Тактика победителя — убедить врага в том, что он делает всё правильно.(с)TaganRock
Тут ты прав, ты не убедил меня в том, что я сделал правильно, когда пошел на мировую, а значит это не твоя тактика.
Всем привет!
Сегодня мы будем разрушать мифы, которые гуляют в сети!
В данном видео я бы хотел поговорить о безопасном общении по протоколу XMPP(Jabber).
О безопасном и недоступном третьим лицам(посторонним).
Есть множество серверного ПО для организации работы XMPP-протокола, к примеру: ejabberd, prosody, metronome, openfire и так далее.
Безопасное общение подразумевает, что нигде не ведутся логи вашей переписки, в крайнем случае только у вас и у вашего собеседника, возможно даже шифруется, но нигде более.
Не так давно(год или два назад) уязвимость шифрования ОТР и ОМЕМО была доказана и был даже программный комплекс написан участниками команд dukgo и calyxinstitute в целях аудита безопасности протокола XMPP, все это валялось на гитхабе и любой желающий мог это взять. Ребята доказали своим трудом, что переписку можно прочитать между 2(ОТР И ОМЕМО) и более участниками, но только при условии, что все сообщения получены/перехвачены без исключения и в том хронологическом порядке, в котором они были отправлены/получены, и самый простой способ для этого и самый надежный - это чтобы один из участников беседы был на сервере, на котором ведется "перехват" или если быть точным - ЛОГИРОВАНИЕ. Потому, как основную свою фишку (преимущество) сервера - ныне покойный dukgo.com и еще живой jabber.calyxinstitute.org - полное отключение логирования и архивирования сообщений и конференций, выражаясь спецификацией XMPP - отключение XEP-0313: Message Archive Management на их серверах. Данный метод расшифровки сообщений не работает «на лету», только если скармливать ему цепочку последовательных сообщений и (самое главное!) в их хронологическом порядке приема/отправки.
В ПО для XMPP функции логирования/архивации/записи сообщений и конференций реализованы штатными средствами - нативными модулями, а также модулями от сторонних разработчиков.
И те и другие легко определяются, только разными запросами к серверу.
Поэтому труд этих ребят(dukgo и calyxinstitute) не пропал зря, после этого многие(кто был заинтересован в получении интересной для них инфы) кинулись плодить джаббер сервера выкрикивая на каждом углу, что их сервер самый безопасный, не ведется логирование и так далее... Понятное дело, все наивные побежали за печеньками.
Некоторые не сильно заморачивались, поставили штатные модули и вуаля, ведь их пользователи все равно не станут проверять, поверят на слово, другие же немного поднапряглись.
Я длительное время наблюдал за всем этим, кто спрашивал о надежных серверах - я давал свои рекомендации, некоторым я помогал в настройке серверов, - честно говоря много кому помогал настраивать сервера - в основном для внутреннего пользования.
Ну ладно, давайте сегодня не об этом. Давайте проведем аудит мать вашу!))))
Имеются два модуля, попрошу их не путать - mod_carboncopy и mod_mam.
mod_carboncopy (https://xmpp.org/extensions/xep-0280.html) - позволяет дублировать входящие и исходящие сообщения на все ваши устройства, которые онлайн - пояснение - есть у вас аккаунт и он онлайн с 2-3 джаббер-клиентов(к примеру Psi+ и Pidgin), и когда вы пишите или получаете сообщение с одного из них - они дублируются на всех ваших устройствах, которые в данный момент онлайн, в случае если устройства оффлайн - то там в истории не будет их. Если вы вели переписку с Pidgin, и в этот момент Psi+ был оффлайн, то когда вы зайдете с Psi+, который на момент получения/отправки сообщений был оффлайн, то в его истории вы не увидите сообщений за тот промежуток времени (которые получали/отправляли когда были онлайн из Pidgin, а Пси был оффлайн).
mod_mam (https://xmpp.org/extensions/xep-0313.html) - пожалуй самый интересный модуль в еджабберде, его аналоги присутствуют во всех программных решениях для джаббер-протокола(prosody, metronome, openfire и так далее)
Из его названия XEP-0313: Message Archive Management - думаю и так понятно для чего он, в общем для записи/архивации сообщений участников и конференций в базу данных - будь то штатная mnesia, или sql.
Его функционал прост - разрешает запись в базу данных, разрешает/запрещает читать из базы данных свои архивы сообщений участниками джаббер-сервера. И как я заметил везде где его поставили - только некоторые владельцы джаббер-серверов удосужились подстроить права так, чтобы их юзеры не могли читать свои архивированные сообщения с базы и ясный пень не подозревали о слежке за их перепиской(когда вдруг зайдут с джаббер-клиента, который поддерживает эту функцию), остальные оставили по дефолту. В общем, все кто включил этот модуль у себя на сервере - все пишут. Уверен 100%, что после публикации моего видео, многие владельцы таких серверов сменят сразу же настройки, временно удалят/закоментируют строчки в конфигурационном файле, и расскажут еще какую-нибудь лабуду наивным в надежде на то, что те схавают и глотнут https://txgate.io/images/smilies/smile.gif Но я уверен, что те кто сегодня будет пойман на этом, как стихнет эта шумиха, спустя время вернут все на свои места и дальше будут "писать". Все это гибко настраивается списками контроля доступа - ACL (Access Control Lists) можно разрешить в обязательном порядке всем юзерам записывать свои логи в базу, и запретить им их читать - свои же логи, кстати многие к этому прибегнули, кто покурил мануал по настройкам этого модуля. Просто так этот модуль никто бы не поставил, - у него есть свое назначение, и он его отлично исполняет! Относительно этого модуля - я считаю его "ленивым" решением для логирования, есть и другие более скрытные решения, но и их вычислить можно. Это наверное будет тема для другого видео. Любой администратор сервера, который утверждает, что на его сервере не ведется логирование, никогда не поставит этот модуль, так как это будет полной противоположностью его слов об отсутствии логирования.
Будем использовать два клиента, Wime (аналог Пси, точнее построенный полностью на его базе) и Gajim, у которого заметно расширен функционал и небольшой скрипт на питоне - взял первую попавшуюся библиотеку, которая позволяет управлять Iq-запросами к серверу, терминальный вывод информации думаю будет самым лучшим визуальным и информативным способом! . Сначала мы посмотрим на результаты, которые выдаст нам по каждому серверу мой простенький скрипт на питоне. После сравним их с результатами полученными другими методами. Будем искать в выводе терминала строку «<feature var="urn:xmpp:mam:»
1. creep.im - найден!
2. conversations.im - найден!
3. 404.city - найден!
