jabber сервер в скрытых ресурсах
Как использовать?
Миранда не хочет регистрировать акк, видимо не понимает .onion.
В настройках только локальный сокс5 в тор сеть и использование днс через сокс.
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
DNS-резолвинг должен делегировать socks-проксе, а не делаться программой самой (хотя при прозрачной торификации оба варианта заработают).
Итак, небольшой ресёрч на тему. По современным представлениям, конечно, лучше коннектиться к скрытым ресурсам и не светить инфу на экситах. Потом, всех на один сервер не перетянешь, поэтому хорошо бы иметь связь с другими jabber-серверами. Получается, что сравнительно оптимальное решение — это когда один и тот же сервер доступен и как скрытый ресурс и по обычному доменному имени, что позволяет ходить сообщениям между серверами так же, как будто никакого Tor'а и не было. Судя по всему, многие сейчас именно так свои jabber-сервера и настраивают. Точно так же дела обстоят с мылом, когда требуется поддержка пересылки сообщений на другие серверы.
С технической точки зрения в jabber-клиентах «HOST» и «PORT» указываются скрытого ресурса, а в качестве «сервера» — обычное доменное имя в сети. JID тоже будет на этом доменном имени, а не на onion-адресе. Указание onion-адреса при регистрации обычно не работает (точнее, работает, но только если у этого onion-адрреса нет связи с другими обычными jabber-серверами в интернете, и к этому onion-адресу привязано всё, т.е., обычного доменного имени попросту нет).
Оф. сайт на HS
Оф. twitter
Книга по крипто от сообщества
Вторая оф. страница
Оф. twitter
См. пометку5
gabbler.eu
gabbler.info
gabbler.net
gabbler.org
gabbler7m74gkjci.onion
talk36.net
Оф. сайт
Ещё эти ребята хотели запустить onion-адрес для своего jabber-сервера, но так и не запустили.
Список, скорей всего, померших серверов (хосты не отвечают):9
На тему поддержки связи между разными jabber-серверами, поднятыми как HS'ы, было такое сообщение и предложение с mod_onions:
Подводя итоги: первый поверхностный взгляд на ситуацию говорит о том, что на данный момент имеется 4 полноценных нормальных jabber-сервера с onion-доступом и ещё один неполноценный, но рабочий (без поддержки общения с другими серверами, т.е. аналог почтового TorBox). Если считать публичные работающие, но ограниченные по возможностям, то можно добавить ещё три сервиса: у одного заявлена, но не работает пересылка сообщений вовне, а у других двух пересылка не работает без OTR. Итого, всё вместе если, то имеется 8 сервисов хоть как-то работающих и при этом имеющих открытую регистрацию. Больше с гугла вытянуть не удалось. Впрочем, весь интернет всё равно не прошерстить.
Кто знает иные работающие jabber-серверы доступные как HS, дополняйте.
1Кажется, нешифрованные сообщения доставляются в одну сторону — с этого сервера на посторонние, а ответы посторонних режутся с автоматической посылкой им сообщения Похоже, есть какой-то стандартный софт для таких настроек, и его по желанию используют некоторые jabber-сервера.
2С оф. сайта:3Текст ошибки:4Явный запрет регистрации при попытке:5Пояcнение где-то в сети Короче, это секта.
6Авторизация на другие XMPP-серверы (или наоборот с них?) приходит, а сообщения нет, при этом пишется ошибка «policy violation, self-signed certificate». Т.е. коммуникация с другими серверами или вообще не работает или глючит. Также непонятно, в каком статусе доменное имя haste.ch, и существует ли сайт (происходит редирект на https, но ничего не открывается).
7Текст ошибки:8Текст ошибки:9Оnion-адреса, появившиеся давно, просто обязаны были уйти в небытие, т.к. из-за heartbleed-уязвимости все onion-ключи настоятельно рекомендовалось перегенерить.
На сайте пишется, что jabber сидит на домене xmpp.rows.io, но мне удалось зарегистрироваться на домене rows.io (как и написано в таблице).
Очень хочется найти того, кто её изобрёл и заставить его сыграть
в русскую рулетку: прикрепляем аффтара к машине, которая запрашивает у его сервиса капчу и выдаёт её на экран. Если аффтар отгадывает, то ему выдаётся следующая капча, если не отгадывает, то тут же получает пулю в висок. Нужно, чтобы аффтар 10 раз подряд разгадал собственную капчу. Ставлю на 100 к одному, что в живых он бы не остался, зато другим был бы урок: и тем, кто изобретает такое, и тем, кто ставит это на свои сайты. Для более точной имитации рекапчи надо также предусмотреть вероятностный механизм — это когда капча считается неразгаданной, даже если всё введено правильно (наверно, из-за глюков в софте так некоторым проще отключать доступ к сервису: вместо того, чтобы перестать выдавать капчу и выводить сообщение о блокировании, сервис просто всегда отвечает, что капча неправильная, и пусть люди мучаются, её разгадывая по 10 раз, пока не поймут, что дело гиблое).комментариев: 1079 документов: 58 редакций: 59
Так разве reCaptcha – это не проект Гугла, которому скармливают неотсканированные куски оцифруемой литературы? Ну сейчас там номера домов идут с Google Maps панарам. Понятное дело, что это все Большой Брат, но Гугл тебе так просто не убить, и человека этого там найти сложно будет))
Мне нравится здешняя каптча, картинки вменяемые и ввод слова, такую и боты не пробьют и раздражения не вызывает.
