• Jabber Juick XMPP Если начиная с сегодняшнего дня ваш Jabber сервер больше не видит Juick, значит администратор вашего сервера повелся на лозунги отключать и запрещать всех, кто не использует шифрование. Соболезную и рекомендую сменить сервер.
    Что касается Juick, то мы совсем не против шифрования, если это не носит обязательно-принудительный характер. На Juick шифрования S2S нет исключительно потому, что никто этим не занимался: все равно все посты в открытом виде на сайте лежат, так зачем что-то шифровать?!
    По моему скромному мнению, вся эта затея с шифрованием ради шифрования — идиотизм и популизм. А что думаете вы? Нужно ли отключать 5% серверов ради красивых громких слов, мол "у нас тут 100% зашифровано"?
    ♡ recommended by @OstapkoBender, @vt, @Linda-chan, @zinid

Replies (99)

  • @ugnich, а как же личные сообщения?
  • @bighouse, Вы вообще представляете сложность задачи "перехватить трафик между серверами"? Думаете, кто-то будет этим заморачиваться ради личных сообщений на Juick?
  • @ugnich, нужно. Потому что, во-первых, не у всех "всё на сайте и всё равно видно". А во-вторых, например, лично я — готов поступиться вот такими серверами без шифрования ради того, чтобы контролировать, кто читает мои сообщения, а кто — нет.
  • @ugnich, по моему популиская мера, н етребущая больших затрат. включи шифрование и тоже громко заяви что жуйка поддерживает шифрование.
  • @ugnich, S2S шифровать мало толку... Гораздо важнее для пользователя шифровать канал до сервера... Всеравно, если захотят — придут к владельцу сервера и "наведут порядок и демократию"
  • @ugnich, я — легко представляю. Особенно, когда один из серверов в Hetzner'е. Ибо сам слушал чужой трафик внутри датацентра.
  • @ugnich, а приватные сообщения, тоже в открытом виде на сайте лежат?
  • @USeTi, и вообще, анонимность в сети это миф
  • @Graf, да :3
  • @mva, Спасибо, у меня от этого @segfault
  • @mva, Ну выводите предупреждение, мол "канал незашифрован". Отключать-то насильно зачем?!
  • @ugnich, Не все клиенты поддерживают данных ХЕР
  • @Graf, *данный
  • @DeeZ, Чтобы его включить, его сначала нужно написать. Кто этим будет заниматься? github.com
  • @Graf, Ну так отключите их. Насрать же на пользователей, фичи важнее.
  • @ugnich, а куда его выводить-то? :) У меня-то, например, на сервере загружен mod_manifesto и он, конечно, рассылает подобные сообщения пользователям (ниже процитировано). Но ведь всем пофиг же ж. Поэтому, зная инертность пользователей — и придумали манифест. И вводят шифрование.

    ----

    Здравствуйте!

    Вы получили данное автоматическое сообщение в качестве извещения о некоторых предстоящих изменениях на нашем сервисе (%SERVERNAME%).

    Некоторые Ваши контакты, находятся на XMPP-серверах, которые не поддерживают шифрование.
    Наш сервис (mva.name), как участник инициативы по улучшению безопасности сети XMPP и защиты пользователей от "прослушки" будет участвовать в серии тестов (для того, чтобы выяснить насколько сильно некоторые наши предстоящие изменения воздействуют на пользователей.
    Как следствие, Вы можете на некоторое время потерять возможность общаться с данными контактами.

    Дни, в которые будет проводиться описанное выше тестирование: 4 Января, 22 Февраля, 22 Марта и 19 Апреля.
    В данные дни наш сервис будет требовать чтобы любое клиентское или серверное соединение было зашифрованным.
    Если к этому времени данные сервисы не включат шифрование, Вы не сможете общаться с людьми, использующими сервисы:

    gmail.com
    juick.com
    bot.talk.google.com
    it-the-drote.tk
    altlinux.org
    nclug.ru
    jabber.tomsk.ru
    zetoke.net
    konkere.ru

    В частности (Ваши контакты на этих сервисах):

    <...>


    Что Вы можете сделать в данной ситуации? Вы можете попросить Ваших знакомых (перечисленных выше) проинформировать администраторов их сервисов о той "дыре" в безопасности, которую имеют их сервисы.
    Как вариант, Ваши контакты могут захотеть сменить сервис на более безопасный, если они узнают о данной бреши в их безопасности.
    Лист публичных серверов может быть найден на xmpp.net

    Для получения большей информации об инициативе, в которой мы участвуем, пожалуйста, прочитайте объявление по следующей ссылке: stpeter.im

