войти зарегистрироваться

Информационная безопасность whois

индекс
212,69

QIP Infium — Карл у Клары…

На Хабре так и не смог найти соответствующей темы, известной довольно давно.
Кусочек скрина из QIP Infium -> Настройки -> Общие
image
Обе галки стоят по-умолчанию.

Самое интересное, что возможность изменить эту настройку появляется только после первого входа в QIP Infium и принудительной регистрации учетной записи @qip.ru (jabber). То есть, при первом входе пароли отсылаются, а потом вы уже можете, если вспомните, снять эти галки.

Делайте выводы сами.

Обсуждение на ixbt.com
+84
27 января 2009, 01:44
FilimoniC

комментарии (223)

  • Я хоть и не использую QIP Infium, но настройка странная, зачем хранить пароли на сервере? Логи лучше на сервере хранить.
    • нужно это для того если у вас куча настроенных протоколов, вы приходите куда либо, запускаете кип со свой учетки, и все настроенные учтные записи запускаются.
      • Думаете, преследовалась цель Единой Учетной Записи Всея Интернет?
        Чтож, возможно.
        А если у меня корпоративный джаббер с авторизацией в LDAP? Я бы расстроился, узнав что пароли из LDAP ушли налево. Мне приятно осознавать что у нас к авторизации в LDAP ничего кроме Jabber-а внутрикорпоративного не было прикручено.
        • Батенька, изучите доменную авторизацию. Там пароли никогда никуда не уходят, уходят токены.
          • Ну, человек правильную мысль говорит. В данном случае пароль ты вводишь в приложение. Qip в нашем случае. И что приложение захочет — то и сделает. Захочет — пошлет их на свой сервер. Вон и галочка стоит. От доменной авторизации это мало зависит.
            • P.S. Я не думаю, конечно, что все в открытом виде отсылается, но разбираться что да как — лень.

              P.P.S (Не совсем по теме, но...) А еще контакт-листы хранятся на сервере ICQ. Для тех, кто не знал.
              • Лучше б там история хранилась…
                • Да вроде хранится, но только для их пользования а не для нашего ) статья даже была что это нарушает закон о тайной переписке
                  • Если мне не изменяет память, то в пользовательском соглашении, с которым юзер соглашается при регистрации UIN, ясно сказано, что права на всю информация, передающуяся через сервера компании АОЛ, добровольно и безвозмездно передаются той самой компании АОЛ. Следовательно, разглашение и иное использование этой информации не является нарушением тайны переписки, ибо пользователь сам же предоставил компании АОЛ право использовать информацию как ей заблагорассудится. Правда, не многие пользователи об этом догадываются… =\
                    • вот-вот ) мне то конечно не жалко, но у других может быть иначе. Видимо многие компании пользуются тем что никто не читает пользовательское соглашение ) лень погубит человечество!
          • Это если он использует GSSAPI в приложении, которая в свою очередь использует Kerberos для прозрачной авторизации. Вот тогда приложение вызывает GSSAPI и просит обмен токенами, хотя приложение ничего даже о них не будет знать.
            • Вот, так вот и надо бы.
              • Сомневаюсь что это будет в ближайшей версии QIP им бы с интерфейсом разобраться хорошо бы было. Не скажу что он перегружен, но заметно давит на глаз от обилия кнопочек и впринципе общим стилем аля Windows 95/98.
      • Кстати, именно так работает Digsby. Ты создаёшь один аккаунт, запихиваешь туда все пять учёток, и он запоминает все пароли. Удобно. И чёта не сыкотно там ничего хранить.
    • раскрыть комментарий
      • раскрыть комментарий
        • раскрыть комментарий
          • Люди скорее всего подхватили дрянь с сайта, и от их имени рассылались сообщения с просьбой отправить смс на такой-то номер, эта зараза бушевала в инете некоторое время назад.
            Если бы киповцам надо было угнать ваши драгоценные пароли для корыстных целей, то я сомневаюсь что вы узнали бы об этом.
    • Поддерживаю что лог надо на сервере хранть, это раз. А два в том что мало того что не спрашивает о том где хранить пассы так нигде эта опция или фишка не упомянута в ченджлоге… Как передаётся пароль? В зашифрованом виде или как любой фтп? Хранится ли у них эти пароли в мд5 или как всегда в текстовом файле? Тут возникает много вопросов, а самый главный ЗАЧЕМ?
      • Если у них будут пароли храниться в md5 то какой в них смысл? :)

        Было бы логично передавать пароль зашифрованным по RSA (в клиентах — публичные ключи, на сервере — приватный). Но что-то сомнительно что так происходит…
  • Пользуюсь Infium с начала тестирования. Никакого спама от меня не было никогда. Хранение паролей и т.д. очень удобно( сохраняются метаконтакты, пару fctr/jabber и другие протоколы, не надо вспоминать кучу паролей). И правильно делают, что на jabber подсаживают. Пора гнать к чёрту ICQ.
    • Возможно, вы правы.
      Но я считаю, что о таких вещах как отправка паролей
      а) Должны предупредить ДО первого запуска (раз уж настройка не изменяется до него)
      б) В целях этикета, эти галки должны быть сняты (ну хотя бы вторая)
  • Кстати про кип и спам — как-то летом я скачал новый дистрибутив infium и он предложил мне зарегистрироваться на их сайте для того, чтобы у меня была учетная запись вида «что-то там»@qip.ru. В общем зарегистрировался я.

