id: Гость   вход   регистрация
текущее время 22:58 11/12/2019
создать
просмотр
ссылки

Skype, негативный опыт



 
Комментарии
— ParanoidAnt (07/04/2008 13:35)   профиль/связь   <#>
комментариев: 56   документов: 12   редакций: 2
Хочу поделиться негативным опытом использования skype. Подчеркну что все описанные случаю относятся только с реализации передачи текстовых сообщений и могут не иметь места в случае голосового трафика или передачи видео.

Последние 4 месяца, я был активным пользователем skype, окошко видео конференции висит у меня на одном из виртуальных рабочих столов постоянно в течение всего рабочего дня. Я хочу рассказать о 2-х инцидетах один из которых произошел со мной, а второй я наблюдал собственными глазами. Случаи на мой взгляд иллюстрируют что в skype в реализации передачи сообщений есть серьезные проблемы с безопасностью.

Придя однажды на работу и включив skype, я получил запрос на открытие чата, причем была видна стория всей вчерашней переписки. Замечу и я и мой собеседник использовали разные клиенты skype в этот день и на кануне, на разных компьютерах и более того на разных OS (на работе — linux, дома — windows). Интересно, где в течении минимум 8 часов хранилась история нашего разговора и как она была защищена в это время.

Второй случай произошел не со мной, но я был его непосредственным свидетелем. Обычно skype не позволяет регистрироваться с использованием одной учетной записи с разных компьютеров, но в результате какого то сбоя было запущено 2 клиента с одной учетной записью и снова на разных OS. В результате с обоих клиентов был доступ в текстовый чат, оба клиента получали сообщения и могли писать туда, абонент на другой стороне чата получал сообщения от всех.

В первым случае еще есть сомнения, возможно что тоже имел место запуск 2-х клиентов с одной учетной записью и тогда я мог получить историю чата с клиента с которым соединялся на кануне. Второй же инцидент явно показывает что параметры шифрование сессии в текстовом чате привязаны учетной записи, их можно воспроизвести на другом компьютере и значит теоретически перехватить.

Оригинал: У меня в блоге
— ntldr (07/04/2008 14:06)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Сверхпроприетарный софт не может быть безопасным по определению. Мое имхо: фтопку скайп.
— Завершатель (07/04/2008 14:24)   <#>
ParanoidAnt:
Интересно, где в течении минимум 8 часов хранилась история нашего разговора и как она была защищена в это время.

Skype по умолчанию сохраняет историю сообщений на жестоком диске, как в Linux так и Windows. если вы не хотите чтобы этого происходило, следует убрать чекбокс Настройки -> Приватность
-> Хранить историю чата... Выбрать значение – "Никогда". Это в Linux в Windows похоже, но чуть отличается по моему.

ParanoidAnt:
В результате с обоих клиентов был доступ в текстовый чат, оба клиента получали сообщения и могли писать туда, абонент на другой стороне чата получал сообщения от всех.

Это тоже не баг. Просто Skype поддеживает т.н. мультилогин. Если не ошибаюсь по web интерфейсу вводя в свою учетную запись эту фишку тоже иожно отключить.
— ParanoidAnt (07/04/2008 16:02)   профиль/связь   <#>
комментариев: 56   документов: 12   редакций: 2
Skype по умолчанию сохраняет историю сообщений на жестоком диске, как в Linux так и Windows. если вы не хотите чтобы этого происходило, следует убрать чекбокс Настройки -> Приватность
-> Хранить историю чата... Выбрать значение – "Никогда". Это в Linux в Windows похоже, но чуть отличается по моему.

еще раз, для тех кто читал не внимательно. 2 человека переписывались по skypе, через 8 часав они опять "встретились" в skype но с других компютеров, других IP и других OS.
Cуществует вероятность, что в этот момент был запущен один из клиентов которые были использованы на кануне, но она очень не большая (ноутбук был выключен). Я упомянул об этом только чтобы подчеркнуть что 100% не уверен в природе этого инцидента.

Это тоже не баг. Просто Skype поддеживает т.н. мультилогин. Если не ошибаюсь по web интерфейсу вводя в свою учетную запись эту фишку тоже иожно отключить.

Разработчики утверждают что активен будет только первый залогинившийся, но тем не менее это не снимает вопроса о заявленном криптовании IM трафика. (в веб интерфейсе этих настроек нет, в клиенте так же не нашел).
— Erelen (07/04/2008 17:01, исправлен 07/04/2008 17:03)   профиль/связь   <#>
комментариев: 7   документов: 3   редакций: 0
Несколько простых тестов (сейчас их честно проделал) показывают, что два клиента, начиная skype-диалог (чат), обмениваются теми клочками истории их общения, которые есть у каждого. То есть история хранится, по всей видимости, только у самих клиентов.
Напишите условия контролируемого, воспроизводимого эксперимента, показывающего обратное – и будет о чём говорить. Утверждения "а вот я один раз видел" – это несерьёзно.

Далее. Где это разработчики утверждают, что активен будет только первый? Ссылку на первоисточник, пожалуйста. В skype, сколько помню, прекрасно работал со множественными входами (при этом и входящие звонки и чат-сообщения поступают на _все_ мои инкарнации).
— ParanoidAnt (07/04/2008 17:27)   профиль/связь   <#>
комментариев: 56   документов: 12   редакций: 2
уж bug это или feature решать вам, но

he only problem, you loose indeed complete privacity concerning chatting messages, because anybody logged on on the same account will see the chat message of the responder arriving on its chat window!

http://forum.skype.com/index.php?showtopic=34483
— Erelen (07/04/2008 17:34)   профиль/связь   <#>
комментариев: 7   документов: 3   редакций: 0
Знаешь, а для почты это тоже верно: если ты всем раздашь пароль от своего gmail`овского эккаунта, то твою почту смогут читать все. И этот баг фатален. И Скайп тут не одинок.
Но и какой-то сенсационной уязвимости skype я тут как-то не усматриваю.
— ParanoidAnt (07/04/2008 18:24)   профиль/связь   <#>
комментариев: 56   документов: 12   редакций: 2
а кто ищет сенсаций? Информация скорее к сведению.
а почта тоже декларирует защищенность и не прослушиваемость своего трафика
— SATtva (08/04/2008 11:49)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
ParanoidAnt, приветствую! Давно Вас здесь не видел.

В результате с обоих клиентов был доступ в текстовый чат, оба клиента получали сообщения и могли писать туда, абонент на другой стороне чата получал сообщения от всех.

Конференц-связь. :-)
— specz (09/04/2008 00:04)   <#>
есть такая ситуация, иммем пароль к скипи некого чела, нам надо версию скипи не больше 2, сидим в инвизе под его логином, когда он коннектится, то нас не видят другие собеседники, зато мы видим что происходит и что нам пишут, причём мы можем тоже отвечать, заставляя нашего собеседника думать что пишет тот же чел. Вообще эту фуньку любят юзать челы, которые не совсем доверяют своим самкам, и следят вот так вот тихо =(
кароче фтопку его скиппи.
— Завершетель (09/04/2008 10:44)   <#>
specz:
есть такая ситуация, иммем пароль к скипи некого чела, нам надо версию скипи не больше 2, сидим в инвизе под его логином, когда он коннектится, то нас не видят другие собеседники, зато мы видим что происходит и что нам пишут, причём мы можем тоже отвечать, заставляя нашего собеседника думать что пишет тот же чел. Вообще эту фуньку любят юзать челы, которые не совсем доверяют своим самкам, и следят вот так вот тихо =(
кароче фтопку его скиппи.

Г-н specz, Вам не плохо бы научиться изясняться по лучше, и русский язык тоже не помешает.
— SATtva (09/04/2008 14:13)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
[admin]
Завершетель, предупреждаю: оверквотинг — зло!
[/admin]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3