Был ли в Tox exploit ? Делаем защиту,конкурс

[michail]

Не нужно писать матами. Я не против вас нагнетаю, просто вы не в курсе, что это такое за Токсы. Если про НОД-ы даже не знаете. Люди оставляют контакты в токсах так как они знают, что делают. А про вот Путти вы вообще не к месту пишите. У Токсов свои и порты и протоколы. Взломать токсы это кране сложная невозможная задача!
Ровнять Токсы и жабу? Я уже писал, что это не та тема! Эта тема про разработку Токсов. Токсам сейчас не существуют какой либо замены, так как нет такого в природе! В этом клиенте столько преимуществ, что не хватит пальцев на ногах и руках. Это не тот диалог! Нам нужно улучшить код токса вот о чём речь.
А если вы хотите жабу похвалить, я не против. Только откройте поиск посмотрите что там глючны как сервера, так и клиенты. Только в выборе связки клиент сервер в жабе это так себе задача. Пляска с бубном. В токсах "изкоробки" всё едет без ЖОПЫ. Про Conti писал как свершившийся факт. Мне пофиг, что там они включили или выключили. Видно эта групировка сборище идиотов? Ха. ) Но то, что может хоть кто в погонах на сервер влезть, думаю не стоит махать руками и это отрицать.

 

[ntdll]

просто вы не в курсе, что это такое за Токсы

в курсе

Люди оставляют контакты в токсах так как они знают, что делают

события последних месяцев доказали обратное

Взломать токсы это кране сложная невозможная задача!

какие токсы? на этот протокол всего по сути два клиента, и оба из них написаны и поддерживаются двумя калеками. репозитории мертвые

Токсам сейчас не существуют какой либо замены, так как нет такого в природе

есть Session, например

Видно эта групировка сборище идиотов?

))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

 

[WellDone]

https://habr.com/ru/articles/50982/ ?

Спасибо, не знал.Пси правда совсем неюзабельный.Пару раз пробовал и какой-то ужас после пиджина

Разве что пусть наши мультимиллионеры-рансомварщики выделять средства да закодят принципиально новый мессанджер

Уровень кодеров с форумов ужасный, выйдет только хуже.
Даже если нанять кого-то на стороне, непонятно кто кроме фбр это будет ресерчить и искать дыры

Но даже если искоробки не подходит - в чем проблема немного поиграться и настроить? Это же безопасность..

Не надо оправдывать неудобство безопасностью.
Это такой миф из комьюнити опенсорс-говноедов, где люди просто не умеют делать собирающийся с первого раза, интуитивно понятный и хорошо документированный софт, а когда ты им это говоришь начинается вот эта нудня про то что это не софт говно, а ты "ниасилил"
ССЛ/ТЛС шифрование есть уже дцать лет в любом браузере, безопасно и при этом не требует вообще никаких дополнительных действий от пользователя.

их слил украинец в команде после начала войны, логи были просто потому что либо не включали отр

Это кстати не тема разговора, просто забавный факт, но я раза 3-4 видел кардеров которые просили перейти в джаббер из какого-то другого мессенджера, а потом писали все без отр/омемо при том что там вообще клиртекст все

события последних месяцев доказали обратное

Доказали что был один человек который шиллил альтернативные мессенджеры все время и занимался веб разработкой, а потом сделал "рце" в токсе и продал непонятно кому без гаранта через сутки.Верим.

а про RCE в условном пидгине мне неизвестно, потому что проекту уже лет 15

Pidgin Pidgin : List of security vulnerabilities

Security vulnerabilities of Pidgin Pidgin : List of all related CVE security vulnerabilities. CVSS Scores, vulnerability details and links to full CVE details and references.

www.cvedetails.com

И рце, и просто разные оверфлоу, все есть.
И хорошо что оно есть, если бы проекту было 15 лет и у него не было ни одной цвешки это скорее всего бы значило что никто там ничего не искал, а не то что оно такое безопасное

 

[michail]

какие токсы? на этот протокол всего по сути два клиента, и оба из них написаны и поддерживаются двумя калеками. репозитории мертвые

Бро в точности этот момент пишешь. Калеки двое сидят и два клиента поддерживают. Ядро старейшее разработка вообще в мертвецком состоянии, это никто не копает. Я удивился, что в этой теме чел. вот решил воду пустить на колесо! Очень одобряю его поступок! И понимаю его. Альтернативы Токсам НЕТ! Зарубите себе это на носу!
Сессион уже делали разбор его говно-полётов, это проект для шпионажа, как второй брат ТГ. В этом можете не сомневаться!
Что касается разработки Токсов, то нужно разрабатывать связку ядра клиента и сильно менять код НОД-ы, работающий под линуксами. (что-бы коннект между друзьями происходил не по одной, а по двум нодам). Тем самым мы "убиваем" уязвимость эффекта "нода созданная ментом". А второй убитый заяц - не 25 НОД, а число нод равная числу онлайн клиентов в сети! Тем самым Токсы превратятся в аналог Bitmessage, только на порядок удобнее клиент.
Дальнейшая стадия внедрения кода НОД-ы прямо в установочный пакет клиента. Возможно в единый процесс, а возможно, что в отдельный, но работающих в паре. Тут как масть ляжет.
А что предлагает автор темы эти костыли, они ни на что не повлияют. А как выброс денег в атмосферу.

