Fórum Root.cz
Hlavní témata => Software => Téma založeno: CryptoGuru 12. 03. 2015, 12:55:14
-
Zdravím
Neměl by někdo typ na komunikační klient / kecálek (podoně jako jabber, icq, skype), který NEukádá hesla v plain textu, má šifrování alespoň 265bit nebo víc, přenos komunikace je šifrovaný (kromě mě a protějšku nemůže zprávy nikdo číst). Nejlepší by bylo, aby historie vůbec nebyla ukládána (prakticky všechny komunikátory, co zmam, mají ukládání historie deafultně nastavené a dost často se na PC u mě i protějšku nebo dokonce na serveru ukládá jako plain text). Když už historie ukládána bude, tak alespoň šifrovaně. Textové zprávy postačí, poku bude umět zvukový hovor, o to líp.
Protože ne vždy se dostanu k linuxu (o protějšku ani nemluvim), bylo by lepší, aby to běželo i pod widlema.
Díky za tip
-
https://tox.im/cs
možná...
-
RetroShare. Je to client to client aplikace, žádný prostředník, vše šifrované. Verze 0.6 je sice ještě beta, ale chat tam funguje bez chyby. Stahovat možno zde: http://1337x.to/search/retroshare/1/ (http://1337x.to/search/retroshare/1/), případně PPA s *.deb : https://launchpad.net/~csoler-users/+archive/ubuntu/retroshare-unstable (https://launchpad.net/~csoler-users/+archive/ubuntu/retroshare-unstable)
-
Neměl by někdo typ na komunikační klient / kecálek (podoně jako jabber, icq, skype), který NEukádá hesla v plain textu
IMHO nelze (leda kdybys neukládal hesla vůbec a ptal ses při každém připojení).
Nejlepší by bylo, aby historie vůbec nebyla ukládána (prakticky všechny komunikátory, co zmam, mají ukládání historie deafultně nastavené a dost často se na PC u mě i protějšku nebo dokonce na serveru ukládá jako plain text).[/quote]
Server nemůže plaintext ukládat, když je to end-to-end šifrované. Klienti… no nevím, Psi+ IIRC defaultně neukládá. Aktivně uživateli v ukládání samozřejmě zabránit nemůžeš, protože v nejhorším vyfotí obrazovku.
Jakýkoli Jabber klient s OTR.
-
https://tox.im/cs
možná...
No nevim, ta stranka vypada moderne, ale ten text...
Tox po Vás nevyžaduje abyste byli programátoři když jej chcete používat.
To by me zajimalo, u jakych IM aplikaci je vyzadovano byt programatorem. Chapu, ze pro nastaveni nekterych kecalku mohou byt potreba znalosti z oblasti kryptografie, pokud to chcete mit trosku zabezpecene (coz vetsinou bezny lojza stejne neresi a necha vychozi hodnoty, ktere budou fungovat), ale vyzadovat byt programatorem? ??? Ten text na me pusobi hodne trapne...
-
prave ze lojza by treba chtel sifrovat, ale mysli si ze musi byt programator nebo lepe ten hacker, tedy na tom textu nevidim nic trapneho... neni to cilene na power usery ale na bfu, pokud se to rozsiri mezi bfu ma to +- vyhrano...
-
prave ze lojza by treba chtel sifrovat, ale mysli si ze musi byt programator nebo lepe ten hacker, tedy na tom textu nevidim nic trapneho... neni to cilene na power usery ale na bfu, pokud se to rozsiri mezi bfu ma to +- vyhrano...
Přesně tak, ten text naprosto jasně reprezentuje ten program. Na druhou stranu je to otevřené, takže i pepík, který naopak programator je, se na tom může vyřádit. Je to zkrátka pro všechny. Ukažte mi nějakej lepší program v dnešní době, kterej by se dal snadno použít a zároveň byl i pro lidi, co se v tom chtěj vrtat.
-
https://tox.im/cs
možná...
Díky, to vypadá dobře, je tam i VoiceCall a možnost pro Android.
-
RetroShare. Je to client to client aplikace, žádný prostředník, vše šifrované. Verze 0.6 je sice ještě beta, ale chat tam funguje bez chyby. Stahovat možno zde: http://1337x.to/search/retroshare/1/ (http://1337x.to/search/retroshare/1/), případně PPA s *.deb : https://launchpad.net/~csoler-users/+archive/ubuntu/retroshare-unstable (https://launchpad.net/~csoler-users/+archive/ubuntu/retroshare-unstable)
Diky, vypadá dobře pro jednoduchost
-
Neměl by někdo typ na komunikační klient / kecálek (podoně jako jabber, icq, skype), který NEukádá hesla v plain textu
IMHO nelze (leda kdybys neukládal hesla vůbec a ptal ses při každém připojení).
Server nemůže plaintext ukládat, když je to end-to-end šifrované. Klienti… no nevím, Psi+ IIRC defaultně neukládá. Aktivně uživateli v ukládání samozřejmě zabránit nemůžeš, protože v nejhorším vyfotí obrazovku.
Jakýkoli Jabber klient s OTR.
Když někdo dá možnost uložit heslo u sebe na PC, tak se jako plain text ukládá, to jinak nejde. Je to ale o velké blbosti uživatelů, že dávají hesla uložit kvůli pohodlnosti, aby je nemuseli psát znova. Ukládat by se nemělo ani uživatelské jméno. Spusty IM klientů ale možnost uložení hesla uživateli přímo cpou + navíc zapnutí a přihlášení při startu. Některé servery (Jabber.cz, o ICQ ani nemusí být řeč) ukládají hesla v plain textu u sebe na serveru a to je druhý problém.
Jestli server může ukládat text konverzace - když je komunikace šifrovaná a server nemá klíč (uložené heslo a pod.), tak to nejde. Ale vždy záleží na konkrétní realizaci. Často ale zprostředkovatelský server klíč má. Spusta IM klientů vobec šifrování ani nemá (ICQ, Skype).
Nejde o zabránění aktivnímu ukládání historie uživatelem. Spíš jde o to, že prakticky u všech IM je ukládání historie v PC (jako plain text) nastaveno deafultně a naprostá většina uživatelů o tom nepřemejšlí, nebo o ukládané historii neví, stejně tak jako většina uživatelů o internetoové bezpečnosti neví téměř nic (obecně, ne tady na rootu). Takže klient by měl mít ukládání historie deafultně vypnuto, nebo alespoň šifrovaně.
-
prave ze lojza by treba chtel sifrovat, ale mysli si ze musi byt programator nebo lepe ten hacker, tedy na tom textu nevidim nic trapneho... neni to cilene na power usery ale na bfu, pokud se to rozsiri mezi bfu ma to +- vyhrano...
Kdyz by v pekarne byla reklama na rohlik a jako hlavni tahak by byla prezentovana vlastnost - "nemusite byt ani pekar, abyste ho mohli snist", tak by vam to pripadalo normalni?
prave ze lojza by treba chtel sifrovat, ale mysli si ze musi byt programator nebo lepe ten hacker, tedy na tom textu nevidim nic trapneho... neni to cilene na power usery ale na bfu, pokud se to rozsiri mezi bfu ma to +- vyhrano...
Přesně tak, ten text naprosto jasně reprezentuje ten program. Na druhou stranu je to otevřené, takže i pepík, který naopak programator je, se na tom může vyřádit. Je to zkrátka pro všechny. Ukažte mi nějakej lepší program v dnešní době, kterej by se dal snadno použít a zároveň byl i pro lidi, co se v tom chtěj vrtat.
Tox má hned po instalaci jednoduché rozhraní, díky kterému se můžete radši věnovat tomu, s kým mluvíte.
Ze stranek to pusobi, ze GUI ma byt velmi jednoduche - tj. asi nebude obsahovat zadne pokrocile moznosti. Moc nevidim duvod, proc by pokrocilejsi uzivatele mel takovy program zajimat, pokud nic nepujde nastavit a bude skoro vse skryto. To stejne pro programatora - pokud se jede na ultimatni jednoduchost pro kazdeho bfu, tak asi mu zadne pull requesty pridavajici pokrocilejsi ficury nevemou.