    Ася у меня с 2003 года, за это время спам ко мне не приходил ни разу. После этой регистрации он появился — стабильно приходит раз в два дня. Может совпадение?
    • А я почему-то когда через QIP подключаюсь, то мне чуть ли не каждые пять минут спам приходит, только и успевает окошко в углу всплывать. А когда через транспорты к аське подключаюсь, то спам очень редко приходит. Поэтому мне квип не нравится. Давно уже к аське через транспорты поключаюсь.
      • Антиспам-бота не пробовали настроить и галочку поставить чтобы не принимать сообщения от контактов не в списке?
        • Пробовал. Но не убрал галку о приеме оповещений, поэтому они постоянно вылазили.
      • А вы настройки проверьте:

        Настройки->Учетные записи->ICQ->Настроить->Приватность

        — убрать галочку «Показывать мой онлайн статус...»
        — поставить «Высокий» уровень приватности
        • Спасибо. Попробую может в будущем. Сейчас мне и транспортов хватает.
    • Та же фигня, с 2004 не было спама, этой осенью после перехода на инфиум появились приглашения на какие то сайты и т.д.
    • странно никогда не связывал появление спама и qip пока не увидел этот коммент, всю жизнь сидел на miranda, однажны пришлось пересесть на qip (теперь опять на миранде) — спам начал сыпаться :(
    • это не совсем так, спам был, спам есть и спам будет, я могу предположить что у Вас была миранда до инфинума, дело в том что в qip поумолчанию спам фильтр отключен, другие же клиенты поумолчанию его включают и поэтому рекламы меньше, включите спам фильтр (в настройках есть, но поменяйте вопрос поумолчанию) и рекламы будет меньше в десятки раз
      • так в миранде спам ффильтр опят же включен, а спам продолжает приходить ;)
        причем, у меня 2 учетки в ICQ и обе подключены в одной миранде, одной учеткой пользовался в QIP и именно на него приходит спам ;)
      • Нет, у меня сначала кип был, потом инфиум, который release candidate. Спам пошел когда пересел на первый официальный билд инфиума и зарегился на их сайте.
    • также почти — недавно поставил инфиум и псыпались сообщения о заблокированном спаме. раньше спама не было и антиспам не юзал.
    • Я никогда не сидел на кипе (миранда потом пиджин), у меня спам начал сыпатся наверное где-то в 2007 году.
  • Ситуация с воровством паролей мне совсем не нравится. Сам я им не пользуюсь, но как-то давно пробовал и, соответственно, вынужденно регистрировался.
    Возможно, какое-то отношение к привязке к их серверам имеет флаг /isolated
  • Кстати, в ветке активно упор делается на то, что многие программы сохраняют пароли и другие данные локально или иногда удаленно. Но приличные программы об этом ВСЕГДА спрашивают. Сохранить пароль?
  • раскрыть комментарий
    • пусть пароли хранятся локально в папке с квипом…
      сколько раз систему переустанавливал ни миранда ни квип не просили меня вводить пароль… а в инфиуме вот прям не жить не быть тебе хотят помочь.

      Здоровых людей нет! есть недообследованные =)
    • Хранить пароли нужно в спецпрограмме, которая для этого предназначена ИМХО
      • Хранить пароли нужно в голове. Да все 127 штук с 12тью возможных изменений для каждого. А лучше вообще их не хранить нигде. — Безопаснее ^.^
        • Есть много паролей, которые заданы третьеми людьми. Их так не запомнишь.
      • KeePass?!
    • Покажи мне где в Квипе скайп, и я перейду на Квип 8-)
      • В миранде есть, но она опять же требует запущенного скайп в фоне, просто все сообщения будут через неё транслироваться.
  • НЛО прилетело и опубликовало эту надпись здесь.
    • НЛО прилетело и опубликовало эту надпись здесь.
      • Дело не в паранойе, а в этикете. Я совсем не прочь хранить на сервере кипа хоть код ДНК, но, блин, спросите меня перед тем как его туда сливать
        • НЛО прилетело и опубликовало эту надпись здесь.
          • Новые функции _принято_ включать сразу же, иначе их просто не заметит никто.
            Где и кем принято?
            Скорее принято информировать о новом функционале и давать возможность его использовать, а не тупо сразу всё выполнять.
            Кроме того я не давал им согласия на сохранение пароля от сервиса не принадлежащего qip.ru.
            И в данном случае я бы на месте AOL подал в суд на qip.ru за такие действия.
            • Кстати, вполне вероятно, что ЕСЛИ это не указано в лиц соглашении (Каюсь, я его не читал, извините.), то это может попасть и под статью российского законодательства.
              • Правда? И под какую же статью?
            • НЛО прилетело и опубликовало эту надпись здесь.
              • но при этом офис 2007 спрашивает вас… сохранить ли ВАШИ ЛИЧНЫЕ ДАННЫЕ (ваш документ) в новом формате? или оставить в старом… и т.п., а интерфейс никак не затрагивает ваши личные данные.

                qip.ru же бесцеремонно поимел пароль от моей аськи. Это мало того что скорее всего не законно, но и просто не этично с точки зрения софтописателей.
                Даже если в списке нововведений об этом написано, сомневаюсь, что указано о принудительной передаче паролей при первом запуске.
              • Сравнили новый интерфейс со сливом паролей на сервер.
                • НЛО прилетело и опубликовало эту надпись здесь.
                • Речь о введении нововведений (простите за каламбур). И там и там новые фишки включаются вне зависимости от мнения пользователя
                  • Простите, я и говорю, насколько хранение паролей на сервере может быть отнесено к разряду «фишек»? Новый интерфейс — фишка, хранение моих паролей на сервере — утечка в системе безопасности! Или короче говоря: это баг, а не фича! (:
          • Добро пожаловать в мир. По умолчанию, включена опция «смерть», к сожалению, вы не можете изменять опции в процессе пользования программой «жизнь». Спасибо, что выбрали наше ПО. God
          • Ей Богу вы странный какой-то. Не хочется переходить на личности. Ну а если я прочитал список изменений и меня не устраивает то, что там написано, так теперь отказываться от дальнейшей ветки продуктов QIP? По хорошему — да. И по хорошему, очень многие пользователи, полагаю, не пошли бы на этот шаг сознательно.

            Уже 1000 раз писали, что корректное поведение разработчика — это спросить во время установки новой версии — нужно ли сохранять пароли? И в зависимости от ответа ставить соответствующую галочку в настройках. Отсутствие такого вопроса при установке говорит о непорядочности разработчика. Вы делаете вид что не понимаете о чем речь. Что, серьезно не понимаете?

