Безопасность ICQ

госслужбы никогда не сертифицируют ICQ как безопасное средство

... а также тухлое мясо как полезное для здоровья. Но значит ли это, что следует закрыть глаза на массовое нарушение санитарных норм? Госбезопасность не сводится к выдаче сертификатов, как того хотелось бы некоторым либералам, а предполагает ещё и активное противодействие потенциальным угрозам.

нужно в принципе выкинуть канал ICQ, иначе в этой затее нет никакого смысла

Отвезите меня в принцип, там всё как нужно, а здесь хотя-бы синица в руках.

К чему эти сложности

Потому-что подавляющее большинство сидит в аське и менять что-либо не собирается.

количество знаков одного сообщения ICQ ограничено.

7168 символов. Не так уж мало.

Протокол ICQ выреверсен, так что никто не запрещает "пропатчить" официальные клиенты так, чтобы они стали работать не с официальными icq-серверами а с неким русским. Правда, не понятно зачем использовать icq, когда достаточно сделать похожую оболочку а внутрь разместить jabber, к тому же неофициальные сборки icq-серверов существуют, и когда-то использовались. Сам подход QIP Infium – тихо и спокойно всех перевести на jabber, очень логичный, но вот та деятельность какой они стали побочно заниматься, всё портит.

Заклятых пользователей icq нельзя заставить перейти на Jabber, также как нельзя было заставить быть небыдлом. Для них icq – нечто типа святого legacy, равно как и продукция от MS и винда, типа "иначе" – не TRUEЪ. Есть люди, которые в душе – "альтернативщики", котоыре всегда прут поперёк и стараются делать всё по-своему/по-особенному, а есть те, кто наоборот стремится как можно меньше отличаться от средней массы – быть со всеми – это разные типы людей.

Какой IM-сервис Вы считаете более безопасным?

• ICQ
• Jabber
• Я не знаю
• Другой
• <...>
• А может всё-таки Torchat? :-)

Жалко, что торчат вроде больше не разрабатывается.

не понятно зачем использовать icq, когда достаточно сделать похожую оболочку а внутрь разместить jabber

Нужна ясная "карта дороги". Начальный пункт – культ аськи с огромным числом поклонников. По поводу конечной цели и этапов её достижения достаточной ясности пока нет, но главное – осознавать, что с этим надо что-то делать!

стремится как можно меньше отличаться от средней массы

Представление средней массы о том, каковы "все", создаётся отнюдь не всеми, а очень узкой группой профессиональных мифоделателей, и неучастие в этом госбезопасности приводит к катастрофическому снижению безопасности государства, что мы и наблюдатли в 90-х.

...узкой группой профессиональных мифоделателей, и неучастие в этом госбезопасности...

Профессиональные мифоделатели из госбезопасности? Это из какого отдела?

Профессиональные мифоделатели из госбезопасности? Это из какого отдела?

Те же (слово удалено), что орали про птичий грипп, а сейчас (слово удалено) кризисом!!!

Начальный пункт – культ аськи с огромным числом поклонников. По поводу конечной цели и этапов её достижения достаточной ясности пока нет, но главное – осознавать, что с этим надо что-то делать!

Зачем делать эти "революции"? Они никому не нужны. Следует ориентироваться на себя и мнение специалистов. Вместе с прекращением использования ICQ прекращается и флуд с кем-попало, и лишняя бессмысленная трата времени. Если угодно, отсеивание контактов по принципу "есть джаббер или нет" очень отрезвляет окружающую среду общения.

Зачем делать эти "революции"? Они никому не нужны. Следует ориентироваться на себя и мнение специалистов. Вместе с прекращением использования ICQ прекращается и флуд с кем-попало, и лишняя бессмысленная трата времени. Если угодно, отсеивание контактов по принципу "есть джаббер или нет" очень отрезвляет окружающую среду общения.

Вы предлагаете, какой то бред! Не будут мои бабы переходить на Jabber, ну не нравится он им! Да и смайликов приличных нет! А окрамя баб у меня в листе ICQ никого нет.
А с делами можно и по «защищенной» почте разобраться!
Хотя некоторых уродов даже GPG не заставишь юзать:(

Не будут мои бабы переходить на Jabber, ну не нравится он им!

Ну я примерно это же и сказал: отсекши их, можно оздоровить среду общения :) Учитесь знакомиться и общаться с ними в реале – это всесторонне продуктивней и здоровее, да ещё и свежим воздухом заодно подышите :) А общаться мылом с PGP нет особого смысла. Если у человека есть джаббер – то всё раз настраивается и потом работает автоматом с PGP и прозрачно, да и удобнее чем мылом. Мыло – это уж совсем для официоза.

Гость, (сообщение 28/04/2009 13:29), постарайтесь больше не писать сообщений с применением нецензурной лексики. Замена одной буквы не допустимого слова каким-либо символом не меняет смысла и произношения написанного сообщения, а потому так же является нарушением правил форума.

Нашел в инетрнет информацию о том, что в настоящее время при использовании ICQ появилась возможность практиковать улучшенный способ авторизации, позволяющий повысить безопасность данного процесса. Правда как я понял этот способ распространяется именно на процесс авторизации, но не на содержимое самих сообщений. Называют этот способ md5-логин. Вот что немногое удалось найти в интернет, однако насколько верно это описал автор данных строк мне не известно:

Вместо пароля серверу отправляется криптографический хэш (MD5) пароля из случайной строки, присылаемой сервером. При использовании MD5-логина перехват пароля невозможен, поскольку вместо пароля передаётся хэш, включающий в себя случайную строку, которая каждый раз меняется. В целом, вычислить пароль по одному или нескольким перехваченным хэшам достаточно сложно.

В данном случае описано, что сервер присылает случайную строку, однако ничего не сказано о защищенности пересылки этой строки. На основании этого у меня возникли следующие мысли:
Данный способ способен защитить только от наиболее элементарных атак прослушивания пароля, а так же повышает сложность взлома учетной записи конкретного пользователя брутфорсом по словарю при атаках самого сервера, поскольку при авторизации происходит вычисление хеш-функции, на что тратиться определенное время. Против более подготовленного пользователя, способного прослушать секретную строку, пересылаемую клиенту сервером, данная защита не практична.
Хотелось бы узнать, насколько практичен такой способ защиты и прав ли я в своих рассуждениях?

Вместо пароля серверу отправляется криптографический хэш (MD5) пароля из случайной строки, присылаемой сервером.

Похоже на CHAP.

повышает сложность взлома учетной записи конкретного пользователя брутфорсом по словарю при атаках самого сервера, поскольку при авторизации происходит вычисление хеш-функции, на что тратиться определенное время.

Думаю, на практике не повышает. Сколько тратится на хеш-функцию — миллисекунды, микросекунды. Для человека приемлема гораздо большая задержка в секунды. Её можно встроить в сам сервер.

Вий,

это же просто хеширование с солью, знание соли ничего не даст атакующему. В CHAP, насколько я помню, та же идея используется.

Да, действительно. Хеш ведь должен дать случайный вывод.