Был как-то скандал на эксплойте - где человек (First VPN), которому я помог в настройке сервера пересказал мои слова - что клубные джабберы ввх логируют!!! - и начался полный срач, его и меня поливали отборной грязью нарушая всякие правила форума exploit.im(в результате их даже не забанили). Тогда Таганрок и его друг(возможно он не в курсе, или хорошо знает) называли меня балаболом, требовали доказательства моих слов, ну как говорится "Вы написали, - мы сыграли", по просьбам трудящихся. Концерт по вашим заявкам!!!
https://wwhclublci77vnbi.onion/members/jackj.29754/
https://d.radikal.ru/d08/1810/52/6935fad0a20f.jpg
https://a.radikal.ru/a33/1810/b8/d4bd576c89c9.jpg
Сервера ВВХ обновились в начале апреля 2018 года, о логировании было известно ранее (сделал сразу скрин после обновления сервера https://c.radikal.ru/c36/1810/b7/89abbc8c354c.png - линией подчеркнуто наличие мод_мам), почему я сразу на экспе не выложил свои доказательства? - время! - объясню, если бы я показал свои доказателства сразу в апреле - то Таганрок написал бы, что настройка сервера еще не завершена, и надо мной бы все посмеялись и писалось бы дальше, потому я нарошно дал полгода, когда все манипуляции с настройкой завершены, чтобы потом не было слов о том, что ведутся тех работы, первое видео снято в августе 2018, второе в октябре. Важная деталь, при установке еджабберда - мод_мам по дефолту отключен!!! видео подтверждает его сознательное включение администратором. Факт логирования фиксировался и ранее https://txgate.io/images/smilies/smile.gif не только переписки, но и авторизации клиентов ВВХ. Отсюда и успешные деаноны https://txgate.io/images/smilies/smile.gif Считай, что тогда мировая, условия которой ты не сдержал - это добровольная сдача Москвы французам для перегрупировки сил и убедительного контрнаступления https://txgate.io/images/smilies/smile.gif
4. *****so, 0day.one, dark.cash, darknet.im, otr.site, prv.st, taganrock.xyz, xakep.im - найден на всех доменах ВВХ
И вот недавно встретилась фраза в мой наверное адрес - "переобувался на ходу тип" сказанная Святой Идеей с ВВХ,
https://b.radikal.ru/b31/1810/fb/e1ce070f0067.png
- Нет, ребята, у меня просто не было на вас времени, и тогда я дал время администрации ВВХ пересмотреть свою политику и отключить логирование на сервере (или хотя бы не использовать такие паливные модули для этого, а копнуть в сторону более продвинутых и скрытых от глаз обычных пользователей), на котором оно ведется полтора года точно (примерно столько я стал наблюдать за всеми серверами, проводить свой аудит безопасности общения), а те мои слова - это был лишь сигнал, что есть человек, в данном случае я, который сможет определить это и доказать, и я считаю, что правильно сделал, что тогда не выложил доказательства в той теме. В итоге First VPN - который заступился в этом сраче за меня, - лишился оплаченной темы на ВВХ(тему удалили, а манибека не последовало, хотя Таганрок обещал, что его не тронут, говорил, что его мнение там ой как значимо), и да я пошел на мировую, с условием, что никто не тронет First VPN, и мне пообещали, что так и будет, в итоге меня обвели вокруг пальца, и я читал как самодовольно на ВВХ рассказывали о победе в этом споре.
https://wwhclublci77vnbi.onion/threa...-den-3.117352/
https://c.radikal.ru/c36/1810/61/14050f0262f3.png
Еще я видел попытку деанона моей персоны.
Таганрок мне даже в джаббер скидывал разные свои догадки относительно моих профилей на разных площадках.
Я внимательно следил за ходом его мыслей и его постами на ввх и эксплойте в тот день, мне было интересно наблюдать цепочку его логических действий, авось он что-то лишнее покажет -
на эксплойте и теме на ввх (которую я не успел заскринить, так как был с телефона в тот момент) написал, что результат деанона выдал мое местоположение - Одесса, и выложил скрин с админки форума - история заходов в аккаунт с ИП, и разные почты типа ранетки и другие (переживать мне не было чего, мне просто было интересно, что из этого получится),
в джаббере подкидывал мне варианты ников (хан, влад, гост, оптимус и еще что-то), надеясь наверное по моей реакции вычислить где мой, но все мимо увы,
цитата "[17.04.2018 16:59:46] <taganrock> Мы с 3 админами это рассматривали" - подразумевается злой, эксплойт и ввх конечно же, слова не мои, это цитата слов Таганрока, мне самому интересно, что они нашли в логах,
вот он тему создал https://wwhclublci77vnbi.onion/threa...odessa.117324/ https://b.radikal.ru/b23/1810/6f/f3bdb3cb56ac.png
Так как тема была создана в тот же день когда происходил весь этот срач на эксплойте, то я предположил, что твои поиски привели к первым "результатам"
И мне стало интересно твое расследование, жаль у меня нету контактов того по чьему следу ты пошел(если бы были, то я бы уверенно заявил бы, что не только джаббер логируется, но и форумы, хотя о логах ты сам мне сказал, но я хотел бы факты, но не судьба видать), но я догадываюсь Вы взяли почту Han_solo, который отписался на ввх в теме First VPN(тебе/вам показалось, что это я https://a.radikal.ru/a34/1810/2a/e20d7350c559.jpg , я успел заскринить якобы себя по твоему утверждению, видать ты плохо знаешь движок своего форума - будь это мой профиль - я смог бы нажать кнопку "Редактировать", кстати если ты Han_Solo читаешь этот мой пост пожалуйста напиши мне в джаббер, имеются вопросы к тебе) глянули его ИП, проверили его по логам на эксплойте и злом, = профит, возможно других, ты там мне подкидывал ники хан, влад, гост, оптимус и еще что-то, извини, не смог проследить твою логику, хотя мне скрывать нечего, я сразу тебе сказал, что свои профили я не свечу на форумах, на всех форумах, где я есть у меня совершенно разные почты, логины, пароли(чтобы не было логической цепочки связи, чтобы ты и другие не могли использовать логи в своих целях), так как уж сильно "доверчив", в своих темах, или в темах, где меня вспоминают я никогда не отписываюсь, не лайкаю тех, кто меня хвалит или проклинает, никогда не захожу на форумы напрямую, представь себе я параноик, и выработал свод своих правил, которые никогда не нарушаю, при наличии свыше 50 РДП под управлением линукс, макос, винды, я всю грязь держу только там, компы, которые физически возле меня - они чисты, мало ли вдруг где-то меня интерпол схватит и обвинят в киберпреступлениях и во вмешательство во внутреннюю политику США(не хочу лучшие свои годы провести в Гуантанамо) Хотя да, ты вычислил меня по ИП с Одессой! Ты выложил скрин на ввх с ИП адресом с админки одного из форумов истории авторизаций. - Я там был! Местоположение вычислил верно, правда я не знаю какой ИП был у того клуба.
