forums.whonix.org/t/coyim-in-whonix-development-discussion/5901/13
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Jabber vs Telegram
- Автор темы SkyFall
- Дата начала
Jabber-Когда происходит MITM ,выходит сообщение, типа:"На сервере изменился сертификат,подтвердите"-Знайте,лучшее что Вам осталось сделать,уничтожить все носители информации и уносить ноги.
Телега-вообще дрявая затея,не о какой безопасности речи быть не может.Благодаря мощной пиар кампании ,все недохакеры слепо верят в сверхбезопасность друшлака.
Можете говорить что угодно,факты остаются и нарастают.
Из проведённого мною иследования,выделился один месседжер ZOM,на основе...непонятно чего(xmpp).Его используют от китайцев,о багадырах мне ничего не известно.Кому интересно,можете заюзать гугл и найти что нибудь,будет очень полезно выслушать мнение спецалистов.
Верно писали про децатралиацию,по моему это передовой подход к полной анонимности переписки,в случаях надёжного шифрования соединения между двумя собеседниками .
Априори,всё можно прочитать.
Телега-вообще дрявая затея,не о какой безопасности речи быть не может.Благодаря мощной пиар кампании ,все недохакеры слепо верят в сверхбезопасность друшлака.
Можете говорить что угодно,факты остаются и нарастают.
Из проведённого мною иследования,выделился один месседжер ZOM,на основе...непонятно чего(xmpp).Его используют от китайцев,о багадырах мне ничего не известно.Кому интересно,можете заюзать гугл и найти что нибудь,будет очень полезно выслушать мнение спецалистов.
Верно писали про децатралиацию,по моему это передовой подход к полной анонимности переписки,в случаях надёжного шифрования соединения между двумя собеседниками .
Априори,всё можно прочитать.
по безопасности что телега что жабер одно и тоже и там и там спокойно отдадут бекап сервера есл к ним нагрянут
Устаревший протокол OTR, почему его до сих пор используют, вот какой у меня вопрос. Он даже близко не подходит в сравнении с шифрованием телеги. OTR не поддерживает оффлайн шифрование (оффлайн сообщения не шифрует, отправляет открытым текстом), передачу файлов, конференции. В xmpp надо использовать omemo для общения со всеми, pgp с серьёзными ребятами, кто с ним работать умеет. Telegram как средство связи с семьёй вполне подходит, хотя и опасные ребята им пользуются, пока сливов не было. Telegram очень полезный мессенджер, кто за него плохо пишет, в основе сами не понимают о чём они говорят, пишут про jabber+otr которому научили в сети, хотя сами не смогут поднять свои сервера, да и jabber не сущесувует уже, есть xmpp. Telegram можно использовать как неограниченное хранилище (облако). Когда говорят про xmpp, какой сервер использовать не пишут, так как не надёжны большинство. Пользоваться своими серверами, это под конкретные задачи, в массы не пойдёт, а значит не о чем тут спорить, что лучше. Массово лучше использовать телеграм, чем раньше поймёте, тем быстрее пойдёт работа. Для динозавров с OTR напоминаю, есть OMEMO, используйте его, он надёжнеё и удобней.
Последнее редактирование:
Ребята, запомните одно важное правило. Безопасность не бывает удобной!
Везде где в переписках есть третье лицо (сервер) вас могут скомпрометировать. Плюсы jabber, что вы можете наложить шифрование поверх этого и максимум спалить только айпи тем кто придет за винтами (ну опять же пользутесь тор, впн, соксами и так далее). А в телеге уж извините. Ток из коробки. И один бог и дуров вместе с фсб знает как это шифрование работает на сервере. ^_^
Везде где в переписках есть третье лицо (сервер) вас могут скомпрометировать. Плюсы jabber, что вы можете наложить шифрование поверх этого и максимум спалить только айпи тем кто придет за винтами (ну опять же пользутесь тор, впн, соксами и так далее). А в телеге уж извините. Ток из коробки. И один бог и дуров вместе с фсб знает как это шифрование работает на сервере. ^_^
Уже прошли времена когда Безопасность не Удобна. Уязвимости везде есть, otr, omemo, pgp, мало кто из здесь сидящих проверял. Телеграм однозначно нету доверия, отправляя по секрет чату ссылку с логгированием ip при открытии, первым ссылку открыл бот телеграма, хотя отключен предпросмотр ссылок. К тому же секретные чаты хранятся на сервере, иначе их невозможн было бы доставить когда абонент оффлайн. Никто не мешает через телеграм отправлять секретные послания через сервис например https://temp.pm, либо писать через PGP.
