400 читателей, 11 постов
Администрация
Модераторы
Jabber и все что с ним связано. Jabber сегодня — самая активно развивающаяся и наиболее перспективная система для обмена мгновенными сообщениями на основе открытого протокола XMPP.
Почему Jabber свободен от спама?
Вольный перевод текста от Peter Saint-Andre, одного из самых активных участников Jabber/XMPP community.
1. В XMPP, адрес отправителя задается не на компьютере отправителя в программе-клиенте, а на сервере. Так что, клиент не может подделать адрес «От:». (Конечно, если вы — администратор сервера jabber.org, в принципе, вы можете отослать сообщение от имени любого пользователя этого сервера. Но только этого сервера. Отослать сообщение от имени пользователя другого домена вы не сможете).
2. В XMPP, сервера проверяют друг друга с помощью протокола «dialback» (RFC 3920 / XEP-0220), основанного на DNS, или с помощью сертификатов сервера. Так что, если я запустил сервер на домене jabber.org, я не смогу отсылать сообщения от имени microsoft.com или whitehouse.gov. (Кроме того, сообщения доставляются от сервера отправителя к серверу получателя напрямую, минуя промежуточные jabber-сервера. Подделывать адреса сообщения в процессе доставки некому.)
3. В принципе, протокола «dialback» вполне достаточно, чтобы предотвратить анонимные рассылки в сети. Но, также существует пока необязательная аутентификация серверов с помощью SSL-сертификатов (подробности на xmpp.net). При необходимости, эту аутентификацию можно довольно просто сделать обязательной, это предусмотрено в протоколе.
4. XMPP основан на чистом XML и злоумышленники не могут так просто присоединить malware-скрипты и вирусы к Jabber-сообщениям.
В случае с email, спаммеры активно сотрудничают с вирусописателями. Здесь же, «черным программистам» делать нечего, уже меньше повода для спама.
5. Большинство e-mail спама (или спама+malware) нацелено на одну конкретную платформу: Outlook + Windows. В мире XMPP нет доминирующей программной платформы.
6. При обмене IM-сообщениями, люди привыкли к ведению контакта-листа — списка людей с которыми они хотят общаться. Для спаммеров такая культура гораздо хуже, чем «Я получаю письма по e-mail от кого угодно в мире». Вы всегда можете удалить человека из своего контакт-листа, чтобы он вам не надоедал или вообще заблокировать его сообщения на сервере.
7. Все распространенные XMPP-сервера (серверные программы) имеют ограничения на частоту сообщений. Это предотвращает рассылку большого числа сообщений от одного пользователя за короткий период времени.
XMPP не совершенен, в нем тоже можно рассылать спам. Но сделать это намного сложнее, чем в SMTP-сети. Причем, все эти сложности и ограничения для спаммеров предусмотрены специально, «by design».
update: Всем, кто утверждает, что «можно просто поднять свой сервер»: пойдите и подымите, а потом попробуйте разослать с него спам и не спалиться. ;) Спам через e-mail рассылают анонимно: ломают чужие сервера, строят бот-неты, ищут открытые relay-и,… Оставаться анонимным клиентом довольно просто. А вот в случае с Jabber анонимным сервером быть очень сложно.
1. В XMPP, адрес отправителя задается не на компьютере отправителя в программе-клиенте, а на сервере. Так что, клиент не может подделать адрес «От:». (Конечно, если вы — администратор сервера jabber.org, в принципе, вы можете отослать сообщение от имени любого пользователя этого сервера. Но только этого сервера. Отослать сообщение от имени пользователя другого домена вы не сможете).
2. В XMPP, сервера проверяют друг друга с помощью протокола «dialback» (RFC 3920 / XEP-0220), основанного на DNS, или с помощью сертификатов сервера. Так что, если я запустил сервер на домене jabber.org, я не смогу отсылать сообщения от имени microsoft.com или whitehouse.gov. (Кроме того, сообщения доставляются от сервера отправителя к серверу получателя напрямую, минуя промежуточные jabber-сервера. Подделывать адреса сообщения в процессе доставки некому.)
3. В принципе, протокола «dialback» вполне достаточно, чтобы предотвратить анонимные рассылки в сети. Но, также существует пока необязательная аутентификация серверов с помощью SSL-сертификатов (подробности на xmpp.net). При необходимости, эту аутентификацию можно довольно просто сделать обязательной, это предусмотрено в протоколе.
4. XMPP основан на чистом XML и злоумышленники не могут так просто присоединить malware-скрипты и вирусы к Jabber-сообщениям.
В случае с email, спаммеры активно сотрудничают с вирусописателями. Здесь же, «черным программистам» делать нечего, уже меньше повода для спама.