Ахтунг! Наверное ты был тогда в интернет-клубе, где мы с пацанами решили вспомнить детство и порубиться в контру. Прикол в том, что когда я там был, тогда на весь экипаж у нас было всего 5 телефонов, из них только 2 имели доступ в интернет, кто служил, тот поймет о чем я, это единственное, что связывает меня с Одессой, как и с Украиной. Хотя да, я осознаю риск, ведь там где живу я, там тотальный контроль интернета, не так давно утром, у нас в подьезде ФСБ штурм устроило в доме, оказалось что бабка жила в одной комнате 2-х спаренных квартир, а внучек захерачивл в остальных комнатах криптоферму! Я слышал разговоры этой бабки - она так жонглировала понятиями о криптовалютах, что мне кажется, что это она на старости лет сама устроила эту ферму, а сынка подставила!!!
Ребята, релакс, я не из тех большинства ваших юзеров, которые верят вам на слово без капли сомнения, я привык никому не доверять, почты, логины, пароли разные, знаю что такое тор, ссх, рдп, впн, и как все это красиво связать, на фишинговые ссылки не ведусь, в социалках меня нету, - искать меня - это пустая трата времени.
Для всех юзеров: не верьте никогда словам об отсутствии логирования, если вы есть на форумах, и у вас одна почта на все профили там, вы юзаете впн/тор и т.д., для вашего деанона вас будут искать - откуда вы заходили, кто еще заходил оттуда, на каких форумах заходили связаные логины/почты, откуда заходили, авось где-то вы допустили оплошность и зашли напрямую - отсюда и проблемы могут возникнуть. Хотя многие в РФ как и я уже привыкли заходить через тор, советую поставить Тор как браузер по умолчанию, чтобы кликая по ссылке вы посещали ее через тор. Этот мой совет бесплатный, да и вообще лучше всю грязь держать на виртуалке/РДП как можно подальше. Больше того скажу, некоторые закормленные ВПН сервисы тоже сливают логи по-дружески администрации (не буду никого называть, все на их совести), - кто с ИП заходил и откуда конектился https://txgate.io/images/smilies/smile.gif FirstVPN - дядька толковый, когда на него пользуясь админскими привилегиями оказывали давление, он не прогнулся, в итоге я сожалею, что из-за меня ему вставили палки в колеса поубавив число клиентов у него сделав вброс на него, но даже потеряв из-за меня денег мы не испортили с ним дружеских отношений. Даже эта ситуация говорит о надежности его сервиса. Никого не выдает! На правах рекламы - 1vpns.com - First VPN Service - safe, stable, secure!!!
То, что они пошли искать не того - это я и так знал, в вашей попытке деанона я не увидел угрозу своей персоне, но обратил внимание на другое, то что вопреки вашим заявлениям об отсутствии логирования, ваши скрины говорят об обратном, а ваши усилия это только подтвердили, так всплыла важная деталь - они показали, что их некоторые форумы логируют - ИП, не буду говорить с какого форума скрин, но скрин был интересным - история заходов аккаунта https://txgate.io/images/smilies/smile.gif Кого сдеанонили я не в курсе. В джаббере Таганрок пытался с меня выудить какие у меня ники, - подкидывал мне какие-то ники, которые мне не известны, хотя может быть мы пересекались, может быть был мой клиент, либо хейтер, которому я объяснил как работает отписка, скорее всего так и было, возможно след взяли с сайта Ультры ака Царь(за что ему огромное спасибо), который к моему джабберу приклеил десяток других не моих джабберов и запостил "блэк". Я никого никогда не кидал, скам сервисы ппытаюсь не рекламировать. Дам совет всем - ребята никогда не используйте одинаковые ники, почты и так далее на форумах - завтра власть сменится и вам аукнется. Я есть на всех форумах, и даже несколько профилей, но золотое правило - я никогда не оптисываюсь в темах, в которых упоминают меня. Исключение это аккаунт на эксплойте, который я получил по приглашению от бывшего администратора exploit.im. За что ему огромное спасибо!!! Этот акк я тоже использую с учетом всех мер безопасности. Возможно поэтому Таганрок и подумал, что я с таким же именем на ВВХ, честно скажу фантазия уже не та, и часто хватаю ники юзеров с разных форумов.
Далее ты перевернул мое предложение тебе и другим овнерам серверов -
https://b.radikal.ru/b03/1810/b6/1024c7abd203.jpg
Совсем не согласен с 3 твоим пунктом, - "поставить свой скрипт на ваш сервер, т.е. подставить под угрозу всех клиентов ВВХ" - а они сейчас и ранее не были под угрозой тотальной слежки??? Я же предлагал вариант написать скрипт для фильтрации, исходники я бы не выдал, но как он работает ты бы все сам увидел и убедился бы в моей порядочности, ведь у тебя есть опыт в настройке еджабберда и ты бы на "изи" убедился, что я порядочный кодер https://txgate.io/images/smilies/smile.gif И да, договоренности у нас с тобой тогда никакой не было, было мое предложение, и оно звучало не так, а как жаление сесть за круглый стол и прийти к согласию.
У вас на форуме есть тема, где вы предлагаете табличку "ЛОХ ФОРУМА" каждому кого кинули/обманули, а потому предлагаю всем участникам вашего форума разместить данную таблику у себя в профиле. Это будет справедливо. ( https://c.radikal.ru/c24/1810/46/2e3f3efec41b.png https://a.radikal.ru/a17/1810/59/27ee6cb4e0ca.png ) Не могу утверждать ведешь ли ты логирования по своей инициативе или с согласия Администрации ВВХ, - это не мои вопросы, все кто посмотрят мои видео - они сами вам зададут нужные вопросы, хотя посмотрев форум, у вас засветились люди, которые предположили, что логирование на высшем уровне.
https://d.radikal.ru/d20/1810/68/5e2e56f0b5c4.png
https://b.radikal.ru/b14/1810/c7/2543871d55f2.png
https://a.radikal.ru/a21/1810/c0/42f3b5d0ea36.png
https://a.radikal.ru/a33/1810/b8/943d04768b53.png
Также вот эта переписка интересна, ГЕО прав, когда процитировал фашиста, но он просто не догадывается на сколько он прав https://txgate.io/images/smilies/smile.gif
Вот есть на ВВХ тема о том, какой у них классный сервер,
https://wwhclublci77vnbi.onion/threa...-server.32525/
https://d.radikal.ru/d33/1810/5a/afd554b83e77.png
и так по пунктам их преимуществ я дам свои комментарии:
1. Антиспам - он не первый и не уникальный, а уж тем более не написан вами, вот ссылка, вдруг кто тоже захочет его "написать" https://github.com/processone/ejabbe...mod_pottymouth , там в репозитории кстати имеются модули для скрытого логирования, кое-кто его поставил, те, кто пошел нелегким путем https://txgate.io/images/smilies/smile.gif О них будет время сниму видео, некоторые его поставили, но либо скомпилировали его с ошибкой, либо сам еджабберд с ошибкой и потому сервера работают с ошибкамии https://txgate.io/images/smilies/smile.gif
2. Уже давно не 6 доменов, или я что-то пропустил?)
3. Нету слов, одни эмоции
4. Мощные сервера? может всего лишь один сервер? это тот, что ты мне на скрине скидывал? ->
[17.04.2018 22:23:55] <taganrock> 2x1500 MHz
[17.04.2018 22:24:00] <taganrock> 35 гб
[17.04.2018 22:24:05] <taganrock> 4 оперативки