            Если Вы лично считаете, что создатель QIP очень хорошо поступил, что никого не спрашивая во время установки программы по-умолчанию ставит какие-то настройки, завязанные на безопасности и privacy, это Ваше право. Но всё равно странно, почему Вы защищаете таких людей? Почему не признаете, что такое поведение не порядочное, а в определенных ситуациях даже рассматривается как сознательное преступление, хоть и завуалированное.
            • НЛО прилетело и опубликовало эту надпись здесь.
    • Параноики нужны, вот например от одного RMS сколько пользы, хотя дядечка законченый параноик.
      • НЛО прилетело и опубликовало эту надпись здесь.
  • Господа из квипа ведут нечестную игру, прут парои от аси, при инсталляции заставляют создавать ненужные аккаунды в своей сетке (дают рекламу типа «все твои уже у нас в сетке, а ты еще в асе?»), передача данных (файлы) происходит через их сервак. В общем пользуются неосведомленностью общей массы пользователей и принудительно переводят на свои сервисы.
    • Так не пользуйтесь квипом, неужели это так сложно?
      • Если меня драгдилер посадил на качественный кокс, а потом стал бодяжить стиральным порошком, то давать совет «не употребляй» уже поздно.
        • Какой-то бред. От наркотиков можно отказаться. Если не хватает воли — можно накопить денег/взять кредить и лечь в спецклинику. Тут тоже самое.
    • >> все твои уже у нас в сетке
      самое смешное что жабер квиповский постоянно в ауте… нету у них мощностей как у гугла и аола…
    • там есть возможность передавать файлы напрямую, порой через их сервак даже удобнее, так что это скорее плюс.
      • На далее как вчера мне понадобилось потратить 10 (sic!) минут, чтобы слить файлик в 10Кб: файловое хранилище ворочалось крайне неохотно.
        Эта услуга навязана, а так как я не пользуюсь квипом, я не могу объяснить пользователям, которые все как один шлют мне файлы через файловой хранилище, как остановить это безумие.
        Когда я говорю им, что меня устают эти отвлекающие от работы манёвры с попытками скачать файл с файлового хранилища с обилием рекламы и ожиданием в несколько секунд — обычно получаю шокированый смайл: «А я думал, ты получил уже. У меня ушло и написано, что отправлено». Вот видите, об этом пользователи тоже не предупреждены.
        • Сталкивался с таким. Поддержу.
          Просто тут каждому свое. Некоторые прокси рулят и бросают файлы, кому то не хочется делать лишних телодвижений…
        • В окне сообщений в меню отправки файлов (стрелочка вниз рядом с дискетой) можно выбрать как слать файл: напрямую или через их сервер
        • Вам повезло, я, когда мне 1 раз послали, вообще не смог скачать.
        • У меня напрямую файлы отправлять в ICQ получалось пару раз. Поэтому раньше приходилось заливать их на Народ Диск или Drop.io, что более геморойная работа. Так что я двумя руками за такую опцию.
    • А я рад, что они продвигают Jabber, пусть и свой. Хотя методы спорные, да.
      Если бы оно еще лепило на @qip.ru контакт-лист из тех, кто тоже юзает Infinum, но находится в контакт-листах других систем — было бы вообще здорово — тогда падение одного из сервисов было бы не столь заметным, а пользователи получили бы схему практически безболезненного переезда на Jabber.
      • Так и работает если на обоих концах инфиниум, после первого обмена сообщениями jabber контакт автоматом добавляеться и у вас создаеться мета контакт для этого человека.
        • Не знал. Спасибо.
    • Соглашусь с Вами.
      Меня вот пару вещей в новых версиях квипа раздражают:
      1. то, что нужно обязательно заводить аккаунт еще и на qip.ru. И зачем мне это надо?.. мне нужна только аська, а не 2 включенных по умолчанию протокола. И главное выключить это нельзя, конечно же.
      2. пересылка файлов через сервер. Так мало того — еще и скорость притормаживают и предлагают купить аккаунт Про или что-то типа. Это уже ни в какие ворота не лезет. Во-первых я не хочу принимать файлы через сервер, а во-вторых я еще и должна платить за то, что не хочу делать?

      Ну да… я конечно понимаю — icq и qip вроде как бесплатные коиенты. И наверно же они за свои труды хотят получать какую-то отдачу все же… но вот и получается… аська сама по себе пестрит рекламой, а от квипа уже вообще непонятно чего ожидать. Только квип таки как-то наглее поступает — нарисовали красивый интерфейс, поняли, что народ это прохавал и теперь решили сами диктовать условия. По-моему, они поторопились и перегнули палку. Я лично уже подумываю о том, чтобы вспомнить Миранду — минималистический такой интерфейсик, все работает, навешать можно мнооого всего, а можно и ничего не навешивать :) в общем, может это будет удобнее? Единственное почему отказалась от миранды — были проблемы с пересылкой файлов, да и квип красивый и работающий как раз появился. Сейчас может уже миранда с файлами нормально работает, так что может она будет получше…
      • Я ушёл с квипа как только появилась привязка к аккаунту на их сайте.
        Тогда у них на форуме это долго обсуждали — обсеждение всегда закрывали с удалением треда :)
  • Кстати, а почему бы QIP Inf при регистрации Jabber-аккаунта по-умолчанию не использовать производный пароль от ICQ?

    Т.е. не сам «mysecretpassword», а hash(mysecretpassword+'quipsalt')?
    • Я надеюсь, что там именно так пароль и передаётся, но что-то подсказывает, что авторы по этому пути не пошли.
      • Нет, я не про передачу говорю. При регистрации аккаунта @qip.ru там пароль запрашивается заново. А можно было бы на автомате регистрировать без появления претензий об украденном пароле:

        Из пароля ICQ можно было бы получить пароль для @qip.ru, а наоборот — нет.

        И удобно, и безопасно получается…
        • Я это понял, сам подобный метод использую, просто не думаю, что авторы qip по такому пути пошли.
  • телефоны/смс пишутся и записи хранятся до трех лет, в банках вся история операций с баблом и кредиткой, провайдеры пишут логи где какую порнушку скачал/посмотрел — но когда программа, для удобства не слишком продвинутых пользователей прежде всего, хранит где-то в дебрях базы данных пароли, переписку и файлы — ооо катастрофа и нарушение прав и свобод.

