках, если ничего не изменилось и с чего бы , InuYasha (??), 10:15 , 21-Окт-23, (297)

А тебе с этого какая польза Тебе то ведь надо чтобы у тебя был ТВОЙ секурно-пр, torvn77 (ok), 13:52 , 23-Окт-23, (492)

Это не про него там в советах определение IP собеседника случайно P2P так то , Аноним (-), 21:19 , 21-Окт-23, (363)

XMPP-клиент Quicksy регистрируется по номеру телефона и в нём есть OMEMO , Аноним (-), 19:33 , 21-Окт-23, (345)

Бугога Жабер безопасен, говорили они, так как не привязан к корпорациям , Аноним (70), 18:16 , 20-Окт-23, (70) –1

Джаббер безопасен, если сервер админят нормальные люди, а не дурачки , Аноним (3), 18:19 , 20-Окт-23, (74) +9

Ладно, эти хоть рассказали про обсер, многие могли просто промолчать , Аноним (293), 09:50 , 21-Окт-23, (293) +1

Про обсер рассказал ValdikSS -- в очередной раз спасибо ему, кстати Если б его н, Аноним (3), 00:26 , 22-Окт-23, (410)

Даже у нормальных людей может выйти душняк со временем, запара и проч - и тут то, Аноним (493), 15:56 , 23-Окт-23, (493)
Ну по такой причине небезопасной можно объявить вообще любую программу Ведь под , rvs2016 (ok), 16:00 , 26-Окт-23, (517)

Также безопасен как и емейл Только в емейле всё читает гугл, а с жаббером есть , Аноньимъ (ok), 18:19 , 20-Окт-23, (75) –3

Гугл хотя бы стабильность обеспечивает, а васяны никому ничего не должны Это , Аноним (177), 21:24 , 20-Окт-23, (177) –1

ну в твоей то телеге все ОК Прям весь трафик зеркалируется в серый дом, Аноним (91), 18:27 , 20-Окт-23, (88) +2

Да ну, брось, товарищмайору вот делать нечего чем читать терабайты переписки как, нах. (?), 18:49 , 20-Окт-23, (105)

таки нужьно все разложить,товаристч, Аноним (91), 21:33 , 20-Окт-23, (193)
Это как раз халява Сидишь в уютном офисе, почитываешь чатики, упаковываешь, пал, Аноним (450), 19:16 , 22-Окт-23, (450)

Речь идет о перехвате незашифрованного трафика, однако на jabber ru нет расшире, Аноним (-), 02:10 , 21-Окт-23, (273)

Нет и не будет, потому что это расширение для клиентов, а не для серверов , Аноним (-), 19:42 , 21-Окт-23, (346)

Так получется это обсер 2, поскольку сервер не может зафорсить применение юзерам, Аноним (458), 21:10 , 22-Окт-23, (460)
Признайся, ты же не читал спеки Это расширение требует от сервера определенной н, Аноним (485), 13:45 , 23-Окт-23, (491)

Скрыто модератором, Аноним (-), 20:35 , 23-Окт-23, (497)

Срочно найди кто тебе так говорил и отоварь по мордам , mos87 (ok), 13:14 , 23-Окт-23, (490)

Хах Ладно Разве нельзя проверить серт выдаваемый своим же сервером снаружи Хот, Аноньимъ (ok), 18:17 , 20-Окт-23, (72)

ну ты-то конечно каждый день проверяешь серт выданный твоим же сервером снаружи , нах. (?), 18:31 , 20-Окт-23, (93)

Да черт его Браузер же будет матерится если если серт не подписан кемнадо напри, Аноньимъ (ok), 19:02 , 20-Окт-23, (110)

так он кем надо подписан Та самая атака о которой без конца талдычили большевик, нах. (?), 19:23 , 20-Окт-23, (121)
Плагин к браузеру Certifiacte patrol умел что то такое помнить Но замучаешься , dasd (?), 12:06 , 22-Окт-23, (419)

Спасибо, вспомнил названия, да он , Аноним (428), 13:08 , 22-Окт-23, (428)

The attacker managed to issue multiple SSL TLS certificates via Let 8217 s Encr, noanon (?), 19:09 , 20-Окт-23, (115)

А чё а это как вообще , Аноньимъ (ok), 20:38 , 20-Окт-23, (160) –1

На прозрачном прокси перехватили трафик на 80 порт, и сделали DV через web chall, Аноним (3), 20:54 , 20-Окт-23, (168)

Ну или хотя бы certificate pinning использовать Впрочем весь лецэнкрипт это боль, fidoman (ok), 09:03 , 21-Окт-23, (290) +2

Скрыто модератором, xsignal (ok), 18:38 , 20-Окт-23, (99) –2

Скрыто модератором, Аноним (118), 19:14 , 20-Окт-23, (118) +3
Скрыто модератором, Аноним (177), 21:19 , 20-Окт-23, (175)
Скрыто модератором, Аноним (91), 21:35 , 20-Окт-23, (194)

Скрыто модератором, Аноним (177), 21:43 , 20-Окт-23, (203)

Скрыто модератором, Аноним (91), 22:03 , 20-Окт-23, (212)

Почему jabber ru хостится в Германии Это вообще законно У нас же вся переписка, danonimous (?), 18:40 , 20-Окт-23, (100) –1

The Jabbe ru LLC - такого юрлица не существует Поэтому законам Эрэфии никто не , Аноним (87), 18:56 , 20-Окт-23, (109) –1

Администратором домена jabber ru является физ лицоhttps cctld ru service plus , Alex_K (??), 20:12 , 21-Окт-23, (350)

Забанят домен, а эта тема как раз поднимет эту тему для Роскомнадзора Новость о, pic (?), 19:36 , 20-Окт-23, (130) +1

можно ржать , Аноним (91), 21:36 , 20-Окт-23, (195)

Рональд Рейган ответил на этот вопрос ещё в 84 году , Аноним (196), 21:37 , 20-Окт-23, (196)

Задай вопрос Рокфеллерам Они ответственны за новый англо-мир , Аноним (91), 22:12 , 20-Окт-23, (214)

По тому закону на контролируемой Российской Федерацией территории должна хранить, rvs2016 (ok), 16:16 , 26-Окт-23, (518)

TLS, HTTPS, LET S ENCRYPT, бесплатные сертификаты, бе-бе-бе-бе-безопасность, сча, Аноним (108), 18:55 , 20-Окт-23, (108) +4

Есть QTox, для которого ничего поднимать не надо , Аноним (8), 19:26 , 20-Окт-23, (125) +2

Пользователи XMPP были наказаны за неиспользование токса С , Skullnet (ok), 22:28 , 20-Окт-23, (217)

В токсе и ломать не надо сервак для получения той инфы, что получили polizei, сд, Аноним (239), 23:33 , 20-Окт-23, (235) –1

В Tox end to end шифрование 1 на 1 всегда - и вообще неотключаемо Угнать аккаун, Аноним (-), 21:22 , 21-Окт-23, (365)

Polizei банить и не надо Им нужны метаданные в первую очередь Переписка может , Аноним (427), 13:05 , 22-Окт-23, (427)

Оно и видно, постоянно пытаются заблочить неугодные ресурсы, там и тут, по самым, Аноним (430), 14:33 , 22-Окт-23, (435)

А толку Эта модель угроз подразумевает пассивное прослушивание - а как показала, Аноним (471), 03:18 , 23-Окт-23, (471)

На то и щука, чтобы карась не дремал И тут вопрос в том что увидит атакующий и , Аноним (-), 05:10 , 23-Окт-23, (476)

Нет, не затратнее Сервак теоретически можно защитить, достаточно заморочившись,, Аноним (488), 13:10 , 23-Окт-23, (488)

Сильно затратнее надо содержать тысячи систем В разных местах Платить за хост, Аноним (-), 16:55 , 23-Окт-23, (494)

Можно даже uTox, он мельче и легче Или - для совсем уж консольных фриков - Toxi, Аноним (-), 15:43 , 22-Окт-23, (438)

Скрыто модератором, Аноним (-), 20:17 , 22-Окт-23, (453)

не тарахтииди читай про gpg, Аноним (91), 21:37 , 20-Окт-23, (197)

О сколько нового откроют некоторые для себя о 171 безопасности 187 телеграма, Аноним (118), 19:08 , 20-Окт-23, (113) +4

Чего-то ты низкого мнения о пацане намайнившем на принадлежащем его же конторе , нах. (?), 19:25 , 20-Окт-23, (124) –3

Смотри протокол На сервере всё расшифровывается При доступе к серверу читай , Shevchuk (ok), 21:07 , 20-Окт-23, (172)

Вообщем, никто не запрещал допшифрование Но вы то конечно об этом не задумывалим, Аноним (91), 22:14 , 20-Окт-23, (215)

Да всё проще Открой настройки- дополнительно- экспорт данных Вот уж где действ, Аноним (149), 20:18 , 20-Окт-23, (149)

Да знаем, причём хранящуюся там инфу никак не удалить, что тоже наводит на нехор, Аноним (118), 20:23 , 20-Окт-23, (155)
Про такой вариант и говорю я в сообщении https www opennet ru openforum vsluhf, rvs2016 (ok), 18:06 , 26-Окт-23, (519)

бабло не пахнет ну когда уже ваше поколение запомнит а , Аноним (91), 21:39 , 20-Окт-23, (198) –1
Аккаунт в телеграме жёстко привязан к номеру телефона, всё что нужно знать об эт, all_glory_to_the_hypnotoad (ok), 23:23 , 22-Окт-23, (467) +1

Вот и хвалённые сертификаты, Аноним (114), 19:09 , 20-Окт-23, (114) +1

смотри в проблемыне тупи, Аноним (91), 21:40 , 20-Окт-23, (199)

пользуюсь session messenger, https github com oxen-io session-androidвся родня, Аноним (116), 19:10 , 20-Окт-23, (116) +1

Бедная родня Пожалел бы, что ли Ей же, в случае чего, на паяльнике сидеть вм, Аноним (108), 19:14 , 20-Окт-23, (117)

пожалей тех кто использует telegram или wahtapp , Аноним (116), 19:23 , 20-Окт-23, (122)

Куда более безопаснее чем телеграм По крайней мере в Украине ловят СБУ только т, Аноним (118), 19:35 , 20-Окт-23, (129) +2

Подозреваю, ловят всех - и тележников, и вацаперов, и вибероедов, и всех прочих , YetAnotherOnanym (ok), 20:00 , 20-Окт-23, (140)

Скрыто модератором, Аноним (118), 20:08 , 20-Окт-23, (143) +3

Скрыто модератором, Аноним (152), 20:44 , 20-Окт-23, (164) +2
Скрыто модератором, Денис Попов (?), 21:40 , 20-Окт-23, (201) –1

Скрыто модератором, Аноним (91), 21:43 , 20-Окт-23, (204)

Хош сброшу шифротекст влюбоймесагеразшифруешь , Аноним (91), 21:42 , 20-Окт-23, (202)

Сколько платишь , YetAnotherOnanym (ok), 01:10 , 21-Окт-23, (254)

Ты ж профи А Дело чести , Аноним (58), 01:15 , 21-Окт-23, (258)

Борлтун он , Аноним (58), 01:19 , 21-Окт-23, (262)

Кстати, а сколько я хочу , YetAnotherOnanyn (?), 01:24 , 21-Окт-23, (266)

Ууух, как ловютьПрисоединяйся рыбак, Аноним (58), 01:18 , 21-Окт-23, (261)

Ровно настолько, насколько гугл безопасней яндекса Вацап может позволить себе, Аноним (177), 21:12 , 20-Окт-23, (173)

Где Украина, Россия а где АНБ Уж лучше такая безопасность, чем откровенные слив, Аноним (118), 21:24 , 20-Окт-23, (178) +1

не держи пояльникпобойся Бога, Аноним (91), 21:40 , 20-Окт-23, (200) –1

А на компе как , Ivan_83 (ok), 08:08 , 21-Окт-23, (285)

Так же, Да да не удивляйтесь (?), 17:45 , 21-Окт-23, (332)

Ой вэй, о том что пользоваться jabber ru нельзя жабофилам было известно еще лет , Kuromi (ok), 19:22 , 20-Окт-23, (119) +1
Закопать и юзать Matrix , Skullnet (ok), 19:40 , 20-Окт-23, (131) +2

matrix нет, спасибоhttps github com libremonde-org paper-research-privacy-mat, lizard (??), 22:46 , 20-Окт-23, (224) –1
Ибо нет ничего тайного, что не сделалось бы явным, ни сокровенного, что не сдела, pic (?), 23:08 , 20-Окт-23, (230)

Для начала внимание STARTTLS не секурно же read stackexchange and etc Во-вторых, robo228 (?), 19:43 , 20-Окт-23, (134) +1

Дело не в техподдержке, я лично наблюдал некоторый специфический MITM в юрисдикц, Аноним (2), 19:52 , 20-Окт-23, (138) +1

MITM джаббер серверов в GB А у кого из хостеров , robo228 (?), 20:01 , 20-Окт-23, (142)
Я не помню, чтобы в HE была такая функция Была SSL Observatory - посылался им с, Аноним (239), 23:04 , 20-Окт-23, (228) +1

Да, всё так и есть Let 8217 s Encrypt убил доверие к TLS Раньше сертификат озна, Ivan_83 (ok), 08:46 , 21-Окт-23, (289) +2

Дело не в документах и проверках, а в продвигаемой методом кнута гугл и пряник, Аноним (323), 15:57 , 21-Окт-23, (323)

И что теперь делать , robo228 (?), 18:58 , 21-Окт-23, (343)

Очевидно продаваться задешево Теория игр, ничего личного , Аноним (424), 12:54 , 22-Окт-23, (424)

До Let s Encrypt бесплатно раздавал сертификаты, например, Startcom Да и получ, sigprof (ok), 23:22 , 21-Окт-23, (385)
А комодохакер подписавший себе через дигинотар серты на все и вся прямо через су, Аноним (445), 17:11 , 22-Окт-23, (446) –1

Аддон назывался Certificate Patrol Пгосто на иконке была полицейская машина нар, Аноним (429), 13:15 , 22-Окт-23, (429)

Админы jabber ru - лохи Специально против таких атак была придумана запись САА , Аноним (147), 20:15 , 20-Окт-23, (147) +1
Вся суть Let s Encrypt по требованию гэбни корни доверия - DNS-регистраторы - б, Аноним (152), 20:16 , 20-Окт-23, (148) –1

Вы сейчас вводите людей в заблуждение DV проводится LE как минимум двумя разным, Аноним (3), 20:20 , 20-Окт-23, (153)

А толку, корень доверия всё равно DNS Контролируя DNS кто надо подставит себя н, Аноним (152), 20:42 , 20-Окт-23, (161) –1

Если бы был настроен нормально DNSSEC и вдобавок к нему DNS CAA, конкретно этой , Аноним (3), 20:58 , 20-Окт-23, (169) +1

1 Он не защает от вредоносных действий регистратора 2 Ты забудь про DNSSEC, эт, Аноним (196), 21:30 , 20-Окт-23, (188) +2
хехну мудрствовай дальше просто шифровать данные нужно, Аноним (91), 21:48 , 20-Окт-23, (208)

Никакое шифрование данных не устоит перед приставленным к пузу утюгом , rvs2016 (ok), 18:53 , 26-Окт-23, (520)

И чем бы этот CAA помог, если у него свои сертификаты тоже от Let 8217 s Encryp, Аноним (395), 22:58 , 20-Окт-23, (225)

https letsencrypt org docs caa Помимо просто указания допустимых CA, в случае , sigprof (ok), 23:35 , 21-Окт-23, (393)

Сертификаты завязаны на третье лицо, которое внезапно вполне конкретное и имеет , Аноним (114), 01:50 , 21-Окт-23, (268)

Впрочем неудивительно, oxpa вон тут признался что они ejabberd не обновляли с 20, Аноним (3), 20:19 , 20-Окт-23, (150)
Вообще пушка Если надо будет - у хостера есть физический доступ к СВОЕЙ МАШИНЕ , Аноним (152), 20:27 , 20-Окт-23, (158) +1

у вас немножко намешаноэто угроза для физических серверов, для виртуального серв, onanim (?), 23:55 , 20-Окт-23, (245) +1
Поэтому мы и любим P2P Попробуйте там вообще понять что нужно взламывать И тем, Аноним (243), 23:55 , 20-Окт-23, (246) +3

Хомячки в западных странах перестали или боятся пользоваться Bittorrent Не пона, Электрон (?), 21:07 , 21-Окт-23, (358) +1

Они просто теперь покупают впны в далеком зимбабве, ну или где там хостерам и по, Аноним (445), 17:13 , 22-Окт-23, (447) +2

Думали, ломать будут через сертификат Минцифры, а вышло, что через эти любимые х, timur.davletshin (ok), 20:44 , 20-Окт-23, (162) +7

У них там свои Минцифры хотят данные В итоге все равно получаем теорему Эскоба, Аноним (8), 21:25 , 20-Окт-23, (181) +1

Это вебу покажут, где у ручки швабры - ножны , Аноним (196), 21:32 , 20-Окт-23, (191)

Что это за STARTTLS и чем оно лучше otr , Аноним (218), 22:29 , 20-Окт-23, (218)

Это такие же разные вещи как апельсин и швейная машинка , Аноним (3), 23:48 , 20-Окт-23, (241) +2
Жабер изначально не был шифрованый вообще, и поэтому в начале клиент и сервер мо, Аноним (243), 00:00 , 21-Окт-23, (247)

Ирония в том, что с изменением версии опенвпн проверка на тип сертификата начина, Аноним (267), 01:29 , 21-Окт-23, (267) –1

автоматом обновляй, ченджлог не читай, конфиг не проверяй, ломаться ничего не до, Sw00p aka Jerom (?), 09:05 , 21-Окт-23, (291)

apt-get у вас 45 пакетов могут быть обновлены Установить Да Джигурда Ну, сид, InuYasha (??), 10:39 , 21-Окт-23, (300) +2

ну тогда х як, х як и в продакшен, смузи этому джентельмену, Sw00p aka Jerom (?), 17:45 , 21-Окт-23, (331) –1
Я примерно так и делаю А альтернатива какая А - у вас 0 апдейтов И я - которы, Аноним (374), 21:57 , 21-Окт-23, (374)

Он изначально уязвимый был По дефолту Но если вам очень не нравится - мы могли, Аноним (-), 21:27 , 21-Окт-23, (366)

Тео написал libtls - обёртка над OpenSSL LibreSSL API для вот этих всех проверок, Ivan_83 (ok), 08:22 , 21-Окт-23, (288)

А DJB вместо этих жалких потуг сделать из фекалиев конфеты - новое апи создал А, Аноним (-), 21:38 , 21-Окт-23, (367)

STARTTLS - это раширение присутствующее во множестве разных протоколов Суть в то, Ivan_83 (ok), 08:18 , 21-Окт-23, (287)

И это дает атакующему много удобных возможностей Можно, вот, удобный редиректик, Аноним (-), 21:39 , 21-Окт-23, (368)

Это наследие plain text протоколов из 80х типа ftp smtp pop и прочего го на мамо, чатжпт (?), 13:46 , 22-Окт-23, (433)

Ну так в фидонете требовали реалнейм и прочие там запреты шифрования Поэтому мо, Аноним (-), 16:14 , 22-Окт-23, (441)

он и в почте есть не встречал , Аноним (91), 12:55 , 21-Окт-23, (311)

Что немецкие спецслужбы в обход конституции читали переписку в забытом всеми сер, Анонимс (?), 22:40 , 20-Окт-23, (221) +3

61 При виде исправной амуниции Как презренны все конституции , Козьма Прутков (?), 22:45 , 20-Окт-23, (223) +1
Оперативники используют для общения игровые чаты , pic (?), 23:10 , 20-Окт-23, (231) +1

да-дамы такиеоперативники, Аноним (58), 01:16 , 21-Окт-23, (259)

Они к этому времени задачу уже выполнили видимо , Аноним (239), 23:19 , 20-Окт-23, (232) –1

Добро пожаловать в чудный мир безопасности имени TLS и прочих libopenssl, где пр, Аноним (243), 23:26 , 20-Окт-23, (233) –2

И да и нет, подписать свой ключ они могут, а вот повторить никак Реализовать пр, Анонимс (?), 23:43 , 20-Окт-23, (240)

Но большая часть клиентов жабы это разумеется забудет С понятным результатом Н, Аноним (-), 00:06 , 21-Окт-23, (249)

про DANE уже писали https ru wikipedia org wiki DANE, JL2001 (ok), 23:40 , 20-Окт-23, (238)

Лучше про Tox написать Если нет центрального сервера, его админа, логина и серт, Аноним (243), 00:03 , 21-Окт-23, (248) +1

В TOX вместо центрального сервера комутаторы провайдера Зачем митить что и так , Аноним (-), 01:52 , 21-Окт-23, (269)

Вот в жабе точек отказа больше , Аноним (275), 15:49 , 21-Окт-23, (322)
И, собственно, чего Самим по себе коммутаторам вообще не очевидно что это такое, Аноним (374), 21:50 , 21-Окт-23, (372) +1

DNSSEC почти нигде нормально не работает То есть, есть миллион причин, почему о, Аноним (315), 13:06 , 21-Окт-23, (315) +1

Администрация жру совершенно не понимает, в каком времени живет Хецнеры - это б, Аноним (267), 01:21 , 21-Окт-23, (263) –1

Но другого у нас нет Знаете этот анекдот Рыночек Рыночек слушаетСССР жалуется , Коньюктивит (?), 05:52 , 21-Окт-23, (281) –5
что даст митм при шифровании е2е ведро мусора - чет они там переписываются - чер, Аноним (91), 13:00 , 21-Окт-23, (312)

Большинство e2e очень лень, даже несчастные секретные чаты в телеге и то, многим, pic (?), 20:12 , 21-Окт-23, (349)

Так это ж и хорошо Товарищмайоры разных стран пакуют наимных телеграфистов кото, Аноним (430), 14:52 , 22-Окт-23, (436)

Немного копипаст по теме Последние несколько дней в РФ осуществляется очередной, Bob (??), 04:38 , 21-Окт-23, (279)

Ростелеком Не блокируется ни Jabber, ни другие, известные мне протоколы Писали, timur.davletshin (ok), 06:49 , 21-Окт-23, (283) +2
Ага, недавно нелпохо там прочувствовал сперва на ОпенВПН причём российский, ра, InuYasha (??), 10:44 , 21-Окт-23, (302)

Что-то вы не жаловались, когда из ваши контор сливали в конторы дяди Джо Или эт, Аноним (415), 08:26 , 22-Окт-23, (415) +1

Что ты несёшь вообще Поехавший , InuYasha (??), 11:10 , 22-Окт-23, (416) –1

Злоумышленники получили доступ к жаберсру помойке и засунули их в ещё один kvm в, Аноним (280), 04:58 , 21-Окт-23, (280) –4
Пожалуйста, автор - расскажите, каким образом вебсайт не заметил подмену сертифи, Михаил (??), 09:08 , 21-Окт-23, (292)

Читайте первоисточник https notes valdikss org ru jabber ru-mitm Не заметили , Ivan_83 (ok), 10:29 , 21-Окт-23, (298) +2
любой из 50 доверенных корневых сертификатов может выпустить сертификат для л, onanim (?), 10:32 , 21-Окт-23, (299) +2

А чего вы проверите В сертификате MITM пишет то же самое, что и валидный сервер, Аноним (315), 13:09 , 21-Окт-23, (316) –2

fingerprintнужно быть совсем долботрясом, чтобы проверять CN или что вы там соби, onanim (?), 16:10 , 21-Окт-23, (324) +2

А если каждую неделю перевыпускается серт, что тогда делать Как найти в этой ку, Аноним (325), 18:11 , 21-Окт-23, (336)

не быть самому себе злобным буратиной, даже Let s Encrypt каждые 3 месяца перевы, onanim (?), 18:17 , 21-Окт-23, (337)

выводы нужно сделать из случившегосяили просто узнать вспомнить, чтопровайдерам , Аноним (91), 13:01 , 21-Окт-23, (313)

Всё что нужно знать про сертификаты от Let s encrypt Это не про безопасность, а, Аноним (306), 11:45 , 21-Окт-23, (306) –1

они все свои сертификаты выдают первом-попавшемуся левому человеку, ничуть не па, пох. (?), 11:59 , 21-Окт-23, (307)

Зачем они тогда в процессе выдачи сертификата не только просят левого человека, rvs2016 (ok), 01:08 , 27-Окт-23, (521)

занимаются этой х-ней Ну вот затем Чтобы ты поверил что это надежно, а главное, пох. (?), 14:27 , 27-Окт-23, (527)

Потому что LE удостоверяет только контроль над доменом и ничего больше С провер, Аноним (319), 14:47 , 21-Окт-23, (319) +1