Гость, по поводу XMPP – объясни пожалуйста, ну т.е. SATtva расщедрился и решил раздать всем аккаунты @pgpru.com, у pgpru.com есть зеркало хххххх.onion, я себе сделал ressa@pgpru.com, у меня автоматом сделался алиас ressa@xxxx.onion, и я тебе даю адрес ressa@pgpru.com, ты мне пишешь, а фактически мы ведем переписку между .onion алиасами? Я вот этой логики не понял. Ну т.е. к примеру, я, поднимая SMTP сервер на сервере с IP 127.0.0.1, прежде, чем зарегистрирую и привяжу к нему домен – в принципе у меня уже есть аккаунты @127.0.0.1 и они между собой могут "общаться", получается тоже самое, только со скрытым сервисом?
Блин, снова криво мысль сформулировал.. Если непоймешь – скажи, попробую перефразировать.
Да ладно?
Пока что это несбыточная фантастика.
Мечтать не вредно — вредно не мечтать. :-) Зря ты этот адрес открытым текстом написал — сейчас гугл его закеширует, а когда ящик появится, туда спам будет сыпаться. pgpru — не гугл, мощного антиспама там нет.
JID — это просто логин. Теоретически он мог бы быть любым. И при этом он мог бы быть не связан с реально существующим доменным именем (опять же теоретически).
Если был бы XMPP на @pgpru.com и onion-доступ к нему, трафик на внешние сервера шёл бы так: Клиент → Tor → pgpru-сервер → инет → другой XMPP-сервер → клиент. Если второй XMPP-сервер тоже имеет onion-доступ, то промежуток «XMPP-сервер → клиент» идёт через Tor, не выходя в инет. Т.е. через инет идёт только трафик между серверами.
Наконец, если оба JID'а на одном XMPP-сервере, то трафик вообще не покидает Tor-сеть: Клиент-1 → Tor → XMPP-сервер → Tor → Клиент-2. Ну, и ещё более навороченный случай, который сейчас, судя по ссылкам, пытаются развивать (из коробки он не взлетит, потому что XMPP — жуткое legacy) — это когда межсерверная коммуникация между двумя XMPP-серверами, у которых есть onion-адреса, тоже идёт через Tor. Казалось бы, это простая задача, но это не так. Тут надо или софт jabber-сервера патчить или какие-то специальные модули устанавливать, или onioncat'ом тунель между серверами пробрасывать, причём эти спецнастройки должны быть на обоих серверах.
Честно говоря, я не знаю, как обстоят дела с межсерверной коммуникацией через Tor. В почте худо-бедно это как-то кто-то сделал — некоторые mail-сервера явно заявляют о такой поддержке и пишут список серверов, с которыми такая связь поддерживается (трафик с client1@xxx.onion на client2@xxx.onion не покидает Tor). А вот какие реальные XMPP-сервера поддерживают аналогичную связь между собой — я не в курсе, вроде никто явно такое у себя не заявлял, хотя соответствующий софт разрабатывали.
Я этот пассаж вообще не понял. XMPP-клиенты, как правило, ничего не знают про IP, и им не требуется это знать. Если им DNS на проксе отрезолвит какое-ниудь «абракадабра.nosuchdomain», они тоже будут счастливы (точнее, это будет не DNS-резволингом, а просто нахождением «пути» к серверу по его «имени»). Для особо требовательного софта, которому всё же надо получить IP под домен, есть опции.
Что касается сервера, я лучше не буду комментировать, т.к. плохо знаю эти моменты. Ну, вроде как да, сервер привязывается к 127.0.0.1:PORT, трафик туда перенаправляет Tor + сервер проинструктиурют думать, что это соответствует «DNS» на onion (хотя это не DNS). Трафик сервера вовне, если там связь тоже через Tor, идёт так же, как у клиентов (серверу достаточно знать, что резолвит имена SOCKS-прокси; он передаёт всю работу по разрешению имён и нахождению адреса Tor'у). Правда, почтовый протокол стар, и там много где прописываются IP (X-Forwarded-For, Originating IP и т.д.) — не знаю, как это работает в HS-реалиях. Возможно, везде будет проставлено 127.0.0.1.
Первый раз о таком слышу. Там в основном неразгадываемые rnmrrilITrnrrmiilun, которые сливаются друг с другом, и отличить, например, rn от m невозможно. Цифр там вообще не припомню.
