И вы всё еще пользуетесь ICQ?

[vitus_wagner]

Когда о взломе аськи или ЖЖ сообщает журналист, политический деятель или ещё кто-то, кто с компьютерами знаком на уровне книжки "за 21 день для полных идиотов" - это понятно. Можно порекомендовать товарищу пройти краткий ликбез в области информационной безопасности и на этом успокоиться, считая себя надежно защищенным.

Но когда взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном...

Причем единственный известный AOL E-Mail этого человека находится на подконтрольном ему сервере, и этот сервер был немедленно подвергнут аудиту, следов взлома не выявившему. Так что это не взлом почтового ящика на публичном сервере.

Похоже, что это называется inherently insecure. Скорее всего, несекьюрность на уровне собственно протокола. icq как-то не замечена в шифровании данных или использовании сильных криптографических алгоритмов для аутентификации.

В общем, если ваше реноме как пользователя IM-сервиса чем-то вам дорого, крайне рекомендуется использовать jabber, причем

1. Использовать сервер, поддерживающий SSL/TLS или хотя бы схему аутентикации, отличную от передачи пароля открытым текстом
2. При использовании TLS научить ваш клиент проверять сертификат сервера, дабы исключить MitM-атаку.
3. Научиться самому и по возможности научить корреспондентов пользоваться электронной подписью джабберных сообщений.

Comments

[besm6.livejournal.com]

Ну, значит, ваша контора сидит на пороховой бочке. С e-mail да, согласен, жопа полная. Беда, правда, в том, что и с instant messaging'ом тоже, и более того, даже заменой ущербного на уровне ДНК протокола на нормальный она не вылечится. Как только IM станет основным каналом передачи информации - засрут спамом и его.

[amarao-san.livejournal.com]

дело в том, что в отличие от емейла (и это главное!) сразу видно прошло сообщение или нет. Сочетание телефон+icq даёт 100% гарантию коммуникации, с подтверждением о получении, авторизации, аутоидентификации и аккаунтингом (полное ААА). ICQ - для передачи текста, голос - для принятия решений. При этом смена номера аськи у менеджера это болезненная процедура, но терпимая.

У емейла есть главный минус (в этом смысле) - отсутствие возможности понять "прошло или нет" - т.к. вполне себе ходящий емейл может минуты две париться на релее и это считается нормой.

[besm6.livejournal.com]

Ну, положим, не просто сразу, а лишь в случае наличия человека на месте. В ситуации "Message stored on the server" никто никому ничего не обещал.

Потому и используется телефон. Включение которого в схему, кстати, немедленно лишает нас возможности логгировать эти самые принятые решения. E-mail для интерактивной работы, конечно, пригоден слабо. Ибо не предназначен.

[vitus_wagner]

По-моему, решение менеджерских задач с помощью IM и делается как раз в "случае наличия человека на месте". Если человека нет на месте, надо ему по E-Mail писать. Т.е. преимущества IM перед E-Mail проявляются именно в режиме диалога, чата (который, в отличие от телефона ещё и протоколируется).

Кстати, интересно, насколько легко организовать логгинг в случае IP-телефонии.

[cmotrujj.livejournal.com]

Достаточно легко. Объем потока небольшой, больших мощностей не надо. Детали не скажу, но похоже, одного компа (пишушего поток на диск) более чем достаточно на приличный срок (особенно если хранить толкьо за некий срок).