И вы всё еще пользуетесь ICQ?

[vitus_wagner]

Когда о взломе аськи или ЖЖ сообщает журналист, политический деятель или ещё кто-то, кто с компьютерами знаком на уровне книжки "за 21 день для полных идиотов" - это понятно. Можно порекомендовать товарищу пройти краткий ликбез в области информационной безопасности и на этом успокоиться, считая себя надежно защищенным.

Но когда взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном...

Причем единственный известный AOL E-Mail этого человека находится на подконтрольном ему сервере, и этот сервер был немедленно подвергнут аудиту, следов взлома не выявившему. Так что это не взлом почтового ящика на публичном сервере.

Похоже, что это называется inherently insecure. Скорее всего, несекьюрность на уровне собственно протокола. icq как-то не замечена в шифровании данных или использовании сильных криптографических алгоритмов для аутентификации.

В общем, если ваше реноме как пользователя IM-сервиса чем-то вам дорого, крайне рекомендуется использовать jabber, причем

1. Использовать сервер, поддерживающий SSL/TLS или хотя бы схему аутентикации, отличную от передачи пароля открытым текстом
2. При использовании TLS научить ваш клиент проверять сертификат сервера, дабы исключить MitM-атаку.
3. Научиться самому и по возможности научить корреспондентов пользоваться электронной подписью джабберных сообщений.

Comments

[alexkuklin.livejournal.com]

подробнее?

[vitus_wagner]

Отсутсвие квитирования сообщений. Из-за чего они иногда при глюках канала у принимающего теряются.

[teak]

Сдаётся мне, что это легко добавить в протокол, нет?

[besm6.livejournal.com]

Там проблема в том, что авторы протокола не понимают, что именно гарантирует нижележащий протокол. Слышали звон, не более. Добавить это в протокол, не вопрос, несложно. Сложно сделать квитирование обязательным. Все агенты надо переписывать чуть ли не с нуля, поскольку работа с квитированием пишется совсем не так, как работа без квитирования.

[blacklion.livejournal.com]

Хмм… У меня в миранде есть галочка в джаббер-протоколе — включить надёжную доставку. И если канал глючит, то сообщения как раз подвисают в состоянии “отправляю” и по таймауту вываливаются в “не отправлено” (причём, чаще всего реально оно приходит и не раз получателю — чаще почему-то именно ACK Не возвращается).
И как эта галка работает? Я могу даже посниффать - посмотреть :)

[besm6.livejournal.com]

А как насчет ситуации сообщений тебе? Которые на сервер уже попали (раздельные вопросы - на его сервер и на твой сервер)?

Вообще посмотри. Я подозреваю, что оно ждет отзыва с той стороны - либо "message stored on the server", либо "message displayed".

[blacklion.livejournal.com]

Сейчас посмотрю. вообще-то, я подозреваю, что у меня еще и c2c разрешён :)

[besm6.livejournal.com]

Не, c2c неинтересно... Да и через наты с той и другой стороны он вряд ли будет работать...

[dottedmag.livejournal.com]

Это неправильный c2c через двойной нат не работает :) А поскольку в jabber'ном c2c есть два доступных сервера снаружи, то продырявить оба файрвола не должно быть особенно сложно.

[blacklion.livejournal.com]

Блин. У всех при включении опции на работе — таймауты отсылки (при этом абоненты видят мои сообщения)… Из дому точно работало.

[goshismus.livejournal.com]

Подтверждение о доставке сообщения высылается не сервером, а клиентом, по выставлении атрибута , следовательно, потери точно не происходит. Проблема тут только в том, что до сих пор не все клиенты умеют на это откликаться, но пользоваться кривым клиентом вроде ничто не заставляет.. кроме того, это прописывается в капсы и теоретически можно выводить warning, что этот контакт не поддерживает уведомление о доставке, будьте внимательны.

[lazyreader.livejournal.com]

Если я правильно понимаю, ситуация по крайней мере не хуже, чем с email?

[tzirechnoy.livejournal.com]

ет(C). У email с _этим_ всё в порядке. До проблем email джабберу ещё рости и рости.