5. Большинство e-mail спама (или спама+malware) нацелено на одну конкретную платформу: Outlook + Windows. В мире XMPP нет доминирующей программной платформы.
6. При обмене IM-сообщениями, люди привыкли к ведению контакта-листа — списка людей с которыми они хотят общаться. Для спаммеров такая культура гораздо хуже, чем «Я получаю письма по e-mail от кого угодно в мире». Вы всегда можете удалить человека из своего контакт-листа, чтобы он вам не надоедал или вообще заблокировать его сообщения на сервере.
7. Все распространенные XMPP-сервера (серверные программы) имеют ограничения на частоту сообщений. Это предотвращает рассылку большого числа сообщений от одного пользователя за короткий период времени.
XMPP не совершенен, в нем тоже можно рассылать спам. Но сделать это намного сложнее, чем в SMTP-сети. Причем, все эти сложности и ограничения для спаммеров предусмотрены специально, «by design».
update: Всем, кто утверждает, что «можно просто поднять свой сервер»: пойдите и подымите, а потом попробуйте разослать с него спам и не спалиться. ;) Спам через e-mail рассылают анонимно: ломают чужие сервера, строят бот-неты, ищут открытые relay-и,… Оставаться анонимным клиентом довольно просто. А вот в случае с Jabber анонимным сервером быть очень сложно.
комментарии (137)
а так Gajim вам в трей)
а если можно, то очень сложно)
в клиенте от Яндекса все проще
Ну если только не нужны специфические функции конкретно их родных клиентов.
сам не проверял, так что могу ошибаться в обоих утверждениях.
по крайней мере, у меня в options.xml присутствует
<status comment=«Options for the status menu» >
<chat type=«bool» comment=«Enable free for chat» >true</chat>
<invisible type=«bool» comment=«Enable invisibility» >true</invisible>
<xa type=«bool» comment=«Enable extended away/not available» >true</xa>
</status>
Вероятно, в новых версиях дефолтный конфиг могли как-то не очень поправить :)
RTFM, в общем.
Быть может, действительно ругаю не тех. Статус нужный, без него — неудобно.
Там, помимо прочего сказано: есть ещё Jabber-серверы — версии — которые поддерживают статус «невидимый». Сказано там и про то, что рекомендуется использовать взамен (приватные группы).
Так что работает потому, что вы используете Jabber-сервер, ещё не поддерживающий новый стандарт.
К слову: если не путаю, добавить в Пси возможность включать невидимость просто — вроде бы просто поправить options.xml
А вы его (Пси) сразу ругать начали, не разобравшись. Вот вам и минусы.
Удачи.
Вот так )
вопрос, gtalk уже поддерживает icq транспорт?
Но ИМХО клиент не без недостатков (если не считать главного недостатка что это windows-клиент)
т.е. примерно такая же ситуация, что и с вирусами под mac os x
С этим есть какие-то проблемы? Появление новых серверов как-то отслеживается?
Разве что завязано сильно на днс.
*Эх, можно было бы из JUD самостоятельно удаляться, не удаляя VCard...*
Я так понимаю, все сводится к «если у нас появится спам, введем реестр серверов»?
Это реализуемо?
Вообще, не так давно в списке свежих стандартов заметил стандарт о капче, чтоб тому, кто хочет добавиться в ростер сперва пришлось доказать, что он не верб… не робот.
Да и в посте, и в комментариях другие аспекты были описаны, почему спаму будет сложно гадить в джаббере.
На тему рассылки с собственного сервера (ботнета серверов) там ничего.
Да нужен помимо ботнета jabber-серверов еще и ботнет DNS-серверов. Сложно, но неужели нерешаемо?
Комментарии — флейм на тему клиентов и популярности. Решил, что проще прямой вопрос задать.
В целом Busla комментарием ниже более ясно мое недоумение выразил.
Нет, будут просто добавлять проверки на s2s: DNS, сертификат, что там еще. В конце-концов начнут поднимать серверных антиботов (которые капчи спрашивают у незнакомцев), а это уже сила.
А лучше все это комбинировать:
Нормальный DNS, хороший сертификат? — Проходи, не задерживайся.
IP вместо домена, в обратной зоне есть ppp, сертификат выдал snakeoil? — А вот на тебе теорему Ферма и 30 минут на доказательство.
Когда спам будет — что-нибудь обязательно придумаем! А проблемы с обратной совместимостью — это фантастика. С нею только e-mail сталкивается.
Так?
на сколько я помню архитектуру того же jabberd2 «из коробки» сервис JUD никак не связан с VCard.
Устанавливается JUD отдельно, может использовать отличную от основного сервиса базу динных и после уже настраивается на конкретный jabberr сервер.
Хотя для удобства зачастую базы JUD и VCard интегрируются друг в друга. Возможно у вас как раз такая ситуация.
есно это не панацея, и есно спам будет, но меньше чем на аське, и тем более меньше чем на почте…
опять же никуда не денутся взломы аккаунтов и другое… но все это сложнее чем с аськой и почтой…
Вы бы рискнули взять в аренду сервер, расплатится за него (читай: засветиться) и использовать его в противоправных действиях? Вряд ли. А совсем анонимно поднять сервер достаточно сложно.
1-3,7 при чём тут jabber.org кто сказал, что спамеры будут имитировать клиент — система децентрализованная — каждый может поднять сервер хоть на своём dailupclient5555.provider.net
4,5 не надо всё в одну кучу валить — malware и обычно вместе не считают, да и величины совсем разных порядков
6 одним белым списком жив не будешь — иначебы и не было никакого спама ни в e-mail, ни в icq
1. В джаббере нельзя перебрать все JID-ы по циклу. Придется собирать роботом, поисковиком, или перебирать распространенные имена на распространенных серверах.
2. В джаббере нет одной большой базы данных для всех пользователей сети.
Два первых пункта уже хорошая защита для пользователей частных маленьких серверов, которые не светят свой JID в гугле.
3. В случае корпоративного jabber-сервера можно ограничить s2s соединения только jabber-серверами партнеров, что на 99% уберет весь спам на работе (1% — письма счастья от сотрудниц) В аське так не сделать.
4. Можно внедрить антиспам-бота на свой сервер, защитив всех своих пользователей одновременно.
Думаю хватит :)
en.wikipedia.org/wiki/Instant_messaging
Правда значительная часть из то ли 50, то ли 90 миллионов пользователей не всегда соображает чт пользует именно джаббер — «а, это наша корпоративная аська»
Я просто не в курсе, может быть. Просветите?
если имелось в виду, что xml — текстовый, то помню софтинку-протектор из времен MSDOS, которая создавала исполняемый файл в котором были лишь текстовые символы. жаль забыл название :(
А при чем тут ваша аська?
Я ICQ терпеть не могу. Поэтому она не моя. Поэтому мне не надо доказывать, что она говно.
Аська это Internet messaging и Jabber тоже. Причем тут наша почта?
Кстати конкретный пример сразу приходит в голову это SIQ.
В QIP Infium 9015 по умолчанию предлагается создать джаббер-аккаунт вида username@qip.ru (очень навязчиво, кстати, предлагается).
Учитывая, что многие пользователи общение по icq отождествляют с qip («- Какой у тебя номер аськи? — У меня не аська, у меня кип») это может привести к тому, что по умолчанию будут регистрировать джаббер на qip.ru.
Если они ещё сделают простую и понятную для новичков работу icq-транспорта…
Поэтому для джаббера я использую PSI, а для ICQ — Qip 9070.
ну и в заключении пресловутый network-эффект, все уже пользуются другим и мигрировать не хотят…
Насчет end-user: зачем им понимать какую-то суть? Пускай просто пользуются GTalk-ом или ЯОнлайном. Понимать суть будут разработчики этих клиентов, а юзеры — просто общаться.
и вот зашел обычный юзверь в раздел clients на этом сайте. и что он видит? правильно, ничего полезного для себя…
а вот именно, что разработчики клиентов сделают так, как им скажут маркетологи выше. вот, гугломаркетологи и сказали, что сервер менять нельзя (брэндинг, брэндинг!), а не-gmail собеседники добавляяться должны криво. про такие понятия как subscription забыли (про остальное вообще молчу). и что получаем? увы, фигню на палочке.
Есть хороший протокол, есть масса серверов и клиентов со своими достоинствами и недостатками, есть компании, которые предлагают решения на основе этого протокола. Всё точно так же, как и с электронной почтой, только пока развивается.
Разработчикам почтовых программ тоже всё диктуют маркетологи. Через Outlook распространяются вирусы. Что теперь, электронная почта — фигня на палочке?! :)
Сетевой эффект — вещь обманчивая. Это преимущество большой сети над маленькой, и чем сильнее разница, тем больше давление. Вот только jabber с точки зрения мира уже давно обошел аську, а в России достаточно близок.
Вроде бы баланс? Ан нет. У джаббера преимущество: децентрализация. Гугл поднял свой GTalk over XMPP и сразу получил «не пустую» сеть, а Jabber — кучу новых пользователей. Недавно это сделал Яндекс. Сеть выросла еще. Каждый раз Jabber-сеть увеличивается, тем самым становится привлекательнее для подобных поступков от других компаний. Это еще один сетевой эффект, которого у аськи не может быть по-определению.