    Если у Вас возникли какие-то вопросы или проблемы, Вы можете связаться с нами через Jabber/XMPP по адресу mva@mva.name

    С наилучшими пожеланиями,
    команда mva.name
  • @ugnich, А чем мешает S2S шифрование?
  • @ugnich, а ещё, кстати, с последними российскими нововведениями — я не удивлюсь, если через некоторое время где-нибудь на М9 начнут слушать весь исходящий трафик.
  • @mva, Если всем пофиг и юзерам это шифрование глубоко безразлично — зачем тогда отключать?
  • @datacompboy, Ничем. Я не против шифрования. Я против насильственных принудительных отключений.
  • @ugnich, и для этого предлагаешь насильственно-принудительное отключение этих хостов?
  • @ugnich, А вот интересный вопрос. У меня на сервере шифрование S2S опциональное... это как то меня затронет... Хотя мне пофигу и так...
  • @mva, Ну так 95% серверов все равно по умолчанию используют шифрованное соединение. Абсолютное большинство людей никак не пострадают.
  • @ugnich, Ересь какая.
  • @USeTi, не затронет (скорее всего).
  • @datacompboy, LOLWUT? Я наоборот предлагаю ничего не отключать.
  • @ugnich, То есть, вот это вот все словоблудие, вместо того чтобы сказать "мне лень пилить поддержку s2s-шифрования"?
  • @ugnich, Т.е. фактически, если мой сервер внезапно, то ты предлагаешь завести отдельный жид для жуйка?
  • @ugnich, 95% мировых серверов. Не тех, что в России. Вот в чём дело. Ну, на самом деле, не только в России.
    Тут, как ты верно отметил, дело в популизме и криптофанатизме (да, я, например, криптофанатик и горжусь этим).

    Опять же, ты справедливо отметил, что, да, всё это ради того, чтобы сказать "у нас всё зашифровано, не бойтесь NSA/кровавой гэбни/whatever".

    // они, правда, упускают момент, что кровавая гэбня может просто тупо запретить шифрованый трафик или вообще IM-технологию :)
  • @ugnich, «Если начиная с сегодняшнего дня ваш Jabber сервер больше не видит Juick, значит администратор вашего сервера повелся на лозунги отключать и запрещать всех, кто не использует шифрование. Соболезную и рекомендую сменить сервер.» => в жуйке отключаются поддержавшие инициативу сервера
  • @mva, Они вообще упускают 1-ю аксиому терморектального криптоанализа
  • @Graf, Мне не лень пилить что-либо, если в этом есть смысл. А в этом треде я просто обьясняю, что если у вас перестал работать Juick — значит у вашего админа криптография головного мозга.
  • @ugnich, слава богу, что жуйк эта хрень обошла. в последнее время вообще дофига параноиков развелось. будто кому-то есть дело до их личных переписок.
    а если информация действительно приватная и важная, то и для обмена такой информацией нужно использовать надежные защищенные каналы... а не какую-нибудь социальную сеть или сервис микроблогов
  • @mva, Ух ты. mod_manifesto, какая прелесть.
  • @Ta2i4, Никто не заставляет жэ пользоваться серверами параноиков. Подними свой с WinXP и OpenFire
  • @Graf, угу, и пусть говорит "какое кому дело до меня" и участвует в ботнетах :)
  • @Graf, WinXP не нужен, если есть ubuntu и ejabberd :)
  • @OstapkoBender, Я ничего не предлагаю. Но если ваш админ идиот и вам нужен доступ к Juick по XMPP, то придется переезжать.
  • @Ta2i4, ejabberd тоже не нужен. Он рассылает PEP'ы всех своих юзеров рандомным людям из ростеров других юзеров (не тех, что ставят эти PEP'ы). И девелоперы не хотят фиксить эту штуку вот уже лет 5 :)
  • @Renha, Juick ничего не отключает. Если перестанет работать — все вопросы к вашему администратору.
  • @ugnich, воу-воу. Криптофанатизм != идиотизм.
  • @mva, это подобные вещи. не равные, но подобные. причем коэффициент подобия со стороны первого ко второму близок к одному
  • @mva, Любой фанатизм — это идиотизм. Хоть футбольный, хоть крипто. Думать надо головой, а не фанатствовать.
  • @ugnich, так-то оно так. Но футбольный и религиозный — приносят вред окружающим и разжижают мозг владельца. А вот крипто — знаючи, в каком мире мы живём, и что в любой момент тебя могут "продать" или использовать — помогает от этого защищаться.
    Я, например, вот, абсолютно не хочу чтоб меня таргетили рекламой. не хочу, чтобы на меня собирали досье, чтобы знали, с кем я встречаюсь и куда хожу (хотел ещё написать "и чьи сиськи в Juick комментирую", но уже давненько не припомню тут сиськопостов).
  • @mva, в общем, да, я тоже против принуждения в общем и целом, но не могу сходу придумать способа сообщить сделать защищённую сеть, кроме как вытолкнуть из неё сервера, не умеющие в шифрование (в конце концов, они вольны создать свою сеть без шифрования) :)
  • @mva, s/сообщить//
  • @mva, это будет офигенный вброс же. Вопрос в том, кто после холивара вымрет, а кто останется.
    Жабросообщество и так маленькое, ещё и по крипте делиться — вообще зло.
  • @ugnich, Но тут не весь нужный код :) А добавлять TLS — пять строчек.
  • @vt, Угнич там ссылку на гитхаб дал. Допиши эти 5 строчек туда
  • @ugnich, кстати, jabber.org вроде как
    May 19, 2014 — Permanent upgrade to encrypted network for server-to-server encryption.
    Однако жуйкобот никуда не делся пока что. Возможно, из-за разницы во времени.
  • @Graf, еще раз — там не весь код
  • @ugnich, Я за шифрование, но, ессесно, всем пофиг :}
  • @Ta2i4,
    в последнее время вообще дофига параноиков развелось