И ничего больше - неправильно Проверяет ещё доступ получателя сертификата к пров, rvs2016 (ok), 01:12 , 27-Окт-23, (522)

нет , пох. (?), 14:28 , 27-Окт-23, (528)

Да У меня доказательства своего слова есть , rvs2016 (ok), 04:26 , 01-Ноя-23, (530) –1

Буквально на днях мне тут рассказывали, что российским сертификатам нельзя довер, Ржомба (?), 22:46 , 22-Окт-23, (464) +1

А ещё владельцы многих сайтов хостят их за пределами РФ - как будто в РФ их нагн, rvs2016 (ok), 01:14 , 27-Окт-23, (523)

Все эти сертификаты говно полное Будущее за сквозным шифрованием как в Телеге А, Vladjmir (ok), 15:25 , 21-Окт-23, (320) –1

Не волнуйся, инфраструктуру из камней и палок в дэйтацентры цивилизованных стран, Аноним (321), 15:48 , 21-Окт-23, (321) –1
Телега и шифрование Пропагандист, ты что несешь Дуров vkontakt мэйлру усман, Аноним (58), 18:07 , 21-Окт-23, (335) +3

С выходом из криокамеры , Vladjmir (ok), 20:42 , 21-Окт-23, (355) –1

Это идиотизм регистрировать аккаунт на номер телефона или электронную почту По , pic (?), 20:02 , 21-Окт-23, (347) +1

Двойной идиотизм Дурова привязывать номер телефона аккаунта к IMEI Попробуйте в, pic (?), 20:05 , 21-Окт-23, (348)

Дуров вовсю старается, чтобы ты не потерял доступ к своему профилю Привязка к н, Vladjmir (ok), 20:52 , 21-Окт-23, (357) –2

Ну, да Кто-то выбирает удобство, кто-то безопасность , pic (?), 21:14 , 21-Окт-23, (361) +1

Точнее сказать анонимность , Vladjmir (ok), 21:50 , 21-Окт-23, (371) –1

какая анонимность ты о чем , Аноним (91), 23:35 , 21-Окт-23, (392)

Российская почта или российский номер телефона это требование по законам РФ, одн, pic (?), 21:18 , 21-Окт-23, (362)

Для зарубежа можно выбрать мессенджер, который не требует регистрацию через теле, Vladjmir (ok), 22:01 , 21-Окт-23, (375) –1
Для конспирологии можно выбрать что-то типа Tor Messenger с регистрацией профиля, Vladjmir (ok), 22:18 , 21-Окт-23, (379) –1

Любая соцсеть и её участники стараются чтобы ты не выпадал из неё, а что-то неоп, pic (?), 21:21 , 21-Окт-23, (364)
что аккаунт НеЛоха можно в любой момент резко и внезапно УГНАТЬ с весьма умер, Аноним (374), 22:05 , 21-Окт-23, (377) +2

Не надо требовать от массового мессенджера гарантий анонимности и безопасности , Vladjmir (ok), 22:39 , 21-Окт-23, (382) –2

Скрыто модератором, Аноним (-), 16:39 , 22-Окт-23, (442)

Очевидно, НеЛохи -- это те, кого слушали западные спецслужбы через jabber ru и x, Vladjmir (ok), 23:11 , 21-Окт-23, (384)

наплеватьи на тебя, Аноним (58), 23:46 , 21-Окт-23, (402)
По определению А что, атакующие там оставили свои визитки на предмет принадлежно, Аноним (-), 21:06 , 22-Окт-23, (459) +1

Хостинг-провайдеры немецкие Значит, или виноваты немецкие спецслужбы, или немец, Аноним (-), 21:46 , 22-Окт-23, (462)

Скрыто модератором, Аноним (-), 02:35 , 23-Окт-23, (469)

Товарищмайор резко недоволен походу Это что, вместо того чтобы сервак из стойки, Аноним (-), 20:57 , 22-Окт-23, (457) –1

Полиция Германии взломала xmpp ru, а ты сказки про российских майоров рассказыва, Аноним (461), 21:33 , 22-Окт-23, (461) +1

И пруфом что эта теория лучше вон той будет - например - что А можно и еще сотн, Аноним (-), 02:51 , 23-Окт-23, (470)

Бритва Оккама Не привлекай российскую полицию, взлом случился в Германии , Аноним (-), 03:27 , 23-Окт-23, (472) +1

В интернете взломы и взломщики не знают границ, в оборудовании и софте случаются, Аноним (475), 04:52 , 23-Окт-23, (475)

Взломали, что аж link up down нормально, Пыщь (?), 13:39 , 27-Окт-23, (526)

Потому, что пруфов нет Это может быть и работник хетцнера не имеющий никакого , Аноним (504), 16:07 , 24-Окт-23, (504)

1 Вопрос номер один - кому принадлежит jabber ru - такое старое говно могли по, Аноним (352), 20:26 , 21-Окт-23, (352) –3

И еще rutracker там же - это одна и таже контора Надо смотреть на мир не замаза, Аноним (352), 20:39 , 21-Окт-23, (353) –2

Скрыто модератором, Аноним (352), 20:50 , 21-Окт-23, (356) –1

Скрыто модератором, Аноним (352), 21:10 , 21-Окт-23, (359) –1

Скрыто модератором, Аноним (352), 21:13 , 21-Окт-23, (360) –1

Скрыто модератором, Аноним (352), 22:02 , 21-Окт-23, (376) –1

Скрыто модератором, Аноним (374), 22:12 , 21-Окт-23, (378) +1

Скрыто модератором, Аноним (352), 22:18 , 21-Окт-23, (380) –1

Скрыто модератором, Аноним (424), 12:46 , 22-Окт-23, (422)

Вопрос 8470 1 Почему серверы jabber ru и xmpp ru и вся система связи вспомо, Vladjmir (ok), 22:57 , 21-Окт-23, (383) –2

Возьми с полки свои 15 рублей , Аноним (3), 00:33 , 22-Окт-23, (411) +2

1 е-балл социального кредитного рейтинга поценнее будет , Аноним (437), 15:37 , 22-Окт-23, (437) +1

2 В службах света и добра уже тоже засилье индусов , Аноним (474), 04:10 , 23-Окт-23, (474)

https security stackexchange com questions 73244 can-we-have-https-without-cer, Аноним (352), 21:41 , 21-Окт-23, (369)
Охра, можете перевести сервер на хостинг Белтелеком в Беларуси https belteleco, Аноним (-), 21:55 , 21-Окт-23, (373)

С прямым подключением мониторинга трафика от КГБ РБ 2 25 510 1015 1525 2525 25Ну, cheburnator9000 (ok), 04:41 , 22-Окт-23, (414)

Трафик в Беларуси мониторит ОАЦ, а не КГБ Хочу заметить, что ни разу в истории , Аноним (-), 20:33 , 22-Окт-23, (455) +1

До 20 октября 2023 года такую же фразу можно было сказать и про полици Германии , Аноним (504), 15:49 , 24-Окт-23, (503)

Вообще весь траффик, не только HTTPS На несколько дней , Аноним (513), 17:48 , 25-Окт-23, (513)

Чой то никто про CT не вспомнил , dasd (?), 12:40 , 22-Окт-23, (421)
Хотелось бы заслушать местных экспертов, которые годами говорили, что зарубежный, Ржомба (?), 22:39 , 22-Окт-23, (463)

А что он угроза что ли Что он сделает-то епта Мы из другого города Своих , Вася (??), 06:36 , 23-Окт-23, (478)

Да элементарно - шантаж Писал в ололо-защищенном чатике, каких взглядов придерж, Ржомба (?), 18:42 , 24-Окт-23, (506)

есть такие майоры, правда, представляются отечетсвенными - из колцентров, расска, Вася (??), 19:33 , 24-Окт-23, (507)

Они крышуют тех, кто звонит Иначе не звонили бы , Ржомба (?), 22:35 , 24-Окт-23, (510)

как же велика их власть над миром , Вася (??), 09:59 , 25-Окт-23, (511)

Немецкий майор следил за особо болтливыми детишками русских майоров, ценные разв, Аноним (508), 20:42 , 24-Окт-23, (508) +1

Если даже допустить что это был немецкий майор он что, визитку оставил - а че, Аноним (-), 17:03 , 23-Окт-23, (495) +1
Ну так и чё зарубежный майор сделал с юзерами джаббер ру В кутузку посадил уже , Аноним (504), 12:27 , 24-Окт-23, (502)

Знать настроения пользователей немассовых фатсаппов может быть весьма интересн, Пыщь (?), 13:37 , 27-Окт-23, (525)

Mitm сделан с изменением конфигурации двух провайдеров, но возубуженные в коммен, Аноним (474), 04:08 , 23-Окт-23, (473)

Пока что только отечестнные спецслужбы продают твои личные данные всем желающим , all_glory_to_the_hypnotoad (ok), 13:11 , 23-Окт-23, (489)

Ого, jabber ru жив ещё , Пряник (?), 10:22 , 23-Окт-23, (482) +2

Я в 2012 перешёл с него на jid pl, а в 2018 ушёл на Tox , Аноним (498), 21:07 , 23-Окт-23, (498)
Не поддерживает OMEMO Регистрация по почте Слили переписку за 3 месяца Это вс, Аноним (508), 20:44 , 24-Окт-23, (509)

А как атакующему удалось подтвердить доступ к сайтам Там же для подтверждения до, rvs2016 (ok), 11:55 , 26-Окт-23, (514)

Во Они предполагают именно так, как это предположил ранее и я , rvs2016 (ok), 12:38 , 26-Окт-23, (515)

Прошло 2 месяца Нашли злоумышленников , Аноним (-), 18:15 , 03-Янв-24, (535)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 20-Окт-23, 17:34 –19 +/–

Ну вообще, оказывает Хецнер сотрудничает с КГБ и ФСБ? Я если честно не ожидал от них такой подлости.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #33, #104, #137, #484

2. Сообщение от Аноним (2), 20-Окт-23, 17:35 –2 +/–

Типичный jabberru, ничего необычного.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

3. Сообщение от Аноним (3), 20-Окт-23, 17:36 +7 +/–

И эти люди кричали, что омемо говно, что шифрование не нужно, и что омемы и шифроконф на их сервере никогда не будет.
Поделом, чо.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #229, #243, #284

4. Сообщение от Аноним (4), 20-Окт-23, 17:38 +8 +/–

В новости написано некорректно - предположительно в это вовлечены хостеры. Хостеры находятся в Германии и вынуждены подчиняться немецким правоохранителям.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13, #151

5. Сообщение от Аноним (5), 20-Окт-23, 17:39 –4 +/–

Переписываюсь в вконтакте, скрывать нечего

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #20, #29, #87

6. Сообщение от Аноним (4), 20-Окт-23, 17:40 +/–

> хранимая на сервере история обмена сообщениями
Хранение истории на jabber.ru было отключено ещё в феврале 2022. Не уверен как насчёт истории приватов, но история конференций точно отключена.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

7. Сообщение от Аноним (7), 20-Окт-23, 17:40 +10 +/–

> атакующий мог получить доступ ко всем связанным с учётными записями данным, таким как хранимая на сервере история обмена сообщениями
Ну, это классика... Интересно, людям когда-нибудь наконец-то дойдет, что если что-то храниться на чужих компах, то безопасность и шифрование - пустые слова.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

8. Сообщение от Аноним (8), 20-Окт-23, 17:42 +1 +/–

страница весит 15мб если не больше
это ужас
почему коммерческие соц.сети такие перегруженные?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (58), 20-Окт-23, 17:43 –1 +/–

>  расширения STARTTLS.
Зачем? Там же есть gpg (!) C генерацией ключей на стороне пользователя и шифрование end2end

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #344

11. Сообщение от Аноним (11), 20-Окт-23, 17:46 +4 +/–

ребята это не так делается. это уголовное престулпнеие нужно писать заявление в полицию германии.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #51, #451

12. Сообщение от Аноним (4), 20-Окт-23, 17:46 +1 +/–

Ты ещё предложи эл. почту гонять без шифрования, ведь каждый пользователь почты может себе GPG-ключ создать.
Вот только 99% этого не делают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #24, #481

13. Сообщение от Аноним (1), 20-Окт-23, 17:47 +48 +/–

Когда такие же слова пишут про российские ИСП и СОРМ - начинается жуткий батхёрт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #49, #274

14. Сообщение от Аноним (4), 20-Окт-23, 17:47 –2 +/–

Угадай куда полиция Германии пошлёт заявление россиянина.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #30, #127, #329, #516

17. Сообщение от Аноним (17), 20-Окт-23, 17:47 +/–

DNS CAA записи должны как раз от такого защищать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

18. Сообщение от Аноним (18), 20-Окт-23, 17:49 –1 +/–

Зачем на нём вообе сидть? Я бы удивился, если бы его не перехватывали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #44

20. Сообщение от Аноним (18), 20-Окт-23, 17:49 +2 +/–

Покажи свою фотографию, номер и серию паспорта?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #22, #32

22. Сообщение от Аноним (33), 20-Окт-23, 17:51 +/–

подожди, это он ещё про США не начал

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (23), 20-Окт-23, 17:51 +1 +/–

Пользуйтесь Signal:
https://opennet.ru/54927-signal

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #26, #27, #458, #486

24. Сообщение от Аноним (58), 20-Окт-23, 17:51 +4 +/–

Альтернатива какая?
Доверять провайдеру и надеятся на что?
Или
Усилить надежность канала связи дополнительным
слоем шифрования?
Если мне лично нужно передать что то конфиденциальное,
использую дополнительное шифрование собственным ключом.
Зачем надеятся на "дядю"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #46, #479

25. Сообщение от Аноним (33), 20-Окт-23, 17:51 –1 +/–

у тебя с дикцией что-то

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #31, #48

26. Сообщение от Аноним (58), 20-Окт-23, 17:52 +/–

А еще лучше Conversation

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #37, #341

27. Сообщение от Аноним (33), 20-Окт-23, 17:53 +4 +/–

ага, пользуйтесь централизованным вендорлокнутым уг на джаве в браузере

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #36

28. Сообщение от Аноним (-), 20-Окт-23, 17:53 +5 +/–

Есть стойкое подозрение, что админы получали сертификаты через DNS challenge, через API хостера домена (например, так умеют Cloudflare, Yandex и много ещё кто). Из опыта аудита много кто хранит токены от API в плейне на тачке.
Нужно лишь заполучить его копию, а потом выписывать через Let's Encrypt сертификаты сколько влезет, каждая копия до какого-то N будет валидной. У админов явно был ещё и выключен Certificate Transparency, иначе бы они при выдаче левого серта сразу бы получили алерт в мыло.
Впрочем чё ещё ждать от господ которые не энфорсят STARTTLS и до сих пор позволяют c2s и s2s в плейне, я даже не знаю.

Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (58), 20-Окт-23, 17:53 –1 +/–

Переписывайся хоть на заборе!
Если ты никому не нужен, это не достижение

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

30. Сообщение от Аноним (1), 20-Окт-23, 17:53 +5 +/–

куда? вообще-то обязаны разобраться - хецнер за это деньги получал, они не благотворительностью занимались

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #38, #55, #136

31. Сообщение от Аноним (-), 20-Окт-23, 17:53 +/–

Ты наверное Xabber любишь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

32. Сообщение от Аноним (58), 20-Окт-23, 17:54 +/–

И все данные кредитки пожалуйста.
Да и двухфакторку на меня переделай..
по-братски! А!?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

33. Сообщение от Аноним (33), 20-Окт-23, 17:55 –4 +/–

с фсб сотрудничают админы jabber.ru и xmpp.ru
загадка века разгадана

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #534

34. Сообщение от Аноним (34), 20-Окт-23, 17:55 +/–

С перехватом трафика и у того-же центра сертификации не защитит, может быть, максимум предупредит при надёжном email в CAA.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #73

35. Сообщение от rshadow (ok), 20-Окт-23, 17:55 +2 +/–

это не важно, дамп всего траффика все еще храниться на гос серверах.
Интересно, можно у них запросить потерянные фоточки например?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

36. Сообщение от Аноним (58), 20-Окт-23, 17:55 +/–

Чо у нас там в наличии
чмста децентрализованного?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #39, #40, #126

37. Сообщение от Аноним (3), 20-Окт-23, 17:56 +/–

Главное пользуясь консервой не пользоваться жаббер.cpy -- иначе толку от этого не будет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #47

38. Сообщение от Аноним (58), 20-Окт-23, 17:56 +1 +/–

Блаженный,
не расслабляй наш разум

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

39. Сообщение от Аноним (33), 20-Окт-23, 17:56 +/–

matrix, только под него пока ни одного клиента не написали, а сервер вообще на скриптах

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #43, #106, #216, #242

40. Сообщение от Аноним (3), 20-Окт-23, 17:56 +1 +/–

Токс, он даже ещё немного жив.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #45, #62, #275

43. Сообщение от Аноним (58), 20-Окт-23, 17:58 +/–

ну и как его массовым сделать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #112

44. Сообщение от Аноним (33), 20-Окт-23, 17:59 –2 +/–

а ты думал, фсб пацифисты, запустили сервак и не будут подсматривать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

45. Сообщение от Аноним (58), 20-Окт-23, 17:59 +2 +/–

Хороший аргумент
Прям рекламный слоган

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #52, #487

46. Сообщение от Аноним (62), 20-Окт-23, 18:00 –1 +/–

Не смотри телевизор! Не слушай радио! Не читай газет!
Старший Брат очень близко. Закрой шторы, погаси свет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #50, #111

47. Сообщение от Аноним (58), 20-Окт-23, 18:00 +/–

Просто сгенерируй свои ключи
И спи спокойно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #53

48. Сообщение от Аноним (3), 20-Окт-23, 18:00 +1 +/–

Все ещё лучше, чем у владельцев сабжа, которым насовали в панамку по самые помидоры.
https://compliance.conversations.im/server/jabber.ru
Впрочем с такими результатами и неудивительно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

49. Сообщение от Аноним (4), 20-Окт-23, 18:00 –22 +/–

Важно другое: насколько легко хостер пойдёт на сотрудничество. Понятно, что пойдёт, но одно дело, когда хостер тебя сдаёт по "звонковому праву". Как ВК выдавала своих юзеров чисто на основании писем, поступивших на специальный эл. ящик. Без проверки, а реально это пишет товарищ майор, а какие у него основания запрашивать. И другое дело, когда хостер тебя не выдаст, пока правоохранители не принесут все необходимые бумаги.
Вот тут как раз между РФ и Европой есть разница.
Но если кто-то думает, что в Европе хостер вообще ни за что не выдаст клиента, даже при получении всех нужных бумаг, то он дурачок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #57, #58, #63, #71, #133, #152, #237, #276, #477

50. Сообщение от Аноним (58), 20-Окт-23, 18:00 +/–

Старший брат русским по...й

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

51. Сообщение от Аноним (62), 20-Окт-23, 18:01 +2 +/–

В спортлото. Там наверно ситуация типа из РФ прислали запрос типа через жабберру общаются педофилы. Немцы такие оп и всех педофилов поймали или нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #97

52. Сообщение от Аноним (3), 20-Окт-23, 18:02 +1 +/–

Ну на самом деле для форчан-проекта, написанного воннаби-шифропанками -- это неплохой показатель. Даже ядро ещё кто-то пилит. Иногда.
Десктоп-клиенты (я молчу про мобилу) правда все померли, но кто-то русскоязычный все ещё пилит на Vala последний живой образец (https://gitlab.com/neva_blyad/yat)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #135

53. Сообщение от Аноним (3), 20-Окт-23, 18:02 +/–

У меня свой сервер, я и так спокоен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #59

55. Сообщение от Аноним (63), 20-Окт-23, 18:03 +5 +/–

Угу, со взломом телефонов журналистов одного издания с российскими корнями немецкие власти уже "разобрались". Ответ - "это тот кто надо взломал, не раскачивайте лодку". Это видимо "правильные, демократические" бэкдоры и прослушка, в отличие от кровавых режимов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #295

56. Сообщение от Аноним (62), 20-Окт-23, 18:04 +/–

Вообще то в пиджине есть нормальный плаг где можно можно обменяться своими ключами с кем-то по альтернативному каналу и сам текст между этими аккаунтами будет белебердой и общаться так можно через любой мессенджер который поддерживает пиджин.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65, #67

57. Сообщение от Аноним (1), 20-Окт-23, 18:04 +2 +/–

> хостер тебя сдаёт по "звонковому праву"
господи, как же вы достали, вы совершенно не знаете жизни - звонковое право, басманное правосудие - уж лучше выбирайте дальше плагины для вскода, чтобы повысить продуктивность открытия и закрытия скобочек

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #66, #123, #167

58. Сообщение от Аноним (58), 20-Окт-23, 18:05 +2 +/–

ну так канарейки ж придумали не в РФ
никто про буржуев лучше чем они есть
и не собирается думать

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #120

59. Сообщение от Аноним (58), 20-Окт-23, 18:07 +/–

вообще не гарантия
так еще, если за ж.. возьмут
и доказывать особо нечего

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

62. Сообщение от Аноним (62), 20-Окт-23, 18:09 +/–

Сообщения идут напрямую на айпи того кому ты пишешь, так что зная время переписка можно знать айпишник кому ты писал. Потом насаживаются на швабру все кто сидели с этих айпишников даже левые.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #64, #77, #90

63. Сообщение от Аноним (63), 20-Окт-23, 18:10 +15 +/–

Важно другое: это был не сбор конкретных улик по решению суда, а тайный перехват вообще всего трафика и угон домена "потому что там какие-то русские и мы хотим их слушать". Видимо последнее даёт право забить на законы. Не вижу причин лизать европейский тыл и как-то их оправдывать в данном случае.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #68, #244

64. Сообщение от Аноним (3), 20-Окт-23, 18:11 –1 +/–

Тором пользоваться религия не позволяет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #78

65. Сообщение от Аноним (58), 20-Окт-23, 18:11 +/–

Если используется шифрование своими ключами,
вообще по..й какой транспорт.
можно еще делать шифротекст бессигнатурный

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #256

66. Сообщение от Аноним (4), 20-Окт-23, 18:14 +5 +/–

Да-да, ничего такого не было
"в декабре ФСБ направила запрос администрации «ВКонтакте» с требованием предоставить информацию об аккаунте Походун. В запросе не было ссылок на расследование или проверку по делу, но соцсеть предоставила все данные пользователя, а также свыше ста страниц ссылок на изображения из альбомов, в том числе и из закрытых.