https://b.radikal.ru/b32/1810/14/77a92c9425b8.png
Добавлю где ты просишь на донат:
https://wwhclublci77vnbi.onion/threa...-server.47458/
https://d.radikal.ru/d13/1810/bd/dc4cbc95e964.png
https://b.radikal.ru/b40/1810/24/52fd5ca33e1c.png
За сертификкаты ты не платишь ни копейки - это ЛетсЭнкрипт и любой школьник знает, что они бесплатны, кстати ты часто забываешь их обновлять, дам совет - используй certbot - чтобы сертификаты сами автоматом по истечении срока обновлялись.
5. Вот тут я полностью согласен, вы часто просматриваете сообщения пользователей в базе данных, знаете все последние сплетниhttps://txgate.io/images/smilies/smile.gif Спам вас бесит жестко, потому что забивает таблицы в базе данных, создавая дополнительную нагрузку, плюс ты и не отрицаешь:
https://d.radikal.ru/d38/1810/ab/0b806bdaae25.png
6. На видео я вижу другую картину, и она не совпадает с твоим утверждением... Пишите еще как https://txgate.io/images/smilies/smile.gif
https://d.radikal.ru/d22/1810/e6/8f920163539e.png
7-12. Базовые возможности в принципе.
13. Конфы недоступны с других серверов, так как не настроенно все как положено, и чтобы быть участником ваших конференций нужно принести паспорт и разрешить добровольно читать Вам и ФСБшникам все переписки.
14. хмпп-скоре - не самый высший, да и проблемы имеются, посмотрите на 1jabber.com - кажется вы писали, что у них опыта в настройках "0", а я вам советую их брать в пример! Не скрываю, - им помог я.
Кстати о твоем опыте -
https://d.radikal.ru/d42/1810/55/fc8a0c95aa73.png
https://b.radikal.ru/b36/1810/89/c0752fb7fd11.png
https://b.radikal.ru/b04/1810/05/9865ba51a9f9.png
- ошибка на твоей стороне, спроси у юзеров сервера выше - они на последней версии еджабберда - и у них такой проблемы нету, сразу видно, что их админа я хорошо обучил, результат на лицо.
И тут прослеживается переизбыток твоего опыта, поэтому вы в поисках кодера:
https://c.radikal.ru/c34/1810/f0/9745db6296c2.png
Относительно слухов, что якобы разводят о тебе, - вот тебе и доказательства, ты выбрал неверную тактику, когда начал свои наезды на меня, и я тебя предупреждал об этом, мы могли договориться, но ты слишком о себе возомнил, и потому обратил мое пристальное внимание к твоему серверу, а для меня копнуть сам понимаешь не составило труда. Твоя тактика играть на публику и поливать грязью собеседника/оппонента мне не понравилась. Плюс ты сам говорил, что твое слово на ВВХ ооочеень много весит, а по факту ты свое слово не сдержал, а я сдержал как видишь.
На досуге я поглядываю за форумом ВВХ - вот чел предлагает паспорта запрашивать для получения джаббера https://txgate.io/images/smilies/smile.gif Реально задаюсь вопросом, почему даркнет форумы не соблюдают повышенные меры анонимности? Почему рега с почтой и так далее, потому мне приходится на каждый форум делать новую почту, заводить ее на РДП и перенаправлять с нее на мою почту... Бред.
Ожидаю кстати от тебя то, что ты обещал на будущее: https://c.radikal.ru/c35/1810/59/b69e2ff36ca2.png
А знаете, что меня больше всего убивает, когда в конференции поддержки еджабберда админы своих джаббер серверов задают вопрос, можно ли как-то сделать так, чтобы спам в мод-мам не попадал, а то базу пиздец как нагружает, проясню момент - есть такой лукмус - он шлет каждому по 1000 раз сообщение, на сервере допустим 10 тыс юзеров, итого за день набегает 1000 * 10 000 = 10 000 000 строчек в базе даннных, понимаете о чем я?!
Чтобы никто не говорил о моем предвзятом отношении к WWH-джаббер-серверу, я и 1jabber.com проверю, посмотрим, правда ли то, что они не логируют. Не скрываю 1jabber.com мне симпатизирует, во первых владелец сервера себя показал достойно, и даже не обиделся на меня, что его лишили темы на ввх, во вторых он и я соблюдаем наши договоренности, что я не спамлю его юзеров с его сервера, и мирно тихо проживаю на его сервере, в третьих - я помог ему с настройкой сервера, чтобы он был эталоном надежности и безопасности, и отказался от денег, которые он предложил мне за то, что я помог его админу настроить его сервер. Почему я сделал это бесплатно? - причина проста - я пользуюсь этим сервером, и в его безопасности мой интерес тоже! Мне бы не хотелось, чтобы мои переписки читались и так далее. Хотелось бы пользоваться надежным сервером, потому что многие сервера давно скомпроментированы, то есть небезопасны. Доступа к серверу я не получал, контакты они мне не сливают и прочие слухи, которые на ВВХ и в скандальной теме на эксплойте пытались всем впарить дружная команда ВВХ. Мне базы такие не интересны, а вот базы с тематических форумов - вот это уже другой интерес - такие базы я достаю сам, они таргетированы.
5. 1jabber.com, 31337.life, nologs.club, strong.pm, verified.pm, vipclub.pm - МОЛОДЦЫ! - не найден
6. hot-chilli.net и их вирт. хосты - найден
7. kode.im - не найден
8. richim.org - не найден
9. unstable.nl - не найден
10. 4ept.net - не найден
11. sj.ms - найден
12. securejabber.me - не найден
13. draugr.de, ubuntu-jabber.net, ubuntu-jabber.de, xabber.de, deshalbfrei.org - найден на всех вирт хостах
14. jabb.im, jabbim.cz, njs.netlab.cz, jabber.root.cz, jabbim.ru, jabber.sk - найден на всех виртуальных хостах
Вот РДП, на нем два джаббер клиента Wime & Gajim - сравним результаты? те же самые аккаунт заведены как в Вайме так и в Гайджиме
А теперь на практике посмотрим, чтобы вообще сомнений не возникало!
Запоминаем что я пишу в Вайме всем
написал хаотичный набор букв - и отправлю его всем и со всех
читаем все сообщения на всех аккаунтах - чтобы не было оффлайн сообщений
Я выйду с Гайджима всеми аккаунтами, и зайду ими на Вайме, сделаю пару переписок, и выйду с Вайма, после зайду в гайджим, и если удалось вытянуть логи с сервера, все наши переписки появятся в Гайджиме!! Не все сервера, где работает мод мам - разрешают своим юзерам вытягивать свою историю, - в основном на этих серверах ребята постарались и поднастроили права ACL
выходим с Вайма
зайдем через Гайджим
и готовьтесь ахуевать!
проверяем ВВХ - что у нас тут.
Все сообщения которые мы получили / отправили в ВАЙМЕ и после ушли в оффлайн
если глянете в окне аккаунт - там видно, что аккаунт заведен только с гайджима - то есть нету никаких махинаций, аккаунт онлайн только с одного клиента - если я зайду еще с вайма то он это нам покажет - убедились?
если сервер слабоват - то мод мам иной раз глючит - бывает такое еще когда сервер не справляется с нагрузкой и сообщения дублируются и более 2 раз даже
ввх = логгируют! - хотя админ написал что не лоГГируют ни сообщения участников, ни конференции
1джаббер - все по чесноку - чисто - не логируют(я за ними приглядываю)
В общем список ниже
1. creep.im - LOGGING!
2. conversations.im - LOGGING!
3. 404.city - LOGGING!
