| |
| 2.5, Аноним (-), 22:48, 22/12/2011 [^] [^^] [^^^] [ответить]
| +4 +/– |
OTR вообще замечательная штука для IM, столь же нужен как PGP для емыла. И что самое забавное, OTR в принципе все-равно поверх какого протокола работать, он очень нетребователен к "подложке".
| | |
| 2.7, XoRe (ok), 23:58, 22/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > замечательная штука в местах с резанным тырнетом
Против прослушки https никто не отменял.
А вот шифрование сообщений facebook от самого facebook - это прикольно)
Если прикрутить к вконтакту, можно вести оппозиционную переписку)
| | |
| |
| 3.10, Люк (?), 07:23, 23/12/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
https один хрен палит сам факт соединения... use Tor, бразерз.
| | |
| |
| 4.13, Xasd (ok), 09:20, 23/12/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > https один хрен палит сам факт соединения... use Tor, бразерз.
а когда подключается через Tor к Facebook... и указываешь там свой FB-логон и FB-пароль -- Facebook не догадается кто это за такой "аноним" подключён? :-) :-)
| | |
| |
| 5.17, онанми (?), 14:25, 23/12/2011 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>а когда подключается через Tor
... доверяешь оконечным серверам тор, коих ограниченное количество.;) Их подконтрольность кому следует, у меня лично, не вызывает больших сомнений.
| | |
| |
| 6.21, Люк (?), 14:47, 23/12/2011 [^] [^^] [^^^] [ответить]
| +5 +/– |
У меня свой релей - миновал час, как открыл 9030-й и 9001-й порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне пока? )
| | |
| |
| 7.26, Аноним (-), 23:58, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> У меня свой релей - миновал час, как открыл 9030-й и 9001-й
> порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне
> пока? )
Еще пара часов - и ваш айпишник забанят в википедии :)
| | |
| |
| 8.36, Аноним (-), 12:21, 24/12/2011 [^] [^^] [^^^] [ответить] | +2 +/– | в последнее время мазюкание собеседников википедией становится основным способом... текст свёрнут, показать | | |
|
| 7.32, Аноним (-), 06:22, 24/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне пока? )
Ну если ты tor exit node то какие есть гарантии что ты не возьмешь сниффер и не снифанешь все что я шлю плейнтекстовым протоколом? А то и вклинишься между мной и серваком, ты ведь и так уже там - попутно патчить пакеты ничто не запрещает :)
| | |
| |
| 8.33, Люк (?), 11:43, 24/12/2011 [^] [^^] [^^^] [ответить] | +3 +/– | Не используете оконечное шифрование при отправке приёме критически важных данных... текст свёрнут, показать | | |
|
| 7.41, онанми (?), 13:29, 25/12/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
> У меня свой релей - миновал час, как открыл 9030-й и 9001-й
> порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне
> пока? )
Причем тут релей? Если речь о собственной входной/выходной точке, то тем более не понятно, где тут онанимность. ;) В данном случае ситуация еще проще и печальнее для собственника.
| | |
| |
| 8.42, Люк (?), 21:09, 25/12/2011 [^] [^^] [^^^] [ответить] | +2 +/– | После разрешения входящих по, скажем, вышеуказанным портам клиент автоматически ... текст свёрнут, показать | | |
|
|
|
| 5.23, Люк (?), 16:52, 23/12/2011 [^] [^^] [^^^] [ответить]
| +4 +/– |
Дык открытый GnuPG или, на худой конец, проприетарный ПэГеПэ и никакой привязки к Facebook. Переписывайтесь себе на здоровье хоть на гугломэйле, хоть где, шпиёны мухаха.
| | |
| |
| 6.31, Аноним (-), 06:19, 24/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Дык открытый GnuPG или, на худой конец, проприетарный ПэГеПэ и никакой привязки
> к Facebook. Переписывайтесь себе на здоровье хоть на гугломэйле, хоть где,
> шпиёны мухаха.
А ты попробуй PGP допустим в IRC использовать? Знаешь как ему нравится лимит на размер сообщения? :) F otr и через такое пролезает. И вообще, он решает чуть иные задачи.
В pgp если некто отснифал траффик а потом отобрал у вас привкей - все что к вам летело может быть расшифровано. В otr с режимом perfect forward secrecy траффик между сторонами сессии шифруется временным динамически согласованным ключом. Он есть только в RAM участников обмена ключами. После того как эти ключи будут изничтожены (сессия завершена) - будет невозможно расшифровать ранее перехваченный траффик. Потому что временного ключа более нигде нет.
| | |
| |
| 7.34, Люк (?), 11:54, 24/12/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А ты попробуй PGP допустим в IRC использовать?