    у каждой учетной записи в qip стоит галочка «сохранять пароль» и если каждый день охота забивать 4-5 паролей снова и снова, да еще на нескольких компах дома и на работе — в путь.
    • > но когда программа, для удобства не слишком продвинутых пользователей прежде всего, хранит где-то в дебрях базы данных пароли, переписку и файлы — ооо катастрофа и нарушение прав и свобод.

      Неужели вы не видите разницы между такими вещами? Вы в курсе, например, что процессинговым центрам запрещено хранить секьюрные компоненты кредиток? Пароль на то и пароль, чтобы левый дядя о нём ничего не знал. В крайнем случае, он может храниться в локальном менеджере паролей в зашифрованном виде, но уж никак не на сервервере стороннего левого дяди.
      • А вы не думали что в базе сервера qip в любом случае храниться пароль, а как иначе вообще пользователя авторизовать? И на хабре храниться пароль и на любом другом сайте. Ссылочка «восстановить пароль» с вашего локального компа присылает по вашему?

        Повторяю то, что написал — в настройках учетных записей есть галочка у каждого аккаунта «сохранить пароль». Параноикам никто не мешает ее анчекнуть и набивать заново каждый раз.
        • ээ, зачем на qipу на сервере хранить пароль? хранит клиент, но не насервере… Есть подозрение, что на хабре все таки храниться хеш функция от пароля, а не пароль ;) и это хеш функция от пароля хабра, а не от пароля гугл или пароля icq вы реально разницу не осознаете? Галочка сохранить пароль, подразумевает сохранить пароль локально, а не на сервере квипа, вы разницу реально не осознаете?:)
        • куки, кеш вам нечего не говорит?
          • о да, куки шикарная и безопасная штука. любой школьник может получить куку и взломать акк в том же вконтакте.
            • Любой? Ну вы приукрасили…
        • С чего вы взяли, что нужно хранить пароль? В правильно спроектированной системе пароль вообще не хранится в открытом виде. И даже если злоумышленник сломает сервер и вытащит базу, это не даст ему списка паролей, ибо их в базе нет. За подробностями в гугль: google://hash+salt+password
          • здесь разговор идёт о возможности использования паролей создателем ;)
        • Ну с одной стороны вы не правы, так как для аутентификации пароль хранить не обязательно, достаточно хранить его хеш.

          С другой стороны, да, некоторые сайты, действительно сохраняют у себя ваш пароль, не спрашивая у вас ничего. Но есть нюанс: Они сохраняют пароль от вашей учётной записи именно на этом сайте, а это совсем иное.

          Наконец, есть третий тип сервисов, аггрегаторы всякие и прочие «Бест персонсы», естественно, что они должны хранить ваши пароли для сторонних сайтов. Но они вас об этом явно предупреждают.
    • Извините, операторы связи и банки несут ответственность за хранимую информацию — это раз. Логи порнушки никак меня не компрометируют — это два.
      • Вот станете ЛПР (лицом принимающим решения) — по другому заговорите про логи порнушки :)))
    • Почему каждый день? У вас что в голове вместо мозга? я например юзаю миранду, и пароль на icq ввожу где-то раз в месяц, при этом нигде его не сохраняя (разве что в RAM), ибо украсть сохраненный на диск пароль (допучтим, вирусу) легче легкого, по моему эта функциональность уже давно стандартна в троянах.

      p.s. правда кривой jabber-плагин хранить пароль в памяти не умеет(( Еще 1 аргумент против jabber
  • раскрыть комментарий
    • Внимательней смотрите не галочки, которых «не ставили». Вы уж извините, но это напоминает лепет девочек, которые рассказывают, что «Я ничего не делала, оно само так получилось». Единственное, чего инфиум действительно не спрашивает, а должен бы, так это именно про хранение паролей на сервере.
      • Правилом хорошего тона является не вносить никаких изменений в функциональность ДРУГИХ программ без ЯВНОГО согласия пользователя, выраженного в действии (а не бездействии). Программа, которая пытается на… ть пользователя, не делает чести своему автору.
        • Ну про хранение паролей я уже написал — тоже считаю это неправильным. Но про поиск и домашнюю страницу по умолчанию — тут дело обстоит абсолютно так же, как и в другом софте. Навскидку: в опере, файрфоксе, в дэймон тулз. Любой браузер предлагает ставить себя по умолчанию, причем галочка изначально стоит, ее можно убрать. А уж количество софта, который ставит свою страницу как домашнюю, просто зашкаливает.
        • Вы не ставили галочки точно, но и не снимали их. А там есть «сделать qip.ru стартовой страницей» и «сделать qip.ru поиском по умолчанию»
          • Да догадался я про галочки, не девочка ведь :) Я снес именно потому, что они по умолчанию стояли (галки я видел, но не читал). Обычно какие в программах галки по-умолчанию стоят? Добавить в стартовое меню/десктоп/автозапуск.
            Впрочем, это ведь тоже изменение в функциональности других приложений и, по большому счету, их бы тоже по умолчанию надо снимать.
    • На днях чисто ради эксперимента ставил qip infium. В установочнике есть такие галки, даже две штуки.
      • Галки есть, конечно. Просто они включены по умолчанию.
        • Ну как уже тут заметили. этим грешат многие программы, которые пытаются проталкивать побочные продукты/услуги. Не сказать, чтобы я одобряю такую практику, но лично уже давно привык внимательно относится к тому, что пишет программа в ходе установки и какие галки там имеются.
    • В установщике есть такие галки.
    • Этим отличаются многие «сомнительные программы», вроде Daemion Tools например — те еще и плагин в експлорер свой ставят (доп. панелька), и Adobe Reader если не путаю, в результате у неграмотного пользователя ИЕ бычстро превращается в помойку.

      Просто многие жмут «Далее» не читая, а авторы эти мопльзуются чтобы полуить хиты от просмотра рекламы.
      • Дураки жмут, им всякая дрянь и ставится, почему бы на них не заработать денег если им все пох?
        • Ну могу предположить, что кому то хочется в первую очередь сделать качественный и удобный продукт, а такой подход с качеством никак не вяжется.

