• XSS.stack #1 – первый литературный журнал от юзеров форума

Форензик анализ Xabber, Conversations на Android

Отслеживать
Reffatto сказал(а):
Ну перевел бы хотя бы
А скольким людям будет действительно интересен перевод статьи? Это ведь не мануал. 1-2 чел? Те кому действительно интересна статья прочитают ее в оригинале. А те, у кого цель набить побольше сообщений на форуме, будут продолжать это делать, вместо того чтобы сделать что-нибудь полезное для форума.

а так кому надо думаю и без твоей ссылки найдут.
В поисковике можно многое найти. Тогда почему вы пришли на форум?
 
Так и знал, что с этим conversations что-то нечисто. Жаль, что chatsecure больше не работает. Очень удобно было пользоваться
Единственное, что смущает - на сайте разработчика chatsecure содержатся рекомендательные ссылки на conversations :rolleyes:
 
empty14 сказал(а):
Так и знал, что с этим conversations что-то нечисто. Жаль, что chatsecure больше не работает. Очень удобно было пользоваться
Единственное, что смущает - на сайте разработчика chatsecure содержатся рекомендательные ссылки на conversations :rolleyes:
Что там с conversations? Можете коротко его минусы написать? Пользуюсь давно, только с другим сервером. Знаю только, что официальный сервер conversations включен в реестр распространителей информации России и подтвердил сам разработчик данный факт. Но к приложению не имеет отношения данная информация. Утечки самим приложением не замечено, мимо Tor трафик тоже не утекает, а другой сервер не будет знать данных которые знает conversations приложение, поэтому считаю безопасным. Xabber какой то кривой, не обновляемый, раньше вводил в заблуждение своей передачей файлов и конференциями через otr. Otr не имеет таких возможностей, сами разработчики подтверждали мне, что забыли убрать кнопки передачи файлов из otr =)
 
Samorez сказал(а):
Что там с conversations? Можете коротко его минусы написать? Пользуюсь давно, только с другим сервером. Знаю только, что официальный сервер conversations включен в реестр распространителей информации России и подтвердил сам разработчик данный факт. Но к приложению не имеет отношения данная информация. Утечки самим приложением не замечено, мимо Tor трафик тоже не утекает, а другой сервер не будет знать данных которые знает conversations приложение, поэтому считаю безопасным. Xabber какой то кривой, не обновляемый, раньше вводил в заблуждение своей передачей файлов и конференциями через otr. Otr не имеет таких возможностей, сами разработчики подтверждали мне, что забыли убрать кнопки передачи файлов из otr =)
А вот этого я не знал. Касаемо сервера conversation. Я думал, информация касается самого приложения. Увидел информацию, что conversation сотрудничает с властями и дальше почитать не удосужился. Касаемо xabber, с самого начала мне не нравилось это приложение, поэтому и пользовался альтернативой - chatsecure.
 
empty14 сказал(а):
А вот этого я не знал. Касаемо сервера conversation. Я думал, информация касается самого приложения. Увидел информацию, что conversation сотрудничает с властями и дальше почитать не удосужился. Касаемо xabber, с самого начала мне не нравилось это приложение, поэтому и пользовался альтернативой - chatsecure.
Тебя не смутило предупреждение в f-droid, что xabber "отслеживает и сообщает о вашей деятельности"? Сотрудничают с властями вообще все у кого есть офис, куда можно нагрянуть.
 
Последнее редактирование:
Samorez сказал(а):
Тебя не смутило предупреждение в f-droid, что xabber "отслеживает и сообщает о вашей деятельности"? Сотрудничают с властями вообще все у кого есть офис, куда можно нагрянуть.
У кого нету офиса, могут пообщаться и на дому или в аэропорту.
 
Samorez сказал(а):
Тебя не смутило предупреждение в f-droid, что xabber "отслеживает и сообщает о вашей деятельности"? Сотрудничают с властями вообще все у кого есть офис, куда можно нагрянуть
То есть, xabber имеет бэкдоры и сотрудничает с властями?
 
Как бы там ни было и то и то опенсорс. Сомневаетесь в софте - сами чекайте код. Пусть например сторонний аудит скажет все норм ребята можно юзать и то и то. Вы в это поверите? Любой бэкдор можно будет потом списать на ошибку в коде. Вы уверены что приложения с маркетплейсов скомпилены с открытого кода с гитхаба? Опять же - не верите - собирайте сами, а не жмите кнопку "install".
И еще. Если на телефоне с андроидом у вас заводская прошивка или яблоко - то особо и нету разницы где и что вы будете писать.
 
empty14 сказал(а):
То есть, xabber имеет бэкдоры и сотрудничает с властями?
Бэкдором не назвать. Но как в случае с firefox, отправляет данные устройства. Например xabber соединяется к своим серверам, даже когда подключаешься к сторонним серверам. На conversations ничего такого не заметил, трафик мимо прокси тоже не выпадает, как например в Telegram. Telegram постоянно ходит мимо прокси и определяет через системное приложение твой реальный ip.