Если вспомнить открытость для разработки своих дополнений, в том числе и на серверной стороне, то получим третий сетевой эффект, которым аська не пользуется.
Получается, что сетевой эффект работает на джаббер: только децентрализованная, открытая сеть может по-настоящему его раскочегарить, пока другие значительную часть энергии просто теряют.
+ Открытось и доступность Jabber очень стимулирует девелоперов и прочих «людей интересующихся и увлеченных». В итоге проект получает еще большее развитие.
Любая монополия и политика закрытости — это путь в никуда, просто многие этого еще не поняли, хотя это уже давно налицо.
П.С. Пусть выскажется тот, кто поставил минут. Хочется писать куда угодно и когда угодно, а какие-то неизвестные личности оценки расставляют, хотя суждений от них чего-то не видно.
Об этом неоднократно писали выше.
Преимущества технологии кроме описанных выше на лицо. (много всего в сети написанно, читайте не буду перечислять)
Но самое главное, на мой взгяд, это то что ты сам себе хозяин, поднял свой сервак и есть гарантия что никакой AOL не читает твои сообщения и не собирает данные. Все прозрачно, демократия и открытость в действии!
IRC пользуюсь давно по тем же причинам и Jabber теперь мой выбор.
Чем смогу буду помогать развитию подобных прекрасных проектов.
Вопрос такой (сорри, Jabber знаю плохо) насколько сложно будет создать например 1000 аккаунтов на разных серверах, чтобы поспамить народ по конкретному спам-листу. Имхо это критерий оценки спам-безопасности IM-протокола.
Второй вопрос. «XMPP основан на чистом XML и злоумышленники не могут так просто присоединить malware-скрипты и вирусы к Jabber-сообщениям.» — «чистый» XML позволяет передавать бинарные данные. Имхо возможность присоединения вирусов к сообщениям — баги конкретных IM клиентов, т.к. возможность перекачивания файлов, общения голосом и т.д. и т.п. сегодня одна из важных функций IM, а значит что-то где-то тут может быть нечисто.
С остальным согласен. SMTP пора на покой)
Есть ограничение на количество соединений с одного айпи, есть ограничение на частоту отсылки. Но, если использовать много компьютеров, то эта проблема отпадает.
Указанное преимущество номер 2 это тот же самый SPF.
Рассылка спамерских сообщений по джебберу ничем принципиально не будет отличаться от нынешних мыльных.
И откуда только берутся такие аналитики?! :)
Предложите способ это сделать — соглашусь с Вашим комментарием.
Насчет вашего «предположим» — это вы описали сферического коня в вакууме. Ботнет — это очень динамичная и непредсказуемая штука. Сделать из тысячи абсолютно разных компьютеров джаббер-сервера — это почти из области фантастики. Мало того, вы ещё и к DNS это всё прикрутить хотите. :)
Господа я считаю что прежде чем спорить по этому поводу нужно детально изучить Jabber и его протоколы и сравнивать с тем что уже существует например в email сервисах… Только тогда можно будет объективно увидеть плюсы и минусы. Факт состоит в том что Jabber сейчас располагает дополнительными «фичами» для защиты от спама. И спама в нем нет, остальное покажет время и практика. :)
ИМХО.
Вот если бы гугл сделал возможность юзать джаббер на своих доменах да еще с возможностью подключать ICQ-транспорт это была бы вещь =)
панель иснтрументов
добавить новые службы
добавить чат %)
Сам пользуюсь таким уже почти год — успешно.
Я хоть и поставил свой джаббер сервер два года назад из общего контакт-листа с джаббера у меня ровно один чел =)
собственно досада в том, что приходится довольствоваться «второсортными» сервисами, в которых есть транспорт icq, стабильность которых хромает.
xmpp конечно открыт, но почему вышеупомянутые google и yandex закрывают выход в icq? даже если я бы и не пользовался icq, очень хотелось бы свободный доступ даже к таким гадким вещам как «аська».
СВОБОДА — должна быть не только свободой для хорошего и в хорошее, но и для плохого и в плохое. Иначе это плохая свобода.
пока все не перестанут пользоваться SMTP — спам будет.
Я думаю что принципиальной разницы в спаме для smtp и xmpp нет, разве что методы спама должны немного отличаться.
Главная проблема для меня сейчас в том что очень редко можно найти человека в джаббере. Т.е с больше вероятностью у человека будет аська, но не будет Jid
так что по большому счёта все наши попытки перетащить пользователей на джаббер приближают тот момент, когда в нём появится спам.