4. *****so, 0day.one, dark.cash, darknet.im, otr.site, prv.st, taganrock.xyz, xakep.im - LOGGING! на всех доменах ВВХ
5. 1jabber.com, 31337.life, nologs.club, strong.pm, verified.pm, vipclub.pm - МОЛОДЦЫ! - не найден
6. hot-chilli.net и их вирт. хосты - LOGGING!
7. kode.im - не найден
8. richim.org - не найден
9. unstable.nl - не найден
10. 4ept.net - не найден
11. sj.ms - LOGGING!
12. securejabber.me - не найден
13. draugr.de, ubuntu-jabber.net, ubuntu-jabber.de, xabber.de, deshalbfrei.org - LOGGING! на всех вирт хостах
14. jabb.im, jabbim.cz, njs.netlab.cz, jabber.root.cz, jabbim.ru, jabber.sk - LOGGING! на всех виртуальных хостах
повторим еще раз вдруг глюк был - зайдем снова в гайджиме и прочтем эти же слова там, даже не сомневайтесь там где стоит статус LOGGING - логируют! пускай даже если пиздят обратное https://txgate.io/images/smilies/smile.gif забыл, сначала выйдем с вайма в оффлайн
смотрим - скрины я прикреплю к теме
узнаете это? повторюсь - мод-мам - это ленивый способ - он нативный и отлично логирует
так что дам совет - забудьте форумные джабберы - не все из них порядочно исполняют то, что говорят, но пох))) многие схавали и забыли)))
Это текст был для Видео 1
ВСЕМ ПРИВЕТ!
Это текст для Видео 2
В предыдущем видео я продемонстрировал как выглядит работа MOD_MAM на стороне клиента-пользователя. Запомните - везде, где стоит этот модуль - все пишется, настройки модуля гибкие, и их можно поменять даже не перезагружая сервер начиная с 18 версии еджабберда(и никто из юзеров, которые в сети даже ничего не заметят). Можно разрешить юзерам читать свои архивы, а можно и запретить, можно даже принудительно!!! без вашего согласия, в большинстве случаев так и есть. Я лично наблюдал как экспериментировали с настройками некоторые админы серверов, пытаются скрыть следы. https://txgate.io/images/smilies/smile.gif.
Один человек согласился на своем сервере продемонстрировать как данный модуль проявляет себя на стороне сервера. В данном случае
используется база данных MySQL, но база может быть и любой другой, - это уже на вкус администратора сервера. Чем удобна база? - тем что в случае дешифровки ваших сообщений в базу ваши сообщения пишутся в правильном порядке, кто вникал как работает ОТР/ОМЕМО, тот поймет зачем это важно.
Повторю то, что писал ранее:
Просто так этот модуль никто бы не поставил, - у него есть свое назначение, и он его отлично исполняет! Относительно этого модуля - я считаю его "ленивым" решением для логирования, есть и другие более скрытные решения, но и их вычислить можно. Это наверное будет тема для другого видео. Любой администратор сервера, который утверждает, что на его сервере не ведется логирование, никогда не поставит этот модуль, так как это будет полной противоположностью его слов об отсутствии логирования.
Не будем сильно заморачиваться, просто глянем на список где включен данный модуль. Для начала глянем на базу, таблицу, в которой все пишется, обратите внимание как все удобно, все в хронологическом порядке, в таблице уже есть записи. Видео снимаю со второго раза, так как в первый раз забыл на это обратить ваше внимание. 9 строчек!!!
Список не весь, но этого вполне достаточно. Данная серия видео - чисто информативно, после я возьмусь за сервера, которые поднапряглись и пошли логировать другим путем, даю им фору изменить свою политику, или прямо заявить о логировании на своем сервере, дабы не вводить людей в заблуждение. После моего видео и темы с ним некоторые админы будут протестовать, поливать грязью, клеветать, пытаться сделать мне деанон, подключать всех своих шавок с разных закоулков, чтобы те лаяли в мой адрес - мне это до лампочки, пруфов для понимания дела я выложил более чем достаточно.
На тестовом сервере будем вести диалог с клиента Вайм, после вылогинимся и зайдем с Гайджима и глянем что у нас получилось. Данный метод мы использовали в предыдущем видео, это видео лишь дополнит ваше понимание сути проблемы. Обратите внимание история переписки не загрузилась на тестовом сервере - причина? - я запретил подгрузку истории клиентам сервера. То есть запретил чтение своих архивов, но запись разрешена! Историю - архив мы сейчас попытаемся найти в базе данных - смотрим! Опа! Она в базе!!! Полная. хронология! (относительно того как. я печатаю - ебаный Тим кук. - ииспорттили клаву на макбуках - не покукупайте иих! у всех моих знакомых уу кого макбуки - такой пиздец!)
Теперь посмотрим со стороны администратора сервера, как это видит он!
А вот как!
Ахуеть? Помните этот список?
1. creep.im - LOGGING! https://b.radikal.ru/b17/1810/ee/33b6cbc70606.png
2. conversations.im - LOGGING!
3. 404.city - LOGGING! https://c.radikal.ru/c41/1810/3a/badb2debf2a9.png
4. *****so, 0day.one, dark.cash, darknet.im, otr.site, prv.st, taganrock.xyz, xakep.im - LOGGING! на всех доменах ВВХ https://d.radikal.ru/d22/1810/e6/8f920163539e.png
5. 1jabber.com, 31337.life, nologs.club, strong.pm, verified.pm, vipclub.pm - МОЛОДЦЫ! - не найден
6. hot-chilli.net и их вирт. хосты - LOGGING! https://a.radikal.ru/a37/1810/a9/109259ff62c2.png
7. kode.im - не найден https://c.radikal.ru/c08/1810/77/3c6abccac9f0.png
8. richim.org - не найден
9. unstable.nl - не найден
10. 4ept.net - не найден
11. sj.ms - LOGGING! https://d.radikal.ru/d25/1810/63/c91e300e97bf.png
12. securejabber.me - не найден
13. draugr.de, ubuntu-jabber.net, ubuntu-jabber.de, xabber.de, deshalbfrei.org - LOGGING! на всех вирт хостах https://b.radikal.ru/b36/1810/cd/d1636c1eb61e.png
14. jabb.im, jabbim.cz, njs.netlab.cz, jabber.root.cz, jabbim.ru, jabber.sk - LOGGING! на всех виртуальных хостах https://a.radikal.ru/a32/1810/5e/bb0d99de1dfc.png
15. default.rs - LOGGING! https://d.radikal.ru/d16/1810/05/2ccbff17c95d.png
Везде где LOGGING! - там стоит этот модуль и вас пишут!
Лично я рекомендую использовать эти сервера:
1jabber.com, 31337.life, nologs.club, strong.pm, verified.pm, vipclub.pm, richim.org, unstable.nl, 4ept.net, securejabber.me (серверов много, так что списки не полные)
Не рекомендую:
creep.im, default.rs, conversations.im, 404.city, *****so, 0day.one, dark.cash, darknet.im, otr.site, prv.st, taganrock.xyz, xakep.im, hot-chilli.net и их вирт. хосты, sj.ms, draugr.de, ubuntu-jabber.net, ubuntu-jabber.de, xabber.de, deshalbfrei.org, jabb.im, jabbim.cz, njs.netlab.cz, jabber.root.cz, jabbim.ru, jabber.sk
Видео 1 - https://www.youtube.com/watch?v=zydrfkdfxZM
Видео 2 - https://www.youtube.com/watch?v=NrU8hvYa-3o
Скрин за сегодня, если вдруг Админчег сменит настройки и сделает reload_config (юзеры сервера даже не заметят этого, но скрины то уже есть)
СПАСИБО ЗА ПРОСМОТР!!! ПОКА!
to be continue...
Это первая тема, будут и другие темы от меня, материала более чем достаточно.
</img>