          Ну и дураками таких людей тоже назвать не могу. Я не считаю, что пользователь должен читать до последней буквы все соглашения и пункты.ответственность автора сдлеать так, чтобы все работало хорошо по умолчанию.
  • 1. При установке кипа регистрируешь новую запись джаббера/вводишь уже существующую.
    2. Не привязываешь сразу никаких записей аськи или других протоколов.
    3. Нажимаешь «Войти», зажав Shift.
    4. Меняешь стоявшую по умолчанию настройку «хранить пароли» на обратную.
    5. ???
    6. PROFIT!
    • параноик моде он

      1. Пишешь IM
      2. Распространяешь.
      3. Собираешь пароли.
      4. PROFIT!

      параноик моде офф
    • 2ch запилили
      ???
      PROFIT!
  • вы прям как ребенок, право дело. почитайте лицензию — автор… нет, Автор ни за что не несет ответственности, он следит за вами на сайте и конечно же никак не получает «и не имеет технической возможности» брать ваши пароли, данные итд… контора просто рубит бабло на всём.

    база «узнанных» логинов/паролей у кипа, наверное, самая большая хотя бы потому, что 90% из перешедших на кип, создали icquin@qip.ru запись и туда в 90% вбили свой асечный пароль.

    мне кажется, стоит использовать зрелые и честные клиенты.
    • >>90% из перешедших на кип, создали icquin@qip.ru запись и туда в 90% вбили свой асечный пароль

      Абсолютно верно. Не поверю в то, что расчета на это не было =)
      Ибо те кто привык к обычному квипу, по привычке вбили номер аськи и пароль в первую похожую предоставленную форму.

      Вообще это ситуация напоминает мелкий шрифт на последней странице в углу кредитного договора.
      Всё честно! Но осадок остается.
      С qip ушел… в ближайшей перспективе не вернусь.
      • Картинка в тему:

  • Вот Вы все тут смеетесь, а QIP это корпорация зла еще больше чем гугл, владея паролем от icq он в большинстве случаев владеет паролем и от почты и от многих сайтов, аккаунтов то-есть считаете доступ к полной Вашей жизни.
    Вот оно, Настоящая корпорация зла!
    • У AOL наверное еще больше база паролей к ICQ — значит они владеют миром? :-D
      • По крайней мере это их сервис.
        qip.ru же заимел пароли от не принадлежащего ему сервиса.
      • помимо паролей у аол есть право хранить и использовать вашу переписку в любых целях. И вы сами с этим соглашаетесь, принимая лицензию. А в конституции установлено право на тайну переписки, так что по российскому законодательству их деятельность в принципе незаконна
        • Считается ли обмен сообщениями с помошью сервиса не лицензированного на территории России «перепиской»?
          • Считается. «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений». Нарушением тайны связи является ознакомление с содержанием сообщения кого-либо кроме отправителя и получателя. ru.wikipedia.org/wiki/Тайна_связи
            • ну вот смотрите — я опубликовал лог переписки моего друга с подругой. Они не против и даже дали мне письменное согласие на этой действие.
              Я нарушил какой-то закон?
              • Иметь право и пользоваться этим правом — разные вещи. Если дали согласие — они своим правом не воспользовались.
                • Вот так же и пользователи ICQ, пользуясь услугами компании AOL, принимают соглашение в котором добровольно соглашаются передать свои права компании. Получается так же они не воспользовались своим правом
        • Простите, но в лицензии такого нет.
    • а нафига? спецслужбы? :-)
    • А у меня в QIP'е, ICQ и почте 3 разных пароля. Можно быть спокойным?)
    • А у меня в QIP'е, ICQ и почте 3 разных пароля. Можно быть спокойным?)
  • Кстати если снять галочку «Хранить настройки моих учетных записей на сервере» QIP спрашивает «Хотите ли вы удалить информацию хранимую на сервере». Думаю если ответить «Да», то многие успокоятся. Тем более я не вижу причин по которым можно сказать что информация все равно не удаляется.
    • Так же как нет причин говорить что она удаляется
    • Что-то мне подсказывает, что удаление будет проходить следующим образом:
      UPDATE im_accounts SET account_activitity='del' WHERE account_owner = '1033001';
      • если судить по их хитрозадости — то именно так и будет =)
        • Удивительно, без каких либо явных доказательств многие параноики уже признали что qip зачем то ворует ваши пароли для себя, и украдет ваши красивые номера аськи, будет использовать их для своих злых целей.

          Я хочу сказать все что дальнейшие умозаключения которые делают тут в топике зиждятся на НЕПОДТВЕРЖДЕННОЙ информации о том что квип использует ваши пароли для своих злых целей.
          • Факт того, что мой пароль может храниться где-то, кроме моей головы или пассворд-менеджера меня бы насторожил. Эпизод с бестперсонс.ру уже давал о себе знать. Подобная ситуация может случиться и с квипом.

            Я квипом не пользуюсь — и по очень многим причинам. Вот и ещё одна теперь.

            Возможные умозаключения о том, что квип НЕ использует пароли в злых целях, тоже не подтверждены. Возможный сбой/взлом/активность нерадивого сотрудника может привести к плачевным последствиям.

            Я очень уважаю Ильгама, я не сгущаю тучи над его головой. Просто ситуации могут быть разные…

            Давайте поиграем в злых сказочников, давайте придумаем страшную сказочку:

            Как-то человек один
            Сел — и чудо сотворил:
            Не троян и не игрульку,
            А полезну программульку!
            Квип словечки доставляет
            Да пароли собирает
            Для удобства разнолюда:
            Разработка — просто чудо!
            Кто-то свой пароль забыл — Не беда, квип тут же вбил:
            Он пароли и настройки
            Сохранил для подстановки,
            Чтоб, куда б ты ни пришёл, — Только ярлычок нашёл,
            Вбил пароль свой основной — Вот контактов список твой!
            Что за чудо этот квип!
            Только кто его хостит?
            Кто админит базы данных?
            Человек, Админом званный?
            Или несколько Админов?
            Кто они? И как их имя?

            Раз-два-три-четыре-пять,
            Шёл Админчик погулять.
            Повстречал врага-шпиёна,
            Тот сказал ему два слова…
            Ну а вдруг вражья скотина
            Подкупила вдруг Админа?
            Не сольёт ли вдруг Админ
            Все пароли, как один,
            От красивых шестизнаков — На продажу вражьим гадам?
            Вдруг шпиён какой пробрался,
            В базе данных разобрался,
            Записал, какой UIN
            Стал ему необходим,
            Любитель в чате зависать, — Чтобы спам ему послать?

            Не хотел Ильгам такого,
            Не желал людям дурного…
            Но ведь каждый обвинит
            Не того, кто их хостит,
            Не тщедушного Админа,
            Не вражинную скотину…
            Обвинят до одного
            Все Ильгама одного.
  • Тем, кому важна безопасность — не юзают Квип.
    • … как и аську вообще и, возможно, вообще электронные способы общения.
      • Телефоны прослушиваются, сотовые записываются, бумажная почта читается… Да и личный разговор могут подслушать, кругом враги. Надо телепатию качать. Так получается?
        • Это был сарказм :)

          Но… Вы в чё-то правы… надо скачать и посмотреть, что же из себя представляет telepathy — давно хотел посмотреть.
        • Да. При владении интересной информацией которая интересна еще кому то. Именно так и есть. :P
          • Как хорошо что у меня куча неинтересной информации :) от телепатии голова болеть начинает :)
            • Ух ты… А я «телепятю» только на уровне новичка, ну тоесть хочу кого то позвать пристально вдумываюсь вдумываюсь… и швыряю тем что под руку попадет :D
  • раскрыть комментарий
    • автор топика, ничего не говорит про кражу паролей, но поймите, дефакто считается не безопасным хранить пароли на удаленном сервисе и этому есть причины, и дефакто считается обязательным спрашивать разрешение пользователя на подобную операцию. qip же тихо не спеша ставит галки, и не правильно именно это. Большинство используют для im такие пароли, что и фиг бы с ними с этими галками, но тем не менее, необходимо предупреждать!
    • кроме того со стороны qip.ru было бы правильным предупредить пользователя.
    • Если не видите цели — это не значит что ее нет.
      • хм? а вы видите? и что, при этом пользуетесь?
        • Вероятных целей много. И я не пользуюсь уже — как только они добавили обязательную привязку к своему аккаунту я поменял клиента.
  • Интересно, а если снимаешь эту галочку, записи о паролях удаляются из БД на сервере? =)
  • Пришла в голову пара мыслей:
    во-первых — что если выходить в аську в каком-то непроверенном месте, то может быть даже и лучше, что используешь только логин инфинума, т.к. при таком раскладе пароль от аськи хранится на сервере и автоматом защищаемся от клавиатурных снифферов и людей подглядывающих из-за плеча. Если украдут пароль от инфинума, то поменять пароль от аськи труда не составляет, да и инфинумский не жалко.
    во-вторых- многие пишут про спам и складывается впечатление, что встроенный в квип анти-спам никто не включает, хотя он довольно днйственнен и ни один icq спам еще у меня через него не пробился.
    ну и в заключении мне жутко любопытно, насколько сильно защищена информация о паролях на сервере инфинума, т.к. становится довольно лакомым куском для взлома.
    • Не говорит автор о том что это плохой функционал, автор говорит, что неправильно включать эту функцию без спроса пользователя! И автор прав.
      • Я полностью согласен с автором, просто высказал пару своих мыслей по теме и комментариям.
    • Интересно было бы узнать — а присылает ли сайт клиенту пароль от аськи, чтобы клиент мог залогиниться? ;) И вообще — гд еможно прочитать про то, как эта схема реализована?
    • «многие» также заметили, что эта чудо-программа требует администраторских привелегий и для установки и для работы.
      а также обновляется каждые две недели, хотя миранда полугодовой давности продолжает работать, работать и работать
  • Я не сохраняю пароли в Qip и давно заметил, что при вводе неправельного пароля, он тут же это сообщает :)
    • Этот древний баг обещают исправить в следующем мегарелизе
  • Как вариант:
    -Снять галки в настройках.
    -Сменить пароль в другом клиенте.
    -Не хранить пароль в кип.
  • вот ни за что бы не доверил хранить свои пароли (аська, гуглопочта и пр.) на хрен знает чьём сервере… хорошо, что не пользуюсь qip…
  • косяк…
  • И даже после этого будете спользовать QIP?
    «Мыши кололись, плакали, но продолжали жрать кактус...»
    • А вы что используете?
      • Miranda IM. Или что угодно, только бы не QIP. Он показался мне подозрительным еще с первой версии.
      • Могу посоветовать миранду. Поддерживает тьму протоколов, при этом без явно поставленной галочки никаких паролей не сохраняет (но логи правда ведет).

        Только советую в плагинах выбрать классический контакт-лист (clist_classic) и srmm вместо tabsrmm, ибо эти «новомодные» штучки выглядят ужасно.
        • Спасибо.
          Я пользовался Мирандой 4 года назад, всё устраивало, но периодически она глючила и выдавала ошибки работы с памятью. Может быть была неудачная сборка, может проблема в компьютере. Как появился QIP перешёл на него, потому что был просто и лёгкий. Если прекратят поддержку серии 2005 — перейду снова на Миранду)
          • У меня миранда давно, никаких глюков. правда, я пользуюсь контакт-листом clist_classic (просто серое окошко без наворотов) и окнами srmm (без табов), может в этом дело.