-
Ze stranek to pusobi, ze GUI ma byt velmi jednoduche - tj. asi nebude obsahovat zadne pokrocile moznosti. Moc nevidim duvod, proc by pokrocilejsi uzivatele mel takovy program zajimat, pokud nic nepujde nastavit a bude skoro vse skryto. To stejne pro programatora - pokud se jede na ultimatni jednoduchost pro kazdeho bfu, tak asi mu zadne pull requesty pridavajici pokrocilejsi ficury nevemou.
Bože, jde o to, že to je opensource. Do what the fuck you want.
-
Ze stranek to pusobi, ze GUI ma byt velmi jednoduche - tj. asi nebude obsahovat zadne pokrocile moznosti. Moc nevidim duvod, proc by pokrocilejsi uzivatele mel takovy program zajimat, pokud nic nepujde nastavit a bude skoro vse skryto. To stejne pro programatora - pokud se jede na ultimatni jednoduchost pro kazdeho bfu, tak asi mu zadne pull requesty pridavajici pokrocilejsi ficury nevemou.
A jaké pokročilé možnosti by tam měli být ? Nastavení fontu, vzhledu, profilu, databáze smajlíků ? To zrovna nehledam. Důležitá je bezpečnost. Tedy šifrování to end, aby nemohl prostředník odposlouchávat, aby senemohla textová komunikace uládat na server. A nejlépe aby se neukládala historie a hesla.
-
Kdyz by v pekarne byla reklama na rohlik a jako hlavni tahak by byla prezentovana vlastnost - "nemusite byt ani pekar, abyste ho mohli snist", tak by vam to pripadalo normalni?
Chcel by som mat tvoje problemy. :) text na stranke je to posledne podla coho by som hodnotil program...
Je to tak isto hlupe ako si nekupovat rohliky od pekara, pretoze sa ti nepaci font, akym su napisane jeho otvaracie hodiny.
-
Kdyz by v pekarne byla reklama na rohlik a jako hlavni tahak by byla prezentovana vlastnost - "nemusite byt ani pekar, abyste ho mohli snist", tak by vam to pripadalo normalni?
Pokud by mezi pojidaci rohliku panoval nazor ze musi byt pekarem aby mohl jist komplikovanej rohlik, tak jasne prislo by mi to normalni... pokud by ten nazor nepanoval, porad bych v tom problem nevidel :)
Co by mi ale prislo nenormalni, kdyz by se zvedla vlna odporu od pekaru kteri by ten slogan povazovali za trapnou hlasku a oznacili rohliky za pravdepodobne spatne s odrazovanim pojidacu od jedeni techto rohliku ;)
-
Je to ale o velké blbosti uživatelů, že dávají hesla uložit kvůli pohodlnosti, aby je nemuseli psát znova.
Podle mě tě heslo k serveru zas tak moc netrápí (útočník s tím může tak leda psát falešné zprávy, ale pokud na tebe mají nastavené OTR, tak uvidí, že je to nepodepsané). To důležité, co potřebuješ chránit, jsou OTR klíče.
Ukládat by se nemělo ani uživatelské jméno.
Záleží na use-case, já mám třeba uživatelské jméno normálně veřejně na webu (protože je náhodou stejné jako Jabber adresa).
Některé servery (Jabber.cz, o ICQ ani nemusí být řeč) ukládají hesla v plain textu u sebe na serveru a to je druhý problém.
Problém je především v tom, že jim v plaintextu posíláš nějaké heslo, o kterém ti vadí, když si ho uloží (a je jedno, jestli to tak mají nastavené, nebo jestli jim nějaký útočník pustil na server tcpdump). Kdybys jim ho neposílal, tak si ho nemůžou uložit.
Jestli server může ukládat text konverzace - když je komunikace šifrovaná a server nemá klíč (uložené heslo a pod.), tak to nejde. Ale vždy záleží na konkrétní realizaci. Často ale zprostředkovatelský server klíč má. Spusta IM klientů vobec šifrování ani nemá (ICQ, Skype).