    С разморозкой, няша. Параноики кончились, всё оказалось правдой.

    будто кому-то есть дело до их личных переписок

    Вот когда понадобятся, тогда достанут из архивов и привет :} См. также LOVEINT.
  • @vt, Там законченная, полноценная библиотека, независимая от Juick. Можете форкнуть и сделать простой класс с TLS, я перенесу в Juick.
    Есть только одна проблема: вы нихрена не понимаете в TLS, раз говорите о 5 строчках. Ничего личного.
  • @ugnich, лол, зачем понимать в TLS, если оно есть готовое в Java? Я ж не собираюсь писать реализацию с нуля. Там по сути одна строчка :
    SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket(
    socket,
    socket.getInetAddress().getHostAddress(),
    socket.getPort(),
    true);
    еще штуки три строки надо чтоб хранилище сертификатов и опции проверки указать.
  • @vt, "лол, зачем понимать"? Ясно, больше вопросов не имею.
  • @ugnich, ясно, то есть SSL будет? Или будет, только когда его кто-то напишет с нуля? :) Нет, я не криптопараноик, мне он не нужен, я всего лишь хотел добавить тебе starttls в библиотеку, а ты сопротивляешься зачем-то.
  • @ugnich, @ugnich, зачем ты так? здесь все понимают, о чем @vt, но не понимают, о чем ты.
    в чем проблема заюзать готовый sslsocket?
  • @vt, Я не сопротивляюсь, добавьте пожалуйста. Я просто не люблю теоретическое программирование типа "да там ерунда, работы на один вечер!".
  • @ugnich, я не могу добавить обработку starttls-пакета к отсутствующей обработке stream:features (там есть только клиентская часть, но нет серверной). А так да — с тем кодом — добавлю за вечер.
  • @vt, Я думаю у Угнича внутреннее противление сертификатам. Вон он сколько времени https делал. А тут ты.
  • @SannySanoff, отлично звучит "https делал",
    как будто сам реализовывал, сам подписывал.
    вроде, на деле ведь все в хостинг упиралось
  • @k0st1x, О том, что "да там 5 строчек всего" обычно встает в пару сотен строк кода и неделю тестирования.
  • @ugnich, давай поспорим :)
  • @vt, Тестировать ж не ты будешь, так что лучше не надо, проспоришь(
  • @Renha, буду конечно.
  • @vt, Не «ты не будешь», а «не ты будешь», готовую реализацию. Ну то есть ты напишешь в 5 строчек, отдашь @ugnich, а он скажет «хорошо, в 5 строк ты уложился, а теперь я буду тестировать [неделю]». Да ладно, я просто шучу, прошу меня извинить
  • @Renha, тут вопрос не в тестировании, а в том, сколько пользователей потеряет ресурс. Ежели больше половины — то Угнич зачешется, да. Ежели нет — то пофиг.
  • @OstapkoBender, Но ведь ресурс для гиков. Все и уйдут, кхе :}
  • @Tenno-Seremel, лолшто, жуйк для гиков? Может и ЕР для народа?
  • @OstapkoBender, YGNCH так сказал, ты ему не доверяешь??? :}
  • @OstapkoBender, Да ни сколько, на самом деле. В России все оказались такими независимыми и осторожными, что у всех крупных игроков сейчас есть поддержка, но нет требования шифрования. И есть планы в течение года таки начать его требовать.
    Но все это шифрование хотя бы уже поддерживают несколько лет, а Жуик — до сих пор нет.
  • @ugnich,
    не хочу править баги и чинить жуйк
    хочу набрасывать на вентилятор.
  • @bloodye, забыл начать с "я — ..."
  • @OstapkoBender, я угнича цитировал, там нет "я"
  • @Tenno-Seremel, Чёрт, значит, не верю)
  • @Santiago26, Этот тред заставил меня задуматься, оказывается у меня есть, что скрывать. Пока у меня шифрование s2s опционально, но включить его принудительно не помешало бы. А тут вот такое...
  • @k0st1x, А я не в курсе, просвети. Про хостинг. В сертификат — знаю. Про хостинг — нет.