Точно так же, по запросам без указания номера уголовного дела или проверки, в мае—июле 2015 года петербургское ГУВД трижды получало информацию о пользователе Владимире Рязанцеве, опубликовавшем три поста в паблике «Белые новости v2.0»"

Ты, главное, не нервничай, анончик, а то инсульт хватит и не сможешь рассказывать дальше, что другим лучше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #163

67. Сообщение от Аноним (63), 20-Окт-23, 18:14 +5 +/–

Удачи в том чтобы убедить людей из своего списка контактов "обменяться своими ключами по альтернативному каналу". Большинство регается по своему номеру телефона в телеге и им "ваще норм", а за такие непонятные слова можно и по морде получить, так, на всякий случай.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #81, #85, #272, #277, #345

68. Сообщение от Аноним (4), 20-Окт-23, 18:15 –2 +/–

> это был не сбор конкретных улик по решению суда
Хостеры не ответили, но вам-то уж, конечно, виднее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #76, #79

70. Сообщение от Аноним (70), 20-Окт-23, 18:16 –1 +/–

Бугога... Жабер безопасен, говорили они, так как не привязан к корпорациям.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74, #75, #88, #273, #490

71. Сообщение от 1 (??), 20-Окт-23, 18:17 +4 +/–

В Германии есть обязывающий закон.
https://www.bfdi.bund.de/EN/Buerger/Inhalte/Nachrichtendiens...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

72. Сообщение от Аноньимъ (ok), 20-Окт-23, 18:17 +/–

> Атака была замечена из-за ошибки её организаторов
Хах. Ладно.
Разве нельзя проверить серт выдаваемый своим же сервером снаружи? Хотя тут писали что жаббер этот та ещё муть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93, #115, #290

73. Сообщение от Аноним (73), 20-Окт-23, 18:18 +1 +/–

в ССА можно написать
300  IN  CAA 0 issue "letsencrypt.org; account=1234567890"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #144

74. Сообщение от Аноним (3), 20-Окт-23, 18:19 +9 +/–

Джаббер безопасен, если сервер админят нормальные люди, а не дурачки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #293, #493, #517

75. Сообщение от Аноньимъ (ok), 20-Окт-23, 18:19 –3 +/–

Также безопасен как и емейл. Только в емейле всё читает гугл, а с жаббером есть много васянов которые читают других много васянов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #177

76. Сообщение от Аноним (63), 20-Окт-23, 18:21 +1 +/–

Ты новость-то хоть читал? Протри глаза.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

77. Сообщение от Аноним (91), 20-Окт-23, 18:21 +/–

т.е. сабж ты не знаешь,
но умничаешь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

78. Сообщение от Аноньимъ (ok), 20-Окт-23, 18:22 –1 +/–

Желательно моей входной нодой.
И выходной то же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #84, #91, #101

79. Сообщение от Хейтер (?), 20-Окт-23, 18:23 +9 +/–

>Хостеры не ответили, но вам-то уж, конечно, виднее
- я работал легальным хостером (все лицензии и прочее) знаю, что если рыло не в пуху, то с российскими "органами" можно общаться на равных: всё что положено по закону - делать, а что не положено - посылать лесом. Но вот про Хетцер известно что разной порнух и вареза там хватает, в том числе там хостятся те говнохостинги которые называют себя "пуленепробиваемыми". Лично у меня сомнений нет, сотрудничают с Абвером, СС и прочими АНБ, да еще как ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #251

81. Сообщение от Аноним (91), 20-Окт-23, 18:25 +/–

посмотри на досуге psi
а если людям надо скрыть содержание переписки,
то убеждать их не надо в этом.
При симметричном шифровании можно и пароль лично передать
/сообщить всем кому надо знать. хотя, и при ассиметричном тоже

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #271

84. Сообщение от Аноним (3), 20-Окт-23, 18:25 +/–

Спасибо, я какую-нибудь другую выберу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

85. Сообщение от Аноним (91), 20-Окт-23, 18:26 +/–

кому нужна эта левая телега?
вот ею пользоваться нужно еще уговорить!!
а я так могу шифротекст передать и в ватсапе )
можешь попробовать расшифровать

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

87. Сообщение от Аноним (87), 20-Окт-23, 18:26 +/–

Ну лайкни чего неугодно написанное про СВО. Тебе скрывать нечего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

88. Сообщение от Аноним (91), 20-Окт-23, 18:27 +2 +/–

ну в твоей то телеге все ОК )))
Прям весь трафик зеркалируется в серый дом

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #105

90. Сообщение от Аноньимъ (ok), 20-Окт-23, 18:29 +2 +/–

В токсе это немного не так, если прямое соединение сделать не получается эта зараза вроде проксирует через другие узлы трафик.
Ну а вообще да, по опи вычислят))) и чё? Зато честный васян с васянского сервера сообщения читать не будет. И оно не зависит от желания васяна закрыть или перенести васянский сервер.
Если вы очень незаконным чем-то страдаете, то конечно токс без спец мер вас не спасёт, как и многие другие вообще-то технологии. Мозги как-бы нужно прикладывать.
А если у вас и вашего собеседника одноразовый смартфон, как и должно быть в случае вашей очень незаконной стращной подпольной деятельности, то пусть себе смотрят на ойпи сколько угодно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #94

91. Сообщение от Аноним (91), 20-Окт-23, 18:30 +/–

так ты еще и о tor
ничо не знаешь

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #107

93. Сообщение от нах. (?), 20-Окт-23, 18:31 +/–

ну ты-то конечно каждый день проверяешь серт выданный твоим же сервером снаружи?
Или может быть даже при каждом соединении с ним?
> Хотя тут писали что жаббер этот та ещё муть.
то ли дело Браузер от правильных ребят. Где нет больше ни EV ни PKP, и вот здрасьте летшиткрипта с ее одноразовыми сертификатиками сроком действия два дня, поэтому он может быть хоть каждый день новым.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #110

94. Сообщение от Аноним (91), 20-Окт-23, 18:31 +/–

Срочно смотри функционал
Ты о нем мало знаешь )))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #154

97. Сообщение от Аноним (87), 20-Окт-23, 18:36 +1 +/–

Зачем немцам персональные подсанкционные педофилы?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #211

99. Сообщение от xsignal (ok), 20-Окт-23, 18:38 –2 +/–

> Jabber
Оно ещё живо? O_o

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #118, #175, #194

100. Сообщение от danonimous (?), 20-Окт-23, 18:40 –1 +/–

Почему jabber.ru хостится в Германии? Это вообще законно? У нас же вся переписка по закону должна храниться на серверах в России.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109, #130, #196, #518

101. Сообщение от Аноним (87), 20-Окт-23, 18:42 +1 +/–

Спасибо, товарищ майор за заботу о нашей безопастности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

104. Сообщение от нах. (?), 20-Окт-23, 18:43 +2 +/–

хетзнер давно уже очень странная помойка. В частности, в нем прекрасно себя чувствуют tor exit nodes, хотя официальная политика - мы заблокируем ваш акаунт и денег не вернем, если там такое обнаружим. Подозреваю что и заблокируют - если это твой акаунт. А вот тем васянам - нет, там кого надо акаунт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #252

105. Сообщение от нах. (?), 20-Окт-23, 18:49 +/–

Да ну, брось, товарищмайору вот делать нечего чем читать терабайты переписки каких-то пустомель.
Траффик не зеркалируется, а спокойно хранится в здании на Невском, 28. Когда товарищмайору что-то надо - он туда приезжает на служебном мерсе, неторопливо пьет чай в переговорной, а работящие работнички просто приносят ему папочку, где все уже разложено и подшито.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #193, #450

106. Сообщение от Аноним (87), 20-Окт-23, 18:51 +/–

А он разве чиста децентрализованный?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

107. Сообщение от Аноньимъ (ok), 20-Окт-23, 18:54 +/–

Думаю что о торе осведомлён довольно неплохо.
Раньше это была цепочка прокси, и вроде ничего с тех пор не изменилось?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #132, #308, #434

108. Сообщение от Аноним (108), 20-Окт-23, 18:55 +4 +/–

TLS, HTTPS, LET'S ENCRYPT, бесплатные сертификаты, бе-бе-бе-бе-безопасность, счастье для всех даром!
Никто не ушёл обиженным?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #125, #197

109. Сообщение от Аноним (87), 20-Окт-23, 18:56 –1 +/–

The Jabbe.ru LLC - такого юрлица не существует. Поэтому законам Эрэфии никто не обязан.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #350

110. Сообщение от Аноньимъ (ok), 20-Окт-23, 19:02 +/–

> ну ты-то конечно каждый день проверяешь серт выданный твоим же сервером снаружи?
Да черт его. Браузер же будет матерится если если серт не подписан кемнадо например?
А с ssh такое вообще не прокатит?
То есть, клиент просто должен, по хорошему, помнить доверенный сертификат, и в случае не совпадения
1. Отослать кому надо телеметрию.
2. Наорать на юзера(может быть контр продуктивно, но забавно, и если там тип технически грамотные люди сидят в этом жжабере, то выдать предупреждение о том что с шифрованием что-то не так, вы без штанов и вас вероятно хотят поиметь, наверное таки неплохо)
И если у вашего оченьценного ресурса клиенты этого не умеют, то можно и самому скрипт на питончике налобать check_for_mitm.py
Ну я может глупости говорю...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #121, #419

111. Сообщение от Аноним (87), 20-Окт-23, 19:04 +/–

>Не смотри телевизор! Не слушай радио! Не читай газет!
Так зачем это всё? Если есть инет и, при определённом умении, можно получить доступ к неофициальным источникам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #156

112. Сообщение от Аноним (112), 20-Окт-23, 19:05 +/–

В англоязычных конфах там несколько десятков тысяч иногда набирается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

113. Сообщение от Аноним (118), 20-Окт-23, 19:08 +4 +/–

О сколько нового откроют некоторые для себя о «безопасности» телеграма… когда узнают, что эти мрази сливают инфу по запросу спецслужбам всех стран (и РФ, и Украины, и МОССАД). И ведь неудивительно, учитывая что все хранится на серверах да и ещё в не зашифрованном виде.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #124, #149, #198, #467

114. Сообщение от Аноним (114), 20-Окт-23, 19:09 +1 +/–

Вот и хвалённые сертификаты

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #199

115. Сообщение от noanon (?), 20-Окт-23, 19:09 +/–

The attacker managed to issue multiple SSL/TLS certificates via Let’s Encrypt for jabber.ru and xmpp.ru domains since 18 Apr 2023
Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #160

116. Сообщение от Аноним (116), 20-Окт-23, 19:10 +1 +/–

пользуюсь session messenger,
https://github.com/oxen-io/session-android
вся родня, знакомые, пару друзей , аудио, видео работает, децентрализация, просто шикарно

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #117, #285

117. Сообщение от Аноним (108), 20-Окт-23, 19:14 +/–

Бедная родня... Пожалел бы, что ли. Ей же, в случае чего, на паяльнике сидеть вместо тебя...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #122, #200

118. Сообщение от Аноним (118), 20-Окт-23, 19:14 +3 +/–

В процентах как линпус на десктопе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

119. Сообщение от Kuromi (ok), 20-Окт-23, 19:22 +1 +/–

Ой вэй, о том что пользоваться jabber.ru нельзя жабофилам было известно еще лет пять тому назад.

Ответить | Правка | Наверх | Cообщить модератору

120. Сообщение от Kusb (?), 20-Окт-23, 19:23 +1 +/–

Действительно, в РФ они и не работали бы, ведь суть канареек, что они используют уязвимомть государства, которая заключается в том, что оно подчиняется законам.
Так что видимо тебя не могут принудить вешать канарейку просто по беспределу.
В РФ видимо бессмысленно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

121. Сообщение от нах. (?), 20-Окт-23, 19:23 +/–

> Да черт его. Браузер же будет матерится если если серт не подписан кемнадо например?
так он кем надо подписан. Та самая атака о которой без конца талдычили большевики с момента появления в природе летшиткрипты - любой васян на время подключивший свою платку вместо твоего сервера или просто перенаправивший ненадолго (пару секунд, юзвери не заметят) траффик в соседний свитчик, может выпустить сертификат ничем не хуже твоего. А поскольку ты их меняешь раз в неделю - то даже и не заметишь что он без твоего ведома второй раз поменялся.
> То есть, клиент просто должен, по хорошему, помнить доверенный сертификат
а вот эту фичу браузеры (там целый консорциум из представителей мразилы, гугля, ябла и еще кого-то там, решающий за тебя как тебе жить) объявили под высосанным из пальца предлогом неправильной, небезопастной и отключили на уровне кода, так что никак в принципе назад не вернуть.
Причем яббл ради этого даже пожертвовал собственной безопасностью - раньше траффик между впихоном и его серверами был защищен в том числе и этим. Что сильно усложняло пацанам попытки разобраться, что же он там на самом деле отсылает, одного рутования было мало.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

122. Сообщение от Аноним (116), 20-Окт-23, 19:23 +/–

пожалей тех кто использует telegram или wahtapp

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #129

123. Сообщение от Kusb (?), 20-Окт-23, 19:24 +2 +/–

Что не так с этими словами? Мне кажется они адекватно передают суть, так что говорящий знает жизнь. Или что-то не так?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

124. Сообщение от нах. (?), 20-Окт-23, 19:25 –3 +/–

> что все хранится на серверах да и ещё в не зашифрованном
> виде.
Чего-то ты низкого мнения о пацане намайнившем на принадлежащем его же конторе (но на бабки - разумеется инвесторов а не свои) железе 2000 битков. Это тот случай когда бритвой хэнлона махать не стоит.
Разумеется, в зашифрованном - а то моссад и рф сами не дураки взять без спросу.
Просто ключи у кого надо. Приходите, оплачиваете, и получаете что оплатили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #172

125. Сообщение от Аноним (8), 20-Окт-23, 19:26 +2 +/–

Есть QTox, для которого ничего поднимать не надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #217, #438

126. Сообщение от jsparr (?), 20-Окт-23, 19:29 +/–

Можно попробовать заменить утопией.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #340

127. Сообщение от pic (?), 20-Окт-23, 19:33 +/–

А если заявление напишет гражданин Германии живущий и работающий в России на контракте?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

129. Сообщение от Аноним (118), 20-Окт-23, 19:35 +2 +/–

> wahtapp
Куда более безопаснее чем телеграм. По крайней мере в Украине ловят СБУ только тех кто сливает инфу в телеге.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #140, #173

130. Сообщение от pic (?), 20-Окт-23, 19:36 +1 +/–

Забанят домен, а эта тема как раз поднимет эту тему для Роскомнадзора. Новость опубличили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #195

131. Сообщение от Skullnet (ok), 20-Окт-23, 19:40 +2 +/–

Закопать и юзать Matrix.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #224, #230

132. Сообщение от Аноним (135), 20-Окт-23, 19:40 +/–

Кроме того, кому теперь принадлежит 50%+ их. Про это ещё лет 5-6 назад новость была. Он скомпрометирован давно. Про I2P не знаю, может до сих пор не. Потому, что никому не нужен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #257

133. Сообщение от anon123 (?), 20-Окт-23, 19:42 +/–

>когда хостер тебя сдаёт по "звонковому праву".
Или лучше, когда сотрудник ФБР и АНБ работает аж из офиса Фейсбука и Твиттера, и мониторит, кто плохое пишет. Но это уже другая история.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

134. Сообщение от robo228 (?), 20-Окт-23, 19:43 +1 +/–

Для начала внимание!
STARTTLS не секурно же (read stackexchange and etc)
Во-вторых!
Чтобы вы понимали в тех.поддержке этих двух провайдеров работают из UnderAmerica
Я очень давно слежу searchengineers и знаю кто там и чего воротит.
Надеюсь понятно кто виноват? А не полицаи.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #138

135. Сообщение от Аноним (135), 20-Окт-23, 19:46 +2 +/–

Мобильные ещё живы. На F-Droid смотри. И ещё там куча всего есть. Кстати, за ним стоят те ещё шифропанки-хардкорщики (главный Lycaon_Kter, возможно, русский, судя по аватарке). Как одна процедура обмена ключами у них этим летом проводилась - эпос древнегреческий: https://f-droid.org/en/2023/07/15/community-controlled-backu...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

136. Сообщение от Аноним (11), 20-Окт-23, 19:49 +2 +/–

не в деньгах дела. а в нарушение конституции. это уголовка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #189, #452

137. Сообщение от Аноним (137), 20-Окт-23, 19:52 –1 +/–

>Хецнер сотрудничает с КГБ и ФСБ
А почему нет? После слива данных ФБК стало окончательно понятно, что государства давно в сговоре.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

138. Сообщение от Аноним (2), 20-Окт-23, 19:52 +1 +/–

Дело не в техподдержке, я лично наблюдал некоторый специфический MITM в юрисдикции GB задолго до определённых событий, видимо, тренировались. Плохо, что проверка достоверности сертификатов не является распространённой пользовательской практикой (вроде, такая функция даже существовала в https everywhere, однако, её удалили, видимо, под давлением спецслужб).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #142, #228

140. Сообщение от YetAnotherOnanym (ok), 20-Окт-23, 20:00 +/–

Подозреваю, ловят всех - и тележников, и вацаперов, и вибероедов, и всех прочих.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #143, #202, #261

142. Сообщение от robo228 (?), 20-Окт-23, 20:01 +/–

> Дело не в техподдержке, я лично наблюдал некоторый специфический MITM в юрисдикции
> GB задолго до определённых событий, видимо, тренировались. Плохо, что проверка достоверности
> сертификатов не является распространённой пользовательской практикой (вроде, такая функция
> даже существовала в https everywhere, однако, её удалили, видимо, под давлением
> спецслужб).
MITM джаббер серверов в GB?
А у кого из хостеров?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

143. Сообщение от Аноним (118), 20-Окт-23, 20:08 +3 +/–

Открыть официальные источники СБУ, там поголовно пишут, что сливали в телеграм но ни одной новости нет про другие мессенджеры. Я эту тему плотно мониторю. Вывод? Телега сама сливает всё спецслужбам, причем по обе стороны конфликта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #164, #201

144. Сообщение от OpenEcho (?), 20-Окт-23, 20:09 +/–

> в ССА можно написать
> 300  IN  CAA 0 issue "letsencrypt.org; account=1234567890"
И все? А научить клиентов проверять?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #171, #219

147. Сообщение от Аноним (147), 20-Окт-23, 20:15 +1 +/–

>поддельный TLS-сертификат был получен 18 апреля 2023 года через сервис Let’s Encrypt
Админы jabber.ru - лохи. Специально против таких атак была придумана запись САА в DNS

Ответить | Правка | Наверх | Cообщить модератору

148. Сообщение от Аноним (152), 20-Окт-23, 20:16 –1 +/–

>Предполагается, что атака могла быть совершена с ведома провайдеров по требованию гэбни
Вся суть Let's Encrypt: по требованию гэбни корни доверия - DNS-регистраторы - берут под козырёк с проглотом, а Let's Encrypt типа ни при чём: он же доверяет корням доверия, сам виноват, что позарился на бесплатную услугу по дэмпинговым ценам. И ни в одной юрисдикции не нашлось желающего организовать применение антидемпингового законодательства. Хотя если подумать - у тех, кто доменное имя купил, и на сертификат деньги найдутся.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #153

149. Сообщение от Аноним (149), 20-Окт-23, 20:18 +/–

Да всё проще! Открой настройки->дополнительно->экспорт данных. Вот уж где действительно кладезь для всех тех кто попросит тебя показать телефон где-то на улице, начиная от военкомов, заканчивая полицией.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #155, #519

150. Сообщение от Аноним (3), 20-Окт-23, 20:19 +/–

Впрочем неудивительно, oxpa вон тут признался что они ejabberd не обновляли с 2016 года, что ещё ожидать-то:
https://i.ibb.co/b1XkB1v/image.png

Ответить | Правка | Наверх | Cообщить модератору

151. Сообщение от Аноним (151), 20-Окт-23, 20:19 –5 +/–

У немецких хостеров внезапно могут оказаться совсем не немецкие айтишники. Я даже больше скажу - местные немцы боятся математики/физики/программирования как черт ладана. Поэтому в таких областях крутится много иностранцев, в том числе и из РФ, и из Украины. Остальное додумайте сами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #190

152. Сообщение от Аноним (152), 20-Окт-23, 20:19 +2 +/–

>Но если кто-то думает, что в любом месте хостер вообще ни за что не выдаст клиента, даже при получении демократизатором по морде, то он дурачок.
Fixed.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

153. Сообщение от Аноним (3), 20-Окт-23, 20:20 +/–

Вы сейчас вводите людей в заблуждение. DV проводится LE как минимум двумя разными способами -- один это DNS challenge, второй -- .well-known через 80 порт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #161

154. Сообщение от Аноним (62), 20-Окт-23, 20:21 +/–

И чего там написано что только ключи передаются децентрализовано, остальное тебе совсеми никто ничего не гарантирует. Какое отношение это имеет к безопасности? Спойлер: Никакого.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #183

155. Сообщение от Аноним (118), 20-Окт-23, 20:23 +/–

Да знаем, причём хранящуюся там инфу никак не удалить, что тоже наводит на нехорошие мыслишки...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

156. Сообщение от Аноним (62), 20-Окт-23, 20:24 +/–

Ну потому что большой брат тебе неформально даёт выбор или ешь что дают или не ешь вообще ничего. Никакого другого выбора не положено.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #185

158. Сообщение от Аноним (152), 20-Окт-23, 20:27 +1 +/–

>Could you prevent or monitor this kind of attack?
Вообще пушка. Если надо будет - у хостера есть физический доступ к СВОЕЙ МАШИНЕ - СВОЕЙ СОБСТВЕННОСТИ, В СВОЁМ ДЕЙТАЦЕНТРЕ - СВОЕЙ СОБСТВЕННОСТИ. Подключается DMA-устройство, предоставленное гебнёй. Intel SGX/AMD SEV не защитят - гебне все нужные ключи будут предоставлены. В противном случае сотрудники и руководство будут арестованы до тех пор, пока не выполнят распоряжение судьи.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #245, #246

160. Сообщение от Аноньимъ (ok), 20-Окт-23, 20:38 –1 +/–

> The attacker managed to issue multiple SSL/TLS certificates via Let’s Encrypt for
> jabber.ru and xmpp.ru domains since 18 Apr 2023
> Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для
> доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.
А чё а это как вообще?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #168

161. Сообщение от Аноним (152), 20-Окт-23, 20:42 –1 +/–

А толку, корень доверия всё равно DNS. Контролируя DNS кто надо подставит себя на место сервиса и получит возможность пройти нужные подтверждения.
Вот представь, домен перепродали новому владельцу. Без участия старого - старый просто домен не оплатил. Тут 2 варианта - либо использовать DNS как один корень доверия, либо использовать другие. Напр. потребовать аутентификации через прошлые ключи. Но новый владелец домена ключа не знает, а старый ему его не даст. Отрезать новых владельцев имён от возможности пользоваться Let's Encrypt? Не катит, появятся сквоттеры, будут вымогать деньги, и пойдут они не Let's Encrypt. Проверять личность? В бесплатном сервисе?! А смысл? А если проверяльщики прийдут, а их там арестуют и в суд, а судья прикажет не выпускать, пока они не выполнят поручение судьи соврать о верной проверке? Или ещё проще, ID-документы выдаёт государство, что мешает ему выдать своим сотрудникам поддельные документы на нужное имя. Почему домен ru, а проверяемый оказался гражданином Германии? "Ну так на немке женился, переехал, а бизнес остался, не кошмарьте бизнес пожааалуйста!"
Вывод один - бесплатным CA место ффтопке. Пусть владельцы сервиса вводят минимальную символическую плату за пользование, которую будет достаточно на нормальный CA.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #169

162. Сообщение от timur.davletshin (ok), 20-Окт-23, 20:44 +7 +/–

Думали, ломать будут через сертификат Минцифры, а вышло, что через эти любимые хостинги и CA иносранные. В Спортлото напишите, что вас ломанули. С нашими гоблинами хоть в суд сходить можно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #181

163. Сообщение от anonn (?), 20-Окт-23, 20:44 +10 +/–

Обо всём этом "знают" только три либерастические помойки. А то, что хостер тупо по звонку устроил ru-сервисам MITM - вот это зашквар. Впрочем, чего еще ожидать от райского демократического сада, где ценят свободу, приватность и частную собственность ))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #226

164. Сообщение от Аноним (152), 20-Окт-23, 20:44 +2 +/–

А что иного ты от пашеньки и его кота ожидал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

167. Сообщение от Shevchuk (ok), 20-Окт-23, 20:52 +3 +/–

Телефонное право и басманное правосудие — ежедневная, рутинная реальность. Любой, кто в России хотя бы проверял, все ли базовые права у него в наличии, не говоря даже о том, чтобы полноценно ими пользоваться, очень скоро с этой реальностью сталкивается. Если вы — нет, жизни не знаете именно вы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #239

168. Сообщение от Аноним (3), 20-Окт-23, 20:54 +/–

На прозрачном прокси перехватили трафик на 80 порт, и сделали DV через web challenge. Все ACME-клиенты в это умеют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

169. Сообщение от Аноним (3), 20-Окт-23, 20:58 +1 +/–

Если бы был настроен нормально DNSSEC и вдобавок к нему DNS CAA, конкретно этой атаки просто не случилось бы. Первое не даст подменить записи, второе не позволит выписывать сертификаты как попало.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #188, #208, #225, #268

171. Сообщение от Аноним (3), 20-Окт-23, 21:01 –1 +/–

Без DNSSEC записи CAA более или менее бесполезны. Так что клиенту надо уметь в DNSSEC, что сейчас может как минимум Conversations.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #296

172. Сообщение от Shevchuk (ok), 20-Окт-23, 21:07 +/–

Смотри протокол. На сервере всё расшифровывается. При доступе к серверу читай — не хочу. Потом зашифровывается для отправки получателю. В общем, примерно как здесь в комментариях.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #215

173. Сообщение от Аноним (177), 20-Окт-23, 21:12 +/–

Ровно настолько, насколько гугл "безопасней" яндекса. Вацап может позволить себе игнорить запросы СБУ, но не запросы АНБ. Вот и вся "безопасность".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #178

175. Сообщение от Аноним (177), 20-Окт-23, 21:19 +/–

Ты че гонишь, это же лучшая альтернатива ICQ, самого современного протокола в мире.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

177. Сообщение от Аноним (177), 20-Окт-23, 21:24 –1 +/–

Гугл хотя бы стабильность обеспечивает, а васяны "никому ничего не должны". Это ж насколько нужно себя не уважать, чтобы такими сервисами пользоваться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

178. Сообщение от Аноним (118), 20-Окт-23, 21:24 +1 +/–

Где Украина, Россия а где АНБ? Уж лучше такая безопасность, чем откровенные сливы по первому же запросу. Вспомните как телега резко замирилась с роскомнадзором, когда её хотели прикрыть, думаете просто так?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173

181. Сообщение от Аноним (8), 20-Окт-23, 21:25 +1 +/–

У них там свои Минцифры* хотят данные.
В итоге все равно получаем теорему Эскобара. Web еще всем покажет, где жабы зимуют...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162 Ответы: #191