P.S: Кто пользуется xabber, вы можете общаться через OTR с теми, кто сидит через pidgin с OTR? Та же старая версия Conversations Legacy поддерживает OTR, без лагов позволяет общаться с теми у кого десктоп клиенты.
 
johnsm сказал(а):
Как бы там ни было и то и то опенсорс. Сомневаетесь в софте - сами чекайте код. Пусть например сторонний аудит скажет все норм ребята можно юзать и то и то. Вы в это поверите? Любой бэкдор можно будет потом списать на ошибку в коде. Вы уверены что приложения с маркетплейсов скомпилены с открытого кода с гитхаба? Опять же - не верите - собирайте сами, а не жмите кнопку "install".
И еще. Если на телефоне с андроидом у вас заводская прошивка или яблоко - то особо и нету разницы где и что вы будете писать.
А какой смысл вообще покупать себе телефон на андроиде и сидеть на стоковом вторичном ПО? Но даже так, откуда уверенность, что тот же CyanogenMod(или любая другая прошивка) не отправляет статистику использования(и статистика - только самое безобидное)? Опять же, брать исходники, чекать, компилить и накатывать
И да, используя приложения из встроенных магазинов - люди сами подвергают себя риску. Тут уже дело каждого
 
Samorez сказал(а):
Бэкдором не назвать. Но как в случае с firefox, отправляет данные устройства. Например xabber соединяется к своим серверам, даже когда подключаешься к сторонним серверам. На conversations ничего такого не заметил, трафик мимо прокси тоже не выпадает, как например в Telegram. Telegram постоянно ходит мимо прокси и определяет через системное приложение твой реальный ip.

P.S: Кто пользуется xabber, вы можете общаться через OTR с теми, кто сидит через pidgin с OTR? Та же старая версия Conversations Legacy поддерживает OTR, без лагов позволяет общаться с теми у кого десктоп клиенты.
Слова "телеграм" и "безопасное общение" вообще не имеют ничего общего. Думаю, контингент, населяющий этот форум, прекрасно понимает это.
А касаемо джаббера, есть же еще клиенты, типа yaxim(не пользовался, не знаю о нём ничего, интересно прочитать мнение)
 
Ж
empty14 сказал(а):
Слова "телеграм" и "безопасное общение" вообще не имеют ничего общего. Думаю, контингент, населяющий этот форум, прекрасно понимает это.
А касаемо джаббера, есть же еще клиенты, типа yaxim(не пользовался, не знаю о нём ничего, интересно прочитать мнение)
Как по мне все эти сервисы одной масти, на стороне сервера надо доверять. Имея же pgp, не имеет значение места общения, хоть телега, хоть вк. Про телегу ходят слухи, но более ничего убедительно не видел. Даже мои наблюдения говорят о том, что всем до лампочки на его слежку, как вели общение, так и продолжают.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Samorez сказал(а):
Ж

Как по мне все эти сервисы одной масти, на стороне сервера надо доверять. Имея же pgp, не имеет значение места общения, хоть телега, хоть вк. Про телегу ходят слухи, но более ничего убедительно не видел. Даже мои наблюдения говорят о том, что всем до лампочки на его слежку, как вели общение, так и продолжают.
Поддерживаю...
 
empty14 сказал(а):
А какой смысл вообще покупать себе телефон на андроиде и сидеть на стоковом вторичном ПО? Но даже так, откуда уверенность, что тот же CyanogenMod(или любая другая прошивка) не отправляет статистику использования(и статистика - только самое безобидное)? Опять же, брать исходники, чекать, компилить и накатывать
И да, используя приложения из встроенных магазинов - люди сами подвергают себя риску. Тут уже дело каждого
Ну допустим, что все прошивки для андроида отправляют статистику. Ну только не все прошивки изначально содержат предустановленные приложения корпорации добра, которые и являются самым большим злом. И точно известно что эти приложения сливают ваши координаты на сервера. И по запросу могут предоставить их.
 
Допустим что xabber/conversations одинаково хороши/плохи. При использовании джаббер клиентов есть еще несколько нюансов.
Roster

Achtung! Деанон через джаббер? Бывает и такое. - CyberSec

Вы соблюдаете гигиену и приходя домой вы моете руки? Теперь давайте вспомним, что есть еще такое понятие, как гигиена цифровая. Её несоблюдение тоже может привести к печальным последствиям. И даже "самый безопасный" джаббер может привести не только к деанону тебя, но и твоих друзей.
cybersec.org
push-уведомления

Шифруйся грамотно! Изучаем перспективные мессенджеры для приватной переписки.

Содержание статьи Шифрование в мессенджерах Сквозное шифрование Диффи, Хеллман! Дайте три! Наследие Enigma Проблема групповых чатов Странности Telegram Тысяча и одна уязвимость XMPP Выводы Сквозное шифрование, или end-to-end encryption (E2EE), считается панацеей от настойчивых попыток хакеров...
carder.uk
Подробнее о пушах в Conversations

GitHub - iNPUTmice/Conversations: Conversations is an open source XMPP/Jabber client for Android

Conversations is an open source XMPP/Jabber client for Android - iNPUTmice/Conversations
github.com
 
Samorez сказал(а):
Ж

Как по мне все эти сервисы одной масти, на стороне сервера надо доверять. Имея же pgp, не имеет значение места общения, хоть телега, хоть вк. Про телегу ходят слухи, но более ничего убедительно не видел. Даже мои наблюдения говорят о том, что всем до лампочки на его слежку, как вели общение, так и продолжают.
Пока прецедентов нету, однако всему своё время. В 14-ом году я еще мог поверить в анонимность и безопасность телеграма. Все-таки там df-hl поверх rsa. Однако сейчас я не верю в него от слова "совсем". Остаётся только надеяться на pgp. Пока квантовые процессоры в мир не пошли
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх