Дата: 24/08/17 - 01:43 am   9453 Тем и 93417 Сообщений

Автор Тема: Jabber  (Прочитано 190560 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Июня 08, 2015, 06:01:14 pm
Прочитано 190560 раз

Ar3s

  • Administrator

  • Оффлайн
  • *****

  • 1971
    30.12.04
  • Reputation:
    1357
    • Просмотр профиля
    • http://dlab.im
На имеющемся у нас сервере dlab.im закончился ssl сертификат. Сегодня было произведено обновление сертификата. Просьба отбросить паранойю, все пучком.
« Последнее редактирование: Июня 08, 2015, 06:01:56 pm от Ar3s »
Jabber: Ar3s@dlab.im

Июня 10, 2015, 10:48:56 am
Ответ #1

AD0


  • Оффлайн
  • *

  • 16
    11.06.11
  • Reputation:
    1
    • Просмотр профиля
SSL в жаббере это конечно хорошо и замечательно, но из открытых библиотек, осталось несколько версий остались без явно выраженных уязвимостей. Так то не только кэш на северере читать можно, но и в вебе имея ноды между енд ту енд точками можно отснифать трафик и в конечном счете расшифровать переписку - сравнимо как расшифровывают ключи вифи при достаточном количестве пойманных пакетов (или даже серт подменить, т.к. у нас то нету контейнеров и валидации сертификатов и серт центров)

TLS заявлен вроде как криптостойкий , при годной длинне ключей может быть будет хорошим решением?

Кто что знает/думает по этому поводу? Наша же безопасность как пользователей, должна беспокоить нас, поэтому прошу отписаться... Среди информации в интернете много воды, нет однозначных решений, может кто то может поделиться чем то полезным...?
« Последнее редактирование: Июня 10, 2015, 10:50:41 am от AD0 »
предоставляю гарант сервис/проверки сервисов и тд
AD0@zloy.im (ключики в профиле pgp/otr)
-
https://forum.zloy.bz

Проверка майлов на валид в больших количествах, выкачивание почты, создание социальных связей между выкачанной почты (слив контактов)

Июня 10, 2015, 11:23:12 am
Ответ #2

Ar3s

  • Administrator

  • Оффлайн
  • *****

  • 1971
    30.12.04
  • Reputation:
    1357
    • Просмотр профиля
    • http://dlab.im
В этой тематике крайне образован у нас chococream. Я попробую его ткнуть палкой. Вдруг отпишется подробнее в топе...
Jabber: Ar3s@dlab.im

Июня 10, 2015, 08:05:52 pm
Ответ #3

r00nix

  • V.I.P

  • Оффлайн
  • *

  • 14
    27.07.09
  • Reputation:
    20
    • Просмотр профиля
Адо, по традиции тлс называют сслом (оно так прижилось еще до стандартизации), естественно pem-сертификат в ejabberd использует достаточно секурные длины ключей по умолчанию. Ну, по крайней мере, я б такое брутить не стал:
# openssl s_client -connect dlab.im:5222 -starttls xmpp
CONNECTED(00000003)
depth=0 C = IM, ST = "damagelab ", L = dlab.im, O = dlab.im, OU = dlab.im, CN = dlab.im email=admin@dlab.im
verify error:num=18:self signed certificate
verify return:1
depth=0 C = IM, ST = "damagelab ", L = dlab.im, O = dlab.im, OU = dlab.im, CN = dlab.im email=admin@dlab.im
verify return:1
---
Certificate chain
 0 s:/C=IM/ST=damagelab /L=dlab.im/O=dlab.im/OU=dlab.im/CN=dlab.im email=admin@dlab.im
   i:/C=IM/ST=damagelab /L=dlab.im/O=dlab.im/OU=dlab.im/CN=dlab.im email=admin@dlab.im
---
Server certificate
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
subject=/C=IM/ST=damagelab /L=dlab.im/O=dlab.im/OU=dlab.im/CN=dlab.im email=admin@dlab.im
issuer=/C=IM/ST=damagelab /L=dlab.im/O=dlab.im/OU=dlab.im/CN=dlab.im email=admin@dlab.im
---
No client certificate CA names sent
---
SSL handshake has read 1729 bytes and written 584 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID:
    Session-ID-ctx:
    Master-Key: 403786AE5A70FD347146788B1A0945E808603942BA67C7B0CEAC8DC430C50B8F7203204846E3D84D8EB0FA98D8CEACC2
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1433955785
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
DONE

Июня 11, 2015, 12:05:33 pm
Ответ #4

AD0


  • Оффлайн
  • *

  • 16
    11.06.11
  • Reputation:
    1
    • Просмотр профиля
Думаю для тех кто может использовать ноды у провайдеров/хостеров -им брутить не надо, валидации ключей нету, достаточно быть посредником и автоматом принимать и передавать ключи, расшифровывая ее, зашифровывая на лету - логируя открытую переписку...
+ в самых используемых библиотеках могут быть уязимости не только с произвольным чтением данных...

У нас же не было серьзного анализа жаббер серверов, в основном все воспринимают только что дают разработчики, создатели, я не говорю конкретно что какой то из ресурсов не хорош, но думаю стоит обращать внимание на такие мелочи.

Конечный ключ может и стойкий однако кроме ключа есть еще несколько векторов для атак, связанных с созданием ключа, библиотек его использующих, да на конец даже сам джаббер протокол и хост его размещающий, а качественно стойкий ключ еще не панацея, у больших корпов и организаций наверняка есть мощности для работы и щелканьем таких ключей если не на лету, то хотя бы за время...
предоставляю гарант сервис/проверки сервисов и тд
AD0@zloy.im (ключики в профиле pgp/otr)
-
https://forum.zloy.bz

Проверка майлов на валид в больших количествах, выкачивание почты, создание социальных связей между выкачанной почты (слив контактов)

Июня 11, 2015, 08:16:14 pm
Ответ #5

Chococream

  • Administrator

  • Оффлайн
  • *****

  • 399
    31.10.09
  • Reputation:
    274
    • Просмотр профиля
PGP и только.
Сам otr уязвим к mitm атаке, конечно если пользователи совсем невнимательны( проверка отпечатка fingerprint ).

Упоминал уже о протоколе: https://damagelab.in/index.php?topic=2...49&#entry144049

Пока jabber всех устраивает, до первой массовой атаки я думаю ;)

Сентября 14, 2015, 10:54:46 am
Ответ #6

krest

  • Модератор

  • Оффлайн
  • ***

  • 95
    03.12.14
  • Reputation:
    26
    • Просмотр профиля
    • http://
Не могу подключиться к jabber серверу

Сентября 14, 2015, 06:03:11 pm
Ответ #7

claster


  • Оффлайн
  • *

  • 3
    26.11.14
  • Reputation:
    0
    • Просмотр профиля
+ , с утра не коннектит

Сентября 15, 2015, 09:22:32 am
Ответ #8

Ar3s

  • Administrator

  • Оффлайн
  • *****

  • 1971
    30.12.04
  • Reputation:
    1357
    • Просмотр профиля
    • http://dlab.im
Странно. Вчера коннектил нормально. Сегодня утром глюкнуло. Перезапустил все. Залогинился. Все норм. Проверьте.
Jabber: Ar3s@dlab.im

Сентября 15, 2015, 09:30:13 am
Ответ #9

krest

  • Модератор

  • Оффлайн
  • ***

  • 95
    03.12.14
  • Reputation:
    26
    • Просмотр профиля
    • http://
Сегодня уже работает. Спс :)