#Зарекламим сервис +
Тему перенес из раздела с блеками в оффтоп. Свободно комментируйте, задавайте вопросы ТСу если есть. Пока ждем админа.
</br></br>

Надеюсь тут будет без срача как на соседнем форуме?
Как я понял у тс неоспаримый козырь в рукаве. А ваши терки на експлоите припоминаю
</br>

На экспе то был сигнал, но как показала практика - мой сигнал не был услушан, потому держите, кто просил доказательства

Я не могу писать в темах и в чате, можно это исправить?

Ты лучше не разводи интригу и опубликуй свой козырь

Профиль активируется сам.

По серверам я уже выложил инфу, - читайте и смотрите https://txgate.io/images/smilies/smile.gif по ДМ там я аблюдаю за темой, свои 5 копеек я вставлю как нужно будет https://txgate.io/images/smilies/smile.gif
Добавлено через 2 минуты 6 секунд
а это мы с тобой в джаббере общались.
Не хочу набивать посты, тему не нужно было переименовывать, эту тему я планирую дальше дополнять, там не только ВВХ, так и другие сервера, "которые не логируют"

Очень тревожный сигнал. Фактически, когда перепиской владеют третьи руки, установить реального ответчика в некоторых претензиях становится невозможным. Это означает, что некоторые блеки, некоторые статусы, некоторые решения были приняты не совсем корректно.
P.S. Название темы вернул прежнее, в жабе не общались.

Общался с mailto:[email protected]
Скрин за сегодня, если вдруг Админчег сменит настройки и сделает reload_config (юзеры сервера даже не заметят этого, но скрины то уже есть)
https://radikal.ru/big/y8ixtj3orgvcs

Скрин за сегодня, если вдруг Админчег сменит настройки и сделает reload_config (юзеры сервера даже не заметят этого, но скрины то уже есть)
https://radikal.ru/big/y8ixtj3orgvcs

для начала осильте эту информацию, всему свое время.
Я от ВВХ жду реакции - в курсе ли они, что джаббер сервера их пишут, или это типа произвол от Таганрока
А что будет дальше - посмотрим

https://radikal.ru
Таган заметает следы https://txgate.io/images/smilies/smile.gif

Слова одного человека с другого форума
По поводу самого джаббера - кто-то выше верно подметил, кто нужно уже давно сделали выводы.
Однажды, в недалеком прошлом, общался я с одной девочкой в джаббере, Годдес (ее многие знают с ВВХ). Я там вообще часто с девочками общался. Она была с джаббера ввх. В то время был Арбитраж по Томату (кто следил был в центре событий тот помнит), и она мне написала мол истец (или Ответчик, уже не помню) просит тебя взять этот арбитраж, Истец те 10к уе даст что бы ты разобрал этот АРбитраж.
Цитата:
Коротко об Арбитраже: Скардили ноутов на 400к уе, и чото там с этими ноутами не срослось. И Истец с Ответчиком заключили там какую-то сделку вообще не касающуюся этих ноутов, и Ответчик (вспомнил, точно - Ответчик) залил около 100к уе в Гаранта. И Истец подал Арбитраж по этим ноутам (сделка по этим 100к естественно не завершилась, это был лишь повод что бы Ответчик загнал сотку в Гарант).
Ну и кароче я, как Арбитр который мог бы хорошо заработать - а точнее полный лошара - ответчил (по поводу 10к уе), что если я буду разбирать Арбитраж то я его буду разбирать справедливо, и дело не в 10к уе, но если он хочет меня отблагодарить за работу то ради Бога как бы. Я кленусь что я ответил именно так и с этим смыслом, кто меня знает - тот знает, что десятка уе для меня бабки так себе. Бывало за день больше зарабатывали причем в несколько раз (Мрвтн может подтвердить и не только он).
Ну и как вы понимаете мне Арбитраж вести ни кто не дал. На тот момент я был (подчеркиваю) единственным Арбитром на ВВХ и Центр!!!! Было еще несколько случаев с громкими Арбитражами и как правило уже - я их не разбирал, их забирал то ли Гарант то ли кто - не помню уже. Кто-то из Администрации.
И недавно Мрвтн упоминал меня в тексте типа где только Ауди может посраться с Админом ВВХ и решить Иск НЕ в пользу известного обменника (Модератора ВВХ кстати). Об этом Арбитраже не будем, про обменник я имею ввиду. Но привело это к тому, что Админ Центра (не Макейн, Макейн у меня кстати вызывает только положительные эмоции) не помню как его ник, второй который, влез в этот Арбитраж и настойчиво так писал что Арбитраж должен быть в сторону Обменника (МонтаноКэш если не ошибаюсь), и никак иначе. И естественно на Центре и ВВХ его там разбанили, но по скольку я такой акуенный что на то время я был Арбитром более чем на 12 форумах - я применил свои полномочия на других форумах, в том числе и на ДМ, ну по итогу заставил обменник выплатить пострадавшему бабки. Пострадавший просто был ни кто, ни авторитета ничего, сидел себе тихо на форуме занимался своими делами, никуда не лез, его по существу ни кто даже не знает - просто обычный юзер которого некому защитить, который даже не побежал бы по форумам (такое мнение у меня сложилось о нем), и он никуда и не бегал на сколько я помню. И вот на этой почве в конфе где были я, Админ Центра Истец и Ответчик - Админ Центра мне написал (Мы еще разберемся по Томату где ты взятку в 10к хотел взять за разбор Арбитража).... Вернемся немного назад. Как я упоминал в центре, об этих 10к упоминалось ТОЛЬКО между мной и Годдес, которая сидела с джаббера ВВХ. Она никому об этом даже не говорила, и я е верю - ей понту нету с этого. Ну и я ему намекнул что можем, да, поразбираться, давай дерзай, заодно и по ТОмату пообщаемся, которого ты обул на сотку баксов или 80к, уже не помню суммы. Вот именно тогда я и сделал выводы по поводу джаббера ввх.
С Таганом у меня отношения нормальные, общались много раз. Ну наверное он за этот пост уже будет меня нелюбить, я не знаю - это как бы его выбор. Я желаю ему только лучшего, нормальный пацан на самом деле, если не касаться джабберов форумов и тд. Я не лезу во внутренние дела форума обычно, если это не противоречит защите невиновных

ой блеат никто никого не обманывает,
все логируют с целью жажда наживы.
Спалить тему и слить ученикам. вот в это я поверю https://txgate.io/images/smilies/trollface.png.
Я то что логиирует вэвэха давно видно неворуженным глазом.
Аффтор сам известный флудер джабберов. https://txgate.io/images/smilies/taunt.gif.
Ты вот так спамом бабки делаешь, а они тырят инфу, ибо информация щас дороже золота.
В статье наверно какая цель есть. Ибо Вэвэха щас очень популярный и известный , как бэ Авито среди Картенгистов.
https://txgate.io/images/smilies/ragelol.png

Дополню. Как выглядят логи, если сервер их, например, ведет:
https://xakep.ru/wp-content/uploads/...768/image4.png
Всегда включайте OTR, а еще лучше - PGP.