            А в квипе честно говоря уже куча кнопок в контакт-листе отталкивает (у меня там ни одной, кроме статуса и меню).
    • lgar
    • lgar
    • 27 января 2009, 11:13
    • #
      • –5
    раскрыть комментарий
    • при установке галочки вроде бы есть…
      • Ложечки-то потом нашлись, но осадок остался
      • на это нет там галочек, программа просто попросила меня закрыть браузер. Вы путаете с галочками, которые есть в последнем пункте, про взаимодействие с соц. сетями, сегодня ещё раз проинсталю и посмотрю, есть галочка про поиск или нету.
  • Хранение паролей — это пол беды, все равно каждые две-три недели меняю. Но принудительная регистрация учетной записи @qip.ru (jabber) отбила у меня охоту ставить его, даже что бы хоть одним глазком глянуть.
    • *полбеды
    • дык, там можно без принудиловки, гдет на хабре ключик с которым его нужно запускать писали…
      • Угу, надо со спец ключиком запускать… Интересно, а почему это не реализовано обычной галочкой «Не регистрировать очередной ненужный аккаунт»?
        • вы знаете, я двояко к этому отношусь :) с одной стороны не красиво, с другой стороны хоть как то от аськи отучать надо, но наверно я так спокойно отношусь к этому так как qip не пользую… :)
          • Просто, что черезчур — то уже будет отпугивать. Согласен с «от аськи отучать надо»
      • /isolated
  • Вот и я задумался, зачем? И в ближайшем будуще собираюсь переходить на миранду… Там хоть болееменее прозрачно всё!
    Я против QIP ничего не имею! Нововведения хорошие, но надо их производить открыто!!! (это я про регистрацию @qip, пароли отсылаемые на север, выбор протокола контакта при отправке сообщения, отправку файлов и пр.).
    • >пароли отсылаемые на север
      опечатка улыбнула :)
      • ну на севере им то понадёжнее будет))
    • HDg
    • HDg
    • 27 января 2009, 11:28
    • #
      • 0
    Между прочим в чейнжлоге квипа писали что добавились опции хренения настроек и паролей на сервере. В какой версии квипа появилось не помню, но не в последней точно. Вроде в 9018
    • Правильно так:
      Появилась опция возможности отключить хранение паролей на сервере.
      • Красиво ^^
      • Цитата с официального сайта:

        QIP Infium RC3 (9017)

        Если вы пользуетесь одной и той же учётной записью QIP и дома и на работе, то вам теперь не нужно заботиться о том, чтобы все ваши изменения в списке контактов и в настройках учётных записей были актуальны. Новый QIP Infium может сохранить эти настройки на сервере и восстановить их при первом подключении с любого компьютера. Всё, что вам нужно помнить это имя учётной записи QIP и пароль.
        Сервис работает в тестовом режиме.


        Добавлено:
        — Core: сервис отправки/хранения файлов file.qip.ru;
        — Core: сервис хранения/загрузки настроек учётных записей на сервере;


        Пожалуйста, будьте внимательнее при изучении материала. Спасибо.
    • Пожилая главный бухгалтер Анна Гавриловна Крузенштерн-Павловская не по годам прекрасно понимает, что такое безопасность, тем более информационная:
      — она запрещает своему мужу пользоваться банкоматом, картоприёмник которого выглядит не так, как на экране;
      — она запрещает своей дочери набирать код от сигнализации в присутсвии посторонних;
      — она ни за что не отправит СМС-ку на неизвестный короткий номер, использует разные пароли — и на за что не говорит их вслух;

      Но её подвёла её любимая программа, который предложил ей обновиться, но не показал чейнджлог.
    • z_z
    • z_z
    • 27 января 2009, 11:35
    • #
      • 0
    >Самое интересное, что возможность изменить
    очевидно что это работает только с учетками @qip.ru и люди с /isolated не имеют таких проблем :)
  • при запуске qip еще можно добавить параметр /nosrv чтобы он не хранил на сервере данные
    • вот наверное только Inf и знает о всех ключах ;)
  • Вот галочки про домашнюю страницу они вывели…
    могли бы при установке сразу спросить — «хранить пароли на сервере?»
  • НЛО прилетело и опубликовало эту надпись здесь.
    • Плохой вы бизнесс мен, посмотрите на счетчик qip.ru посмотрите на доп сервисы на сайте…
  • Кип, кип…
    Я вот АОЛу не доверяю вообще.
    • странно, а с чего это вы аолу не доверяете?:) они ни в чем предосудительном вроде никогда замечены небыли, работают довольно стабильно, ну ток оф. клиент галимый и пытаются они его продвинуть, но дык это врятли может быть причиной недоверия… :)
    • Ghz
    • Ghz
    • 27 января 2009, 12:00
    • #
      • –3
    xeen28 = FilimoniC?
    ИМХО это параноя, qip.ru я больше доверяю чем aol…
    Скандал высасан из пальца, ХАБР ХРАНИТ(!!) наши пароли! бестыжие ТМ! Как они могли так сделать предвартельно не написав этого на каждом углу??
    • 1) а с чего вы квипу доверяете больше? я выше уже написал, реально не понимаю, аол публичная компания, хотя и не в российская, я не вижу причин не доверия… ?:))
      2) Хабр хранит наши пароли? Тут сверху такую чушь уже писали, но даже если бы это было так, что в этом ужастного, это пароль от хабра, хабр же не хранит пароли от гугла или асикью…
      • 1) Заставляет задуматься ситуация с выставлением костылей ру пользователям, я даже под дулом пистолета не буду пользоватся их офф клиентом, в том виде в котором он существует.
        2) Да! представляете! в зашифрованном виде? А представляете что будет если… оуу… вот хабросоздатели лохотроньщики!!! оу ужас, галатега опасносте…

        Примерно такое же обсуждение тут происходит…
        • 1) Они ни делают ничего противозаконного, или предосудительного, и никак доверие к себе не подрывают, только лояльность, я надеюсь вы понимаете, что это разные слова?
          2) Представляете, я конечно не могу гарантировать, я не создатель хабра, но дума практически гарантированно, что хабр пароли не хранит :) только хеш функции пароля. Но даже если хранит, он за них так или иначе отвечает, и если у меня украдут пароль хабра по вине хабра, то есть шанс его восстановить, но qip за восстановление паролей других сервисов врятли будет отвечать ;) и хранить хеш функции от других сервисов он не может, только пароли.
          • 1) У вас, но не у меня, ага.
            2) А инфиум шлет не кеш? мм?
            • 1) А, ну да конечно логично наезжать на компанию, которая работает в рамках закона и порядочности (это я про аол) и уже совершенно логично доверять компании которая работает, на скользкой почве в рамках порядочности… (я про то что клиент для закрытого протокола аол, занятие на грани закона и порядочности...)
              2) Как?:) (hash, а не кеш) квип знает алгоритмы шифрования в АОЛе ?:)
              • квип кеширует пароль от аськи на своих серверах))
            • 1) как квип с помощью хеша (какого хеша???) залогинится в АОЛ?
              2) Поведаю вам тайну: чтобы авторизовать пользователей на сайте, необязательно хранить в базе их пароли, достаточно «отпечатка» — например, md5-хеша.
              3) любая программа, сохраняющая важные пароли без ведома и явного соглаися пользователя — не вызывает доверия.

