Безопасный aim

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 002
Оценка реакций
300
Баллы
83

Доброго времени суток уважаемые посетители форума!
Ввиду двух вещей, которые уже произошли или вот-вот произойдут мне захотелось по будоражить общественность на тему замены всем знакомого jabber (xmpp).

А произошло два события:
1. после года ожидания сдвигов - я отправил сорцы своего xmpp флудера в E-Zine
2. появился сэллер xmpp флудера

И наконец-то все задергались. Вот так и хочется сказать "Ну я же вам говорил!". Но нет. Когда я поднимал вопрос всем было фиолетово. А сейчас задергались. Ну да фиг с ним.
Давайте попробуем рассмотреть кандидатов на замену полюбившегося psi (psi+) и протокола xmpp.
Что же нам нужно от мессенджера?

Давайте прикинем:
1. бесплатность
2. анонимность (что бы наш ip не светился собеседнику или посторонним заинтересованным лицам)
3. шифрование сообщений (в идеале одноразовым ключиком при каждой сессии или хотя бы уникальным для каждого контакта)
4. децентрализация (независимость от падения чьих-то серваков или каких-то спецслужб)
5. защищенность аккаунта (нельзя украсть)
6. совсем забыл про юзабельность (клиент должен быть удобным и приятным глазу)

В сегодняшнем повествовании я решил рассмотреть 3 кандидата на данную роль.

TOX - кросплатформенный клиент призванный заменить skype

TORChat - вместо тысячи слов. И еще немного. Призван заменить собой xmpp

BitMessage - Вместо тысячи слов. Призван заменить чаты??? мне кажется больше e-mail. Об этом дальше.

Итак, попробуем поюзать указанный софт.
-------------------------------------------------------------------------------------------------

UTox - бинарник распространяется с официального сайта. Так же доступны сорцы по адресу https://github.com/irungentoo/toxcore/blob/master/

Главное окно

Настройки
Клиент довольно привлекателен. Видна работа дизайнера. Запускается без проблем. Выдает id вида 71FFFABBD2DF19617E0F6C0C228FF49788AACAB264E4E518103B1D28E32B181BD0E101506097 (это мой)
Соединение между двумя собеседниками шифруется. Перед началом беседы мессаги не проходят пока ва не апрувнет собеседник.
Функции звонка и видеозвонка не тестировались за ненадобностью. Не имеет возможности передачи файлов (мне на опытах не удалось, хотя мне он почему-то слал один и тот же файл от собеседника). В процессе работы часто делал непонятные вещи. Темнел экран, выскакивали какие-то окна на доли секунды...
Беда с ним следующая.
Every peer is represented as a byte string (the public key [Tox ID] of the peer). By using torrent-style DHT, peers can find the IP of other peers by using their Tox ID. Once the IP is obtained, peers can initiate a secure connection with each other. Once the connection is made, peers can exchange messages, send files, start video chats, etc. using encrypted communications.
Реализация сделана под чистый p2p. Заточка на отсутствие централизации но выдает ip собеседника.... Рассматривать дальше смысла нет.
Варианты использования возможны лишь после тщательной обработки сорцов напильником.

-------------------------------------------------------------------------------------------------


TORChat - мааааленький клиент написанный на питоне, распространяется с исходными кодами. Очень шустрый и компактный. Возможна доработка напильником в любом направлении.

Главное окно


Меню


Настройки

Настраивается буквально в течении пары минут. Выдает уникальный идентификатор вида 7rz3uxymsnoshyp5 (мой)
Чем-то напоминает ранний psi. Теоретически не имеет шифрования. Работает польностью в onion (тор) сети. Имеет возможность передачи файлов.
На всех моих попытках отправить сообщение опоненту выдавало [отложено] На сколько я понимаю соединение между нами не установилось. Хотя оба находились в сети (судя по статусам и иконкам). Было отправлено друг другу порядка 5-7 сообщений и .... ни одно не поступило адресату.
Тест с другим человеком показал нормальные результаты. Сообщения и файлы приходили быстро. Тормозов при передаче замечено не было. Наблюдались странные дисконекты. Когда вдруг собеседник вываливался оффлайн и дальнейшие попытки отправки сообщений ни к чему не приводили. Печалят еще небольшие возможности клиента и отсутствие шифрования сообщений.

-------------------------------------------------------------------------------------------------

bitmessage - чистый TOR (onion). Сорцы доступны. Выдает адрес вида BM-NBVcjgmDoSmvvH8aTEDzky5mGxDiKefF (мой)


Главное окно


Настройки

Внешне напоминает мне e-mail клиент. Пересылка сообщений идет строго в криптованном виде. Получить может только получатель.
Написать сообщение или получить сообщение так и не удалось. На этом тесты пока приостановил.

-------------------------------------------------------------------------------------------------

Дополнительные материалы:
Дерево процессов.
Текущие соединения.