  • @ugnich, Врятли кто-нибуть будет менять свой JID, который знает куча народа — проще сменить сервис микроблоггинга. :)
  • @Irsi, не надо менять — добавить альясом второй
  • @vt, В серверной части stream:features никак не обрабатывается — незачем.
    Не забудьте про раздельные процессы для исходящих и входящих соединений. Не забудьте про две версии стандарта XMPP. Не забудьте про непредсказумые и загадочные глюки некоторых серверов. Не забудьте про множество стандартов на шифрование.
    Если получится уложится в сотню строк и три дня — это будет чудо. 5 строк за один вечер — это просто смешно.
  • @ugnich, не сомневаюсь что Вы опытный человек и можете смело делать некоторые заявления, но о @vt у меня например сложилось мнение по крайней мере не хуже (несмотря на его нелюбовь к WP), думаю что голословно утверждения он тоже делать не будет
  • @SannySanoff, Оставьте этот снисходительно-пренебрежительный тон для общения со своими родителями, которые не научили вас простому уважению к себе и окружающим.
  • @zinid, Если бы этот разговор состоялся лет 5 назад, можно бы было поговорить об объединении jabber.ru и juick. :) Думаю, тогда ещё могло что-то получится.
    В любом случае, спасибо за предложение, но разносить на две машины или переносить весь сервис на чужой сервер мне не хочется.
  • @ugnich, Сказано слов было много, но ни одного человека, у которого возникли проблемы с Жуйком через Жаббер тут так и не отписался.
  • @nonsense, +1 аргумент за то, чтобы ничего не трогать. :)
  • @ugnich, "Ни один человек, который не смог пройти через дверь, не ничего не написал в жалобной книге за этой дверью" :)
  • @ugnich, Пока да, но трогать ИМХО надо. Если сейчас нет возможности, средств, времени — поймём. Но забивать не нужно тоже — этот пункт должен быть в десятке ToDo списка.
  • @ugnich, Кстати, недавно была статистика по браузерам, ОС. А ты можешь выкатить по Jabber серверам и клиентам?
  • @datacompboy, Хотел придраться к «не ничего», но фраза то корректная получилась и так :)
  • @ugnich, Я все прекрасно знаю про глюки серверов и версии XMPP, так что с исходниками? Зачем заявлять "допишите", но исходники не давать? :) Давай попробуем, я же не говорю что нужно прям сразу это втыкать в жуйк в этот же вечер. Просто писать с нуля s2s я не готов, а в готовый s2s добавить ssl — вполне.
  • @vt, Я могу дать несколько файлов, которые работают с этой библиотекой, но запустить у себя и протестировать вы всё равно не сможете. Даже если я дам вообще весь код, все равно не запустите.
    Juick никогда не разрабатывался с учетом того, что он будет запускаться где-либо ещё, кроме своего родного сервера. Это не Wordpress, который каждый запускает на личном сервере.
    Поэтому, если вы хотите протестировать свой код, то в любом случае придется писать свою обвязку к этому коду. Использовать готовое из Juick не получится.
    Если я могу ещё чем-то помочь, пожалуйста, дайте знать.
  • @ugnich, я напомню, что в этой библиотеке уже есть мой код, значит я ее как-то запускал ;) Мне нужна только реализация s2s, я запущу ее без остального жуйка. Я таки в итоге хочу получить по-прежнему независимую от остального жуйка xmpp-библиотеку, код жуйка мне и не нужен.
  • @vt, s2s очень сильно связан с Juick, прямо в коде. Если бы мне хотелось иметь отдельный независимый s2s, то использовался бы s2s компонент от того же jabberd2 или ejabberd.
  • @ugnich, куда там дальше идут сообщения после обработки — мне не нужно :) Пусть там будет только тот кусок, где обрабатывается строго xml
  • @ugnich, Ок
  • @ugnich, *? *вопрос