Казалось бы, причем тут Facebook )
| | |
|
|
| 5.28, Аноним (-), 05:48, 24/12/2011 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> и FB-пароль -- Facebook не догадается кто это за такой "аноним" подключён? :-) :-)
И что хуже, админ exit node потенциально может hijackнуть аккаунт.
| | |
|
|
| 3.16, Аноним (-), 14:24, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Против прослушки https никто не отменял.
HTTPS не является end-to-end шифрованием, SSL заканчивается на первом же сервере. А как сервер и то что дальше поступят с информацией - ты уже не контролируешь.
В случае OTR расшифровать сообщение может только легитимный получатель которому оно адресовано. Что-то типа PGP, только шифрование динамически согласуется на ходу и более ориентировано на IM-like cтиль, более близкий к реалтайму.
> А вот шифрование сообщений facebook от самого facebook - это прикольно)
> Если прикрутить к вконтакту, можно вести оппозиционную переписку)
Теоретически, OTR-у похрену через что именно передавать сообщения. У него есть некие собственные соглашения о том как и чего. К транспорту предъявляются довольно небольшие требования, так что OTR лезет поверх кучи разных протоколов. HTTP и сайты на оном в этом плане ничем не хуже остальных :)
| | |
| 3.22, arisu (ok), 16:46, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
 к сожалению, отр элементарно блочится. всякие мордокниги просто будут считать отр-сообщения «спамом» с лёту и не пропускать. на том оно всё и умрёт.
если что, это не про «отр не нужен», это про «мордокнига не нужна, как и попытки её 'починить'».
| | |
| |
| 4.29, Аноним (-), 05:58, 24/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> к сожалению, отр элементарно блочится.
Даже устная речь элементарно блочится - был бы кляп под рукой.
> всякие мордокниги просто будут считать отр-сообщения
> «спамом» с лёту и не пропускать. на том оно всё и умрёт.
Как известно, уровней абстракции существует бесконечное множество. Скажем i++ и предложим фильтру поумнеть на еще 1 уровень. Совершенно абстрактно от фэйсбуков или кого там еще.
> если что, это не про «отр не нужен», это про «мордокнига не
> нужна, как и попытки её 'починить'».
Будь проще. Рассматривай это как просто (N+1) уровень абстрактного протокола.
Во всех случаях смысл более-менее одинаков: есть некая промежуточная среда которая коммутирует и доставляет сообщения и она не является доверяемой и есть адресаты сообшений. Чем именно будут доставлены сообщения (SMTP, TCP/IP, XMPP, IRC, ICQ, HTTP via some server или что там еще) - не так уж и принципиально. Ну а OTR-у не так уж принципиально кто и как сообщения доставит :)
| | |
| |
| 5.37, arisu (ok), 13:43, 24/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
да мне, в принципе, всё равно (хотя авторов оригинальной библиотеки стоило бы немного попинать под зад за тотальную беду с её документированием: я пока себе встроил, семь потов сошло). просто не вижу смысла делать для мордокниги подобное.
| | |
|
|
|
|
| 1.2, Аноним (-), 21:23, 22/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
[quote]В данный момент дополнение поддерживает обмен сообщениями через Facebook с предотвращением анализа содержимого сообщений на серверах Facebook.[/quote]
А вот это уже интересно!
| | |
| |
| 2.11, Аноним (-), 08:51, 23/12/2011 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Что тут интересного? "Зависание в социалках" само по себе и "информационная безопасность" подходят друг к другу как кулак к носу!
Хочешь безопасности - не будь социализированной обезьянкой и не трынди о себе на всех углах, возле которых каждая собака писает!
| | |
| |
| 3.18, Аноним (-), 14:25, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Хочешь безопасности - не будь социализированной обезьянкой и не трынди о себе
> на всех углах, возле которых каждая собака писает!
Да, однако OTR позволяет перекидываться защищенными сообщениями через незащищенные каналы. Почему таковым не должна быть мочь социалка - ??
| | |
| |
| 4.38, Аноним (-), 14:47, 24/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Но зачем это делать через фейсбук? ЦРУ жаббером пользоватсья запретило?
| | |
|
|
|
| 1.8, eye (?), 02:03, 23/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
там тоже нужно обмениваться ключами? тоесть они переизобрели то, чем пользуются уже 100 лет?
| | |
| |
| 2.14, Аноним (-), 10:14, 23/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я тоже подозреваю, что тут принципиально ничего нового. Просто некоторая обёртка для удобства. Уже давно можно было шифровать и подписывать свои сообщения через PGP и пастить их в виде ascii armor в текстовые окошки.
| | |
| |
| 3.30, Аноним (-), 06:11, 24/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> PGP и пастить их в виде ascii armor в текстовые окошки.