комментариев: 1079 документов: 58 редакций: 59
Ну это
намекк примеру)Если и будут когда-то адреса на pgpru – использовать буду только для общения среди местных завсегдатаев. Хотя мне кажется, что ни к чему это. Начнут какие-то неадекваты о чем-то переписываться и все, не быть Владу лучшим регулировщиком Томска. А если без шуток – и так почтовых сервисов полно, я то вопрос задал к тому, что если свой на своем домене поднимать, а то у меня только почта своя, я бы туда xmpp прикрутил не проблема, но вот то, о чем ты сейчас подробно расписал – не знал, спасибо. Мне вообще интересно создание зеркал имеющихся коммуникаций в Tor и i2p. Ну т.е. к примеру блог, почту и тд.
Cпасибо большое, это я и хотел узнать.
Это аналогия из единственного имеющегося опыта – настройки почты на своем сервере с доменом. Я подразумевал, что если на сервере делаешь прозрачную торификацию и принудительно весь трафик гонишь через Tor, при этом все сообщения отправиленные с\в ressa@pgpru.com и ressa@xxxx.onion – будут идти через Tor и доставляться в мой xmpp-клиент равнозначно, хотя в нем будет один профиль ressa@pgpru.com. Как-то так. Но теперь все понял, спасибо.
Google reCaptcha а вот про книги – не могу найти, но 100% читал еще давно где-то. Ну что еще Гугл рекаптчу поэтому и купил лет пять назад потому, что еще ранее он своему "ИИ" скармливать начал всю имеющуюся в электронном виде литературу, чтобы тот "учился", но т.к. отсканировать со 100% вероятностью не получится – они порезали не отсканируемые участки на слова и стали впихивать в reCaptcha по схеме отсканированное_слово:неотсканируемое и наоборот, где собственно не важна правильность введения неотсканированного слова – с этим я сам грешил, то, что криво отображалось вовсе не вводил – прокатывало. А сейчас сам натыкаюсь часто на четырехзначные таблички с номером домов, и видно, что фото с дороги, видимо гугломашина или гугловелосипед фоткал.
Боюсь открыть вам Америку, но они есть и обычно висят на PGP-ключах участников проекта.
Если на примере почты: Прозрачная торификация не делает чудес — это просто заворачивание всего в Tor. Это анонимность для клиентов, и позволяет их спрятать. Однако, напрямую это никак не спрячет сервер.
Тем не менее, можно извратиться: поднять через Tor тунель от сервера, где хранится и обрабатывается почта, до публичной «входной ноды», которая будет доступна не через Tor, которая будет иметь домен pgpru.com и т.д. Некоторые mail-сервера с адресами в onion так и делают (на их страницах об этом заявлено). Однако, это не простая схема и, в целом, глючная. В её случае всю почту извне получает самый обычный публичный сервер, а потом перенаправляет полученное на собственно HS, где хостится вся БД mail-сервера (это физически другой сервер в сети). Можно, конечно, предположить, что этот mail-сервер на HS принимает ещё почту и просто как HS, поэтому будет реализована именно ваша ситуация: часть почты текёт через тунель, а другая часть через HS напрямую. Я не знаток тонкостей настройки таких извратов, поэтому подсказать, как оно там будет технически разруливаться, не могу.
Интересно, первый раз о таком слышу. Я замечал 2 типа капч: на одних есть только одно неразборчивое слово, а на других два: неразборчивое и элементарно читаемое. Во втором случае не вводить неразборчивое даже не пробовал, но если в неразборчивом делал хотя бы одну ошибку, это уже не прокатывало.
Смысл в том, что входная нода в случае наезда быстро меняется на другую (как и домен), а вся БД клиентов и их почта остаётся, т.к. хранится на HS где-то в другом месте. На примере заявлений админа mail2tor.com:
После Ладара Левисона с lavabit.com в закон уже никто не играет. :-)
История с первоначальным tormail и шатдауном FH (вплоть до слухов, что это было основной причиной нападения на FH) идёт в ту же копилку.
комментариев: 9796 документов: 488 редакций: 5664
Одно отсканированное, другое — сгенерированное. Там ещё возможны штуки с динамически присваиваемыми рейтингами и какими-нибудь расстояниями Хэмминга, Левенштейна и пр. для не вполне точных ответов.
комментариев: 1079 документов: 58 редакций: 59
И таки открыл!) Я же дремуч, захожу лишь статьи почитать. К моему стыду – недавно удивленно спросил, где у SATva есть блог, на что один из гостей язвительно отправил меня на главную – и о чудо, банер висит, но я его упорно не видел раньше)) Так что спасибо, буду знать)
Интересная мысль, спасибо.
Ну вот да – разборчивое – то, что отсканировано, а не разборчивое то, что не отсканировано. Как будет время – я обязательно найду источник, где я читал об этом проекте Гугла.
UPD: правильно unknown меня поправил, второе – сгенерированное, а первое то, что не получилось отсканировать.
Здесь даже было обсуждение, где человек хотел что-то такое сделать, и ему советы выдавали. Максимум 4 года назад это было, но тот топик нагуглить даже я не в состоянии. :-(
комментариев: 9796 документов: 488 редакций: 5664
ReCAPTCHA, по-русски.