 

[michail]

Как раз Токс и впитал в себя сложность и производительность. Вы не написали вычислительную мощность! С той портянкой, что написали - для каждого мудреца, довольно простоты!
Мне нравится Токс и он может почти всё. И никогда не нравилась почта. Она всегда сдаёт и стучит. А жаба есть как улучшенная почта.
Но давайте вернёмся к теме.
Пришла вот какая мысль. Даже эти две последовательные ноды можно повременить. Главное запутывать ноды! При тестировании нод было выявлено, что если мы стучимся на ноду 8, то именно нода 8 и будет у нас использоваться в роли носков, то есть как единственный транслирующий узел. И это в корне не правильно! Это и есть самая большая уязвимость в Токс. Требуется брать случайную ноду!
Так механизм узлов НОД работает в сети Токс.
Отсюда возникает план разработки:
1. создать алгоритм в связке клиент - сервер такой, который бы бы предоставлял клиенту весь существующий список нод. А затем клиент брал бы, из этого списка случайную ноду и через неё работал. (подразумевается, что все ноды в сети должны обновлять список всех онлайн НОД). И если это не так, то нужно ещё и поправить код НОД-ы.
2. Провести слияние кода клиента и серверного кода НОД-ы. Тем самым не потребуется разных там калек энтузиастов, которых 25 чел. У кого нога сломана, а у кого то член )
Для всего интернет сообщества, такой код будет как глоток воды в пустыне!
Токс имеет большие потенциалы в развитии. Только нужно не сидеть сложа руки.

 

[R3SET]

Чем вам не подходит Session? Децентрализованый, приватный, open source. Также по умолчанию проксирует https://getsession.org/faq#onion-routingВот другие примеры https://cwtch.im/ https://speek.network

Это аналогично ТГ код центральной ноды закрыт.

GitHub - oxen-io/session-pysogs: Python implementation of the Session community server

Python implementation of the Session community server - GitHub - oxen-io/session-pysogs: Python implementation of the Session community server

github.com

 

[michail]

Ну вот откуда вы взяли, что ЭТО га (приватный, open source) ?
Вот откуда?!!!!!!!!!!!!!!!!!!!
Читайте темы. Я пишу, что по этому Австралийскому гавну был ранее разбор полётов.
Это аналогично ТГ код центральной ноды закрыт. Вы вообще понятие не имеете, что это такое, а лезете со своими аксиомами.
Сессион он не полностью децентрализован это второе. Полностью p2p клиентов и тем более открытых очень мало! Среди них Токсы
Это не то, что вы думаете! А в глобальном масштабе задуматься вам бы про Сноудена.
Вообще хватит писать не по теме!
Тут разбор усовершенствования кода Токса.

 

[vacon]

Чем вам не подходит Session? Децентрализованый, приватный, open source. Также по умолчанию проксирует https://getsession.org/faq#onion-routing
Вот другие примеры https://cwtch.im/ https://speek.network/

session.im is very heavy client and connection go through lokinet. (why they did not use existing tor than lokinet, it can very attacked and compromised very quickly.. tor is attacked every day and many fake nodes)

Good clients:
cwtch.im
simplex.chat
speek.network

 

[michail]

Весь цинус в том, что у вас прямо в руках есть все исходники Токса. И клиента (хотя это говнокод, но это лично ваш говнокод) по этому он хорош и код НОД-ы, это как код узла под линуксы. И вы можете что хотите лепить и как захотите.
Сейчас вопрос в том, что нужно сделать более лучшее.
А если что-то закрытое из кодов, то это уже становится опасным.
Хотя это правило работает не всегда. Если быть более точным. Опасно если закрыт СЕРВЕРНЫЙ код! Именно он является объектом спец служб. А код клиента тут совсем не при чём! Так как если создавать скрытые сокеты слива информации на шпионские сервера, то на машине клиента это очень быстро детектится и раскроется.

 

[jsaw]

Чем плох jabber, с сервером на дедике?
Да увеличением поверхности атаки! Его безопасность равна безопасности этого дедика. Трафик в децентрализованной сети сложнее митмится, значение человеческого фактора уменьшается.
Ещё jabber плох абсолютно жуткими клиентами, такими как psi+. Он ни у кого никогда не падал просто на ровном месте? А что это как не переполнение стека и вероятно RCE?