183. Сообщение от Аноним (91), 20-Окт-23, 21:26 –1 +/–

Написано, что ты не знаешь транспорты

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

185. Сообщение от Аноним (91), 20-Окт-23, 21:29 +/–

Просто обьясни товаристчу,
что такое большой брат
у вас общение глухого с немым

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

188. Сообщение от Аноним (196), 20-Окт-23, 21:30 +2 +/–

>DNSSEC
1. Он не защает от вредоносных действий регистратора.
2. Ты забудь про DNSSEC, эта штука мертворождена. Она либо требуется от всех, что нереально (слишком многие влиятельные заинтересованы в подмене ответов, и они сделают всё, что в их силах, чтобы это не взлетело, напр. через них она просто работать не будет), либо не требуется ни от кого, и можно даунгрейдить. Чтобы это заработало, Let's Encrypt должен перестать предоставлять услуги всем, у кого он не работает  DNSSEC. А толку, если он всё равно не защищает от вредоносных действий регистратора?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

189. Сообщение от Аноним (91), 20-Окт-23, 21:31 –1 +/–

Обладаешь знаниями?
Подай в суд!
Не напрягай общественность

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

190. Сообщение от я (?), 20-Окт-23, 21:31 –1 +/–

В Германии очень хорошее техническое образование

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #282, #334

191. Сообщение от Аноним (196), 20-Окт-23, 21:32 +/–

Это вебу покажут, где у ручки швабры - ножны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181

193. Сообщение от Аноним (91), 20-Окт-23, 21:33 +/–

таки нужьно все разложить,
товаристч

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

194. Сообщение от Аноним (91), 20-Окт-23, 21:35 +/–

для тебя нет
живи в адском вконтакте и
одноглазниках ))
Не напрягай нормальных пиплов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #203

195. Сообщение от Аноним (91), 20-Окт-23, 21:36 +/–

можно ржать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

196. Сообщение от Аноним (196), 20-Окт-23, 21:37 +/–

>Это вообще законно?
Рональд Рейган ответил на этот вопрос ещё в 84 году.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #214

197. Сообщение от Аноним (91), 20-Окт-23, 21:37 +/–

не тарахти
иди читай про gpg

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

198. Сообщение от Аноним (91), 20-Окт-23, 21:39 –1 +/–

"бабло не пахнет?"
ну когда уже ваше поколение запомнит? а?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

199. Сообщение от Аноним (91), 20-Окт-23, 21:40 +/–

смотри в проблемы
не тупи

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

200. Сообщение от Аноним (91), 20-Окт-23, 21:40 –1 +/–

не держи пояльник
побойся Бога

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

201. Сообщение от Денис Попов (?), 20-Окт-23, 21:40 –1 +/–

Вывод: слух у таракана в ногах.
ЗЫ: Включай иногда моск, а то будешь как британские ученые.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #204

202. Сообщение от Аноним (91), 20-Окт-23, 21:42 +/–

Хош сброшу шифротекст влюбоймесаге
разшифруешь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #254

203. Сообщение от Аноним (177), 20-Окт-23, 21:43 +/–

А они из дома выходят, где-то кроме попоек для линуксоедов можно встретить пользователей jabber?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194 Ответы: #212

204. Сообщение от Аноним (91), 20-Окт-23, 21:43 +/–

чо не так?
ты лучше?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #201

208. Сообщение от Аноним (91), 20-Окт-23, 21:48 +/–

хех
ну мудрствовай дальше!
просто шифровать данные нужно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #520

211. Сообщение от Аноним (91), 20-Окт-23, 21:57 +/–

Электорат!
Успкойся

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

212. Сообщение от Аноним (91), 20-Окт-23, 22:03 +/–

чо хотел сказать?
не пользуйся жабром
или ты критикан дешевый?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #203

214. Сообщение от Аноним (91), 20-Окт-23, 22:12 +/–

Задай вопрос Рокфеллерам.
Они ответственны за новый англо-мир ))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196

215. Сообщение от Аноним (91), 20-Окт-23, 22:14 +/–

Вообщем, никто не запрещал допшифрование.
Но вы то конечно об этом не задумывалимсь
свято верите в провайдера

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172

216. Сообщение от lizard (??), 20-Окт-23, 22:26 +/–

matrix? нет, спасибо
https://github.com/libremonde-org/paper-research-privacy-mat...
https://www.nuegia.net/articles/matrix.xhtml
https://hackea.org/notas/matrix.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #326

217. Сообщение от Skullnet (ok), 20-Окт-23, 22:28 +/–

Пользователи XMPP были наказаны за неиспользование токса. (С)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #235

218. Сообщение от Аноним (218), 20-Окт-23, 22:29 +/–

Что это за STARTTLS и чем оно лучше otr?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #241, #247, #287, #311

219. Сообщение от Аноним (219), 20-Окт-23, 22:37 +2 +/–

Это проверяет не клиент, а СА. в данном случае летс енкрипт, что запрос пришёл от правильной учётки, а не только с правильного адреса.
Ну и CT мониторить на счёт появления неустановленных цертов. Сужя по тексту в ЦТ они таки слазили, но уже потом, когда спалили что церт не тот.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #227

221. Сообщение от Анонимс (?), 20-Окт-23, 22:40 +3 +/–

Что немецкие спецслужбы в обход конституции читали переписку в забытом всеми сервисе пахнет плохо. Особо пикантно воняет от того, что банально забыли обновить сертификат.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #223, #231, #232

223. Сообщение от Козьма Прутков (?), 20-Окт-23, 22:45 +1 +/–

61. При виде исправной амуниции. Как презренны все конституции!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221

224. Сообщение от lizard (??), 20-Окт-23, 22:46 –1 +/–

matrix? нет, спасибо
https://github.com/libremonde-org/paper-research-privacy-mat...
https://www.nuegia.net/articles/matrix.xhtml
https://hackea.org/notas/matrix.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

225. Сообщение от Аноним (395), 20-Окт-23, 22:58 +/–

И чем бы этот CAA помог, если у него свои сертификаты тоже от Let’s Encrypt?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #393

226. Сообщение от Mao (?), 20-Окт-23, 23:00 –3 +/–

Свобода, приватность и частная собственность не имеют отношения к активам, связанным с терроризмом

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163

227. Сообщение от OpenEcho (?), 20-Окт-23, 23:03 +/–

> Это проверяет не клиент, а СА.
Да то оно понятно, но только толк он САА если оригинальный хозяин и вор пользуются одним и тем же СА, вот если б была возможность публикануть v DNS фингерпринт сертификата и клиенты позаботились бы сверить его то, было бы айс

> Ну и CT мониторить на счёт появления неустановленных цертов.
Это да, только про certspotter судя по всему народ или нe знал или...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #219 Ответы: #342

228. Сообщение от Аноним (239), 20-Окт-23, 23:04 +1 +/–

Я не помню, чтобы в HE была такая функция. Была SSL Observatory - посылался им сертификат. Вместе с твоей историей поиска с сайтовой гранулярностью. Поэтому оной функцией никто не пользовался. Возможно, что ей будут пользоваться, и изначально не ожидалось.
А проверка сертификатов была в каком-то аддоне для фф. То ли TLS Police. То ли SSL Police. То ли HTTPS Police. Смысл в том, что при первом обращении фингерпринт сайта записывается, а при последующих - сравнивается. Чтобы это прибить сертификаты просто стали ротировать часто. Сначала Гуглаг так делал, в результате каждые несколько минут вылезало страшное окно, что нас, возможно, атакуют. Потом появился Let's Encrypt и всех перевёл на часто ротируемые сертификаты, стимулируя бесплатностью. После этого этот метод детектирования атак можно стало совсем закапывать. Но был ещё HPKP. Его тоже закопали, под предлогом. что не нужен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138 Ответы: #289, #429

229. Сообщение от Аноним (229), 20-Окт-23, 23:07 +/–

Тут раньше и про закрытие хвостом фаерволом так говорили

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #250

230. Сообщение от pic (?), 20-Окт-23, 23:08 +/–

Ибо нет ничего тайного, что не сделалось бы явным, ни сокровенного, что не сделалось бы известным и не обнаружилось бы (c)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

231. Сообщение от pic (?), 20-Окт-23, 23:10 +1 +/–

Оперативники используют для общения игровые чаты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221 Ответы: #259

232. Сообщение от Аноним (239), 20-Окт-23, 23:19 –1 +/–

>Особо пикантно воняет от того, что банально забыли обновить сертификат.
Они к этому времени задачу уже выполнили видимо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221

233. Сообщение от Аноним (243), 20-Окт-23, 23:26 –2 +/–

> Атака организована через перенаправление трафика на транзитный узел,
> подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS.
Добро пожаловать в чудный мир безопасности имени TLS и прочих libopenssl, где приложения тупо кладут на то что это вообще совершенно левая ремота по TLS зацепилась. Сделайте либе дурацкое апи и переусложненный протокол - все и налетят на этом.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #240

235. Сообщение от Аноним (239), 20-Окт-23, 23:33 –1 +/–

В токсе и ломать не надо сервак для получения той инфы, что получили polizei, сделав mitm, в случае использования e2e-шифрования.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #217 Ответы: #365

237. Сообщение от Аноним (239), 20-Окт-23, 23:38 +2 +/–

Классическое "Вы не понимаете, это другое!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

238. Сообщение от JL2001 (ok), 20-Окт-23, 23:40 +/–

про DANE уже писали?
> DANE предусматривает передачу доверенного сертификата, не известного ранее клиенту, средствами DNS с обязательной проверкой подлинности ответа DNS средствами DNSSEC.
https://ru.wikipedia.org/wiki/DANE

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #248, #315

239. Сообщение от Аноним (239), 20-Окт-23, 23:41 +/–

> Телефонное право и басманное правосудие — ежедневная, рутинная реальность.
Любого не-failed государства причём.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

240. Сообщение от Анонимс (?), 20-Окт-23, 23:43 +/–

И да и нет, подписать свой ключ они могут, а вот повторить никак. Реализовать проверку на наличие не по уму любознательных персонажей не сложно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #233 Ответы: #249

241. Сообщение от Аноним (3), 20-Окт-23, 23:48 +2 +/–

Это такие же разные вещи как апельсин и швейная машинка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218

242. Сообщение от Аноним (243), 20-Окт-23, 23:49 +/–

> matrix, только под него пока ни одного клиента не написали, а сервер вообще на скриптах
У которого недавно с его чудной криптолибой - вынесли вообще end to end шифрование, от и до. А вы думали смузехлебы с скриптотой имеют шанс сделать это нормально? Ага, вот вам результат - все кто юзал их смузи-либу и посыпались как горох.
Это даже если забыть что 80% юзерей лезут с сервака elenents'ов. И если те захотят поприкалываться - ну вас и ломать не надо, можно ваших корреспондентов на их серваке мониторить. Даже просто тайминги и объем переписки - уже хлеб, а в паре с айпишниками и подавно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

243. Сообщение от Аноним (243), 20-Окт-23, 23:52 +/–

> И эти люди кричали, что омемо говно, что шифрование не нужно, и
> что омемы и шифроконф на их сервере никогда не будет.
> Поделом, чо.
Как тебе твое omemo поможет, если у тебя аккаунт тупо угонят при таком раскладе и будут делать с ним что захотят? А если это акк жаберадмина - там можно и вообще весь сервер плотно поменеджить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #294

244. Сообщение от Bob (??), 20-Окт-23, 23:54 +/–

Вася, пока ничего конкретно не известно. Так что не надо про "русских". Пока "обижают" только сои же: про vpn уже память отняло? Скорее свои же и туда полезли, по той же причине ибо своих слушать хотят. Гнать на чуваков, принимающих всех желающих как беженцев у себя (Германия) - ну как минимум бредово, пока не будет норм пруфов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #524

245. Сообщение от onanim (?), 20-Окт-23, 23:55 +1 +/–

у вас немножко намешано
> DMA
это угроза для физических серверов, для виртуального сервера никакие DMA не нужны, дамп памяти делается двумя кликами в гипервизоре.
при использовании физического сервера от DMA защищает IOMMU.
> Intel SGX/AMD SEV
а это для виртуальных серверов. но тут да - не защитят :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158

246. Сообщение от Аноним (243), 20-Окт-23, 23:55 +3 +/–

Поэтому мы и любим P2P. Попробуйте там вообще понять что нужно взламывать. И тем более прийти туда и сделать вот это. Не говоря о том что для этого придется бегать индивидуально за каждым хомячком, а не так что разломали 1 серв - и 100500 олухов получили свое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158 Ответы: #358

247. Сообщение от Аноним (243), 21-Окт-23, 00:00 +/–

> Что это за STARTTLS и чем оно лучше otr?
Жабер изначально не был шифрованый вообще, и поэтому в начале клиент и сервер могут начинать конект как обмен нешифроваными XMLками. А потом делают STARTTLS и поднимают TLS конект, чтобы не слать логин-пароль плейнтекстом.
Кроме всего прочего, многие клиенты жабы (а также ирки, и много чего еще) достаточно пофигистичны к тому какой серт подсовывает сервер и насколько это все вообще валидно. Апи в либах TLS и сам TLS - крайне неудачные штуки, более 9000 аспектов которые могут пойти не так и валидировать их все - лажа выходит.
OpenVPN например долго крякали просто сделав валидного клиента, ему выписывают сертификат, этот сертификат заводится на подставном сервере как сертификат СЕРВЕРА, а проверку типа сертификата на это поле - по дефолту оно дофига лет не делало, и любой клиент мог MITMать трафик всей толпы. Ведь его сертификат подписан правильной CA и валиден, а то что оно не сервера а клиента - так это ж где-то в закоулках апи и протокола. Ну и не чекалось по дефолту много лет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218 Ответы: #267, #288

248. Сообщение от Аноним (243), 21-Окт-23, 00:03 +1 +/–

> про DANE уже писали?
Лучше про Tox написать. Если нет центрального сервера, его админа, логина и сертификата - отлично, воровать нечего. Особенно так чтобы накрыло потом крупным оптом сразу толпу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #238 Ответы: #269

249. Сообщение от Аноним (-), 21-Окт-23, 00:06 +/–

> И да и нет, подписать свой ключ они могут, а вот повторить
> никак. Реализовать проверку на наличие не по уму любознательных персонажей не
> сложно.
Но большая часть клиентов жабы это разумеется забудет. С понятным результатом. Ну вот не будет вам безопасно с такими протоколами и апями. Хоть там как. DJB убил цать лет пытаясь эту мысль донести, а некоторые все упираются, даже после того как их без вазелина уже вот.
Более того - вон тот номер может повторить совершенно любой CA - если захочет. Репутация, конечно, пострадает, но если оно того стоило (а сервак на 100500 персон - ценная мишень) то и хрен с ней.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #240

250. Сообщение от Аноним (-), 21-Окт-23, 00:11 +/–

> Тут раньше и про закрытие хвостом фаерволом так говорили
Если ты закроешь жабер файрволом то и чатиться по нему не сможешь. И зачем тебе тогда сервак?! А если не закроешь... ну вот и залогинится к тебе какая-то неведомая хрень, спершая сто лет назад твой же пароль.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #229

251. Сообщение от Аноним (-), 21-Окт-23, 00:12 +/–

> говнохостинги которые называют себя "пуленепробиваемыми". Лично у меня
> сомнений нет, сотрудничают с Абвером, СС и прочими АНБ, да еще как ...
А даже если и нет - то вон там господа типа Equation намекают что некооперативность цели еще не означает что ее не раздолбают в хламину и не инсталлируют туда что-то злое и хайтечное, сильно за пределами вашего понимания.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

252. Сообщение от Аноним (-), 21-Окт-23, 01:06 +/–

> хетзнер давно уже очень странная помойка. В частности, в нем прекрасно себя
> чувствуют tor exit nodes, хотя официальная политика - мы заблокируем ваш
> акаунт и денег не вернем, если там такое обнаружим. Подозреваю что
> и заблокируют - если это твой акаунт. А вот тем васянам
> - нет, там кого надо акаунт.
Реальная политика любого хостера - заблокируют, если вы сохдаете больше проблем чем приносите денег. До тех пор - смотрят сквозь пальцы, ибо бабло побеждает зло. И это и есть правильный бизнес, глупо платить тем кто не на вашей стороне.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

254. Сообщение от YetAnotherOnanym (ok), 21-Окт-23, 01:10 +/–

Сколько платишь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #202 Ответы: #258, #266

256. Сообщение от Аноним (-), 21-Окт-23, 01:11 +/–

> Если используется шифрование своими ключами,
> вообще по..й какой транспорт.
Ну да, только при вон том - аккаунт с314т и смогут делать с ним что угодно. И вытворять что угодно от твоего лица. А так то по...й. Особо прошарные с плагинчиком может и заметят подставу. А может и нет.
> можно еще делать шифротекст бессигнатурный
Если это все про OTR было он примерно так и делает. Но, увы, он сам характерным MAGIC на сервере отсвечивает. Выделяясь из толпы.
А Tox некий эквивалент этого делает вообще всегда, там end to end шифрование между клиентами вообще выключить нельзя - это не предусмотрено совсем. И аккаунт спереть сложновато, разве что самому ключ/профайл пролюбить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

257. Сообщение от Аноним (58), 21-Окт-23, 01:11 –1 +/–

болтовня полная

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

258. Сообщение от Аноним (58), 21-Окт-23, 01:15 +/–

Ты ж профи? А?
Дело чести!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #254 Ответы: #262

259. Сообщение от Аноним (58), 21-Окт-23, 01:16 +/–

да-да
мы такие
оперативники

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #231

261. Сообщение от Аноним (58), 21-Окт-23, 01:18 +/–

Ууух, как ловють
Присоединяйся рыбак

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

262. Сообщение от Аноним (58), 21-Окт-23, 01:19 +/–

Борлтун он!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #258

263. Сообщение от Аноним (267), 21-Окт-23, 01:21 –1 +/–

Администрация жру совершенно не понимает, в каком времени живет. Хецнеры - это было хорошо в 2010 году. Стыдобище. В принципе, уже после сливов Сноудена с буржуйскими хостингами было все ясно.
Главное, отечественное кгб может без проблем сделать митм и сейчас, когда сервис в буржунете. Тут и возможность перехватить днс, и последняя миля к большинству клиентов под контролем. К чему эти понты, не понимаю...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #281, #312

266. Сообщение от YetAnotherOnanyn (?), 21-Окт-23, 01:24 +/–

Кстати, а сколько я хочу?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #254

267. Сообщение от Аноним (267), 21-Окт-23, 01:29 –1 +/–

Ирония в том, что с изменением версии опенвпн проверка на тип сертификата начинает тихо игнориться и конфиг становится уязвимым. Постоянное изменение названий ключей в конфиге похоже на намеренное вредительство.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #247 Ответы: #291, #366

268. Сообщение от Аноним (114), 21-Окт-23, 01:50 +/–

Сертификаты завязаны на третье лицо, которое внезапно вполне конкретное и имеет конкретную юрисдикцию. И только от них зависит что и как они будут проверять. При желании (или при давлении) могут просто выдать сертификат без каких либо DNS или http проверок.
Собственно единственное отличие ЦА от самоподписных сертификатов это наличие рут сертификата в системе/браузере.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

269. Сообщение от Аноним (-), 21-Окт-23, 01:52 +/–

В TOX вместо центрального сервера комутаторы провайдера. Зачем митить что и так неприкрыто?
Приличный Jabber у шифропанка это E2E + TLS. TOX голый E2E

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #248 Ответы: #322, #372

271. Сообщение от torvn77 (ok), 21-Окт-23, 02:05 +1 +/–

Если это будут делать только те, кто хочет что-то скрыть то уже сам ты понял, повышенное внимание будет обеспечено.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #310

272. Сообщение от torvn77 (ok), 21-Окт-23, 02:08 +/–

>Удачи в том чтобы убедить людей из своего списка контактов "обменяться своими ключами по альтернативному каналу".
Так может подумать как это сделать так чтоб делалось если не в один клик, то хотябы заполнением нескольких поочерёдных диалоговых окон?
А истерикой вы ничего не добьётесь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

273. Сообщение от Аноним (-), 21-Окт-23, 02:10 +/–

Речь идет о перехвате незашифрованного трафика, однако  на jabber.ru нет расширения XEP-0384: OMEMO Encryption что эпик фейл

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #346

274. Сообщение от Вася (??), 21-Окт-23, 03:27 +2 +/–

осталась самая малость - добавить к параметрам батхертообразования фактор наличия злоупотреблений получаемой информацией слабовыми структами под предлогом написанными под их же диктовку "законов" и последствием вскрытия фактов для общественности в случае незаконности таких действий.
в Германии будет скандал и отставка, например, а там, где жгущий батхер пылает - что в такой ситуации будет? Повышение если только.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #325

275. Сообщение от Аноним (275), 21-Окт-23, 03:28 +1 +/–

Двачую токс. Удивляет почему он так недооценен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #409, #431

276. Сообщение от Аноним (276), 21-Окт-23, 03:46 –1 +/–

В ЕС нужные люди имеют весьма удобный доступ ко всему и никого не спрашивают. Говорю как разработчик их продукции. И если им понадобится такой доступ (а он не везде нужен), то им его предоставляют разработчики согласно контракту с пунктами о неразглашении. Если вы из России, то хоть ведите себя достойно и не позорьте себя и свою страну. Давайте начнём с вопроса, а что вы сделали ради права чтобы так осуждать силовые структуры вашего государства, функции которых и заключаются в вашей же защите? Вы совершили что-то нелегальное или представитель мест не столь отдалённых что пользуетесь криминальным сленгом? Зачем в своем повествовании вы как-бы ненароком в вопросе без вопросительного знака приравниваете силовые структуры к криминалу? Но мне кажется что вы мой соотечественник.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #314, #483

277. Сообщение от Bob (??), 21-Окт-23, 04:34 +/–

не слать им ничего "такого"? ну и в телеге есть p2p secret chat

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #297, #363

279. Сообщение от Bob (??), 21-Окт-23, 04:38 +/–

Немного копипаст по теме:
"Последние несколько дней в РФ осуществляется очередной эксперимент по блокировке протоколов через DPI у разных провайдеров, и на этот раз блокируют как раз таки именно Jabber/XMPP.
Интересный момент заключается в том, что при блокировке находящихся за границей XMPP серверов, конкретно jabber.ru почему-то не блокировали, хотя он находится в Хетцнере.
Очень люборытное совпадение." https://ntc.party/t/%D0%BE%D0%B1%D1...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #283, #302

280. Сообщение от Аноним (280), 21-Окт-23, 04:58 –4 +/–

Злоумышленники получили доступ к жаберсру помойке и засунули их в ещё один kvm внутри kvm.
А виноваты хосторы и спецслужбы - топкек.