В телеграм много людей и только увеличивается количество, скорее всего из-за лени, либо незнания про протокол omemo который облегчает общение в xmpp, многим ведь надо картинки отправлять и сообщения, чтобы не пропадали. Советую везде где можно распиарить omemo, может тогда про телеграм забудут как средство безопасного общения. В любом случае телега останется востребованной, так как много есть в телеграм функций которых нету в xmpp, например посидеть почитать полезную информацию на каналах, работа с ботами, которые можно прикрутить к своему ботнету, либо перегнать киви на битки.
Последнее редактирование:
Zom
Easy, secure, awesome messaging. Zom has 17 repositories available. Follow their code on GitHub.
github.com
Matrix - это действительно децентрализованное хранилище разговоров, а не протокол обмена сообщениями. Когда вы отправляете сообщение в Matrix, оно реплицируется на все серверы, пользователи которых участвуют в данном диалоге, аналогично тому, как реплицируются коммиты между репозиториями Git.Кто нибудь в курсе событий вокруг этого протокола?
Про Multi-End Message and Object Encryption (OMEMO) можно поподробнее.
Как я понимаю,если матрикс с омемо интегрировать ,то пушка получится??
это бывший chatsecure, который OpenSourceZom
Easy, secure, awesome messaging. Zom has 17 repositories available. Follow their code on GitHub.github.comMatrix - это действительно децентрализованное хранилище разговоров, а не протокол обмена сообщениями. Когда вы отправляете сообщение в Matrix, оно реплицируется на все серверы, пользователи которых участвуют в данном диалоге, аналогично тому, как реплицируются коммиты между репозиториями Git.
Кто нибудь в курсе событий вокруг этого протокола?
Про Multi-End Message and Object Encryption (OMEMO) можно поподробнее.
Как я понимаю,если матрикс с омемо интегрировать ,то пушка получится??
ChatSecure
Free and open source encrypted chat for iOS. ChatSecure has 71 repositories available. Follow their code on GitHub.
github.com
Matrix - это протокол, вики почитай: https://ru.wikipedia.org/wiki/MatrixZom
Easy, secure, awesome messaging. Zom has 17 repositories available. Follow their code on GitHub.github.comMatrix - это действительно децентрализованное хранилище разговоров, а не протокол обмена сообщениями. Когда вы отправляете сообщение в Matrix, оно реплицируется на все серверы, пользователи которых участвуют в данном диалоге, аналогично тому, как реплицируются коммиты между репозиториями Git.
Кто нибудь в курсе событий вокруг этого протокола?
Про Multi-End Message and Object Encryption (OMEMO) можно поподробнее.
Как я понимаю,если матрикс с омемо интегрировать ,то пушка получится??
Непонятно зачем туда запихивать omemo, там есть end-to-end шифрование. Использование matrix нужно через безопасное соединение, ведь связь может легко публиковать ваш ip адрес. Надо поработать и изучить, не сливает ли реальный ip, так как есть звонки и видео конференция. Наиболее совершенная модель использования matrix, через приложение Riot, который открыто заявляет, что не гарантирует безопасность. Нужна децентрализация? Используй соц-сеть https://mastodon.social/. Нужна безопасная децентрализиция, используй Ricochet, который работает полностью через Tor, настоящий минималистичный, действительно анонимный мессенджер.
Объясните мне уязвимость и несекурность жабы в таком варианте:
1. я передаю (можно даже через личку , если паранойя) PGP ключ, в ответ получаю такой же от того, с кем хочу общаться.