Домашнее задание: попробуй подписать допустим сообщение в IRC. С его лимитом на максимум 512 байтов на все и вся. OTR'у такие моменты пофиг, для него не принципиально. А для pgp это почти фатально (ну ты сам будешь фрагментацию выполнять, а это утомительно и ремотной стороне будет неудобно руками собирать ошметки). Кроме того OTR преследует чуть иные цели. Например, там возможен perfect forward secrecy (компрометация приватного ключа не раскрывает ранее перехваченный траффик).
| | |
| |
| 4.40, nal (??), 13:20, 25/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
 для IRC есть IRXP - 64-битный ключь правда только держит, но это мелочи, исходники то открыты, дописывай под что нужно
| | |
|
|
| 2.15, rain87 (?), 13:22, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
угу, скорей всего. точно так же как и снифинг в незашишённых вайфай сетях - вроде все знают, но пока не появился Firesheep, никто особо и не чесался на тему внедрения повсеместного хттпс. так что в любом случае позитив, глядишь шифрование всего и вся потихоньку станет нормой
| | |
| 2.19, Аноним (-), 14:28, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> там тоже нужно обмениваться ключами?
OTR умеет динамический обмен на ходу. Единственное что требуется - сверить что fingerprint совпадает с тем что видит собеседник (MITMы же).
> тоесть они переизобрели то, чем пользуются уже 100 лет?
Они переизобрели это в удобном виде, который к тому же за счет протокола-оверлея пролезает через почти все что в принципе может передавать сообщения :)
| | |
|
| 1.9, artem.stecenko (ok), 02:47, 23/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 По первой ссылке дополнение анонсировано ещё 28 июня... то бишь, это конечно новость, но не совсем новая...
| | |
| 1.12, Xasd (ok), 09:13, 23/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
с точки безоасности (тайны переписки) -- идеия дополнения бред
почему(?)
все помнят навязчивые собщения которые возникают когда смешиваются вместе HTTPS и HTTP части внутри одной и тойжк www-страницы? почему возникают эти сообщения -- понимаете? потомучто [методом АКТИВНОЙ прслушивающей атаки] можно поменять HTTP-части документа таким образом что HTTPS-часть уже будет неактуальна или вообще подменена
и во тут всё тоже самое!!
смешивая вместе стандартные блоки Facebook и "защищённые" блоки (iframe) OTR -- методом АКТИВНОЙ атаки злоумышленники [тоесть те злоумышленники которые работают внутри Facebook и имеют возможность менять код Facebook] могут модифицировать Facebook-блоки таким образом что OTR-блок будет каким либо образом скомпромитирован или подменён на фальшивую копию
# p.s.: а мараль такова -- пользоваться OTR надо из соответстующих программ-чатов (Gajim, например), а не через инъектированные www-страницы :-) ...правда в Gajim не OTR -- а нормальный End-To-End Encryption XEP-0116
| | |
| |
| 2.20, Аноним (-), 14:36, 23/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> что OTR-блок будет каким либо образом скомпромитирован или подменён на фальшивую
> копию
А откуда они возьмут легитимный ключ как у собеседника для правдоподобной подделки? Если не щелкать клювом и сверить fingerprint ключа, OTR защищает в том числе и от активно действующих MITM. Да, MITM может всучить свой ключ обоим сторонам и воткнуться посередине между адресатами. Но это проверяемо по fingerprint-у ключа (+есть режим preshared key, где mitm вообще в пролете если его не знает).
> Gajim, например
Спасиб, сами его юзайте. А так - OTR не требователен к транспортной среде. Логично что его прикрутили и к соцсетям. А почему нет?
| | |
| 2.24, Аноним (-), 23:57, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> смешивая вместе стандартные блоки Facebook и "защищённые" блоки (iframe) OTR -- методом АКТИВНОЙ атаки злоумышленники [тоесть те злоумышленники которые работают внутри Facebook и имеют возможность менять код Facebook] могут модифицировать Facebook-блоки таким образом что OTR-блок будет каким либо образом скомпромитирован или подменён на фальшивую копию
Вы ничего не понимаете в асимметричной криптографии. Идите учить матчасть. Успехов!
| | |
| |
| 3.25, arisu (ok), 23:58, 23/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Вы ничего не понимаете в асимметричной криптографии.
если бы только в ней…
| | |
|
|
|
