惊到了!!!!
一直认为Jabber和Gtalk是很安全的~突然看到这样的事实~实在有些郁闷~
不知道iChat在传输时是不是TLS了,不过至少Gmail走SSL是安全的~
不过问题的关键不在于我的Client到Server端~
而在于Server端到对方的Client~
通信线路一半加密,另一半不加密是没有任何意义的~
但是By Design~似乎Google和Gtalk的行为也能解释过去~
但是我觉得~
无论如何!
当Chat数据链中出现非加密部分时,Google应当给予用户以安全警告,通知他对方的链路并不安全,注意不要透露敏感消息。
就像MSN Shell,当对方不支持加密的时候,会用红字提示当前用户,谈话数据并没用通过RSA加密一样~
看样子~以后对于Security还是应该自己把把关,不能太过于信任Service Provider,即使这些SP的信誉很好(比如Google),在某些特殊的时候它依然会义无反顾的Do Evil(比如著名的Yahoo邮箱泄露事件~)
在这个操蛋的国家内~在操蛋的XX领导下~Nothing is impossible~ 作恶无底线!!!
From: Simle Lin
Date: 2010/11/4
Subject: Re: [☭脑瘫党群☭][18817] 你说不能用就不能用? 我偏让你能用
To: NTParty
在 八卦小组 看到一个令人震惊的消息:中文版Google Talk是明文传输聊天内容,我验证了一下,的确是明文,截图如下:
请各位Google Talk用户注意鉴别阉割版,老大哥在注视着你!
记得以前wikipedia说过,Google官方承认Google Talk的end-to-end的聊天是未加密的并不能保证一个终端到另一个终端都是加密的。 具体什么是end-to-end,我猜应该是p2p的libjingle某些情况下是直接未加密传输的吧? 也就是说,如果你用的是英文版的Google Talk,那么Google Talk从你桌面到Google服务器是加密的,但是从Google服务器出去,到你聊天对象那里加密与否,Google不能保证。
其他未加密的情况有:通过http的Gmail测栏聊天;通过IMLogic等代理登录GTalk;你所在的XMPP federation不支持加密。
下面具体说明一下我所知道的 GoogleTalk 各个版本加密与否情况:
中文版 Google Talk(安装文件URL) 1.0.0.105,使用的未加密明文传输XMPP
英文版 Google Talk(安装文件URL) 1.0.0.104 则是TLS加密,一般来说无法破解和嗅探
Google Talk Labs Edition(安装文件URL)1.0.267.233,看了下,使用的也是明文传输,不是通过XMPP协议,而是普通HTTP GET和HTTP POST,通讯网址是http://talkgadget.google.com/talkgadget/msg
Gmail侧栏和iGoogle里嵌入的Google Talk,以及Google Talk Gadget和网站连接方式和网页制作设定有关。一般来说网页是https://开头的就是加密的。普遍国内 Gmail 用户使用https的习惯还是有的吧?
第三方XMPP客户端(例如pidgin)登录GTalk的,选择TLS就算加密。
长期用英文版还没注意到这个严重的问题,直到有人说抓包发现Google Talk是明文。才发现中文版居然是未加密的。汗死!这一点谷歌算作恶了吧?明明知道国内网络环境不太好的,居然还把加密取消了,也不说明一下。
更新
根据抓包的情况来看,有一个方法估计可以屏蔽中文GTalk,Jabber ID(JID)是由 node@domain/resource 这个格式构成的,XMPP客户端可以尝试屏蔽(如果支持的话)以 Talk.v105开头的resource。目前我也没有具体步骤,只是说这个可能实现的原理。
--
Date: 2010/11/4
Subject: Re: [☭脑瘫党群☭][18817] 你说不能用就不能用? 我偏让你能用
To: NTParty
以前一直以为gtalk是加密的,难怪某次说完敏感话题,网络给断了一会儿~
请各位Google Talk用户注意鉴别阉割版,老大哥在注视着你!
记得以前wikipedia说过,Google官方承认Google Talk的end-to-end的聊天是未加密的并不能保证一个终端到另一个终端都是加密的。
[...] that the connection between the Google Talk client and the Google Talk
server is encrypted. This prevents others from seeing your mail
notifications, Friends list, and other personal settings. The
encryption also prevents others from seeing messages between your
desktop and Google's servers. However, encryption is not end-to-end, so
there is no guarantee that the messages are encrypted when sent to
another user. IMs will not be encrypted in these scenarios:
- Sender/recipient is using Gmail's chat features over HTTP
- Sender/recipient is on a federated network that doesn't support
encryption
- Sender/recipient is behind IMLogic or another similar proxy
其他未加密的情况有:通过http的Gmail测栏聊天;通过IMLogic等代理登录GTalk;你所在的XMPP federation不支持加密。
下面具体说明一下我所知道的 GoogleTalk 各个版本加密与否情况:
中文版 Google Talk(安装文件URL) 1.0.0.105,使用的未加密明文传输XMPP
英文版 Google Talk(安装文件URL) 1.0.0.104 则是TLS加密,一般来说无法破解和嗅探
Google Talk Labs Edition(安装文件URL)1.0.267.233,看了下,使用的也是明文传输,不是通过XMPP协议,而是普通HTTP GET和HTTP POST,通讯网址是http://talkgadget.google.com/talkgadget/msg
Gmail侧栏和iGoogle里嵌入的Google Talk,以及Google Talk Gadget和网站连接方式和网页制作设定有关。一般来说网页是https://开头的就是加密的。普遍国内 Gmail 用户使用https的习惯还是有的吧?
第三方XMPP客户端(例如pidgin)登录GTalk的,选择TLS就算加密。
长期用英文版还没注意到这个严重的问题,直到有人说抓包发现Google Talk是明文。才发现中文版居然是未加密的。汗死!这一点谷歌算作恶了吧?明明知道国内网络环境不太好的,居然还把加密取消了,也不说明一下。
更新
根据抓包的情况来看,有一个方法估计可以屏蔽中文GTalk,Jabber ID(JID)是由 node@domain/resource 这个格式构成的,XMPP客户端可以尝试屏蔽(如果支持的话)以 Talk.v105开头的resource。目前我也没有具体步骤,只是说这个可能实现的原理。
--
脑瘫党内部密信
隔墙有耳 勿谈国事 善用代理 小心撞墙
隔墙有耳 勿谈国事 善用代理 小心撞墙
Posted via email from 米良的草窝
没有评论:
发表评论