              Советую не спорить о том, в чем не разбираетесь, или хотя бы погуглить сначала по теме авторизации и хеш-функций.
          • Дану?
  • перешел с QIP Infium на Digsby
    • arc
    • arc
    • 27 января 2009, 12:37
    • #
      • 0
    ппц развели нюни :)
    и пофиг что хранит пароли они же не в открытом виде хранятся :)
    надеюсь :)))
    • Я уверен что там хранятся пароли в расшифровываемом виде. Так как например, если ICQ поменяет алгоритм шифрования, то база текущих хэшей станет не нужна. А вот если там все в открытом виде, то при изменении алгоритма, просто перешифруют пароли.
      • Можно хранить и в зашифрованном с использованием ключа виде.
    • r_p
    • r_p
    • 27 января 2009, 13:04
    • #
      • –2
    Я бы на месте квиповцев, как порядочный джентльмен, открыл бы исходники, и ни каких предъяв со стороны общественности не было бы.
  • многабукв не читал. пароли транспортов в джаббере тоже хранятся на сервере
    • гениальный ответ!!!
  • Еще безответственно вести исорию без ведома и согласия пользователя (мне например нравится отключенное по умолчанию в Pidgin ведение логов, хотя в остальном он жутковат рядом с той же мирандой).

    А еще в квипе ужасно безвкусный интерфейс по умолчанию, жуткие иконки, налепленные без всякого порядка кнопки и ужасный сине-голубой градиент (с красными надписями на нем — буэээ). Я думаю, если программист не разбирается в оформлении, лучше использовать стандартное оформление по умолчанию.
  • infinum последний, но таких настроек у меня нет
    я так понимаю он должны быть там, где «Профиль», так вот у меня там сверху пустое место, снизу 2 чекбокса:

    — не запрашивать пароль при запуске
    — не показывать окно выбора профиля

    может из-за того, что у меня аккаун != icq_uin@qip.ru?
    • Kane
    • Kane
    • 27 января 2009, 13:19
    • #
      • –1
    Вот тебе и собственнический софт — никто не знает что там происходит внутри, одни догадки.
    Надеюсь хоть кто-нибудь выучит этот урок и поймёт преимущества открытых решений.
  • Больше всего меня беспокоит в этой истории то, что никто не кинет ссылку на официальный ответ разработчиков 1) Хранится ли пароль на сервере, 2) если да, то в каком виде.
    И ещё — прочитал qip.ru/ru/pages/qip_manual/ не понял такой простой вещи (если уж qip «сохраняет» логины/пароли ):
    Как при вводе пароля от qip.ru происходит соединение с сервером ICQ (у нас «чистый» переустановленный QIP Infium с логином и паролем на qip.ru ). Клиент соединиться с qip.ru, а уже он соединится с сервисом ICQ, или qip.ru пришлёт пароль (в каком-то виде) клиенту, а уже клиент соединится с сервером?
  • В общем вот такое мнение:

    1) сохранение на своем сервере без ведома и явного согласия пользоватлея (поставленная по умолчанию галочка — это не явное согласие) важных паролей — как минимум небезопасно, и подрывает доверие к программе. Возможно, что храня пароли автор как-то обезопасил себя (ну или чувствует себя увереннее) на случай конфликтов с пользователями?

    Сохранение пароля в реестре или конфиге (пусть и зашифрованного) без явного согласия — небезопасно, так как все трояны давно уже находят и воруют такие пароли для всех популярных мессенджеров. Шифрование не поможет, так как то, что может расшифровать клиент, расшифрует и троян.

    2) ведение истории без явного согласия — тоже плохо, и подрывавет privacy (даже миранда этим страдает)

    3) не понимаю, почему дло сих пор не внедрен какой-то стандарт шифрования сообщение м/у клиентами (даже в jabber, который многие называют передовым протоколом)(чтобы все использовали шифрование без доп. палгинов), это единственный способ защитить себя от владельцев сервера, которым тоже доверять нельзя (ибо у них может быть нездоровый соблазн хранить логи). Оправдывать отсутствие шифрования нагрузкой на CPU неоправдано, т.к. объем сообщений мал, а процессор словременный слабым не назовешь.

    4) специально для тех школьников^W, кто говорит чушь вроде «Хабр тоже хранит мои пароли»: 1) пароль от Хабра подорйдет только к Хабру 2) почитайте про хеш-функции и их использование дя авторизации.
    • с третьим пунктом согласен, тоже не понимаю, почему по умолчанию не шифруется текст не понятно.
    • hiro
    • hiro
    • 27 января 2009, 14:03
    • #
      • –2
    О госпаде, кому нужны ваши пререписки с соседкой Машкой и другом Вовкой…
    Дела гос. важности обсуждаете что ли все поголовно…
  • Тэги к записи как бы намекают нам…
  • Спасибо за информацию. Я так понимаю, на сервере квипа и пароль от джабера хранится? Тогда они знают пароль от моей почты, что меня крайне напрягает. Сейчас буду его менять.
  • у меня нет таких настроек… квип 9020… что я делаю не так?
    жду не дождусь, когда кутим допилят…
  • Ждем открытия магазинчика элитных уинов «У Ильгама»:))
  • По-моему киповцы сделали удобный для ламеров сервис и делают на нем бабло, и заниматься сомнительными махинациями им не впилось ну просто никак
  • А для какой версии QIP Infium это характерно? Сам пользую миранду, но для интереса зашел в QIP и не увидел ничего подобного…
    P.S. смотрел именно в QIP Infium -> Настройки -> Общие
Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.