2. импортирую ключ в psi, выбираю шифрование pgp.
Что тут (подмену самого ключа на этапе обмена мы не берем) можно смитмить и как, имея даже рут-доступ к серверу, провайдеру и т.д?
1. я передаю (можно даже через личку , если паранойя) PGP ключ, в ответ получаю такой же от того, с кем хочу общаться.
2. импортирую ключ в psi, выбираю шифрование pgp.
Что тут (подмену самого ключа на этапе обмена мы не берем) можно смитмить и как, имея даже рут-доступ к серверу, провайдеру и т.д?
Для начала скажите, вы исследовали уязвимости PGP, почему изначально есть к нему доверие, либо стадное доверие устаревшей информации про безопасность PGP? Так же почему отметается подмена ключа на первом этапе, настолько уверены в безопасности своего средства общения или операционки?
Большинство не понимает, не важно какое шифрование используется, если есть варианты намного легче получить доступ к тебе, поставить камеру в квартире или установить вредоносное ПО. Вариант с плагином который может быть подставным или уязвимым. Большинство пользуется виндой и программами под капот которых они никогда не заглядывали, поэтому несекьюрно всё почти, когда на плечах нет головы. Ещё другой вопрос, насколько опасными вещами занимаетесь, чтобы настолько заморачиваться с безопасностью? Нужны ли ваши переписки кому либо или нет, да и что может грозить вам. Намного проще язык держать за зубами. Если вы не террорист, бояться вам нечего. В своё время когда начинал изучать компьютеры, решил первым делом изучить безопасность и анонимность, подумал будто я самый разыскиваемый человек и пытался заанонимизировать себя, вышло долго, но я справился. Потом же понял, анонимность в большинстве случаев распиарена зря, никому не нужная трата времени. Чем больше работы, тем больше нервотрёпки, следить за всем сильно устаёшь. Работать надо так, чтобы не было зависимостей от софта и компьютера, когда можно на чужом устройстве работать, не оставляя следов. Для этого создал себе операционку, личной информации никакой нет, но всегда могу зайти на безопасное облако, скачать необходимое для работы через тор, после выключения никаких следов не остаётся. Можно сказать Tails+Kali, со своими наработками. Главное преимущество, точно знаю ничего лишнего нет в системе, очень лёгкая система, работать может неделями в ram режиме без перебоев, бэкдор не установить, флэшка всегда со мной, никакого persistance раздела от которого флэшка накроется, так же скрывать её в экстренной ситуации не придётся, так как данных нет. Всегда нужно оценивать ситуацию, нужно ли вам xmpp+pgp, а может просто не болтать и тогда проблем не будет.
Последнее редактирование:
Там в сервисе указано что они обязаны отписываться в первые 10 дней каждого месяца, но они не делают этого уже 2 месяца)))
Одна из особенностей OTR, принудительно не хранится ключ в клиенте после выхода из клиента.
Если бы он хранился - прочитать сообщения можно было бы.
Так же, вроде видел настройки где можно прочитать сообщения, в том же psi.
Очень классный мессенджер и протокол, но, вроде как официально ведет логи.
Т.е. ничем не лучше телеги которая хранит ip,системные данные и запрашивает imei.
Безопастность скорее всего стала удобна, просто решений из коробки в 2 клика кроме OTR и omemo все еще нет.
Ты сейчас ахуеешь, но изначально первый клиент где я видел ботов, практически с аналогичный функционалом, была... аська)
На xmpp тоже нет проблем поднять ботнет.
Единственное что, не будет функционала типа inline, и кнопочек.
Можно даже OTR к боту прикрутить, при желании)
Покажи мне хоть один ботнет на xmpp или icq работающий в данный момент. Дело не в том можно или нет, дело в том где работа идёт. С телеграм намного проще работать, чем пытаться в xmpp сделать то же самое. Мне известно, можно и канал создать в xmpp и ботов, только никто почти так не делает, намного лучше справиться телеграм, сначала поработай потом скажешь своё мнение про ботов icq.
