Что-то я не вкурил, зашел с мобилы через IM+ в свою жабу @404.city, написал сообщение, вышел, зашел с PC через пидгин, сообщений не вижу. Вышел зашол обратно с мобилы - сообщения естьhttps://txgate.io/images/smilies/damn.png

Всю тему заархивировал. Жду непредвзятого вердикта, если же вердикт будет с целью слить тему, будет понятно, - рука руку моет https://txgate.io/images/smilies/smile.gif Ну вы поняли. Сами понимаете признать очевидный факт логирования ВВХ джабберов - это сокрушительный удар по форумам ВВХ и Центр. Делайте выводы. Те, кто будут покрывать их - сами понимаете не чисты на руку. Моя тема - это лакмусовая бумажка https://txgate.io/images/smilies/smile.gif
Все мои раследования как и это будут без предвзятости. Чистая правда как есть. Список серверов, которые ведут логи нарошно не весь выложил, не все как Таганрок пошли легким путем. Они думали, что если рут доступа к их серверу нету, то узнать как все настроенно - никто не узнает, чтобы узнать что стоит, уже давно не нужен рут-доступ, достаточно уверенных знаний в ПО и его функционале, всегда делаю видеофиксацию, чтобы если вдруг сменят настойки без перезагрузки - факт был на видео. И можно потом не сочинять.
Как в случае с Таганроком, на видео видно мод_мам, он с начала публикации темы отрицает это, что он включен, пытается убедить, что у меня вывод ответа от сервера - либо ошибка, либо фотошоп - нагло врет, после он удалил моего бота, - 2 дня назад и изменил настройки без перезагрузки (с 18 версии настройки можно перечитывать без перезагрузки), и выложил новый скрин, где модуль выключен, - включил дурачка, но он не ожидал, что не только я заметил это, заметили и другие, кто решил прочитать тему и проверить. Скрины выше - это не мои, а одного из тех, кто это тоже заметил, уверен его назовут моим мультом https://txgate.io/images/smilies/smile.gif Любой кто в теме включил мозги - сразу становился моим мультом.
Добавлено через 10 минут 48 секунд
Пиджин/Пси и другие, которые о мод_мам не слыхали, они его не поддерживают, история пишется, но не читается, и весь прикол в том, что многие и сидят на этих клиентах, поэтому и не замечали очевидные вещи.
Кстати о 404. city :
Вот один из админов (404.city) палится и не стесняется, что пишет, и хочет, чтобы спам-боты и боты-уведомители не сохраняли свои логи в базе, а остальные записывали - ссылка с чата тех поддержки Еджаббержа - https://process-one.net/logs/ejabber...018/09/05.html - пацану читать не удобно https://txgate.io/images/smilies/smile.gif мешает https://txgate.io/images/smilies/smile.gif
Можно кстати разрешить запись логов, но запретить чтение.
[email protected] - вот конференция, тут буду принимать идеи, мысли, а также буду предупреждать о незапланированной проверке сервисов. Будет вестись видео-трансляция+видеофиксация. Когда? - когда я сочту что материала достаточно для очередного разоблачения и у меня будет свободное время для этого, я тоже человек и у меня есть свои дела.
Повторюсь:
Не рекомендую использовать эти сервера:
creep.im, default.rs, conversations.im, 404.city, *****so, 0day.one, dark.cash, darknet.im, otr.site, prv.st, taganrock.xyz, xakep.im, hot-chilli.net и их вирт. хосты, sj.ms, draugr.de, ubuntu-jabber.net, ubuntu-jabber.de, xabber.de, deshalbfrei.org, jabb.im, jabbim.cz, njs.netlab.cz, jabber.root.cz, jabbim.ru, jabber.sk

Через поисковик не удалось найти информации о уязвимости OTR и ОМЕМО ни на русском, ни на английском. На calyxinstitute.org рекомендуют использовать OTR и также не упоминают об уязвимости.
Можно ссылки?

Эта тема не о том, как расшифровывать ОТР/ОМЕМО, те кому это нужно, у тех оно уже есть(кто успел). И я нигде не говорил, что это уязвимость. Если есть познания в криптографии, то думаю понимаете - то что шифруется, то можно и расшифровать.

Нет никакой уязвимости. Перехватить переписку можно только через MITM и подмену ключей. Поэтому при использовании OTR всегда сверяйте отпечаток ключа. Если сервер использует самоподписной сертификат, проверяйте его отпечаток или вовсе не пользуйтесь этим сервером.