Proto jsem psal o end-to-end šifrování. To je při zadání které jsi napsal snad samozřejmost.
Ze stranek to pusobi, ze GUI ma byt velmi jednoduche - tj. asi nebude obsahovat zadne pokrocile moznosti. Moc nevidim duvod, proc by pokrocilejsi uzivatele mel takovy program zajimat, pokud nic nepujde nastavit a bude skoro vse skryto.
Jestli jsem to dobře pochopil, tak je to P2P síť (něco jako Jabber, ale víc P2P) a to o čem mluvíš je jenom defaultní klient. Někde na jejich wiki jsem se doklikal k dalším klientům, které vypadají jinak.
-
Ze stranek to pusobi, ze GUI ma byt velmi jednoduche - tj. asi nebude obsahovat zadne pokrocile moznosti. Moc nevidim duvod, proc by pokrocilejsi uzivatele mel takovy program zajimat, pokud nic nepujde nastavit a bude skoro vse skryto. To stejne pro programatora - pokud se jede na ultimatni jednoduchost pro kazdeho bfu, tak asi mu zadne pull requesty pridavajici pokrocilejsi ficury nevemou.
A jaké pokročilé možnosti by tam měli být ? Nastavení fontu, vzhledu, profilu, databáze smajlíků ? To zrovna nehledam. Důležitá je bezpečnost. Tedy šifrování to end, aby nemohl prostředník odposlouchávat, aby senemohla textová komunikace uládat na server. A nejlépe aby se neukládala historie a hesla.
Pod pokrocilymi moznostmi jsem si predstavoval napr. nastaveni parametru sifrovani (napr. co jeste u druhe strany tolerovat a co uz ne [treba u SSL a myslim i u mobilniho sifrovani jsou mozne utoky s vnucenim slabych sifer]).
Protoze to ma byt co nejvice bfu-friendly, tak bych moc necekal striktni neukladani hesel u klienta nebo historie. IMO to bude dost lidi vyzadovat.
(Jenda me predbehl.) Kdyz je takto vice klientu, tak to bych uz vubec necekal, ze vsichni klienti nebudou ukladat hesla ani historii.
Kdyz by v pekarne byla reklama na rohlik a jako hlavni tahak by byla prezentovana vlastnost - "nemusite byt ani pekar, abyste ho mohli snist", tak by vam to pripadalo normalni?
Chcel by som mat tvoje problemy. :) text na stranke je to posledne podla coho by som hodnotil program...
Je to tak isto hlupe ako si nekupovat rohliky od pekara, pretoze sa ti nepaci font, akym su napisane jeho otvaracie hodiny.
Me osobne takovy text odrazuje. Jedna z hlavnich vlastnosti programu je, ze neni potreba byt programator (= zivit se programovanim), prestoze obecne pro pouzivani IM a sifrovani to nikdy potreba nebylo v prve rade. Pusobi to lzive (prestoze technicky to asi lez neni).
Podle vas je to stejne, jako nevolit stranu podle toho, co deklaruje ze planuje plnit. Vidim, ze si rozumime. Precejen kdyz maji na strance, ze to je pro BFU, tak mam ocekavat, ze to nebude pro BFU... Stranka ma presvedcit uzivatele ke stazeni a vyzkouseni.
-
Jestli jsem to dobře pochopil, tak je to P2P síť (něco jako Jabber, ale víc P2P) a to o čem mluvíš je jenom defaultní klient. Někde na jejich wiki jsem se doklikal k dalším klientům, které vypadají jinak.
Pochopitelně, že těch klientů je víc, každý si může udělat svůj. Od toho to přeci je. Když mi něco nevyhovuje, tak si to uzpůsobím. Třeba tady ukázka : https://wiki.tox.im/Toxic atd.
O tom jsem přeci psal, že to může používat, jak BFU, tak člověk, který si to chce přizpůsobit. Nejlepší je si o tom něco přečíst.