Каков наш итог други? Итог таков, что при наличии NAT или VPN хотя бы у одного из оппонентов найти более-менее стабильный, безопасный и удобный мессенджер не удалось. И всех нас в ближайшее время ждет или xep-0205 или написание собственного мессенджера с собственным протоколом и защитами. Как вариант - можно использовать torchat. Из всего что мне сегодня удалось протестить - он наиболее близок к тому чего добивался. Огромный плюс в открытости сорцов и возможности допиливания.

Хочу всем вам на последок написать следующее: кто желает принять участие в тестах ИЛИ поучаствоватть в проекте написания собственного мессенджера - добро пожаловать. Идея хорошая но нужны руки и голова, которые сделают идеальный инструмент общения для таких как мы с вами.

записки на полях специально для xss.is/
 

integra

RAID-массив
Пользователь
Регистрация
06.10.2012
Сообщения
57
Оценка реакций
3
Баллы
16
даже говоря о жаббер клиентах не все хорошо...

Pidgin - неподдерживает gpg (те плаги что есть кривые), нет рассылки по контакт листу (GroupIM рассылает лишь тем кто онлайн)

Psi+ - не доходят сообщения (доходят после реконекта :angry:), на вкладках юзеры отображаются в оффлайне после ихнего реконекта :angry:, не всегда видно когда началась сессия otr если закрыть и открыть вкладку например :angry:

Gajim - не особо юзабельный, не реально зарегистрировать новый аккаунт (не конектится к серверу), глючит при получении сообщений в оффлайне (не открывает вкладку :angry:)

thanks a lot
 

Dark Koder

(L2) cache
Пользователь
Регистрация
21.03.2010
Сообщения
362
Оценка реакций
109
Баллы
30
а антиспам настроить нэ?

или тут имелась в виду забиваемость DoS самого сервера, а не клиента?
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 002
Оценка реакций
300
Баллы
83
Dark Koder антиспам не помогает при флуде. И мои тесты показали это, еще год назад, и тесты нового сэллера. В обоих случаях клиент просто падает ЛИБО подвешивает систему до хардварного ребута.
 

integra

RAID-массив
Пользователь
Регистрация
06.10.2012
Сообщения
57
Оценка реакций
3
Баллы
16
ещё стоит упомянуть про RetroShare....
 

Dark Koder

(L2) cache
Пользователь
Регистрация
21.03.2010
Сообщения
362
Оценка реакций
109
Баллы
30
Ar3s, то есть, уязвимость на уровне протокола, верно?
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 002
Оценка реакций
300
Баллы
83
Dark Koder не совсем так. Я вам открою одну небольшую тайну :)
Для того что бы клиент дольше сопротивлялся флуду нужно .... отключить в нем звук :)
Это не шутка. С включенным звуком тот же пси падал в течении 10-15 секунд. Без звука - держался до минуты.

А баги как таковой нет. Бага - это ошибка. А тут нет ошибки. Просто наши клиенты так сделаны. На отъебись. Да и наши сервера (ejabberd) сделаны так же. Любой вопрос касательно серверного ПО утопает в комьюнити. Обычно без ответа или получаешь ответ тупее некуда....
 

Rombovod

floppy-диск
Пользователь
Регистрация
12.09.2014
Сообщения
2
Оценка реакций
0
Баллы
8
А может и все ето к добру,наконец проснется и начнет думать.
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 002
Оценка реакций
300
Баллы
83
Rombovod кто проснется? Просыпаться осталось некому. Молодежи пофиг, старикам лениво.
 

Dark Koder

(L2) cache
Пользователь
Регистрация
21.03.2010
Сообщения
362
Оценка реакций
109
Баллы
30
Ar3s, пофиг, потому как не юзают его) максимум аська (из моей статистики).
А все остальное зохватили всякие скайпы, рейдколы, тимвиверы и прочий софт (

Вот про звук - это лол =) а на миранде не тестили? ну там, pilotpak или просто клиент?

З.Ы: мб скинемся чтобы Арес пофиксил на серве дамаджа?) тогда не лениво будет.
ехх, жаль что ирц не юзают(((((
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 002
Оценка реакций
300
Баллы
83
Apocalypse пробовали во-время тестов. Но я не писал о нем т.к. не смог запустить. НИ у меня ни у оппонента он не завелся. Выдавал какую-то ошибку с видюхой. OpenGL кажется.
 

Dark Koder

(L2) cache
Пользователь
Регистрация
21.03.2010
Сообщения
362
Оценка реакций
109
Баллы
30
имхо конечно, но все упираться будет в матан, крипто\стего и свои протоколы))) просто новее чето люди не придумали =\
З.Ы: прочитал название - "Безопасный aim", думал, что новый чит на кс сделали с непалящимся аимом :D
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 002
Оценка реакций
300
Баллы
83
Да проще новый написать. Как протокол так и мессенджер. Все упирается только в кодеров. Все на столько обленились, что не хотят за бесплатно чет делать. А вложить в проект несколько К я не могу себе позволить.
 