А наши mpro.la и prv.name? Мы разве не молодцы?
Ну и если по теме, то это фиаско. Не пользуйтесь сомнительными серверами никогда, ну и PGP/OTR only. Автору респект.

Там ведь написано - будет продолжение, не только проблема в логировании, ВВХ в курсе.
Все знали, что ВВХ логируют, но никто не доказал этого, я решил это исправить.

https://31337.life:5280/upload/wdsa/...9lgGT/logi.png
кое-кто когда тему прочитал зафиксировал ответ от сервера ВВХ
до того как Таганрок его изменил, до того как Таган отключил модуль, хотя он утверждал все время, что модуль у него выключен
после того как мою тему закрыли - чееловек прочитавший тему сделал проверку еще раз
https://31337.life:5280/upload/wdsa/...D/segodnya.png
значит проблема и ошибка не на моей стороне
+ ндалоз(с эксплойта) это тоже заметил
к моим обвинения можно смело добавить махинация фактами, обман администрации эксплойт
Первый скрин - это до того как Таган отключил модуль, когда он утверждал что модуль отключен, и что у меня неверный ответ от сервера (скрины не мои)
https://radikal.ru/big/vse5x0yg5dv55
После того как Таганрок отключил модуль
https://radikal.ru/big/j8omtp2ugzzuk
Я уже молчу про весь тот бред, что Таган расписывал на протяжении всей темы
Весь скандал происходит на эксплойте, тему на всякий случай заархивировал. Жду непредвзятого вердикта администратора эксплойта, фактов предоставил более чем достаточно, еще и зафиксировал я, и те, кто не поленились прочитать и обдумать прочитаное с моей темы. Распространяйте информацию, дабы прекратить произвол с "безопасных" ссерверов.

Nostromo, продублируй сюда к чему вы там пришли и что решилось.
Здесь очень мало пользователей с ввх, а пользователей ввх жаббер серверов так вообще единицы.

Что-то я не вкурил, зашел с мобилы через IM+ в свою жабу @404.city, написал сообщение, вышел, зашел с PC через пидгин, сообщений не вижу. Вышел зашол обратно с мобилы - сообщения естьhttps://txgate.io/images/smilies/damn.png

Всю тему заархивировал. Жду непредвзятого вердикта, если же вердикт будет с целью слить тему, будет понятно, - рука руку моет https://txgate.io/images/smilies/smile.gif Ну вы поняли. Сами понимаете признать очевидный факт логирования ВВХ джабберов - это сокрушительный удар по форумам ВВХ и Центр. Делайте выводы. Те, кто будут покрывать их - сами понимаете не чисты на руку. Моя тема - это лакмусовая бумажка https://txgate.io/images/smilies/smile.gif
Все мои раследования как и это будут без предвзятости. Чистая правда как есть. Список серверов, которые ведут логи нарошно не весь выложил, не все как Таганрок пошли легким путем. Они думали, что если рут доступа к их серверу нету, то узнать как все настроенно - никто не узнает, чтобы узнать что стоит, уже давно не нужен рут-доступ, достаточно уверенных знаний в ПО и его функционале, всегда делаю видеофиксацию, чтобы если вдруг сменят настойки без перезагрузки - факт был на видео. И можно потом не сочинять.
Как в случае с Таганроком, на видео видно мод_мам, он с начала публикации темы отрицает это, что он включен, пытается убедить, что у меня вывод ответа от сервера - либо ошибка, либо фотошоп - нагло врет, после он удалил моего бота, - 2 дня назад и изменил настройки без перезагрузки (с 18 версии настройки можно перечитывать без перезагрузки), и выложил новый скрин, где модуль выключен, - включил дурачка, но он не ожидал, что не только я заметил это, заметили и другие, кто решил прочитать тему и проверить. Скрины выше - это не мои, а одного из тех, кто это тоже заметил, уверен его назовут моим мультом https://txgate.io/images/smilies/smile.gif Любой кто в теме включил мозги - сразу становился моим мультом.
Добавлено через 10 минут 48 секунд
Пиджин/Пси и другие, которые о мод_мам не слыхали, они его не поддерживают, история пишется, но не читается, и весь прикол в том, что многие и сидят на этих клиентах, поэтому и не замечали очевидные вещи.
Кстати о 404. city :
Вот один из админов (404.city) палится и не стесняется, что пишет, и хочет, чтобы спам-боты и боты-уведомители не сохраняли свои логи в базе, а остальные записывали - ссылка с чата тех поддержки Еджаббержа - https://process-one.net/logs/ejabber...018/09/05.html - пацану читать не удобно https://txgate.io/images/smilies/smile.gif мешает https://txgate.io/images/smilies/smile.gif
Можно кстати разрешить запись логов, но запретить чтение.
[email protected] - вот конференция, тут буду принимать идеи, мысли, а также буду предупреждать о незапланированной проверке сервисов. Будет вестись видео-трансляция+видеофиксация. Когда? - когда я сочту что материала достаточно для очередного разоблачения и у меня будет свободное время для этого, я тоже человек и у меня есть свои дела.
Повторюсь:
Не рекомендую использовать эти сервера:
creep.im, default.rs, conversations.im, 404.city, *****so, 0day.one, dark.cash, darknet.im, otr.site, prv.st, taganrock.xyz, xakep.im, hot-chilli.net и их вирт. хосты, sj.ms, draugr.de, ubuntu-jabber.net, ubuntu-jabber.de, xabber.de, deshalbfrei.org, jabb.im, jabbim.cz, njs.netlab.cz, jabber.root.cz, jabbim.ru, jabber.sk

Через поисковик не удалось найти информации о уязвимости OTR и ОМЕМО ни на русском, ни на английском. На calyxinstitute.org рекомендуют использовать OTR и также не упоминают об уязвимости.
Можно ссылки?

Эта тема не о том, как расшифровывать ОТР/ОМЕМО, те кому это нужно, у тех оно уже есть(кто успел). И я нигде не говорил, что это уязвимость. Если есть познания в криптографии, то думаю понимаете - то что шифруется, то можно и расшифровать.

Нет никакой уязвимости. Перехватить переписку можно только через MITM и подмену ключей. Поэтому при использовании OTR всегда сверяйте отпечаток ключа. Если сервер использует самоподписной сертификат, проверяйте его отпечаток или вовсе не пользуйтесь этим сервером.

Эта тема как раз об этом, т.к. без расшифровки логи ничего не дадут админам!
Если возможно расшифровать переписку, то это именно критическая уязвимость. Ты заявляешь, что она существует, но информацию об этом вычистили из интернета, так выложи тут все о ней.
А то, что большинство серверов ведут логи, это очевидно.
Что, даже зашифрованое методом шифроблокнотов можно? )
Расшифровать можно только если алгоритм случайно или намеренно имеет уязвимость, ну и через MITM и подмену ключей в случае OTR и его аналогов.
Это просто смешно, какой дурак поставит себе такой скрипт?
Мы тут наблюдаем просто конфликт двух спамеров за долю рынка.
К админам ВВХ я симпатии не испытываю, их сервер не использую, но и жабер 1vpn не вызывает доверия.
А проблема спама для пользователей искуственно раздута, кому он мешает ставят антиспам-плагины.