Ответить | Правка | Наверх | Cообщить модератору

281. Сообщение от Коньюктивит (?), 21-Окт-23, 05:52 –5 +/–

> в буржунете
Но другого у нас нет.
Знаете этот анекдот:
Рыночек: Рыночек слушает
СССР жалуется: Капиталисты создают неправильные технологии
Рыночек в недоумении: Так создавай правильные
СССР в а*уе: Кто!? Я!?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #263

282. Сообщение от dr5r (?), 21-Окт-23, 06:25 +/–

Что ж на строящуюся фабрику Интел под Магдебургом людей набрать не могут?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190 Ответы: #423

283. Сообщение от timur.davletshin (ok), 21-Окт-23, 06:49 +2 +/–

Ростелеком. Не блокируется ни Jabber, ни другие, известные мне протоколы. Писали про ESNI/ECH - звездят, оно работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #279

284. Сообщение от Ivan_83 (ok), 21-Окт-23, 08:00 –2 +/–

У меня нет OMEMO и мне оно не нужно, у меня свой жаббер сервер с SelfSigned сертификатом, а всё что выходит за пределы сервера - оно по определению вне зоны моей отвественности и там что угодно может быть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #444

285. Сообщение от Ivan_83 (ok), 21-Окт-23, 08:08 +/–

А на компе как?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #332

287. Сообщение от Ivan_83 (ok), 21-Окт-23, 08:18 +/–

STARTTLS - это раширение присутствующее во множестве разных протоколов.
Суть в том, что в начале соединение устанавливается без TLS, потом клиент отправляет STARTTLS и только тогда соединение начинает TLS хэндшейки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218 Ответы: #368

288. Сообщение от Ivan_83 (ok), 21-Окт-23, 08:22 +/–

Тео написал libtls - обёртка над OpenSSL/LibreSSL API для вот этих всех проверок и пр, короче враппер делающий сам сложные проверки и предоставляющий более удобное API.
Я это дело заюзал в одном проекте.
В общем клиентская часть там вполне, хотя пришлось допилить чтобы пробросить одну из настроек в OpenSSL.
С серверной сложнее - нам надо было больше чем было и пришлось тоже допиливать и расширять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #247 Ответы: #367

289. Сообщение от Ivan_83 (ok), 21-Окт-23, 08:46 +2 +/–

Да, всё так и есть.
Let’s Encrypt убил доверие к TLS.
Раньше сертификат означал что некто предоставил какие то документы в УЦ и оплатил, EV означал что его ещё дополнительно проверили.
А теперь сертификаты раздают кому попало и как попало.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #228 Ответы: #323, #385, #446

290. Сообщение от fidoman (ok), 21-Окт-23, 09:03 +2 +/–

Ну или хотя бы certificate pinning использовать.
Впрочем весь лецэнкрипт это большой костыль пока нет везде DANE.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

291. Сообщение от Sw00p aka Jerom (?), 21-Окт-23, 09:05 +/–

автоматом обновляй, ченджлог не читай, конфиг не проверяй, ломаться ничего не должно :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #267 Ответы: #300

292. Сообщение от Михаил (??), 21-Окт-23, 09:08 +/–

Пожалуйста, автор - расскажите, каким образом вебсайт не заметил подмену сертификата и внедрение "посередине"?
Каким образом можно защитится от подобного пользователям и со стороны владельцев сервера?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #298, #299, #313

293. Сообщение от Аноним (293), 21-Окт-23, 09:50 +1 +/–

Ладно, эти хоть рассказали про обсер, многие могли просто промолчать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #410

294. Сообщение от Аноним (3), 21-Окт-23, 10:07 +/–

Суть как раз в том вся атака делалась для перехвата переписки, прикрытой только TLS. Если бы сервер умел в XEP-0384, то и атака была бы бесполезной. По крайней мере, она бы не привела к компрометации ВСЕЙ переписки ВСЕГО сервера за время атаки по умолчанию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #243 Ответы: #339, #426

295. Сообщение от InuYasha (??), 21-Окт-23, 10:07 +/–

Напомнило как разгоняли правильный демократический бункерный машинный зал, где захостились какие-то пираты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

296. Сообщение от InuYasha (??), 21-Окт-23, 10:13 +/–

Ог регулярно ругался на сертификаты и со скрипом соединялся по TLS, но как, КАК юзер должен понять, что это сертификат неправильный?? Ему выкидывают весь текст key=value на две страницы - сиди, читай, сравнивай? И это при том что у жабберру проблемы со сертами бывали регулярно и все привыкли жать "Да, для всех".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #417

297. Сообщение от InuYasha (??), 21-Окт-23, 10:15 +/–

только на мобилках, если ничего не изменилось (и с чего бы?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #277 Ответы: #492

298. Сообщение от Ivan_83 (ok), 21-Окт-23, 10:29 +2 +/–

Читайте первоисточник: https://notes.valdikss.org.ru/jabber.ru-mitm/
Не заметили потому что один  летсенкрипт сертификат заменили на другой такой же сертификат.
Если бы это был какой то EV сертификат или хотя бы обычный за деньги - то хотя бы стало понятно что сертификат выпущен кем то подозрительно другим и бесплатным.
Защищатся - пинингом сертификата.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #292

299. Сообщение от onanim (?), 21-Окт-23, 10:32 +2 +/–

>  Пожалуйста, автор - расскажите, каким образом вебсайт не заметил подмену сертификата и внедрение "посередине"?
любой из ~50 "доверенных" корневых сертификатов может выпустить сертификат для любого домена и браузер этому сертификату поверит. вы же в курсе, что ваш браузер доверяет всем сертификатам, выпущенным Почтой ГонгКонга и китайским агенством интернет-исследований?
> Каким образом можно защитится от подобного пользователям и со стороны владельцев сервера?
проверять сертификаты при каждом установлении TLS сессии (при каждом заходе на сайт и каждом подключении к серверу XMPP)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #292 Ответы: #316

300. Сообщение от InuYasha (??), 21-Окт-23, 10:39 +2 +/–

apt-get: у вас 45 пакетов могут быть обновлены. Установить (Да/Джигурда)?
Ну, сиди, читай 45 страниц логов. И не факт что напишут так что ты заметишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #291 Ответы: #331, #374

302. Сообщение от InuYasha (??), 21-Окт-23, 10:44 +/–

Ага, недавно нелпохо там прочувствовал: сперва на ОпенВПН (причём российский, рабочий, карл!), потом на xmpp. И жабберру в том числе.
Приглашённые китайские незаменимые специалисты работают как надо! И слив из наших контор в свои конторы тоже организуют - не сомневайтесь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #279 Ответы: #415

306. Сообщение от Аноним (306), 21-Окт-23, 11:45 –1 +/–

Всё что нужно знать про сертификаты от Let's encrypt. Это не про безопасность, а чисто чтоб браузер не ругался.
Это их вина. Они выдали сертификат левому человеку, которому не принадлежит домен.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #307, #319, #464

307. Сообщение от пох. (?), 21-Окт-23, 11:59 +/–

они все свои сертификаты выдают первом-попавшемуся левому человеку, ничуть не парясь проверкой, принадлежит ему что-то там или нет.
Да, все что надо знать про п-сов из летшиткрипт, а так же про синдикат любителей-tls, пропихнувший (причем при взаимном одобрении) отказ от pkp, запрет ev и прочие прекрасные вещи.
Теперь вы наконец убедились, что да, вот именно для этого и старались.
А вовсе не для счастья всем даром и безопастности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #306 Ответы: #521

308. Сообщение от Аноним (91), 21-Окт-23, 12:47 –1 +/–

ничего ты не знаешь.
википедию что ли почитай для начала

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

310. Сообщение от Аноним (91), 21-Окт-23, 12:50 +/–

в жизни все так и есть!
все занимаются своими вопросами сами,
если нужно сделать качественно.
сколько пиплов, которые переделывают
tor browser под себя? полно.
разработчик рекомендует использовать сабж как есть.
т.е. тьма бестолковых профилируется.
а теперь, слышал ли ты о массовой посадке тех самых?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #271

311. Сообщение от Аноним (91), 21-Окт-23, 12:55 +/–

он и в почте есть.
не встречал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218

312. Сообщение от Аноним (91), 21-Окт-23, 13:00 +/–

что даст митм при шифровании е2е?
ведро мусора?
- чет они там переписываются!
- через 30 лет узнаем, когда расшифруем.
- тогда давай вызывать повесткой.
- так оперативной инфы нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #263 Ответы: #349

313. Сообщение от Аноним (91), 21-Окт-23, 13:01 +/–

выводы нужно сделать из случившегося
или просто узнать/вспомнить, что
провайдерам разного толка доверия нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #292

314. Сообщение от ivan_erohin (?), 21-Окт-23, 13:05 +2 +/–

> Говорю как разработчик их продукции.
сын офицера ?
> что вы сделали ради права
хотел инициировать прокурорскую проверку местного ГИБДД. но не срослось, не фартануло.
> чтобы так осуждать силовые структуры вашего государства, функции которых и заключаются
> в вашей же защите?
функции их заключаюся совершенно в другом. но вы не поймете и не захотите понимать.
> Вы совершили что-то нелегальное
да, постоянно совершаю. ВПН и анонимайзеры в РФ нелегальны.
> Зачем в своем повествовании
> вы как-бы ненароком в вопросе без вопросительного знака приравниваете силовые структуры
> к криминалу?
теория стационарного бандита.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #276 Ответы: #330, #338

315. Сообщение от Аноним (315), 21-Окт-23, 13:06 +1 +/–

DNSSEC почти нигде нормально не работает. То есть, есть миллион причин, почему он может не работать. И это делает тривильной следующую атаку: на MITM отламывать подписи и слать пакеты дальше.
После пары дней мучений "почему у меня не получается выписать сертификат", DNSSEC отключается самим юзером.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #238

316. Сообщение от Аноним (315), 21-Окт-23, 13:09 –2 +/–

А чего вы проверите? В сертификате MITM пишет то же самое, что и валидный сервер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #299 Ответы: #324

319. Сообщение от Аноним (319), 21-Окт-23, 14:47 +1 +/–

Потому что LE удостоверяет только контроль над доменом и ничего больше. С проверками аусвайсов - это вам к коммерческим УЦ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #306 Ответы: #522

320. Сообщение от Vladjmir (ok), 21-Окт-23, 15:25 –1 +/–

Все эти сертификаты говно полное. Будущее за сквозным шифрованием как в Телеге.
А владельцы jabber.ru и xmpp.ru -- идиоты. Им русским языком было сказано, что вся критическая инфраструктура должна быть физически расположена в России на российских серверах.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #321, #335, #347, #457

321. Сообщение от Аноним (321), 21-Окт-23, 15:48 –1 +/–

Не волнуйся, инфраструктуру из камней и палок в дэйтацентры цивилизованных стран не примут. Только в родной пещере. В качестве файловой системы - наскальные рисунки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #320

322. Сообщение от Аноним (275), 21-Окт-23, 15:49 +/–

Вот в жабе точек отказа больше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #269

323. Сообщение от Аноним (323), 21-Окт-23, 15:57 +/–

Дело не в документах и проверках, а в продвигаемой методом кнута (гугл) и пряника (let's encrypt) частой ротации сертификатов. Если с Гуглом ущёрб  был ограничен гуглом, то в случае let's encrypt всех банально задешево купили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #289 Ответы: #343

324. Сообщение от onanim (?), 21-Окт-23, 16:10 +2 +/–

> А чего вы проверите?
fingerprint
> В сертификате MITM пишет то же самое, что и валидный сервер.
нужно быть совсем долботрясом, чтобы проверять CN или что вы там собирались, вместо фингерпринта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #316 Ответы: #336

325. Сообщение от Аноним (325), 21-Окт-23, 16:43 +/–

Опят ь этодругином пытаются кормить. Как там с граде на холме с сыном президента? Где всякая запрещенка, пропавшие ноуты, нелегальные денежные передачки от других государств. Что там сынку сейчас выдали от правосудия не напомнишь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #274 Ответы: #381

326. Сообщение от Аноним (325), 21-Окт-23, 16:46 +/–

зачем ты бегаешь с левыми ссылками по всему треду? Там половина аргументов "я обиженка, потому что это не хмпп". Ничего особо критичного там не наблюдается. А вот его хмпп в помойке. Каждый реализовал как хотел стандарты и по результатам утопили всё.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216

329. Сообщение от Аноним (329), 21-Окт-23, 17:29 +/–

Мне в свое время (по поводу фишингового письма) ответили по существу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

330. Сообщение от Аноним (330), 21-Окт-23, 17:41 +/–

Я не из России. Иван Ерохин, а разве вы из России? Мне от Google выдаёт что мой соотечественник, из Киева. Впрочем профилей много нашло, включая из России. Если вы все-таки из Украины, то вы не туда обратились — не очень эффективно, есть другие структуры. Ясно позорище, мне вас реально не понять. И в некоторой степени жаль. Вижу что некоторые люди пишут об очень деструктивных действиях,  ну смотрите — можете добиться того что уйдёте в историю вслед за индейцами. Впрочем интернет- интернетом, а реальность того что у вас происходит мне не ведома, меня там нет. Я думаю что ты хрень какую-то несёшь, потому что хоть какую-то реальную информацию я получаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #314

331. Сообщение от Sw00p aka Jerom (?), 21-Окт-23, 17:45 –1 +/–

ну тогда х*як, х*як и в продакшен, смузи этому джентельмену

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #300

332. Сообщение от Да да не удивляйтесь (?), 21-Окт-23, 17:45 +/–

Так же

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #285

334. Сообщение от Аноним (58), 21-Окт-23, 17:59 +/–

В россии тоже сорос организовал
отличное образование.
таки и сварщиков, с сантехниками днем с огнем не сыщешь

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190 Ответы: #430

335. Сообщение от Аноним (58), 21-Окт-23, 18:07 +3 +/–

> сквозным шифрованием как в Телеге
Телега и шифрование? Пропагандист, ты что несешь?
Дуров = vkontakt/мэйлру = усманов (мегафон, dpi & etc) = fsb
Ищи дэбилов пользоваться этим Г...!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #320 Ответы: #355

336. Сообщение от Аноним (325), 21-Окт-23, 18:11 +/–

> fingerprint
А если каждую неделю перевыпускается серт, что тогда делать? Как найти в этой куче левый запрос?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #324 Ответы: #337

337. Сообщение от onanim (?), 21-Окт-23, 18:17 +/–

>> fingerprint
> А если каждую неделю перевыпускается серт, что тогда делать?
не быть самому себе злобным буратиной, даже Let's Encrypt каждые 3 месяца перевыпускает.
ну и скрипту в кроне пофиг, как часто перевыпускается серт, хоть раз в час перевыпускай.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #336

338. Сообщение от Аноним (338), 21-Окт-23, 18:31 +/–

Вы у меня вызываете глубокое отторжение. Я пытаюсь свыкнуться с тем что происходит, пытаюсь принять неизбежное. Но это просто трындец. Факт в том что очень много людей стали жадными и алчными — вот это и есть корень всех бед. Ты ж не уехал в сквзочную ЕС, а зарабатывал у себя на родине будучи виртуальным маятниковым мигрантом. Правда парень? Я это двуличие уже просто не перевариваю, почему бы вам не называть все своими именами?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #314

339. Сообщение от Аноним (-), 21-Окт-23, 18:41 +/–

XEP-0384: Шифрование OMEMO — это клиентский протокол, достаточно использовать клиент с его поддержкой, например, Cheogram Android или Monocles chat, и подтвердить ключи шифрования пользователями на обеих сторонах соединения, чтобы избежать компрометации сообщений, даже на серверах, перехватывающих трафик.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #294 Ответы: #408

340. Сообщение от Аноним (-), 21-Окт-23, 18:47 +/–

Это приманка с закрытым исходным кодом для доверчивых, вроде Vipole.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

341. Сообщение от Аноним (-), 21-Окт-23, 18:53 +/–

Или его форком Cheogram Android, у которого добавлена поддержка транспортов в телефонную сеть, электронную почту и SIP.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

342. Сообщение от лютый арчешкольник... (?), 21-Окт-23, 18:58 +/–

>но только толк он САА если оригинальный хозяин и вор пользуются одним и тем же СА
ты или недосягаемо умный и чего-то такое знаешь или глупенький... если ты пропишешь свой аккаунт в DNS, LE просто не выдаст врагам сертификат на твой домен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #227 Ответы: #395, #413

343. Сообщение от robo228 (?), 21-Окт-23, 18:58 +/–

> Дело не в документах и проверках, а в продвигаемой методом кнута (гугл)
> и пряника (let's encrypt) частой ротации сертификатов. Если с Гуглом ущёрб
>  был ограничен гуглом, то в случае let's encrypt всех банально
> задешево купили.
И что теперь делать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #323 Ответы: #424

344. Сообщение от Аноним (-), 21-Окт-23, 19:06 +/–

OMEMO. OpenPGP не обеспечивает никакой прямой секретности и уязвим для атак повторного воспроизведения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

345. Сообщение от Аноним (-), 21-Окт-23, 19:33 +/–

XMPP-клиент Quicksy регистрируется по номеру телефона и в нём есть OMEMO.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

346. Сообщение от Аноним (-), 21-Окт-23, 19:42 +/–

Нет и не будет, потому что это расширение для клиентов, а не для серверов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #273 Ответы: #460, #491

347. Сообщение от pic (?), 21-Окт-23, 20:02 +1 +/–

Это идиотизм регистрировать аккаунт на номер телефона или электронную почту.
По нормальному - только логин, пароль и кодовое слово, причём если забыл все 3 параметра, то в первую неделю неактивности аккаунта должна автоматически вычищаться история сообщений всех чатов, а через полгода весь аккаунт подлежать автоматическому удалению.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #320 Ответы: #348

348. Сообщение от pic (?), 21-Окт-23, 20:05 +/–

Двойной идиотизм Дурова привязывать номер телефона аккаунта к IMEI.
Попробуйте вставить SIM-карту в другой слот смартфона или в кнопочный телефон, когда Вы вышли со всех устройств, СМС или звонок от Telegram не придут на них, только слот с тем IMEI, который Вы регистрировали аккаунт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #347 Ответы: #357

349. Сообщение от pic (?), 21-Окт-23, 20:12 +/–

Большинство e2e очень лень, даже несчастные секретные чаты в телеге и то, многим лень.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #312 Ответы: #436

350. Сообщение от Alex_K (??), 21-Окт-23, 20:12 +/–

Администратором домена jabber.ru является физ лицо
https://cctld.ru/service/plus/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

352. Сообщение от Аноним (352), 21-Окт-23, 20:26 –3 +/–

1. Вопрос номер один? - кому принадлежит jabber.ru - такое старое говно могли поддерживать финансово только спецслужбы.
2. Вопрос номер два, почему так все каряво сделали этот mitm?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #353, #383, #474

353. Сообщение от Аноним (352), 21-Окт-23, 20:39 –2 +/–

И еще rutracker там же - это одна и таже контора. Надо смотреть на мир не замазанными глазами

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #352 Ответы: #356

355. Сообщение от Vladjmir (ok), 21-Окт-23, 20:42 –1 +/–

С выходом из криокамеры!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #335

356. Сообщение от Аноним (352), 21-Окт-23, 20:50 –1 +/–

А ValdikSS именно оттуда и родился, вот и думайте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #353 Ответы: #359, #422

357. Сообщение от Vladjmir (ok), 21-Окт-23, 20:52 –2 +/–

Дуров вовсю старается, чтобы ты не потерял доступ к своему профилю. Привязка к номеру телефона удобна тем, что в Телеге видишь всех людей из адресной книги своего смартфона. Не надо ни с кем устанавливать первоначальный контакт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #348 Ответы: #361, #362, #364, #377

358. Сообщение от Электрон (?), 21-Окт-23, 21:07 +1 +/–

Хомячки в западных странах перестали или боятся пользоваться Bittorrent. Не понадобился даже ецилопп, только развязали руки адвокатам на этом зарабатывать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #246 Ответы: #447

359. Сообщение от Аноним (352), 21-Окт-23, 21:10 –1 +/–

Сколько этот чкловек успевает сделать и старательно писать во все соцсети, да он рекламирует свой vpn - тогда где другие люди? он что избранный богами?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #356 Ответы: #360

360. Сообщение от Аноним (352), 21-Окт-23, 21:13 –1 +/–

Вывод: Ник vladikss использует какая-то групировка

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #359 Ответы: #376

361. Сообщение от pic (?), 21-Окт-23, 21:14 +1 +/–

Ну, да. Кто-то выбирает удобство, кто-то безопасность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #357 Ответы: #371

362. Сообщение от pic (?), 21-Окт-23, 21:18 +/–

Российская почта или российский номер телефона это требование по законам РФ, однако, желания использовать что-то из этого, как и подобное зарубежное снижается. Не конспирология, конечно, тенденция неумолимая.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #357 Ответы: #375, #379

363. Сообщение от Аноним (-), 21-Окт-23, 21:19 +/–

> не слать им ничего "такого"? ну и в телеге есть p2p secret chat
Это не про него там в советах "определение IP собеседника" случайно? P2P так то тоже хорош только если с умом сделан, с учетом приваси :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #277

364. Сообщение от pic (?), 21-Окт-23, 21:21 +/–

Любая соцсеть и её участники стараются чтобы ты не выпадал из неё, а что-то неопосредованное сразу встречается в штыки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #357

365. Сообщение от Аноним (-), 21-Окт-23, 21:22 +/–

> В токсе и ломать не надо сервак для получения той инфы, что
> получили polizei, сделав mitm, в случае использования e2e-шифрования.
В Tox end to end шифрование 1 на 1 всегда - и вообще неотключаемо. Угнать аккаунт тоже не получится - для этого надо приватный ключ по публичному вычислить.
Забанить неугодный акк или читать всю переписку - ну вот не вырисовывается так по простому. И одного центрального сервака где можно грести лопатой данные по сотням тыщ аккаунтов, их активности и проч - тоже нет. Так что поздравляю гражданин соврамши.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #235 Ответы: #427

366. Сообщение от Аноним (-), 21-Окт-23, 21:27 +/–

> Ирония в том, что с изменением версии опенвпн проверка на тип сертификата
> начинает тихо игнориться и конфиг становится уязвимым.
Он изначально уязвимый был. По дефолту. Но если вам очень не нравится - мы могли прописать проверку типа серта, мануально. Нормальная такая "безопасность" - не взял миноискатель, виси кишками на дереве, сам виноват, дескать. Отличная политика. В какой-то момент это дошло и тип серта все же стали чекать - но к тому моменту про ЭТО были в курсе не только майоры всех стран, но и самые сопливые скрипткидизы которых они ловят. Average Joe разумеется оказался крайним, как обычно.
> Постоянное изменение названий ключей в конфиге похоже на намеренное вредительство.
Да там вся приблуда - монструозное тормозное стремное "нечно". Как-то так мы и полюбили вайргад.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #267

367. Сообщение от Аноним (-), 21-Окт-23, 21:38 +/–

> Тео написал libtls - обёртка над OpenSSL/LibreSSL API для вот этих всех
> проверок и пр, короче враппер делающий сам сложные проверки и предоставляющий
> более удобное API.
А DJB вместо этих жалких потуг сделать из фекалиев конфеты - новое апи создал. Апи кстати само по себе вообще происходит из его крипто-бенчей для, кажется, EUROCRYPT и в принципе это достаточно абстрактное и там куча алго так в том бенче окучано. И да, если вы дадите крипто-ламерам более 9000 рукояток - они и облажаются ну вот так.
Поэтому вайргад намного безопаснее openvpn. Особенно если им пользуется не криптограф. Криптограф тоже, впрочем, облажается сделать аудит штуке с openssl размером, и о ней занарее известно что ее дилетанты в крипто делают. Настолько дилетанты что при использовании HW crypto слепо верят RNG проца, например. Так что если завтра АНБ случайно угадает ваш 100500 битный RSA - "и тут карта как поперла, как поперла!"
> Я это дело заюзал в одном проекте.
"Хорошо что все это не у меня".
> В общем клиентская часть там вполне, хотя пришлось допилить чтобы пробросить одну
> из настроек в OpenSSL.
Как по мне openssl маздай что клиент, что сервер, с хоть каким апи. TLS как протокол сам по себе полный ахтунг. Даже тот же Tox обеспечивает намного более хорошие гарантии в режиме zeroconf. Да, неотключаемый end to end и как минимум PFS. А жабир с всеми его TLS - вот - у админа акк сломали, а уж хомяки оптом откушали по любому.
> С серверной сложнее - нам надо было больше чем было и пришлось
> тоже допиливать и расширять.
Сорта д@рьма обречены на характерный юзер экспериенс и безопасТность, уж простите за мой французский. А конкретно OpenBSD известен уровнем безопасности когда виртуализатор из гуеста в кернелмод хоста мог - потому что эти красавчики в права страниц не смогли. Насколько там лучше эти неромансеры в крипто - хрен бы их знает. OpenSSH например тоже довольно дырявый и грабельный протокол с очень слабыми гарантиями.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #288

368. Сообщение от Аноним (-), 21-Окт-23, 21:39 +/–

> STARTTLS - это раширение присутствующее во множестве разных протоколов.
> Суть в том, что в начале соединение устанавливается без TLS, потом клиент
> отправляет STARTTLS и только тогда соединение начинает TLS хэндшейки.
И это дает атакующему много удобных возможностей. Можно, вот, удобный редиректик сделать. И когда кто-то делает протоколы вот так - к ним только 1 вопрос: мужик, ты за меня или за медведя?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #287 Ответы: #433

369. Сообщение от Аноним (352), 21-Окт-23, 21:41 +/–

https://security.stackexchange.com/questions/73244/can-we-ha...

Ответить | Правка | Наверх | Cообщить модератору

371. Сообщение от Vladjmir (ok), 21-Окт-23, 21:50 –1 +/–

Точнее сказать анонимность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #361 Ответы: #392

372. Сообщение от Аноним (374), 21-Окт-23, 21:50 +1 +/–

> В TOX вместо центрального сервера комутаторы провайдера.
И, собственно, чего? Самим по себе коммутаторам вообще не очевидно что это такое и по какому поводу. Там также есть на минималочках onion, релеинг и проч. А на максималочках, можно заворачивать это в TCP типа tor или shadowsocks какого - или гонять внутрях впн.
В случае жабы если поимели именно сервак жабы и их админа, все вон то вам - вообще совсем никак не поможет. Если экситу тора покажут левый серт а жаба клиент схавает, разницы ровно ноль. А если вы "доверяли" админу - ну вот вся пачка доверявших залетает. А тут даже если кто-то кого-то развел - ну, может, 1 баклан у другого приватный ключ сопрет. Но это ключ 1 баклана, а не 100 000 юзерей.
> Зачем митить что и так неприкрыто?
Вообще-то он не очень удобный для анализа - особенно у шифропанков, которые умеют в layered approach. Для тех кто понимает - там можно получить весьма хороший контроль что p2p core делать будет.
> Приличный Jabber у шифропанка это E2E + TLS. TOX голый E2E
Tox это e2e + integrated security + минимальный onion + возмжность это все весьма  недурно контролировать, пуская через TCP-proxy. И при этом нет единого центрального сервака где можно узнать "с кем вася, ключ 1234..CDEF контактировал цатого хренабря дветыщи хренацатого года". Ну вот просто нет такой точки пространства-времени. Особенно - если это шифропанк.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #269

373. Сообщение от Аноним (-), 21-Окт-23, 21:55 +/–

Охра, можете перевести сервер на хостинг Белтелеком в Беларуси.
https://beltelecom.by/private/hosting/predostavlenie-fiziche...
https://www.beltelecom.by/business/hosting/secure-hosting

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #414

374. Сообщение от Аноним (374), 21-Окт-23, 21:57 +/–

> apt-get: у вас 45 пакетов могут быть обновлены. Установить (Да/Джигурда)?
> Ну, сиди, читай 45 страниц логов. И не факт что напишут так что ты заметишь.
Я примерно так и делаю. А альтернатива какая? А - у вас 0 апдейтов. И я - который нашел три виндовых сборки программ с уязвимым libcurl, которые можно ремотно трахнуть. У линуксоидов то скажешь да - апт накатит свежий libcurl и как его такого потом хакать? А у этих - там целый детектив кто куда и как libcurl влинковал. И с соседними либами - точно такая же фигня. Поэтому на практике юзеров винды и прочих маков можно трахать древними эксплойтами. Даже работает.
А ченжлог - если вдруг он вам интересен - вы будете по 45 разным сайтам разных програмеров тогда искать. Круто, правда? И если в synaptic каком или packages.debian.org можно просто кнопу "позырить лог пакета" нажать - то вон там кнопы не будет, будете 45 совершенно разных сайтов обклацывать для того же знания :)
Отсюда мораль: все познается в сравнении.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #300

375. Сообщение от Vladjmir (ok), 21-Окт-23, 22:01 –1 +/–

Для зарубежа можно выбрать мессенджер, который не требует регистрацию через телефон. А, например, достаточно почты, которую можно завести на иностранном почтовом сервисе. Как вариант можно завести виртуальный анонимный номер телефона и зарегиться через него.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #362

376. Сообщение от Аноним (352), 21-Окт-23, 22:02 –1 +/–

Это как павел дуров - бывший стрептезер, только vladikss для другой аудитории более умной.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #360 Ответы: #378

377. Сообщение от Аноним (374), 21-Окт-23, 22:05 +2 +/–

> Дуров вовсю старается, чтобы ты не потерял доступ к своему профилю.
> Привязка к номеру телефона удобна тем, что
...что аккаунт НеЛоха можно в любой момент резко и внезапно УГНАТЬ с весьма умеренными затратами. С предсказуемым для НеЛоха результатом. Вооооон там господа пафосно пишут сколько и кого упаковали. Не буду уточнять их юрисдикцию - таких уже минимум несколько.
> в Телеге видишь всех людей из адресной книги своего смартфона. Не надо ни с
> кем устанавливать первоначальный контакт.
Удобство и безопасность живут по разную сторону улицы. Хотя конечно Дуров оказал неоценимую услугу человечеству - столько тупарей было упакованно спецслужбами разных стран под слонагы о безопасности этого чатика.... ничего личного это бизнес :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #357 Ответы: #382, #384

378. Сообщение от Аноним (374), 21-Окт-23, 22:12 +1 +/–

> Это как павел дуров - бывший стрептезер, только vladikss для другой аудитории > более умной.
Извини, анон (352) но это интернет - и твои жалкие потуги косплеить толпу анонов путем чата самого с собой (352) могут и обнаружить случайно. Treason uncloaked.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #376 Ответы: #380

379. Сообщение от Vladjmir (ok), 21-Окт-23, 22:18 –1 +/–

Для конспирологии можно выбрать что-то типа Tor Messenger с регистрацией профиля без телефона, без почты и с подключением собеседника по QR-коду. В нём можно плодить кучу анонимных профилей, можно даже индивидуальных для каждого контактного лица. Но эта прога не для ширпотреба.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #362

380. Сообщение от Аноним (352), 21-Окт-23, 22:18 –1 +/–

Я и не скрываю что добавляю сюда свои комментарии, под пиво сразу все не вспомнишь. кусками выкладываю

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #378

381. Сообщение от Аноним (381), 21-Окт-23, 22:30 +/–

> Опят ь этодругином пытаются кормить. Как там с граде на холме с сыном президента?
...
> Что там сынку сейчас выдали от правосудия не напомнишь?
И чо там выдали (и какой у вас там, в будущем, курс битка)?
Или ты о том, что сейчас судят бывшего президента Австрии за ложные показания о взятке (причем, даже не его) или опять "это другое!"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #325 Ответы: #480

382. Сообщение от Vladjmir (ok), 21-Окт-23, 22:39 –2 +/–

Не надо требовать от массового мессенджера гарантий анонимности и безопасности. Для этих целей нужно пользоваться мессенджерами, специально заточенными под анонимность и безопасность. Дуров пошёл на сотрудничество со спец.службами по противодействию экстремизму и терроризму, благодаря чего и сняли блокировку с Телеги в России. А до этого взломать канал связи Телеграм у ФСБ не получилось и даже полную блокировку не смогли сделать, хотя и сильно замедлили телегу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #377 Ответы: #442

383. Сообщение от Vladjmir (ok), 21-Окт-23, 22:57 –2 +/–

Вопрос № 1. Почему серверы jabber.ru и xmpp.ru и вся система связи (вспомогательные VPS-окружения и прокси-серверы) размещались за рубежом, хотя закон предписывает, что вся критическая инфраструктура, включая серверы хранения данных рос. пользователей должны размещаться в России на российских серверах?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #352 Ответы: #411

384. Сообщение от Vladjmir (ok), 21-Окт-23, 23:11 +/–

Очевидно, НеЛохи -- это те, кого слушали западные спецслужбы через jabber.ru и xmpp.ru.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #377 Ответы: #402, #459

385. Сообщение от sigprof (ok), 21-Окт-23, 23:22 +/–

До Let's Encrypt бесплатно раздавал сертификаты, например, Startcom.  Да и получение платного сертификата уровня DV не требовало и не требует ничего сложнее, чем то, что сейчас проверяет Let's Encrypt (никакие документы для этого не требуется, разве что процесс оплаты оставляет какие-то следы, указывающие на источник платежа).  При этом, даже если у настоящего сайта сертификат EV, замену его на обычный DV-сертификат мало кто заметит (в последнее время даже браузеры не особо афишируют наличие EV).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #289

392. Сообщение от Аноним (91), 21-Окт-23, 23:35 +/–

какая анонимность?
ты о чем?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #371

393. Сообщение от sigprof (ok), 21-Окт-23, 23:35 +/–

https://letsencrypt.org/docs/caa/
Помимо просто указания допустимых CA, в случае Let's Encrypt могут быть указаны дополнительные параметры.  Например, через параметр accounturi можно указать идентификатор конкретной учётной записи, в результате чего получить сертификат можно будет только при наличии ключа, соответствующего этой учётной записи (либо при получении доступа к управлению записями домена, что позволит изменить мешающую запись CAA).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #225

395. Сообщение от Аноним (395), 21-Окт-23, 23:36 +/–

Не все удостоверяющие центры поддерживают САА. Кроме LE сертификат можно получить и у других.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #342

402. Сообщение от Аноним (58), 21-Окт-23, 23:46 +/–

наплевать
и на тебя

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #384

408. Сообщение от Аноним (3), 22-Окт-23, 00:21 +/–

Без поддержки PEP со стороны сервера ничего работать не будет. А на жру его как раз нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #339 Ответы: #448

409. Сообщение от Аноним (3), 22-Окт-23, 00:24 +1 +/–

Потому что за 10 лет так и не было никакого аудита, потому что написано на голом Си, потому что клиентов нормальных так никто и не сделал (в первую очередь, для мобилы).
Но самое главное -- это, пожалуй, самые токсичные ушлёпки в качестве руководителей проекта (впрочем чего ещё ждать от форчан-кунов?)
Куча авторов клиентов просто кинула этот гадюшник нафиг, решив потратить своё время и скилл на нормальных людей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #275 Ответы: #432

410. Сообщение от Аноним (3), 22-Окт-23, 00:26 +/–

Про обсер рассказал ValdikSS -- в очередной раз спасибо ему, кстати.
Если б его не позвали помочь разобраться -- я уверен, эти диды сидели бы и дальше молча, заметя весь инцидент под ковёр.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #293

411. Сообщение от Аноним (3), 22-Окт-23, 00:33 +2 +/–

Возьми с полки свои 15 рублей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #383 Ответы: #437

413. Сообщение от OpenEcho (?), 22-Окт-23, 03:42 +/–

>>но только толк он САА если оригинальный хозяин и вор пользуются одним и тем же СА
> ты или недосягаемо умный и чего-то такое знаешь или глупенький... если ты
> пропишешь свой аккаунт в DNS, LE просто не выдаст врагам сертификат
> на твой домен.
Ты б сперва читать хотя бы научился, перед тем как других глупенькими называть...
rfc6844 в зубы

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #342

414. Сообщение от cheburnator9000 (ok), 22-Окт-23, 04:41 +/–

С прямым подключением мониторинга трафика от КГБ РБ?
>объем входящего/исходящего трафика, ГБ
2/2
5/5
10/10
15/15
25/25
25/25
Ну. Ну.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #373 Ответы: #455

415. Сообщение от Аноним (415), 22-Окт-23, 08:26 +1 +/–

>И слив из наших контор в свои конторы тоже организуют
Что-то вы не жаловались, когда из ваши контор сливали в конторы дяди Джо. Или это другое, и это понимать надо?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #302 Ответы: #416

416. Сообщение от InuYasha (??), 22-Окт-23, 11:10 –1 +/–

Что ты несёшь вообще? Поехавший...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #415

417. Сообщение от Аноним (3), 22-Окт-23, 12:00 –1 +/–

Ну так это проблемки сервиса, нежели клиента, раз у него сертификаты моросят без остановки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #296

419. Сообщение от dasd (?), 22-Окт-23, 12:06 +/–

Плагин к браузеру Certifiacte patrol умел что то такое (помнить).
Но замучаешься особенно со сложными сайтами, где все (под)домены на балансирвщиках с невнятными именами и сертификат каждое соединение другой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #428

421. Сообщение от dasd (?), 22-Окт-23, 12:40 +/–

Чой то никто про CT не вспомнил...

Ответить | Правка | Наверх | Cообщить модератору

422. Сообщение от Аноним (424), 22-Окт-23, 12:46 +/–

Валдик - это сосед по общаге Павла Жовнера (со слов самого Валдика многолетней давности, когда у Жовнера ещё не было бизнеса по производству Flipper Zero) тех времён, когда они в универе учились.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #356

423. Сообщение от fi (ok), 22-Окт-23, 12:54 +/–

Увы для Германии, многие немцы после гимназии и уни едут работать в штаты, и мир посмотреть, и подзаработать. Потом можно вернуться из IBM и получить професора )))
А так технические професии очень даже ценяться, многие начитают работать в крупных компаниях еще во время учебы, получая доступ к супер современному оборудованию, потом туда идут работать.
И Интел еще наберет студентов на практику, когда подрастут, будет им работа.
Но со школой действительно есть проблемы - слабое знание немецкого у школяров.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #282

424. Сообщение от Аноним (424), 22-Окт-23, 12:54 +/–

Очевидно: продаваться задешево. Теория игр, ничего личного.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #343

426. Сообщение от Аноним (430), 22-Окт-23, 13:04 +/–

> Суть как раз в том вся атака делалась для перехвата переписки, прикрытой
> только TLS.
КМК угон админского ника идет чуть дальше чем "перехват переписки" и никакое омемо не поможет.
> Если бы сервер умел в XEP-0384, то и атака была бы бесполезной.
Угон аккаунта админа сервака достаточно забавен даже если переписку спереть не удалось.
> По крайней мере, она бы не привела к компрометации ВСЕЙ переписки ВСЕГО сервера
> за время атаки по умолчанию.
Ну вот поэтому я и использую Tox.
1) Нет сервера который можно компрометировать - и поэтому нельзя нагреть 100К дятлов за раз.
2) Заодно нет удобной точки оптового анализа метаданных "кто, когда, с кем и сколько".
3) Шифрование end to end, по дефолту, неотключаемое. А не как в жаббере тупом.
4) В отличие от жабера хотя-бы передача файлов работает всегда и нет 4-5 несовместимых способов делать одно и то же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #294 Ответы: #449

427. Сообщение от Аноним (427), 22-Окт-23, 13:05 +/–

Polizei банить и не надо. Им нужны метаданные в первую очередь. Переписка может быть зашифрована навесным шифрованием в джаббере. А вот метаданные серваку, а также расшифровавшим соединения до него, доступны. А у токса метаданные доступны всей сети открытым текстом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #365 Ответы: #435

428. Сообщение от Аноним (428), 22-Окт-23, 13:08 +/–

Спасибо, вспомнил названия, да он.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #419

429. Сообщение от Аноним (429), 22-Окт-23, 13:15 +/–

Аддон назывался Certificate Patrol. Пгосто на иконке была полицейская машина нарисована.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #228

430. Сообщение от Аноним (430), 22-Окт-23, 13:20 +/–

> В россии тоже сорос организовал > отличное образование.
> таки и сварщиков, с сантехниками днем с огнем не сыщешь
Даже в РФ есть нормальные сварщики и сантехники. Весьма на уровне. Только они теперь работают в частном порядке, по договоренности с клиентом. Получают сильно больше чем вы могли им предложить - и если сегодня не хочется работать то можно послать всех и устроить выходные или даже отпуск, с ущербом своему профиту, конечно, зато график гибкий, шеф не орет, и вообще.
Вон экземпляр у знакомых поварил дня четыре, отполз с чуть не половиной твоей месячной зарплаты довольный по уши. Сварил все круто, качественно, неубиваемо. А что еще от него надо? Его потому и наняли что знают что не подведет. А ты сиди за свои гроши на попе ровно в своей дыре и думай чего к тебе сантехники и сварщики не идут. А, нормальный сантехник мне пару лет назад, кстати, мастеркласс дал на тему современных технологий и материалов. В таком виде даже водопровод себе строить - весьма зачетное и хайтечное занятие. Но ты же понмиаешь что он такой скорее какое-нибудь водоснабжение и прочие теплые полы коттеджам будет наруливать? А у тебя денег на его зарплату, извини, не хватит. Так что тебе только бухарь Васька и светит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #334

431. Сообщение от Аноним (430), 22-Окт-23, 13:28 +/–

> Двачую токс. Удивляет почему он так недооценен.
Потому что большая часть двуногих это глупые хомячки, которым блестящие бусы важнее здравого смысла. И пофиг что это мышеловка.
А таки люди поумнее этим пользуются. И никто не заблочит нам аккаунт. И не угонит его спуфанув номер мобилки через SS7. Никто не хакнет "админа сервера" - потому что центральных серверов нет, и их админов - тоже. И вот живет оно себе такое распределенное - и всем там пофиг что на опеннете говорят пафосные бакланы с андроидами и эплами, у этих все равно секурного чата никогда не будет - они платформой ошиблись. Нельзя пролечить зондированую от и до платформу одной программой, хоть тресни.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #275

432. Сообщение от Аноним (430), 22-Окт-23, 13:37 +/–

> Потому что за 10 лет так и не было никакого аудита,
Зато какому там Signal аудит сделали. Сильно помогло? Можно подумать это отменит его централизованную природу и общую фэйковость решения. А у matrix аудит сам случался, когда end to end шифрование в дефолтной хипстер-либе разнесли вдрызг. И вот оказалось что все секурное шифрование - декорация. В почти всех клиентах (всех кто их дефолтную либу юзал).
> потому что написано на голом Си,
Нормальная либа для всех так и пишется. Поэтому ее и можно зацепить ко всему и вся. А для желающих странного - есть варианты на Rust и Haskel. Только желающих ими пользоваться почему-то около ноля. Видимо, вопить о том какой Rust офигененый и кодить на нем - разные вещи.
> потому что клиентов нормальных так никто и не сделал (в первую очередь, для мобилы).
Для андроида точно есть - aTox тот же. Даже для ифонов что-то есть, но вот это уже врядли "нормальное" потому что кодить под ифон и не получить зонды - так не бывает. Хотя "нормальным" господам подавай какой-нибудь пуш, и пофиг что он приваси нагибает от и до и залочивает на 1 сервис 1 фирмы. А вот тем господам оно таки - не пофиг, они в этом достаточно принципиальные.
> Но самое главное -- это, пожалуй, самые токсичные ушлёпки в качестве руководителей
> проекта (впрочем чего ещё ждать от форчан-кунов?)
Остальные оказались еще хуже. Типа, вот, админов с дырой. Которым весь серв раздолбали а они только ща заметили. И сервак - последний писк 2016 года. Ну подумаешь, 7 лет софт не апдейтили, супер-админы. И вот этим людям предлагается свои тушки доверить? Да сейчас.
> Куча авторов клиентов просто кинула этот гадюшник нафиг, решив потратить
> своё время и скилл на нормальных людей.
Странно, авторы клиентов как раз часть тимы делающей либу и есть. Впрочем это опеннет и доверять экспертизе в его коментах без проверки фактов - не рекомендуется. Могут накормить леваком. Как вон анонимный "эксперт" которому я отвечаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #409 Ответы: #443

433. Сообщение от чатжпт (?), 22-Окт-23, 13:46 +/–

Это наследие plain text протоколов из 80х типа ftp/smtp/pop и прочего го*на мамонта который выкинуть жалко. Тут пол опеннета некрофилы и все еще текут при слове фидонет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #368 Ответы: #441

434. Сообщение от Аноним (430), 22-Окт-23, 13:49 +/–

> Думаю что о торе осведомлён довольно неплохо.
> Раньше это была цепочка прокси, и вроде ничего с тех пор не
> изменилось?
При том onion - когда энный узел не знает кто originator и/или какое назначение. Потому что послойно снимает шифрование и узнает что сделать дальше, но это мягко говоря не полная картина мира.
А так что вот именно твой и вход и выход - извини, но пути строит клиент. Это вне твоего контроля. И даже если exit твой, ты не узнаешь так по простому кто этот трафик послал и какой там был айпи. Аналогично если вход твой, ты не сможешь так по простому заставить их твой exit юзать. Определенные попытки это делать есть но это масштабные, дорогостоящие мероприятия с переменным успехом. Где если повезет - удастся поймать пару особо доставших злодеев. А так чтобы оптом и на всех анализ 100К юзерей, как с взломом админа? Не, вот это уже точно работать перестанет.
...а если кто делает что-то сильно агрящее других, и не принял защитных мер чтобы столкнуться с вон тем раскладом - ну и кто ему доктор? Информационная безопасность штука комплексная, а атакующий гасит в самое слабое место. Как в случае с вон тем экземпляром, админом даркнета, решившим что ему море по колено. Там никто не стал ломать торы и биткоины. А зачем?! Додик сам написал свой alma mater (что немедленно обрубает поиск с всей планеты до количества выпускников оного, шикарно), поюзал одинаковые мыльники на нескольких форумах, и тем самым - скостил множество подозреваемых до очень узкой группы лиц. Ну его и нашли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

435. Сообщение от Аноним (430), 22-Окт-23, 14:33 +/–

> Polizei банить и не надо.
Оно и видно, постоянно пытаются заблочить неугодные ресурсы, там и тут, по самым разниым причинам, от политики до DMCA кляуз.
> Им нужны метаданные в первую очередь.
Tox в этом смысле неудобная штука - некуда прицепиться насосом с толстым шлангом и грести все оптом. Нет такого места в этой топологии. И одного одмина которого можно разломать и сразу в дамках - тоже нет.
Можно даже вообще свою сеть ребутстрапнуть. Даже не пересекающуюся с основной. Если это зачем-то надо. Можно даже чисто в локалке как интерком использовать. Или вон там чуть более масштабно через внутренний впн. Ну и откуда polizei там вообще возьмется? Не говоря о том что даже если бы и взялся то метаданные все равно неудобно собирать - они же не фокусируются в 1 сервере.
> Переписка может быть зашифрована навесным шифрованием в джаббере.
1) Ведет к риску продолба когда шифрование не активно но к нему привыкли, не заметили, и налетели.
2) Не отменяет того факта что сервак это удобная точка сбора метаданных и жирная мишень.
> А вот метаданные серваку, а также расшифровавшим соединения до него, доступны.
> А у токса метаданные доступны всей сети открытым текстом.
1) Они доступны не "всей сети" а довольно ограниченно. Самые древние p2p флудили все инфо на всех - но это создавало море трафика и конечно выпало из фавора. Почему-то. Задолго до появления этого дизайна.
2) И не то чтобы открытым текстом. Например все коммуникации DHT используют DHT ID узла как сразу, вот, публичный ключ в лоб. Это очень крутая идея. Мы зная IP:port:DHT ID можем пульнуть тому узлу СЕКУРНЫЙ запрос. Пров как максимум видит что IP1:port1 что-то делал IP2:port2 но поскольку это было зашифровано - понятия не имеет что там. Более того - даже если все и знают DHT ID узла с ip2:port2 - окей, но они не знают какой приватный ключ это породил и не могут расшифровать трафик туда.
3) Там даже есть определенные меры чтобы не светить кому попало айпишники, простенький onion подымается. Айпи видно только френдам.
4) И даже это эффективно лечится работой через tor, vpn и все такое. P2p-core весьма контролируемый и гибкий, на минималочках даже вот через тор работает.

В итоге если так надо - можно сделать что удобной центральной точки для сбора метаданных не будет вообще никак и нигде. Ну а что, пусть неудобно будет атакующим и шпионам, а вот нормальным пользователям вообще даже и делать ничего особо не надо, на минималках там плагнплей полный. А кому надо больше - конфигурабельно, вот.
В жабе же сервак с толпой юзеров это такая большая жирная мишень. Точка нажима. Точка сбора метаданных. Где метаданные толпы народа фокусируются. Это нежелательный элемент интерьера.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #427 Ответы: #471

436. Сообщение от Аноним (430), 22-Окт-23, 14:52 +/–

> Большинство e2e очень лень, даже несчастные секретные чаты в телеге и то, > многим лень.
Так это ж и хорошо. Товарищмайоры разных стран пакуют наимных телеграфистов которым там что-то лень, а возмущенные пи-пи-пи из клетки куда на 10 или сколько там лет сунули хомячка - никого не пробирают уже, хомячков налетевших на телеге уже тысячи. Их пакует и АНБ, и ФБР, и ФСБ, и СБУ, и моссад наверное, вместе с ми6, врядли они сильно хуже, просто пиарятся не так демонстративно как вон те.
Вы же понимаете что угнать акк привязаный к номеру телефона - ограничено безопасностью SS7, т.е. это - несекурно в принципе. А после того как акк угнали - вот и побеседуете не с Васькой, а с майором вон той службы, например. Удобный способ быстро сменить место жительства. ЧСХ до некоторых доходит только когда майор их волочет воооооон туда, получать цать лет за честно высказанную точку зрения. Даже вон гирькин добухтелся. В телеге. Правда он и не прятался особо, но как видите - можно же и упрятать, раз не прячется.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #349

437. Сообщение от Аноним (437), 22-Окт-23, 15:37 +1 +/–

1 е-балл социального кредитного рейтинга поценнее будет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #411

438. Сообщение от Аноним (-), 22-Окт-23, 15:43 +/–

> Есть QTox, для которого ничего поднимать не надо.
Можно даже uTox, он мельче и легче. Или - для совсем уж консольных фриков - Toxic какой-нибудь. Черт, оно даже для ведроида и ифонов есть. Как вы понимаете, особенно на последнем, уповать на приваси, конечно, так себе идея учитывая что там Эппл всем рулит от и до в системе а пользователь в гостях. Но все же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #453

441. Сообщение от Аноним (-), 22-Окт-23, 16:14 +/–

> Это наследие plain text протоколов из 80х типа ftp/smtp/pop и прочего го*на
> мамонта который выкинуть жалко. Тут пол опеннета некрофилы и все еще
> текут при слове фидонет.
Ну так в фидонете требовали реалнейм и прочие там запреты шифрования. Поэтому мордобой или обгаженый/подожженый коврик у двери - были довольно стандартной практикой. А особо абузивные типы разумеется просто меняли нодов как перчатки, и сохраняли присутствие, жирно тролля модераторов конф.
В результате фидо стало такой штукой когда нормальному человеку это юзать стало небезопасно, неудобно и грабельно - и в целом сильно хуже чем иные альтернативы для коммуникаций. Я вот например совсем не хочу чтобы промежуточные узлы в моих сообщениях 1 на 1 копались. И если протокол это не обеспечивает, это повод продвигать другие протоколы. Создав их, если вдруг еще не было.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #433

442. Сообщение от Аноним (-), 22-Окт-23, 16:39 +/–

> Не надо требовать от массового мессенджера гарантий анонимности и безопасности. Для этих
> целей нужно пользоваться мессенджерами, специально заточенными под анонимность и безопасность.
Ну во первых это мое дело что и от кого я ожидаю - и что я высказываю на этот счет, если они эти ождания обламывают.
Во вторых, маркетинг этой хрени вещает немного другие речи. С моей стороны будет честно как минимум отметить что рассказы маркетинга не соответствуют наблюдаемым вокруг результатам. Возможно это поможет энному количеству людей как минимум не попасть на нары глупым способом.
В третьих самые успешные по паковке телеграмщиков из того что на виду - по моему вообще СБУ, по линии этих дня не проходит без пруфскринов с упаковкой очередных телеграфистов. Хрен их там знает как они это делают, но факты штука упрямая.
В этом контексте, для меня нет "своих" и "чужих", крипто и ИБ бывает только первой свежести и мне не важно кто и по каким поводам выносит крипто и "секурные" месенжеры. Есть наблюдаемые прецеденты и информационная безопасность. И даже если я бы как судья дал вон тому в 2 раза больше, я не судья. И меня интересует ИБ и крипто. И под этим углом - мне все равно в чью пользу случился фэйл. Это прежде всего фэйл схемы, и потом - все остальное вместе взятое.
> Дуров пошёл на сотрудничество со спец.службами по противодействию экстремизму и терроризму,
> благодаря чего и сняли блокировку с Телеги в России.
Насколько я вижу, Дуров налепил кучу проксей с трудноопределяемым протоколом и его захочешь не заблочишь так по простому и дешевому. Судя по жесткому подгару на некоторые телеграм каналы у россиян - и то что они до сих пор живые - странное какое-то "сотрудничество". И по моему СБУ заметно успешнее по этому аспекту. Я уж не знаю, может им АНБ помогает выносить что-то хайтек-атаками, или хз, мне без разницы. Схема или держится vs real world или нет. Жирные серваки и их админы в любом случае та еще мишенька для легиона спецслужб, которые могут всяких хайтеч вещиц подкинуть хипстер-админам и не спрашивая их особо. А те даже если и заметят все это, имхо, будут помалкивать в тряпочку. Иначе останутся без клиентуры - и денег на жизнь.
> А до этого взломать канал связи Телеграм у ФСБ не получилось и даже
> полную блокировку не смогли сделать, хотя и сильно замедлили телегу.
В отличие от всяких "экспертов" я еще и смотрел что они там сделали. Кучу каких-то прокси с трудноопределяемым протоколом, которые они сетапили быстрее чем любые блокировки появлялись. Против этого какие-то шансы имеет только GFW, но это здоровенная дорогая штука, где на только обслугу пашет миллион человек. Миллион человек могут и в мануальном режиме банить проксики довольно быстро. Но это немеряно денег стоит на их зарплаты и чертову кучу железа, у россиян несколько ВВП сольется на только это, а когда станет неча жрать, никакое DPI не поможет, когда неча жрать, через 1-2 недели неизбежно случается то что случается.
Так что все вот это вот - не похоже на истинное состояние дел. Не стыкуется с наблюдаемыми фактами. Тем не менее, админы и жирные сервера это очень удобные мишени. И не тусят ли там уже все топовые спецслужбы - возможно даже забыв спросить разрешения Дурова и просто хакнув все вдрызг прикормленной хакерской группировкой - большой вопрос. Большой корабль просит большую торпеду.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #382

443. Сообщение от Аноним (3), 22-Окт-23, 16:54 +/–

Эти крендели до сих пор чинят дырень в механизме хендшейка, которую автор Вайргарда описал почти шесть лет назад. Воз и ныне там.
Спасибо, но такой сервис мне найух не нужен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #432 Ответы: #445

444. Сообщение от Аноним (444), 22-Окт-23, 16:59 +/–

> У меня нет OMEMO и мне оно не нужно, у меня свой
> жаббер сервер с SelfSigned сертификатом, а всё что выходит за пределы
> сервера - оно по определению вне зоны моей отвественности и там
> что угодно может быть.
Поэтому на практике - гугол и вынес мне 50% контакт листа. И какая мне в результате разница чья это зона ответственности? Важно что mission failed. А федерация оказалась пшиком. Так я полюбил Tox, там мне никто не отключит внезапно половину контактов, ботов или чего там. И я вообще могу развешивать ботов никого не спрашивая можно ли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #284

445. Сообщение от Аноним (445), 22-Окт-23, 17:06 +/–

> Эти крендели до сих пор чинят дырень в механизме хендшейка, которую автор
> Вайргарда описал почти шесть лет назад. Воз и ныне там.
Автор вайргада забыл сущую мелочь - выкатить решение которое будет лучше по общему набору свойств. И это не дырень а просто "уже придумано как это делать и лучше". Т.е. не просто PFS а еще и crypto ratchet можно. Но как по мне - эти ратчеты несколько переоценены с одной стороны, а с другой - дочерта решений с ними засыпались тупейщими способами. В конечном итоге важен суммарный баланс решения в целом - и с этим у остальных вышло еще хуже. Сигнал с его хендшейками никак не спасет от произвола 1 корпорашки, назначившей себе права бога. И вулнов так то в сигнале находили и покруче, как я помню. Только вот их пиар еще и обещал золотые горы при этом, чем помог залететь тем кто купился на это.
> Спасибо, но такой сервис мне найух не нужен.
А это не сервис, на минуточку. Там нет серверов и сервис вам никто и не предоставляет, вы сами как-нибудь. Это и есть коронное преимущество - никакой гугл не выпилит половину контактов отключив федерацию, никакой корп или майор не заблочит мне или моим друзьям акк. А ккому это не нравится может идти в пень.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #443

446. Сообщение от Аноним (445), 22-Окт-23, 17:11 –1 +/–

> Да, всё так и есть.
> Let’s Encrypt убил доверие к TLS.
А комодохакер подписавший себе через дигинотар серты на все и вся прямо через суперсекурный HSM от RSA - это у вас там как, нещитово было? Так то задоооооолго до LE прецедент был.
> Раньше сертификат означал что некто предоставил какие то документы в УЦ и
> оплатил, EV означал что его ещё дополнительно проверили.
> А теперь сертификаты раздают кому попало и как попало.
Очень интересно какие документы комодохакер дигинотару предоставил, нельзя ли уточнить этот вопрос? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #289

447. Сообщение от Аноним (445), 22-Окт-23, 17:13 +2 +/–

> Хомячки в западных странах перестали или боятся пользоваться Bittorrent. Не понадобился
> даже ецилопп, только развязали руки адвокатам на этом зарабатывать.
Они просто теперь покупают впны в далеком зимбабве, ну или где там хостерам и полисменам относительно неудобно и/или не до них.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #358

448. Сообщение от Аноним (-), 22-Окт-23, 18:30 +/–

Ого, в самом деле. Я бы не пользовался таким сервером…

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #408

449. Сообщение от Аноним (-), 22-Окт-23, 18:47 +/–

Посоветуй клиент Tox с поддержкой нескольких аккаунтов, пожалуйста.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #426 Ответы: #485, #496

450. Сообщение от Аноним (450), 22-Окт-23, 19:16 +/–

> Да ну, брось, товарищмайору вот делать нечего чем читать терабайты переписки каких-то
> пустомель.
Это как раз халява. Сидишь в уютном офисе, почитываешь чатики, упаковываешь, палки рубятся легко и безопасно. Сравни с работой в поле - где мало того что надо бегать как бобику, возможно даже по скверной погоде и много, так еще - мало ли что там в кармане у кого окажется кроме фиги! А то и вовсе группа камрадов в кустах - так и на лафете прокатиться недолго.
> пьет чай в переговорной, а работящие работнички просто приносят ему папочку,
> где все уже разложено и подшито.
Если все делать правильно - они дружно с катушек слетят пытаясь в этом бесполезняке найти что-то ценное. Тем более что для этого надо более 9000 хомячков изучить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

451. Сообщение от all_glory_to_the_hypnotoad (ok), 22-Окт-23, 19:21 +/–

Для этого ещё желательно быть гражданином ЕС

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

452. Сообщение от all_glory_to_the_hypnotoad (ok), 22-Окт-23, 19:28 +/–

Конституация Германии попуасам без гражданства Германии ничего не должна

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

453. Сообщение от Аноним (-), 22-Окт-23, 20:17 +/–

В Роса Линукс uTox почему-то не русифицирован, а в QTox нет мультиаккаунта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #438

455. Сообщение от Аноним (-), 22-Окт-23, 20:33 +1 +/–

Трафик в Беларуси мониторит ОАЦ, а не КГБ. Хочу заметить, что ни разу в истории не был зафиксирован перехват XMPP силами ОАЦ. В отличие от полиции Германии, или кто там у них этим занимается.
Дополнительный объем трафика взимается по тарифам на услуги хостинга «Colocation»: https://beltelecom.by/private/hosting/razmeschenie-oborudova...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #414 Ответы: #503

457. Сообщение от Аноним (-), 22-Окт-23, 20:57 –1 +/–

> Все эти сертификаты говно полное. Будущее за сквозным шифрованием как в Телеге.
> А владельцы jabber.ru и xmpp.ru -- идиоты. Им русским языком было сказано,
> что вся критическая инфраструктура должна быть физически расположена в России на
> российских серверах.
Товарищмайор резко недоволен походу. Это что, вместо того чтобы сервак из стойки вынуть пришлось целую инфильтрацию делать и MITMать сервак? Да еще немцы негодуют и высылают шпионов? И все из-за пары никчемных козлов?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #320 Ответы: #461

458. Сообщение от Аноним (458), 22-Окт-23, 21:05 +/–

Дизлайкнул коммент от АНБшного форка ChatGPT

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

459. Сообщение от Аноним (-), 22-Окт-23, 21:06 +1 +/–

> Очевидно, НеЛохи -- это те, кого слушали
По определению.
> западные спецслужбы через jabber.ru и xmpp.ru.
А что, атакующие там оставили свои визитки на предмет принадлежности к конкретным спецслужбам? Какие странные атакуюшие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #384 Ответы: #462

460. Сообщение от Аноним (458), 22-Окт-23, 21:10 +/–

Так получется это обсер^2, поскольку сервер не может зафорсить применение юзерами этого расширения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #346

461. Сообщение от Аноним (461), 22-Окт-23, 21:33 +1 +/–

Полиция Германии взломала xmpp.ru, а ты сказки про российских майоров рассказываешь. Хоть плюй в глаза — и то Божья роса.
Россияне, кто не дурак, пользуются Tox.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #457 Ответы: #470, #504

462. Сообщение от Аноним (-), 22-Окт-23, 21:46 +/–

Хостинг-провайдеры немецкие. Значит, или виноваты немецкие спецслужбы, или немецкие хостинг-провайдеры ненадёжны.
Пользуйтесь любым защищённым белорусским хостингом с функцией определения и предотвращения вторжений (IDS/IPS).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #459 Ответы: #469

463. Сообщение от Ржомба (?), 22-Окт-23, 22:39 +/–

Хотелось бы заслушать местных экспертов, которые годами говорили, что зарубежный майор им не угроза.)))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #478, #495, #502

464. Сообщение от Ржомба (?), 22-Окт-23, 22:46 +1 +/–

Буквально на днях мне тут рассказывали, что российским сертификатам нельзя доверять, а иностранным можно. И тут такое. Ахахах

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #306 Ответы: #523

467. Сообщение от all_glory_to_the_hypnotoad (ok), 22-Окт-23, 23:23 +1 +/–

Аккаунт в телеграме жёстко привязан к номеру телефона, всё что нужно знать об этом сервисе для выводов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

469. Сообщение от Аноним (-), 23-Окт-23, 02:35 +/–

> Хостинг-провайдеры немецкие.
А если американский хостинг разломали китайские хакеры - как тебе такое Элон Маск? А, может он и виноват? Не то чтобы он хостер или китаец, зато популярный, пальцем показывать сойдет.
> Значит, или виноваты немецкие спецслужбы,
Они что, оставили визитку? Или хостер сообщил о рейде? Или пруфом версии является вообще что? Чьи-то домыслы на форуме?
> или немецкие хостинг-провайдеры ненадёжны.
А вот в такую теорию я зная хостеров могу и поверить, пожалуй. При том не только немецких - но и вообще любых. Потому что в курсе что они "деньги зарабатывают", надежность при этом не самоцель и в это вкладываются лишь до известного предела. И д@лб@бизм случается.
> Пользуйтесь любым защищённым белорусским хостингом с функцией определения и предотвращения
> вторжений (IDS/IPS).
Там, имхо, нет функции предотвращения гопников в датацентре. Без этого оно мне вообще не надо. Да и мне есть куда свои сервера пристроить, при том в локации с админами которых я более-менее знаю, это лучше работает для обоих сторон.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #462

470. Сообщение от Аноним (-), 23-Окт-23, 02:51 +/–

> Полиция Германии взломала xmpp.ru, а ты сказки про российских майоров рассказываешь.
И пруфом что эта теория лучше вон той будет - например - что? А можно и еще сотню теорий придумать. Настолько же обоснованных как эти 2.
> Хоть плюй в глаза — и то Божья роса.
Постить какие-то измышлизмы без пруфов чем-то таким и является.
> Россияне, кто не дурак, пользуются Tox.
Да и не россияне тоже. Левые типы в переписке не нравятся не только им. При том те кто поумнее в не совсем дефолтной конфигурации. Потому что информационная безопасность - штука комплексная.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #461 Ответы: #472

471. Сообщение от Аноним (471), 23-Окт-23, 03:18 +/–

>Например все коммуникации DHT используют DHT ID узла как сразу, вот, публичный ключ в лоб. Это очень крутая идея. Мы зная IP:port:DHT ID можем пульнуть тому узлу СЕКУРНЫЙ запрос.
А толку? Эта модель угроз подразумевает пассивное прослушивание - а как показала практика, они не гнушаются ни активными атаками, ни НСД (уголовно-наказуемое деяние), ни даже вредоносным ПО (тоже уголовно-наказуемое деяние), и всё им пока что с рук сходит (но придёт время - и все замешанные в этом сядут далеко и надолго). Когда ты используешь устройства третьих лиц как сервера - ты им доверяешь. Что делает тебя уязвимым к Sybil-атаке. Polizei насоздают своих узлов в 10-100 раз больше, чем честных пользователей - и все метаданные у них в кармане будут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #435 Ответы: #476

472. Сообщение от Аноним (-), 23-Окт-23, 03:27 +1 +/–

Бритва Оккама. Не привлекай российскую полицию, взлом случился в Германии.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #470 Ответы: #475

473. Сообщение от Аноним (474), 23-Окт-23, 04:08 +/–

Mitm сделан с изменением конфигурации двух провайдеров, но возубуженные в комментариях про отечественные спецслужбы.
Зоопарк.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #489

474. Сообщение от Аноним (474), 23-Окт-23, 04:10 +/–

2. В службах света и добра уже тоже засилье индусов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #352

475. Сообщение от Аноним (475), 23-Окт-23, 04:52 +/–

> Бритва Оккама. Не привлекай российскую полицию, взлом случился в Германии.
В интернете взломы и взломщики не знают границ, в оборудовании и софте случаются вулны, так что тезис про немецкую полицию - не лучше и не хуже любого иного. Учитывая что их сапорт отметился довольно заурядными ответами в переписке, если не раздолбайством, обожествлять их как бастион неприступности я бы не стал. Обычный заурядный хостерок. Известный не суперкачеством а относительно доступными ценами, а потому некоей попсовостью - чем и живут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #472 Ответы: #526

476. Сообщение от Аноним (-), 23-Окт-23, 05:10 +/–

> А толку? Эта модель угроз подразумевает пассивное прослушивание - а как показала
> практика, они не гнушаются ни активными атаками,
На то и щука, чтобы карась не дремал. И тут вопрос в том что увидит атакующий и что он с этого сможет извлечь. В случае поимения жаба сервера атакующий получает вообще совсем все. Списки контактов, все метаданные, кто, куда в каком объеме, с кем. И даже если чат будет шифрованным, атакующий огребает все метаданные по сути. Оптом. И угон акков. И все это оптом, централизованно, в 1 точке, без напряга. Почему такое удобство атакующей стороны якобы "фича" - я не понимаю.
> ни НСД (уголовно-наказуемое деяние),
Это интернет - и в нем не стоит хлопать клювом. Кроме полицаев НСД могут укатать и какие-нибудь хаксоры. Информационная безопасность стала популярным топиком не просто так.

> ни даже вредоносным ПО (тоже уголовно-наказуемое деяние), и всё им пока
> что с рук сходит (но придёт время - и все замешанные в этом сядут далеко и надолго).
Я эту красивую сказку слышу уже цать лет. А воз и ныне там. Всякие серые кардиналы типа владельцев ботнетов ребята не бедные и не глупые, знают что за это бывает и ныкаются на совесть. А ловят и пакуют, соответственно, мелкий бесполезняк решивший денег срубить. Это расходники для одних, легкие палки для других, а напрягаться на отлов кого-то уровнем с Фантомаса - роль комиссара полиции над которым Фантомас стебется не очень прикольная, проще паковать оптом кого попроще. И для карьеры полезнее.
> Когда ты используешь устройства третьих лиц как сервера - ты им доверяешь.
Доверие - штука весьма относительная. Да и не сервера оно как таковое. А одноранговое взаимодействие.
> Что делает тебя уязвимым к Sybil-атаке.
А сервак жабера может меня вообще поиметь от и до. Вплоть до блокировки аккаунта, например. Или вот ремотный сервак - может что угодно вообще делать.
> Polizei насоздают своих узлов в 10-100 раз больше, чем
> честных пользователей - и все метаданные у них в кармане будут.
И даже так - не все. И к тому же вопрос - какие метаданные они получат. Ну и это все будет сильно затратнее в содержании чем 1-2 конкретных сервака и 1-2 конкретного админа прицельно хакнуть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #471 Ответы: #488

477. Сообщение от EULA (?), 23-Окт-23, 05:28 +/–

Напомните, в какой стране был принят FISA и введено наказание за отказ сотрудничать с властями страны? Напомню, что по закону о FISA провайдеры обязаны предоставить учетную запись для доступа ко всем узлам, на которых размещаются клиентские данные, с запретом ввести логи по этой учетной записи.
Ах, да! FISA - это другое, понимать надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

478. Сообщение от Вася (??), 23-Окт-23, 06:36 +/–

А что он угроза что ли? Что он сделает-то епта? Мы из другого города. ))) Своих майоров есть смысл опасаться, а чужих зачем?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #463 Ответы: #506, #508

479. Сообщение от Kilrathi (?), 23-Окт-23, 08:51 +/–

Так ведь сломали механику LetsEncrypt через MITM, т.е. шифрование без гарантий.
А если б администрация использовала платный сертификат с гарантией - поставщику сертификата уже пришлось бы выбирать: подчиниться госам и предоставить ключ, рискуя попасть на выплату страховки, либо послать их лесом и пусть своим митмом дешифруют на стороне провайдера, используя уязвимости протокола.
Намного проблематичнее противостоять внедрению на оборудовании хостинга - тут уж какие ключи не использую, а из памяти все это можно извлечь в открытом виде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

480. Сообщение от Анонимщик (?), 23-Окт-23, 09:06 +1 +/–

Интересно, есть ли в мире более бесполезный чувак, чем бывший президент парламентской республики.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #381

481. Сообщение от Пряник (?), 23-Окт-23, 10:21 +/–

В итоге почту могут читать по запросу приставов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

482. Сообщение от Пряник (?), 23-Окт-23, 10:22 +2 +/–

Ого, jabber.ru жив ещё?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #498, #509

483. Сообщение от Вася (??), 23-Окт-23, 10:34 +/–

> Если вы из России то хоть ведите себя достойно и не позорьте себя и свою
> страну.
оставить это профессионалам, ведь
твои любимые слабовики с этим и так
с этим отлично справляются

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #276

484. Сообщение от Аноним (484), 23-Окт-23, 12:16 +/–

Сотрудники Штази живы. Идеализм - редкость.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

485. Сообщение от Аноним (485), 23-Окт-23, 12:49 +/–

Я не он, но из мультиаккаунтных вроде только https://github.com/isotoxin/isotoxin в голову приходит. Но автор забил на него (он, кстати, когда-то тут на опеннете писал, не знаю как сейчас).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #449

486. Сообщение от Аноним (485), 23-Окт-23, 12:56 +/–

> Пользуйтесь Signal
И самый лучший Signal, который есть смысл использовать - это Tox.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

487. Сообщение от Аноним (485), 23-Окт-23, 13:03 +/–

А что такого? Он реально децентрализованный (насколько это возможно), реально шифрованный и, что самое впечатляющее, он реально работает. Просто работает. И файлы передаёт, и голос.
Джабберу столько лет, а все эти централизованности, нешифрованности и несовместимости всяких XEPов на месте.
Даже я, в прошлом большой поклонник XMPP и популяризатор в окружении вынужден был признать, что XMPP застрял на уровне "ну не шмогла я, не шмогла". Как говорилось в одной хорошей книге: "Клавдия Ивановна была глупа, и ее преклонный возраст не позволял надеяться на то, что она когда-нибудь поумнеет."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

488. Сообщение от Аноним (488), 23-Окт-23, 13:10 +/–

>Ну и это все будет сильно затратнее в содержании чем 1-2 конкретных сервака и 1-2 конкретного админа прицельно хакнуть.
Нет, не затратнее. Сервак теоретически можно защитить, достаточно заморочившись, а Tox ты защитить в принципе не можешь от этого. А админа ты доставать из "недружественной страны" за...устанешь, придётся самому на уступки идти, нанример нарушения международного права легитиаизировать, что тот ещё зашквар.
>Списки контактов, все метаданные, кто, куда в каком объеме, с кем.
Ну это и в токсе так. Разница лишь в том, какая доля статистически от тебя ускользнёт, но порандомизировав polizei всё равно смогут попасть в искомых людей.
>И все это оптом, централизованно, в 1 точке
Да.
>, без напряга.
Нет. Они даже тут облажались.
>Кроме полицаев
Кроме полицаев нас никто не волнует. Когда правоохранители сами совершают преступления - ни о каком правовом государстве и речи быть не может.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #476 Ответы: #494

489. Сообщение от all_glory_to_the_hypnotoad (ok), 23-Окт-23, 13:11 +/–

Пока что только отечестнные спецслужбы продают твои личные данные всем желающим и шьют по 10 лет за посты

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #473

490. Сообщение от mos87 (ok), 23-Окт-23, 13:14 +/–

Срочно найди кто тебе так говорил и отоварь по мордам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

491. Сообщение от Аноним (485), 23-Окт-23, 13:45 +/–

Признайся, ты же не читал спеки?
Это расширение требует от сервера определенной настройки для работы. И на jabber.ru это сделано не было.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #346 Ответы: #497

492. Сообщение от torvn77 (ok), 23-Окт-23, 13:52 +/–

>ну и в телеге есть p2p secret chat
А тебе с этого какая польза?
Тебе то ведь надо чтобы у тебя был ТВОЙ секурно-приватный мессенджер и ты бы не выглядел им чёрным пятном на фоне людей с открытой перепиской

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #297

493. Сообщение от Аноним (493), 23-Окт-23, 15:56 +/–

> Джаббер безопасен, если сервер админят нормальные люди, а не дурачки.
Даже у нормальных людей может выйти душняк со временем, запара и проч - и тут то им и прилетит. Потому что жирный сервак - "рожа просит кирпича".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