Dark Koder

(L2) cache
Пользователь
Регистрация
21.03.2010
Сообщения
362
Оценка реакций
109
Баллы
30
Ar3s, прямо уж такие лентяи? а шококрим, ель и остальные?
Хотя, мб ты прав..
Но тут дело ж не только в кодерах. матчасть по сетям и ОС - это посерьезней малварки, так что шарить оч круто нужно. я даже не знаю, кто из всех в приватке может так тащить.
 

r00nix

CD-диск
Пользователь
Регистрация
27.07.2009
Сообщения
14
Оценка реакций
2
Баллы
8
Некроархеолог врывается в этот топик (в лице вашего покорного слуги).
Ar3s, у меня по поводу TOX к тебе пара вопросов. Во-первых, почему вы тестили uTox а не qTox (судя по табличке в их вике, у второго больше возможностей, из полезных - можно задавать алиасы контактов, есть поддержка мультипрофайлинга)? Во-вторых, в той же вике есть пример того, как настраивать qTox и uTox через Tor. Банально отключить UDP и IPv6 и форсировать использование торовского SOCKS5. Вот и халявная анонимность. В общем, недосмотрели вы его. А протокол сам по себе неплох, ой как неплох. И я таки разделяю точку зрения, что вместо того, чтобы тратить ресурсы на написание чего-то нового, что отнюдь не будет лишено недостатков своих предшественников, стоит обратить внимание и принять участие по мере возможности в активно разрабатываемых и развиваемых проектах. Кодом ли, или словом - любая помощь будет полезна сообществу, а стало быть и нам, пользователям, впоследствии.
 

Chococream

Старожил форума
Легенда
Регистрация
31.10.2009
Сообщения
347
Оценка реакций
7
Баллы
18
r00nix
Сеть DHT, значит все IP засвечиваются.
Большие возможности для флуда юзеров, никакого контроля(управляющего сервера).
Сколько бы не было способов шифрования - многим не нравится P2P(мб параноя).

Tox чем-то напоминает tor со своими нодами, но тору давно никто не доверяет.

Как протокол так и мессенджер. Все упирается только в кодеров.
Надо минимум 5-8 человек заинтересованных и грамотное ТЗ.
Вопрос в том, настолько ли это надо ?
Слишком долго удерживать софт от неадекватных невозможно и однажды кого-то прорвёт, а за ним и повторять начнут атаки xmpp, что тогда ?
 

r00nix

CD-диск
Пользователь
Регистрация
27.07.2009
Сообщения
14
Оценка реакций
2
Баллы
8
Chococream
IP не засвечиваются, если пускать TOX через Tor. При этом вся конверсация происходит через цепочку нод тора как с одной так и с другой стороны, далее через ноды токса. Шифрование - на стороне клиента.
По поводу не/доверия к тору в плане анонимности - это отдельная дискуссия.
Что касается флуда - TOX id включает в себя 4-байтовый сид, который можно задавать ручками. Суть такова - даем контактам свой tox id. Он улетает нехорошим людям, его начинают флудить запросами авторизации. Меняем сид, при этом старые контакты никуда не денутся из КЛ, зато новым нужно будет либо знать точный новый tox id, либо пробрутить 2^32 значений сида (а это, для сравнения, все равно что просканировать весь IPv4 интернет в поисках адреса, отвечающего нужной последовательностью данных).
Олсо, в клиенты (в написании которых можно принять непосредственное участие) при желании можно добавить что-то наподобии антиспам-бота, который был популярен в бородатые времена ICQ.
А вот контроль флуда на стороне сервера подразумевает контроль кем-то в принципе, а это уже вопрос доверия.
 

Dark Koder

(L2) cache
Пользователь
Регистрация
21.03.2010
Сообщения
362
Оценка реакций
109
Баллы
30
r00nix, тор, не тор - но магистральные снифферы у провайдеров и локальные на машинах никто не отменял - спроси у Ареса про политику Бацьки, он это не по-наслышке знает)
 

r00nix

CD-диск
Пользователь
Регистрация
27.07.2009
Сообщения
14
Оценка реакций
2
Баллы
8
Dark Koder
Дискуссия из русла обсуждения достаточно приватного/секурного IM стремится утечь в озеро личной безопасности и анонимности =) Ну много ж раз разжевывали эту тему, зачем тут ее поднимать.
Нас всех интересует IM, способный обеспечить максимально возможный и удовлетворяющий потребностям и разумным соображениям уровень приватности и безопасности в рамках тех ограничений, преодоление которых никак не относится к самому IM. Это разные уровни. Очевидно, в составной системе её безопасность равна безопасности самого слабого звена. Но ты же не будешь обсуждать обходы проактивок где-нибудь в социальной сети ВК потому, что всё равно как ни шифруйся, заинтересованные лица об этом узнают? Тема треда - сделать так, чтобы слабым звеном не был IM.
 
Верх