Что знает jabber сервер о своём клиенте?

[cutedemon]

Что знает jabber сервер о своём клиенте?

 

[admin]

Зависит от jabber сервера. Плохой вариант - начиная с полной и детальной переписки (в народе "логи"). Хороший вариант - логин, хеш пароля и ростер. При активном коннекте - сессия, в идеале она не должна писаться в лог. У нас на @thesecure.at логи переписок отключены. Также, в идеале, чтобы логи служб были выключены. В любом случае, все эти проблемы решаются использованием шифрования переписки:
[FAQ]: Включаем OTR-шифрование в PSI+
[FAQ]: Включаем PGP-шифрование в PSI+

Как выглядят логи, если сервер их ведет:

Примеры того, как выглядит траффик в xmpp под OTR. Со стороны сервера выглядит вот так:

Какой бы сервер не был, всегда включайте OTR, а еще лучше - PGP при переписках.

 

[petroglyph]

admin,
Мне зесекьюр нравится всем кроме выбора хостинга
Чем обусловлен?Я думаю ты понимаешь какая проблема в нем

 

[admin]

admin,
Мне зесекьюр нравится всем кроме выбора хостинга
Чем обусловлен?Я думаю ты понимаешь какая проблема в нем

Угу, понимаю. Скажу тебе так. Я пробовал, у меня не получилось. И протокол xmpp, и сам демон очень требовательны к аптайму и каналу, даже минимальные микро падения и обрывы превращаются в проблему, служба отваливается и выпадает, жабы лагают, мессаги не доходят. Нереально, короче, развернуть xmpp в экзотических местах. И нереально проксировать и прокидывать траф.

 

[cutedemon]

Зависит от jabber сервера. Плохой вариант - начиная с полной и детальной переписки (в народе "логи"). Хороший вариант - логин, хеш пароля и ростер. При активном коннекте - сессия, в идеале она не должна писаться в лог. У нас на @thesecure.at логи переписок отключены. Также, в идеале, чтобы логи служб были выключены. В любом случае, все эти проблемы решаются использованием шифрования переписки:
[FAQ]: Включаем OTR-шифрование в PSI+
[FAQ]: Включаем PGP-шифрование в PSI+

Как выглядят логи, если сервер их ведет:

Примеры того, как выглядит траффик в xmpp под OTR. Со стороны сервера выглядит вот так:

Какой бы сервер не был, всегда включайте OTR, а еще лучше - PGP при переписках.

Спасибо за подробный ответ)

 

[r_as]

Зависит от jabber сервера.

Какой бы сервер не был, всегда включайте OTR, а еще лучше - PGP при переписках.

А XMPP демон обычно ведет логи коннектов и прочего? Такой-то юзер зашел тогда-то с такого IP и клиента, изменения статуса, итд.

 

[admin]

А XMPP демон обычно ведет логи коннектов и прочего? Такой-то юзер зашел тогда-то с такого IP и клиента, изменения статуса, итд.

Зависит от демона. Ejabberd из коробки не ведет, если при дефолтном конфиге, но можно установить или отключить подобные модули. Юзер извне это может узнать только косвенно и частично по всяким "подозрительным" модулям, например, тест. При чем, модули могут быть вполне благородные и полезные, например, всякие Message Carbons, Message Archive Management, MAM и так далее, к примеру, отправляющие сообщения на несколько подключенных устройств одновременно, но при этом пишущие саму мессагу в лог.
Короче говоря, одним словом, все зависит от конфигурации конкретного сервера.

В любом случае, даже если какой-то jabber сервер пишет все возможные в природе логи, это все равно безопаснее, чем телега =) Ведь можно включить pgp/otr + tor и получить уже гарантированно безопасный и анонимный контакт.

 

[Grizly]

Зависит от jabber сервера. Плохой вариант - начиная с полной и детальной переписки (в народе "логи"). Хороший вариант - логин, хеш пароля и ростер. При активном коннекте - сессия, в идеале она не должна писаться в лог. У нас на @thesecure.at логи переписок отключены. Также, в идеале, чтобы логи служб были выключены. В любом случае, все эти проблемы решаются использованием шифрования переписки:
[FAQ]: Включаем OTR-шифрование в PSI+
[FAQ]: Включаем PGP-шифрование в PSI+

Как выглядят логи, если сервер их ведет:

Примеры того, как выглядит траффик в xmpp под OTR. Со стороны сервера выглядит вот так:

Какой бы сервер не был, всегда включайте OTR, а еще лучше - PGP при переписках.

Почему про OMEMO не пишите? Чем то OTR его превосходит?