 

[michail]

А вот что то гос. учереждения США и морской флот сша не используют стандартный жаба сервер. Это вас не наталкивает не на какие мысли?
Они создали свою такую почту на жабе на спец защите, а вы сидите на непонятно впаренном коде сервера и думаете что ВСЁ ХОРОШО!
Глупцы.
Так вот предлагается пилить свой код сообщества на Токсе. Улучшать.
Лучшее средство против уё*ков - запутанность.
Это они ой как не любят.

 

[Dread Pirate Roberts]

А вот что то гос. учереждения США и морской флот сша не используют стандартный жаба сервер. Это вас не наталкивает не на какие мысли?

а что они используют?

 

[pepel]

Давайте от обратного пойдем, а то тут долбоебов развелось очень много.
Обычный обмен через почту с PGP кого-нибудь подвел хоть раз? Да вы, бл#ть, никогда так и не общались. Окей. Джаббер с пгп (отр), чем вам не вариант? Да, клиент убогий, хочется кошерного дизайна и современного UI, ну плати допилят. Протокол открытый. Чем проще и понятнее, тем лучше. А то токсы хуёксы, матриксы протоны... Всё уже давно придумано, берите и пользуйтесь.

 

[admin]

Давайте не отходить от темы. XMPP vs TOX - это лютый оффтоп в данной теме.

 

[pepel]

Ладно. По сабжу - эксплойт был, есть и будет. Поддержки клиента нет. Баг в клиенте qTox, а не в протоколе Tox. Всё

 

[varwar]

Господа, а кто что может сказать за https://github.com/JFreegman/toxic или всем нужен сладкий гуй?

 

[pepel]

varwar мне как продавцу услуг проблемно найти покупателя, потому как не каждая обезьяна умеет в cli
И да, всем нужей гуй, он удобнее энивей

 

[Quake3]

Уровень кодеров с форумов ужасный, выйдет только хуже.

Так нанять в другом месте, неужели, имея лямы прибыли , нереально найти кодера? Уже говорил в топике про малвару - норм кодеры есть. Просто условному сеньору С++ в белую платят 5-10к баксов, а тут хотят "стилак с поддержкой" за полторы. Нужна адекватная оплата, и все реально.
Вопрос в другом - надо ли оно кому-то? Вот даже в этой теме - я что-то не вижу заинтересованых постов от локбита, alphv и другой "элиты". Хотя как бы им есть что терять, а не ноунейму , у которого максимум 300 баксов и акк на форуме можно спереть. Почему? Значит, проблема преувеличена.

 

[michail]

Проблема считаю не преувеличена. А есть огромный простой в разработке ядра. Так лет почти 10
Кроме того, я доказал, что этот старый алгоритм протокола требует переработки. Я конкретно ткнул пальцем где именно.

Баг в клиенте qTox, а не в протоколе Tox

Прошу доказательство ваших слов - в студию!
Тыкать туда, где это не подтверждёно фактами это значит ничего.
И вообще по доработке. Почему я не ссылаюсь на те задачи, которые автор темы ввёл, а написал свои.
Во первых я привёл аргументы, что эти идеи на порядки лучше простых костылей, к примеру кода гуи возможно даже не в ядре. А второе. Если люди не будут мотивированы, то эта тема умрёт и никто не будет подписываться, чтобы отбить это всё деньгами.
А мои варианты предусматривают запутывание нод, ту которую свяжет двух клиентов в сети и второе - не потребуется простых любителей запуска нод, которых в один момент могут например заблокировать. Это трудно, но всё же технически возможно. Это блокировка tcp протокола по двум десяткам IP адресов
Одновременно с этим создастся мощная сеть НОД, так как каждый клиент будет запускать свою ноду, т.е. свой узел. И из сейчас любительских 25 нод, мы получим несколько тысяч нод, одновременно висящих в сети и запутывающих так, что менты сюда даже не сунутся. Будет себе дороже искать иголку в стоге сена.
Вот такая идея. А не два - три костыля к примеру в Qtox. Если кого-то это мотивирует, то можно всем вместе это развить.

 

[Evil God]

Вот даже в этой теме - я что-то не вижу заинтересованых постов от локбита, alphv и другой "элиты". Хотя как бы им есть что терять, а не ноунейму , у которого максимум 300 баксов и акк на форуме можно спереть. Почему? Значит, проблема преувеличена.

Ответ на твой вопрос:

Моя крипта лежит на месте, никто не смог взломать меня через токс, вывод - уязвимость если она и есть ни о чем.