Покажи мне бот работающий сейчас, не создание бота, а в работе. Понимаешь о чём я? Сейчас ботнеты в телеграм, они надёжней и анонимней аськи.
У меня не тот уровень знаний, чтобы искать уязвимости в криптопротоколах.
Говорить можно многое, но жаба не требует привязку к симке, которую могут перевыпустить мусора.
Я информационный террорист, веду электронный джихад против вайтхетов
Делать бота на XMPP нет сейчас никакого смысла, потому что для всех задач хватает классической хттпс админки. А так, эксперименты были. Сейчас оно все усложнено из-за урода оптимуса, а лет 6 назад вполне себе. Готовый продукт не помню, но РоС мы даже на этом форуме где-то обсуждали.
Поставь двухфакторку и почту на восстановление, в чём проблема!? Хочешь анонимности, используй вирт номер. Зачем наезжать на сервис который отлично подходит под многие задачи, только из за сим-карты, на signal почему нету наездов. Может причина в фсб, которая по всем форумам спамит о небезопасности телеграм? Не думал? В любом исходе получается надо доверять серверам, либо шифровать переписку. Сервер свой если самому поднимать, там достаточный уровень знаний необходим по безопасности, к тому же никакой анонимности, если только в зоне онион не поднимать сервер. Telegram облегчает многие задачи, качестенный продукт. Если кто не умеет работать, либо паранойит по всякому, значит либо не разбирается в безопасности, либо обычный паранойик ни дня не работавщий на тёмной стороне.
Последнее редактирование:
Читать весь этот оффтоп нету смысла, я просто помру. Еще не понял от чего именно помру, но точно помру.
Я вообще не вижу смысл ставить двухфакторку на мессенджер который официально ведет логи, и единственное что официально заявлено как безопастное - секретный чат, который никто не использует.
Это один из самых простых и базовых аргументов.
Ты же проигнорировал остальные мои аргументы, поэтому мы и обсуждаем симку.
Signal - хз.
Фсб заставляет вас использовать какие то другие мессенджеры(ведь люди уходят не только в xmpp, но и в тот же matrix, tox, прочее) и ставить шифрование.
п#дарасы - сэр.
Я не понял смысла этого предложения.
Да и зачем вообще кому то доверять, если можно тупо хуярить хоть какое то шифрование?
Основные аргументы которые я вижу это то что тебе легче юзать телегу, чем настроить сервер.
Я и качественных продуктов в паблике практически не вижу.
Если делать его полностью на них, это крайне костыльно.
2. Никто не сидит в конфах в телеге.
Сидят.
Сидели до тебя, и будут сидеть после тебя.
И в ирке все еще кто то сидит до тебя и после тебя.
Я вообще не вижу смысл ставить двухфакторку на мессенджер который официально ведет логи, и единственное что официально заявлено как безопастное - секретный чат, который никто не использует.
Это один из самых простых и базовых аргументов.
Ты же проигнорировал остальные мои аргументы, поэтому мы и обсуждаем симку.
Signal - хз.
Фсб заставляет вас использовать какие то другие мессенджеры(ведь люди уходят не только в xmpp, но и в тот же matrix, tox, прочее) и ставить шифрование.
п#дарасы - сэр.
Я не понял смысла этого предложения.
Да и зачем вообще кому то доверять, если можно тупо хуярить хоть какое то шифрование?
Пойми правильно - это твое мнение.
Основные аргументы которые я вижу это то что тебе легче юзать телегу, чем настроить сервер.
По ботнетам, я практически не видел продуктов которые прикручиваются к телеге.
Я и качественных продуктов в паблике практически не вижу.
Ботнеты в принципе не особо могут работать на xmpp или icq или телеграм полноценно.
Если делать его полностью на них, это крайне костыльно.
1.Мне удобно пользоваться телегой
2. Никто не сидит в конфах в телеге.
Сидят.
Сидели до тебя, и будут сидеть после тебя.
И в ирке все еще кто то сидит до тебя и после тебя.