Эта тема как раз об этом, т.к. без расшифровки логи ничего не дадут админам!
Если возможно расшифровать переписку, то это именно критическая уязвимость. Ты заявляешь, что она существует, но информацию об этом вычистили из интернета, так выложи тут все о ней.
А то, что большинство серверов ведут логи, это очевидно.
Что, даже зашифрованое методом шифроблокнотов можно? )
Расшифровать можно только если алгоритм случайно или намеренно имеет уязвимость, ну и через MITM и подмену ключей в случае OTR и его аналогов.
Это просто смешно, какой дурак поставит себе такой скрипт?
Мы тут наблюдаем просто конфликт двух спамеров за долю рынка.
К админам ВВХ я симпатии не испытываю, их сервер не использую, но и жабер 1vpn не вызывает доверия.
А проблема спама для пользователей искуственно раздута, кому он мешает ставят антиспам-плагины.

Это безусловно проблема, но вот отсылки на исчезнувшие из всего интернета истории про одновременный взлом шифрования и OTR и OMEMO - это как то несерьезно.
Оба метода шифрования проходили и успешно прошли аудит, и если бы такая мелочь как сбор зашифрованных сообщений по порядку приводила бы к раскрытию переписки - в сети явно было бы больше информации. Я вот, к примеру, нашел только два бага в OTR, но и то, это непосредственная реализация в клиентах, а не недостатки протокола.
CVE-2016-9107 - The OTR plugin for Gajim sends information in cleartext when using XHTML, which allows remote attackers to obtain sensitive information via unspecified vectors.
CVE-2015-8833 - Use-after-free vulnerability in the create_smp_dialog function in gtk-dialog.c in the Off-the-Record Messaging (OTR) pidgin-otr plugin before 4.0.2 for Pidgin allows remote attackers to execute arbitrary code via vectors related to the "Authenticate buddy" menu item.
Опять же, что именно, какие именно преимущества, заставляет использовать аккаунты на публичных XMPP-серверах, которые явно связаны с кардерскими и хакерскими форумами?
Ведь по умолчанию эти сервера будут привлекать больше внимания к своему трафику и так далее, а возможностей устроить MITM-атаку при s2s соединении будет гораздо больше, при этом конечный клиент про это будет знать ничего.
Какие они имеют преимущества по сравнению с обычными публичными серверами?
(Особенно не понимаю людей, регистрирующихся на кривом exploit.im, который толком не может работать с посторонними серверами и для которых надо специально держать аккаунт на этом сервере)
Для меня, к примеру, важнее, чтобы у сервера был .onion адрес в Tor, чем рассказы про то, что "у нас сухо, комфортно и безопасно".
Ну и опять же, если вопросы безопасности сервера предельно важны, то, как мне кажется, сумма порядка 7$ в год - это ничего не значащий расход, а именно столько стоит VPS с выделенным IPV4 на lowendstock.com - берешь бесплатный домен на freenom.com, поднимаешь Prosody на купленном за битки боксе, конфигурируешь так как надо именно тебе - выходит и сухо и комфортно. А для гарантированного шифрования всех сообщений - использовать GnuPG. Для увеличения спокойствия можно даже ключ сгенерировать на смарткарте типа Yubikey Neo/Yubikey 5 NFC.
Как альтернатива джабберу мне вполне нравится Riot - есть и десктопный и мобильный клиент, шифруются в том числе и групповые чаты и тд.

Проверил exploit.im, securejabber.me и еще парочку менее популярных - ключи OTR не подменивают, по крайней мере у всех подряд. А то может топикстартер имел в виду, что выкладывали готовое решение для массовой подмены ключей.
Чем он лучше OTR?

Оффлайн сообщения

Еще раз повторюсь тема не об ОТР, и не нужно мне писать, что я что-то должен выложить еще, вам я ничего не должен, кто хотел, кому было интересно, тот все успел, из-за того что все все выкладывают в сеть - в сети становится некомфортно, потому я точно никому ничего не должен доказывать.
Мое дело было вас предупредить, а вы уже думайте дальше своей головой. На провокации я не ведусь - "покажи как это работает" и т.д..
Еще заметил вы не совсем понимаете слово - уязвимость. Ну это ваше дело.
Эта тема о логировании, кстати тему на эксплойт прикрыли, ждем вердикта администрации эксплойта, - станет ли он признавать факт логирования на "безопасных" серверах, или же они просто друзья, так как Таганрок во время дискусии в теме много соврал, и многие стали свидетелем этого. Мне просто интересно - дружба или правда. Тут уже многие смотрят как экспа себя покажет.
Относительно чтения ОТР/ОМЕМО - не питайте себя илюзиями.