-
Neměl by někdo typ na komunikační klient / kecálek (podoně jako jabber, icq, skype), který NEukádá hesla v plain textu
IMHO nelze (leda kdybys neukládal hesla vůbec a ptal ses při každém připojení).
Neukladat hesla v plaintextu neni snad takovy problem, ne? Jeden xor s pevnym klicem navic. Sice to bezpecnosti neprida, ale podminku to splnuje (je tedy otazka, jestli neni podminka spatne formulovana).
Celkem me zaujal pozadavek na neukladani uzivatelskeho jmena. To slysim prvne. Vetsinou to naopak uzivatelum hodne schazi.
Nebylo by jednodussi si priohnout nejakeho Jabber klienta (vyhazet vsechna ta ukladani historie/hesel/jmen) a/nebo provozovat ho v nejakem sifrovanem kontejneru (heslo, historie i jmeno tak bude sifrovane)?
-
Nu, otázka neukládání hesel je možná v případě Jabberu i v situaci, kdy použije jako server OpenFire a jejich klienta Spark, ten krom jiného umí i GSSAPI (Kerberos), takže se k ověřování používají tickety a na straně klienta se žádné heslo neukládá, protože se je klient ani nikdy nedozví. Spark má i modul pro end-end šifrování OTR. dneksa v tom fungují i hlasové i video hovory, takže by byl využitelný i pro toto.
Nicméně Kerberos konfigurace u externích lidí nebude úplně jednoduchá (nejjednodušší pro windows svět je mít nainstalován ještě MIT Kerberos Ticket Manager), ale je to možná, včetně řešení s použitím Kerberos a jednorázových hesel (Pokud by jako Kerberos server byl použit MIT). Pro vnitropodnikové použití, kde lidi jsou přihlašování jednotně přes Kerberos/AD doménu, tak to pak funguje zcela transparentně a bez přemýšlení, tam to SSO přínos má.
-
Neukladat hesla v plaintextu neni snad takovy problem, ne? Jeden xor s pevnym klicem navic. Sice to bezpecnosti neprida, ale podminku to splnuje (je tedy otazka, jestli neni podminka spatne formulovana).
Celkem me zaujal pozadavek na neukladani uzivatelskeho jmena. To slysim prvne. Vetsinou to naopak uzivatelum hodne schazi.
Nebylo by jednodussi si priohnout nejakeho Jabber klienta (vyhazet vsechna ta ukladani historie/hesel/jmen) a/nebo provozovat ho v nejakem sifrovanem kontejneru (heslo, historie i jmeno tak bude sifrovane)?
Požadavek je nepřesně zadaný. Neukládat hesla v plain textu jsem myslel buď neukládat hesla vůbec, nebo je ukládat pod nějakým rozumným šifrováním (což jde těžko obecně). Spustit si celý klient v TrueCrypt či jiném kontejneru je dobré řešení. XOR moc bezpečnosti nepřidá, jen sníží šance útoků. Dost virů (nebo uživatelů) krade hesla tak že vyhledá jejich uložení v plain textu a odešle někam (u ICQ, Skype, heslům k mailům je toto snadné). Další (a úplně jiný problém) jsou plain text heslana serveru (jaber.cz, ICQ), nebo jejich nešifrované posílání (ICQ, nebo všechny http bez s).
Většina uživatelů ukládat hesla a historii chce (stejně tak jako velká část uživatelů cpe vše na FB) - blbost uživatelů obecně, ale záleží co kde se projednává, např. zaznamenaná domluva na výlet na kolech asi nenemůže moc uškodit, já osobně jakékoliv záznamy moc nemam rád.
Požadavek na neukládání uživatelského jména - i to o tobě toho může říct dost a napomoci sledování (společně s googlenim), zvláště je-li neobvyklé a používáš-li jej a víc místech. Pak se dají údaje kompletovat (již smazaný článek na soomu o útočníkovi co soom hacknul). Zase jde o sdílené PC, kde nechceš, aby se ostatní ušivatelé dozvěli, pod jakou přezdívkou vystupuješ a pak ještě mohli zjistit, s tým se bavíš a pod.