Это безусловно проблема, но вот отсылки на исчезнувшие из всего интернета истории про одновременный взлом шифрования и OTR и OMEMO - это как то несерьезно.
Оба метода шифрования проходили и успешно прошли аудит, и если бы такая мелочь как сбор зашифрованных сообщений по порядку приводила бы к раскрытию переписки - в сети явно было бы больше информации. Я вот, к примеру, нашел только два бага в OTR, но и то, это непосредственная реализация в клиентах, а не недостатки протокола.
CVE-2016-9107 - The OTR plugin for Gajim sends information in cleartext when using XHTML, which allows remote attackers to obtain sensitive information via unspecified vectors.
CVE-2015-8833 - Use-after-free vulnerability in the create_smp_dialog function in gtk-dialog.c in the Off-the-Record Messaging (OTR) pidgin-otr plugin before 4.0.2 for Pidgin allows remote attackers to execute arbitrary code via vectors related to the "Authenticate buddy" menu item.
Опять же, что именно, какие именно преимущества, заставляет использовать аккаунты на публичных XMPP-серверах, которые явно связаны с кардерскими и хакерскими форумами?
Ведь по умолчанию эти сервера будут привлекать больше внимания к своему трафику и так далее, а возможностей устроить MITM-атаку при s2s соединении будет гораздо больше, при этом конечный клиент про это будет знать ничего.
Какие они имеют преимущества по сравнению с обычными публичными серверами?
(Особенно не понимаю людей, регистрирующихся на кривом exploit.im, который толком не может работать с посторонними серверами и для которых надо специально держать аккаунт на этом сервере)
Для меня, к примеру, важнее, чтобы у сервера был .onion адрес в Tor, чем рассказы про то, что "у нас сухо, комфортно и безопасно".
Ну и опять же, если вопросы безопасности сервера предельно важны, то, как мне кажется, сумма порядка 7$ в год - это ничего не значащий расход, а именно столько стоит VPS с выделенным IPV4 на lowendstock.com - берешь бесплатный домен на freenom.com, поднимаешь Prosody на купленном за битки боксе, конфигурируешь так как надо именно тебе - выходит и сухо и комфортно. А для гарантированного шифрования всех сообщений - использовать GnuPG. Для увеличения спокойствия можно даже ключ сгенерировать на смарткарте типа Yubikey Neo/Yubikey 5 NFC.
Как альтернатива джабберу мне вполне нравится Riot - есть и десктопный и мобильный клиент, шифруются в том числе и групповые чаты и тд.

Проверил exploit.im, securejabber.me и еще парочку менее популярных - ключи OTR не подменивают, по крайней мере у всех подряд. А то может топикстартер имел в виду, что выкладывали готовое решение для массовой подмены ключей.
Чем он лучше OTR?

Оффлайн сообщения

Еще раз повторюсь тема не об ОТР, и не нужно мне писать, что я что-то должен выложить еще, вам я ничего не должен, кто хотел, кому было интересно, тот все успел, из-за того что все все выкладывают в сеть - в сети становится некомфортно, потому я точно никому ничего не должен доказывать.
Мое дело было вас предупредить, а вы уже думайте дальше своей головой. На провокации я не ведусь - "покажи как это работает" и т.д..
Еще заметил вы не совсем понимаете слово - уязвимость. Ну это ваше дело.
Эта тема о логировании, кстати тему на эксплойт прикрыли, ждем вердикта администрации эксплойта, - станет ли он признавать факт логирования на "безопасных" серверах, или же они просто друзья, так как Таганрок во время дискусии в теме много соврал, и многие стали свидетелем этого. Мне просто интересно - дружба или правда. Тут уже многие смотрят как экспа себя покажет.
Относительно чтения ОТР/ОМЕМО - не питайте себя илюзиями.

Наконец то долгожданные новости для команды форума Club2CRD :
http://image.prntscr.com/image/rAlmJ...MQDO0zQX_Q.png
пообещал команде црд не заходить более туда и не трогать их. (с) TaganRock
Поправка на время (разве что с мульта, чтоб скрины сделать).
Так что, слава Богу и TaganRock, можно распрямить плечи. Нас пообещали более не трогать ...

В общем, посмотрев на эту тему, есть понимание того, что безопаснее заплатить 12$/год за домен и VPS и поднять свой с теми модулями, которые тебе нужны, чем пользоваться всякими ультраанонимными серверами. Как говориться, "хочешь сделать дело хорошо - сделай его сам".

WWW,
Чем он так сумел напугать вашу команду в 2014 или 2015 году?
Я был тогда на форуме и такого персонажа здесь не помню.
Что за конфликт был между вами и был ли он публичным?

Правду наконец-то признали! Я признаюсь честно, до последнего я сомневался, что очевидную правду признают, что мир захочет ее услышать, и вот админ эксплойта сделал официальный вердикт-приговор:
Итак, настал момент подвести итоги этого многостраничного срача. Мне пришлось потратить кучу времени что бы найти квалифицированного в данной теме человека, который бы смог расставить все точки над "и".
Начнем с фактов:
1. на видео мы отчетливо видим как подгружается история сообщений в разные клиенты (что свидетельствует о том, что сообщения на сервере сохраняются)
2. мы видим, что модуль mod_mam был активен, и исходя из комментариев разработчика данного модуля мы понимаем что данный модуль был установлен и включен специально
3. мы видим обман или увиливание или некомпетентность со стороны TaganRock в том, что модуль был поставлен "из коробки" под Debian, чего быть по факту не могло
4. мы прекрасно понимаем и осознаем, что jabber-сервера WWH не являются настроенными на максимальную анонимность, как это было заявлено TaganRock
Исходя из этого:
1. слова OptimusPrime в части логгирования сообщений на серверах WWH считаю обоснованными и подтвержденными разработчиком из ejabberd, который ко всеми прочему является разработчиком самого модуля mod_mam
2. не будем вдаваться в подробности, случайно или осознанно было включение модуля mod_mam и хранение сообщений на сервере, ответственность лежит целиком и полностью на TaganRock
3. статус "Доверенный" с TaganRock снимается, профиль уходит в статус Banned
Топик закрыт. Всем спасибо.
ссылка на оригинал https://exploitinqx4sjro.onion/index...462&amp;st=180

Ну что всё таки забанили Таганыча на експе. Эх думаю скоро будет жарко

делллл

Конфликтов никаких не было, без понятия вообще что он там брякает. Спайсуха безжалостно уничтожила его неокрепшую детскую психику.
По сути, все чем он запомнился, это: деаноном и ярко красным статусом RIPPER.

Это когда был его деанон ?
Просто он сегодня грозился что такое же видео про сервак exploit запишет https://txgate.io/images/smilies/facepalm.gifhttps://txgate.io/images/smilies/mosking.gif

https://txgate.io/images/smilies/fuu.png Всех сдаст

Если захочет пусть сам расскажет. Он здесь есть, скрины скидывал чата и форума на експу.