494. Сообщение от Аноним (-), 23-Окт-23, 16:55 +/–

> Нет, не затратнее.
Сильно затратнее: надо содержать тысячи систем. В разных местах. Платить за хостинг, трафик, майнтайнить, вот это все. Это влетает в копеечку. Мягко говоря. Поэтому атаки живут ограниченное время. И заметны по аномалиям. И есть общеизвестная модификация логики p2p: если в IPv4/16 уже есть кто, других из того /16 не брать. Сколько IPv4/16 сможете занять для эффективной атаки? А, мало? Тогда и не получится сплошного мониторинга. Может, повезет пару доставших "фантомасов" словить. Если они глупые. Затрат - во, выхлоп - во.
А на сервере достаточно крякнуть 1 админа. После этого можно плотно мониторить тыщи юзеров с затратами близкими к нолю. Если повезет то долго, пока админ не заметит. Как вот тут.
> Сервак теоретически можно защитить, достаточно заморочившись,
Сервак являет собой соблазнительную цель с другим threat level'ом. Более того - достаточно заморочившись, можно ДЕНЕГ ПЕРСОНАЛУ дать! Админам ДЦ, сервака. Или кто там с нужными доступами. Это дешевле чем содержать многие тысячи серверов в разных ДЦ месяцами.
Кстати, какие гарантии что те админы не ломают дурочку получив лям битками? В случае p2p это еще можно как-то гарантировать - скажем бутстрапнув свой отдельный сегмент. Не то чтобы это рекомендуется к повторению без понимания всех нюансов, но так можно и это в p2p проще и дешевле чем в серверной модели. В локалке такое заводится условно-бесплатно вообще, авто-конфигурацией. А вы будете жаба серв в локалке как интерком ставить? Это совсем не автоконф.
> а Tox ты защитить в принципе не можешь от этого.
У меня другие идеи на этот счет.
> А админа ты доставать из "недружественной страны" за...устанешь,
Так предложить лям зелени - он сам все отдаст и дурочку поломает что не знал. Мог бы и не ломать, но продать "Dumb fucks!" (c) Zuckerberg и второй раз - прикольно же. И это дешевле чем тысячи систем постоянно содержать, в пересчете на рыло юзера вообще копейки.
> придётся самому на уступки идти, нанример нарушения международного права
> легитиаизировать, что тот ещё зашквар.
Вариантов много разных. Вплоть до покупки стаффа на корню. В этом случае централизованность + общеизвестность стаффа является жирным минусом.
>>Списки контактов, все метаданные, кто, куда в каком объеме, с кем.
> Ну это и в токсе так. Разница лишь в том, какая доля статистически от тебя ускользнёт,
На жабе - 0%. Весь сервак - атакующего. Он видит все. А в токсе видите ли аккаунты можно создавать сколько влезет, часть и есть временные, кто поумнее используют комплексные меры. Если вы вычислили айпи но это оказался какой-нибудь тор - круто, и чего? А в жабе это не важно. Даже если это и тор, а вот там этот акк не через тор был. Да и даже так можно акк перехватить, попробовать обмануть их контактов, разведя на чаты и проч.
> но порандомизировав polizei всё равно смогут попасть в искомых людей.
Если им сильно повезет, они может поймают десяток особо задолбавших фантомасов, если те были дубами в ИБ и не приняли запасных мер. Но это уже не мониторинг 100К юзеров от и до оптом. И стало быть в целом улучшение.
>>, без напряга.
> Нет. Они даже тут облажались.
Они облажались лишь когда на атаку и ее майнтенанс видимо было уже забито. Наверное атакующие уже получили все данные которые хотели и отползли, забив на майнтенанс атаки. Если в все атаки бесконечно вкладывать деньги, выделенный бюджет закончится.
>>Кроме полицаев
> Кроме полицаев нас никто не волнует. Когда правоохранители сами совершают преступления
> - ни о каком правовом государстве и речи быть не может.
Если вас не волнует - это ваши проблемы. А я со своей стороны не буду ожидать и ничего хорошего от киберкриминалов например. Ну а чего хорошего мне может сделать какое-то хакерье? Вот чего плохого - я могу придумать довольно много. А хорошего - не придумывается. Значит их я тоже не хочу видеть вон там. Тем более что как показал пример вон тех, одни могут дать денег другим, чтобы самим не мараться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #488

495. Сообщение от Аноним (-), 23-Окт-23, 17:03 +1 +/–

> Хотелось бы заслушать местных экспертов, которые годами говорили, что зарубежный майор
> им не угроза.)))
Если даже допустить что это был немецкий майор (он что, визитку оставил?) - а чего он россиянам сделает? Местный то майор упакует на 10 лет за какой-нибудь лайк без особых разбирательствл, это еще понятно почему бояться надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #463

496. Сообщение от Аноним (-), 23-Окт-23, 17:16 +/–

> Посоветуй клиент Tox с поддержкой нескольких аккаунтов, пожалуйста.
Я просто запускаю несколько инстансов. Это вообще так то довольно удачная идея, партиционирование знания и угроз, особенно с шифроваными профайлами. Типа как корабль делят переборками, чтобы при дыре в 1 отсеке не тонул целиком.
Но самое интересное что toxcore сам по себе так то позволяет настрогать несколько инстансов клиента в 1 процессе, так что эта хотелка вполне реализуема. Видимо толи никому не надо особо было, толи аноним сильно инновационный забрел и первый кто всерьез захотел это.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #449 Ответы: #512

497. Сообщение от Аноним (-), 23-Окт-23, 20:35 +/–

Читал, но я думал, что xmpp.ru поддерживает PEP.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #491

498. Сообщение от Аноним (498), 23-Окт-23, 21:07 +/–

Я в 2012 перешёл с него на jid.pl, а в 2018 ушёл на Tox.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #482

502. Сообщение от Аноним (504), 24-Окт-23, 12:27 +/–

Ну так и чё зарубежный майор сделал с юзерами джаббер ру? В кутузку посадил уже? Наркоты и портрет Стёпана Б. подкинул? Набутылил?
Ты мысль-то продолжи. До конца. Если есть, что (и чем) продолжать. )))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #463 Ответы: #525

503. Сообщение от Аноним (504), 24-Окт-23, 15:49 +/–

> Хочу заметить, что ни разу в истории не был зафиксирован перехват XMPP силами ОАЦ.
До 20 октября 2023 года такую же фразу можно было сказать и про полици Германии. А по факту полгода как уже читалось.
То, что ОАЦ конкретно XMPP не читал - это лишь догадки. А вот весь HTTPS трафик для всей страны вполне себе блочил (что наверняка бы "порадовало" администратора jabber.ru, а а зодно и всех его юзеров).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #455 Ответы: #513

504. Сообщение от Аноним (504), 24-Окт-23, 16:07 +/–

Потому, что пруфов нет. Это может быть и работник хетцнера (не имеющий никакого отношения к полицай Дойчланд, зато решивший "вычислить по айпи" нового парня своей бывшей) и даже админ джаббера ру, решивший попиариться в новостях и сам всё организовавший (а то уже даже самые ярые поклонники XMPP начинают подозревать, что что-то децентрализованное типа Tox будет побезопаснее и без централизованных точек отказа (и без админа, да)).
И даже еще пару реалистичных сценариев.
Бритва Оккама отрезает маловероятные варианты, но если остаётся несколько равновероятных, то это не значит, что отрезать можно и дальше до ровно одного. Я напоминаю, что сам Оккам писал так: "Что может быть сделано на основе меньшего числа (предположений), не следует делать, исходя из большего". "Меньшего числа", а не "единственного".
Ну и важно помнить, что бритва Оккама не аксиома, а презумпция, то есть она не запрещает более сложные объяснения в принципе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #461

506. Сообщение от Ржомба (?), 24-Окт-23, 18:42 +/–

Да элементарно - шантаж. Писал в ололо-защищенном чатике, каких взглядов придерживаешься, кому донатишь. Предложат поджечь ченить или сольют. Помнишь прошлогоднюю историю, как беглый за бугор чувак-"правдорубец" слил видео изнасилования зэка, который рассказал, что его шантажировали и заставляли врать? Ну вот. Любишь такой западного барина на оупеннетике и тут оооп! и ты уже не по своей воле идешь с бутылкой бенза к военкомату или к жд. А оттуда или на зону, или под землю (что для общества благо, но для тебя вряд ли).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #478 Ответы: #507

507. Сообщение от Вася (??), 24-Окт-23, 19:33 +/–

> Да элементарно - шантаж. Писал в ололо-защищенном чатике, каких взглядов придерживаешься,
> кому донатишь. Предложат поджечь ченить или сольют. Помнишь прошлогоднюю историю, как
> беглый за бугор чувак-"правдорубец" слил видео изнасилования зэка, который рассказал,
> что его шантажировали и заставляли врать? Ну вот. Любишь такой западного
> барина на оупеннетике и тут оооп! и ты уже не по
> своей воле идешь с бутылкой бенза к военкомату или к жд.
> А оттуда или на зону, или под землю (что для общества
> благо, но для тебя вряд ли).
есть такие майоры, правда, представляются отечетсвенными - из колцентров, рассказывают что деньги мошенники украли и что бы их вернуть надо срочно поджечь военкомат.
а вот про настоящих заграничных майоров как-то не слыхал...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #506 Ответы: #510

508. Сообщение от Аноним (508), 24-Окт-23, 20:42 +1 +/–

Немецкий майор следил за особо болтливыми детишками русских майоров, ценные разведданные передал в генштаб, а когда канал раскрыли - в прокуратуру по месту жительства, чтобы детишек местные майоры воспитывали, как родине не изменять, чтобы посять смуту в тылах противника.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #478

509. Сообщение от Аноним (508), 24-Окт-23, 20:44 +/–

Не поддерживает OMEMO. Регистрация по почте. Слили переписку за 3 месяца. Это всё что нужно знать о Жру. Понять, забыть и не прощать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #482

510. Сообщение от Ржомба (?), 24-Окт-23, 22:35 +/–

> про настоящих заграничных майоров как-то не слыхал
Они крышуют тех, кто звонит. Иначе не звонили бы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #507 Ответы: #511

511. Сообщение от Вася (??), 25-Окт-23, 09:59 +/–

>> про настоящих заграничных майоров как-то не слыхал
> Они крышуют тех, кто звонит. Иначе не звонили бы.
как же велика их власть над миром!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #510

512. Сообщение от Аноним (-), 25-Окт-23, 17:44 +/–

Часто нужно несколько аккаунтов. Один официальный для семьи и знакомых, второй рабочий, и ещё пару аккаунтов для разных сетевых сообществ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #496

513. Сообщение от Аноним (513), 25-Окт-23, 17:48 +/–

Вообще весь траффик, не только HTTPS. На несколько дней.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #503

514. Сообщение от rvs2016 (ok), 26-Окт-23, 11:55 +/–

> Первый поддельный TLS-сертификат был получен
> 18 апреля 2023 года через сервис Let’s Encrypt,
> в котором атакующий, имея возможность
> перехватить трафик, смог подтвердить доступ
> к сайтам jabber.ru и xmpp.ru.
А как атакующему удалось подтвердить доступ к сайтам?
Там же для подтверждения доступа надо и записи DNS ваять, и на сайты класть файлы с абракадаброй.
Получается, что ему удалось получит доступ ещё и к серверам web и dns?
Может он получил вообще физический доступ к ним?
Это напоминает, как в соседней теме про небезопасные пароли приводили пример о том, что некоторые пароли работают только при вводе их на физическом терминале и приводили пример с американскими военными, которые якобы говорили о том, что если кто-то получит доступ к физическим терминалам пука баллистических ракет, то тогда уже и пароли будут бесполезны. :-)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #515

515. Сообщение от rvs2016 (ok), 26-Окт-23, 12:38 +/–

> Может он получил вообще физический доступ к ним?
Во! Они предполагают именно так, как это предположил ранее и я:
> дало основание полагать, что атака произведена лицом,
> имеющим доступ к инфраструктуре провайдеров

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #514

516. Сообщение от rvs2016 (ok), 26-Окт-23, 13:02 +/–

> Угадай куда полиция Германии пошлёт заявление россиянина.
Да тут если рассматривать не техническую, а политическую сторону проблемы, то зачем российские сайты хостить за пределами России?
Они чё - убегали от властей РФ?
Ну вот и доубегались. Убегали от якобы плохой РФ, а напоролись на якобы хорошую ФРГ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

517. Сообщение от rvs2016 (ok), 26-Окт-23, 16:00 +/–

> Джаббер безопасен, если сервер админят
> нормальные люди, а не дурачки.
Ну по такой причине небезопасной можно объявить вообще любую программу.
Ведь под давлением раскалённого на пузе утюга многие и пароль свой отдадут - и программа с её авторами тут будут ни причём.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

518. Сообщение от rvs2016 (ok), 26-Окт-23, 16:16 +/–

> Почему jabber.ru хостится в Германии?
> Это вообще законно? У нас же вся переписка
> по закону должна храниться на серверах в России.
По тому закону на контролируемой Российской Федерацией территории должна храниться информация только с персональными данными (ФИО, паспорт серия номер, дата рождения и всякая такая прочая информация). А информация о том, что кто-то себя назвал логином "я крутой чувак", является же ведь информацией не персональной (не настоящей), а вымышленной. Можно себя и императором всея галактики назвать - и размещай этот вымысел тогда где угодно, хоть в РФ, хоть в ФРГ, хоть на Марсе, хоть на станции Вавилон-5 и т.п. 😃

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

519. Сообщение от rvs2016 (ok), 26-Окт-23, 18:06 +/–

> Да всё проще! Открой настройки->дополнительно->экспорт данных.
> Вот уж где действительно кладезь для всех тех кто попросит
> тебя показать телефон где-то на улице, начиная от военкомов,
> заканчивая полицией.
Про такой вариант и говорю я в сообщении https://www.opennet.ru/openforum/vsluhforumID3/131839.html#517 😃

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

520. Сообщение от rvs2016 (ok), 26-Окт-23, 18:53 +/–

> просто шифровать данные нужно
Никакое шифрование данных не устоит перед приставленным к пузу утюгом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208

521. Сообщение от rvs2016 (ok), 27-Окт-23, 01:08 +/–

> они все свои сертификаты выдают первом-попавшемуся
> левому человеку, ничуть не парясь проверкой,
> принадлежит ему что-то там или нет.
Зачем они тогда в процессе выдачи сертификата не только просят "левого" человека сделать в DNS TXT-записи _acme-challenge и положить на сайт в каталог .well-known/acme-challenge файл с абракадабровым именем и с не менее абракадабровым содержанием, но ещё и проверяют выполнение этих просьб? Эти просьбы может же выполнить только не левый человек. Ну или левый, который в случае захвата доступа к DNS-серверу и к Web-серверу выглядит как ни разу не левый.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #307 Ответы: #527

522. Сообщение от rvs2016 (ok), 27-Окт-23, 01:12 +/–

> Потому что LE удостоверяет только контроль
> над доменом
> и ничего больше
И ничего больше - неправильно.
Проверяет ещё доступ получателя сертификата к проверяемому сайту.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #319 Ответы: #528

523. Сообщение от rvs2016 (ok), 27-Окт-23, 01:14 +/–

> Буквально на днях мне тут рассказывали,
> что российским сертификатам нельзя доверять,
> а иностранным можно. И тут такое. Ахахах
А ещё владельцы многих сайтов хостят их за пределами РФ - как будто в РФ их нагнут, а за пределами РФ их никто не нагнёт. Наивные! 😃

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #464

524. Сообщение от Пыщь (?), 27-Окт-23, 13:27 +/–

"Гнать на чуваков, принимающих всех желающих как беженцев у себя (Германия) - ну как минимум бредово, пока не будет норм пруфов."
Сноудена и Ассанжа тоже приняли бы как беженцев? Или только кого надо беженецом сосчитывают?
Западолизу проще поверить, что какой-нибудь фсбшник под прикрытием там кабели перетыкивал. Западнососники, успокойтесь, фсбшники нынче не такого высокого уровня, они олигархов обслуживают (неугодных натянуть - много ума не надо).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #244

525. Сообщение от Пыщь (?), 27-Окт-23, 13:37 +/–

Знать настроения пользователей немассовых "фатсаппов" может быть весьма интересно, вам то понятно - нет.. Разведка разноплановая бывает, чем больше нюансов знаешь, тем лучше. Хотя подобным Вам до спецслужб как до Пекина раком. Верьте в неуловимых Джо в век "больших данных" и прочих нейросетей. Раньше за Джо почему не присматривали, потому что он нахрен никому не нужен, а людей лишних нет. Сейчас уже не люди присматривают, если возможности есть и это даёт хоть какое-то преимущество - почему бы и за Джо*ами не подглядывать. Или верите, что очень тяжело тащить такую слежку... недавно соцсетям было проще диски добавлять, чем реально удалять "удалённые" фоточки (производительность типо проседает), не так уж дорого выходит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #502

526. Сообщение от Пыщь (?), 27-Окт-23, 13:39 +/–

Взломали, что аж link up/down.. нормально

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #475

527. Сообщение от пох. (?), 27-Окт-23, 14:27 +/–

> Зачем они тогда
занимаются этой х-ней? Ну вот затем. Чтобы ты поверил что это надежно, а главное - стереть тебе память чтобы ты не знал и не думал о том что еще лет десять назад такой мерзости не было и в помине. (вот интересно - ты правда безмозглый или тебе 15 лет? Вроде ты дольше торчишь на опеннете... или это левые ники? В любом случае - вот, сработало, нашелся альтернативно-одаренный и явно вас не один.)
> Ну или левый
или левый. Мне как инженеру оператора достаточно было бы просто переключить твой вланчик на соседний порт на пару секунд. И хрен вы меня найдете. Пользователи глухой ночью даже и не заметят секундный сбой, можно даже не запариваться прокси - просто весь траффик переключить.
А вот предъявить левые документы (причем в случае EV - бумажные, нотариально заверенные) - это уже задачка посерьезнее. Да и нелевая ж-па в процессе немного засвечивается.
Да даже подтвердить email (самая примитивная форма у совсем уж бесплатных StartSSL - которые в общем не пользовались доверием, это вот когда надо как-то все равно как, чтоб было хоть что-то) - уже не так просто, потому что асинхронный и ты не знаешь ни когда, ни откуда, и перехватывать управление надо надолго - подтвердить могут сейчас, а заявку отправить через месяц. И если один сертификат получен - второй уже не дадут так просто.
А тут - хоть каждый день, и тебя специально поощряют чтоб почаще менял, и не заморачивался.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #521

528. Сообщение от пох. (?), 27-Окт-23, 14:28 +/–

> Проверяет ещё доступ получателя сертификата к проверяемому сайту.
нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #522 Ответы: #530

530. Сообщение от rvs2016 (ok), 01-Ноя-23, 04:26 –1 +/–

>> Проверяет ещё доступ получателя сертификата к проверяемому сайту.
> нет.
Да. У меня доказательства своего слова есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #528

534. Сообщение от Тот_Самый_Анонимус_ (?), 01-Дек-23, 08:18 +/–

Ну немудрено, если загадка в задачнике «оппозиционера». Там ответы на все задачи похожи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

535. Сообщение от Аноним (-), 03-Янв-24, 18:15 +/–

Прошло 2 месяца. Нашли злоумышленников?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 20-Окт-23, 17:34	–19 +/–
Ну вообще, оказывает Хецнер сотрудничает с КГБ и ФСБ? Я если честно не ожидал от них такой подлости.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #33, #104, #137, #484

2. Сообщение от Аноним (2), 20-Окт-23, 17:35	–2 +/–
Типичный jabberru, ничего необычного.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18

3. Сообщение от Аноним (3), 20-Окт-23, 17:36	+7 +/–
И эти люди кричали, что омемо говно, что шифрование не нужно, и что омемы и шифроконф на их сервере никогда не будет. Поделом, чо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25, #229, #243, #284

4. Сообщение от Аноним (4), 20-Окт-23, 17:38	+8 +/–
В новости написано некорректно - предположительно в это вовлечены хостеры. Хостеры находятся в Германии и вынуждены подчиняться немецким правоохранителям.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #13, #151

5. Сообщение от Аноним (5), 20-Окт-23, 17:39	–4 +/–
Переписываюсь в вконтакте, скрывать нечего
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #20, #29, #87

6. Сообщение от Аноним (4), 20-Окт-23, 17:40	+/–
> хранимая на сервере история обмена сообщениями Хранение истории на jabber.ru было отключено ещё в феврале 2022. Не уверен как насчёт истории приватов, но история конференций точно отключена.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #35

7. Сообщение от Аноним (7), 20-Окт-23, 17:40	+10 +/–
> атакующий мог получить доступ ко всем связанным с учётными записями данным, таким как хранимая на сервере история обмена сообщениями Ну, это классика... Интересно, людям когда-нибудь наконец-то дойдет, что если что-то храниться на чужих компах, то безопасность и шифрование - пустые слова.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

8. Сообщение от Аноним (8), 20-Окт-23, 17:42	+1 +/–
страница весит 15мб если не больше это ужас почему коммерческие соц.сети такие перегруженные?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (58), 20-Окт-23, 17:43	–1 +/–
> расширения STARTTLS. Зачем? Там же есть gpg (!) C генерацией ключей на стороне пользователя и шифрование end2end
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12, #344

11. Сообщение от Аноним (11), 20-Окт-23, 17:46	+4 +/–
ребята это не так делается. это уголовное престулпнеие нужно писать заявление в полицию германии.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #51, #451

12. Сообщение от Аноним (4), 20-Окт-23, 17:46	+1 +/–
Ты ещё предложи эл. почту гонять без шифрования, ведь каждый пользователь почты может себе GPG-ключ создать. Вот только 99% этого не делают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #24, #481

13. Сообщение от Аноним (1), 20-Окт-23, 17:47	+48 +/–
Когда такие же слова пишут про российские ИСП и СОРМ - начинается жуткий батхёрт.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #49, #274

14. Сообщение от Аноним (4), 20-Окт-23, 17:47	–2 +/–
Угадай куда полиция Германии пошлёт заявление россиянина.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #30, #127, #329, #516

17. Сообщение от Аноним (17), 20-Окт-23, 17:47	+/–
DNS CAA записи должны как раз от такого защищать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #34

18. Сообщение от Аноним (18), 20-Окт-23, 17:49	–1 +/–
Зачем на нём вообе сидть? Я бы удивился, если бы его не перехватывали.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #44

20. Сообщение от Аноним (18), 20-Окт-23, 17:49	+2 +/–
Покажи свою фотографию, номер и серию паспорта?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #22, #32

22. Сообщение от Аноним (33), 20-Окт-23, 17:51	+/–
подожди, это он ещё про США не начал
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (23), 20-Окт-23, 17:51	+1 +/–
Пользуйтесь Signal: https://opennet.ru/54927-signal
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #26, #27, #458, #486

24. Сообщение от Аноним (58), 20-Окт-23, 17:51	+4 +/–
Альтернатива какая? Доверять провайдеру и надеятся на что? Или Усилить надежность канала связи дополнительным слоем шифрования? Если мне лично нужно передать что то конфиденциальное, использую дополнительное шифрование собственным ключом. Зачем надеятся на "дядю"?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #46, #479

25. Сообщение от Аноним (33), 20-Окт-23, 17:51	–1 +/–
у тебя с дикцией что-то
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #31, #48

26. Сообщение от Аноним (58), 20-Окт-23, 17:52	+/–
А еще лучше Conversation
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #37, #341

27. Сообщение от Аноним (33), 20-Окт-23, 17:53	+4 +/–
ага, пользуйтесь централизованным вендорлокнутым уг на джаве в браузере
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #36

28. Сообщение от Аноним (-), 20-Окт-23, 17:53	+5 +/–
Есть стойкое подозрение, что админы получали сертификаты через DNS challenge, через API хостера домена (например, так умеют Cloudflare, Yandex и много ещё кто). Из опыта аудита много кто хранит токены от API в плейне на тачке. Нужно лишь заполучить его копию, а потом выписывать через Let's Encrypt сертификаты сколько влезет, каждая копия до какого-то N будет валидной. У админов явно был ещё и выключен Certificate Transparency, иначе бы они при выдаче левого серта сразу бы получили алерт в мыло. Впрочем чё ещё ждать от господ которые не энфорсят STARTTLS и до сих пор позволяют c2s и s2s в плейне, я даже не знаю.
Ответить \| Правка \| Наверх \| Cообщить модератору

29. Сообщение от Аноним (58), 20-Окт-23, 17:53	–1 +/–
Переписывайся хоть на заборе! Если ты никому не нужен, это не достижение
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

30. Сообщение от Аноним (1), 20-Окт-23, 17:53	+5 +/–
куда? вообще-то обязаны разобраться - хецнер за это деньги получал, они не благотворительностью занимались
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #38, #55, #136

31. Сообщение от Аноним (-), 20-Окт-23, 17:53	+/–
Ты наверное Xabber любишь?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

32. Сообщение от Аноним (58), 20-Окт-23, 17:54	+/–
И все данные кредитки пожалуйста. Да и двухфакторку на меня переделай.. по-братски! А!?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

33. Сообщение от Аноним (33), 20-Окт-23, 17:55	–4 +/–
с фсб сотрудничают админы jabber.ru и xmpp.ru загадка века разгадана
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #534

34. Сообщение от Аноним (34), 20-Окт-23, 17:55	+/–
С перехватом трафика и у того-же центра сертификации не защитит, может быть, максимум предупредит при надёжном email в CAA.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #73

35. Сообщение от rshadow (ok), 20-Окт-23, 17:55	+2 +/–
это не важно, дамп всего траффика все еще храниться на гос серверах. Интересно, можно у них запросить потерянные фоточки например?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6