Пользователь
0,1
рейтинг
22 июля 2014 в 17:36

Разработка → Игрища с сервером jabber.ru

Среди активных и пассивных пользователей Линукс принято осуждать использование любых мессенджеров, кроме джаббера. Однако, мало кто знает, что сервер jabber.ru скрывает в себе множесто «веселых игр» вроде чтения приватной переписки в конференциях. Самые увлекательные развлечения, которые удалось отыскать описаны в этой статье.



Игра первая: найди всех своих друзей


В отличие от нормальных серверов, тут все сделано для людей и их удобства. Например, простой, непривилигированный пользователь может выполнить такой запрос:
<iq type="get" to="ваша_конференция@conference.jabber.ru">
<query xmlns="http://jabber.org/protocol/muc#admin"><item affiliation="member"/></query>

В ответе вам придет полный список зарегистрированных членов конференции. Вашей или не вашей. Приватность не нужна.

Да, это администраторский запрос, который сделан для редактирования списков пользователей. Но администрация jabber.ru крайне заботливо относится к своим клиентам и позволяет им найти всех своих друзей, даже если у вас нет администраторских полномочий.

Если вы не разбираетесь в программировании, то представляем вашему вниманию gist.github.com/7316aec410cbecd4d97a.git, простое и понятное консольное приложение, которое можно рассматривать как фронтенд к игровым сервисам, это приложение сделает вашу игру по-настоящему захватывающей, но одновременно с этим и простой. Найди всех своих друзей и врагов, докажи, что они в интернете не правы!

Позвольте, но ведь это всего-то список jid, разве можно выразить свою любовь через компьютерный интерфейс?
Да! Теперь это возможно!
Например, свою дружбу можно доказать, отправив около 500 запросов на дружбу через запрос авторизации. Современные xmpp-клиенты будут настолько рады, что зачастую будут вылетать от обилия счастья!

А вот и готовый инструментарий, все опенсорсно и свободно: github.com/Kagami/kisa

Пусть ваша дружба будет вечной!

Игра вторая: хочу все знать


Пожалуй, самой уникальной функцией jabber.ru является… чтение чужой лички! Вы не только сможете читать чужие сообщения, но и даже подменять их!

Как это работает:
В настройках конференции вы можете указать сервис (jid) для фильтрации сообщений, как правило, это какой-то бот, который должен быть в конференции. Само собой, если у вас нет такого бота, то вы запросто можете арендовать его в большом количестве конференций, ведь все сделано для людей. Ну или написать самому.

Боту не нужны админские права, бот просто должен присутствовать в конференции, пусть даже в статусе посетителя. Единственное, что ему нужно — это отвечать на специально сформированные IQ-запросы, разработанные на jabber.ru, что является настоящим эксклюзивом данного сервиса. Попробуйте — и вы не пожалеете! Вы уже хотите?

Официальная инструкция в бложике jabber.ru: jabber-ru.ya.ru/replies.xml?item_no=4659

У нас на jabber.ru, а точнее, на сервисе conference.jabber.ru появилась экспериментальная дырка, позволяющая фильтровать трафик конференции внешними сервисами, в народном обиходе называемыми ботами. Владельцы конференций смогут самостоятельно обеспечивать защиту своих территорий от употребления нецензурных слов, слишком длинных мессаг и прочего бессмысленного хлама!
В конфиге конференции теперь есть опция, позволяющая указать jid бота, который будет через себя пропускать трафик, попадающий в конференцию. Станзы этого трафика выглядят как
id='1' type='set' to='jid@bot'>
<message оригинальная станда>

В ответ бот должен прислать эту же станзу с type=result; В теле мессаги бот может производить различные операции над телом сообщения, которые сочтет необходимыми — например, замена мата на звездочки, заменить все сообщение на ссылку в пастбине или вообще заменить на ошибку пользователю.
Разработчики ботов могут заглянуть в конференцию devel@conference.jabber.ru и обсудить это дело там.

Удачи в борьбе с малолетками.


Конечно, если вы администратор конференции, то вы наверняка об этом знали и раньше и могли подсматривать в переписку, а что делать простым посетителям, у кого нет администраторских полномочий, а почитать чужую переписку ужас как охота?

Игра третья: админ на час


Сервис jabber.ru постоянно борется за звание жаббера высокой культуры быта. И в погоне за высокой культурой останавливаться на только автоматических системах нельзя. Роботы не могут оценить сути происходящего, только настоящий живой человек сможет разобраться.

Сразу предупреждаю, что если у вас маленькая конференция, до 5 человек, то эта игра не для вас. Эта игра для топовых конференций: jc.jabber.ru

Если вы в топе, то вас ожидает бесплатный сервис технической поддержки и расширенного обслуживания. Совершенно бесплатно к вам в конференцию зайдет высококвалифицированный специалист и поможет вам управлять вашим же сообществом. Он не только забанит ваших ботов, назначит новых администраторов, обеспечит доступ третьих лиц к приватной информации, но и поддержит беседу на высоком интеллектуальном уровне. Пример:

(22:09:49) karp: А вообщето пох[цензурировано]…
(22:55:30) karp: овнера?
(22:55:42) karp: ща
(22:55:54) karp: с норм клиента зайду
(23:00:11) karp: of
(23:00:13) karp: ща
(23:00:26) karp: [цензурировано]
(23:01:08) karp: zdrfv: все предложения на http://code.ustyugov.net...
(23:06:15) karp: да
(23:07:38) karp: крутой_пулемёт: круто?
(23:09:18) karp: крутой_пулемёт: нет, говорю
(23:09:46) karp: =)
(23:10:33) karp: крутой_пулемёт: бро, я же не могу настолько оху[цензурировано]...
(23:11:21) karp: zdrfv: нет. И мне пох[цензурировано]
(23:50:51) karp: Наташечка: так
(23:52:28) karp: Наташечка: речь не о том была, но пох[цензурировано]…
(23:55:12) karp: Он сейчас в админах?
(23:55:29) karp: нет. [цензурировано]ле истерить?
(23:56:20) karp: [цензурировано]уя он не делал за две минуты…
(23:56:51) karp: ггг
(23:57:07) karp: Да мне же по[цензурировано]
(23:57:32) karp: за вообще конфу закрою =)
(23:58:22) karp: Му[цензурировано], бл[цензурировано]
(23:58:57) karp: И [цензурировано]е?
(23:59:19) karp: [цензурировано]утая дура…
(23:59:25) karp: Ушол


Впрочем, если вы хотите воспользоваться этой услугой вне очереди, то напишите на igor@ustyugov.net и вам всегда придут на помощь! А если вас где-то обидели, несправедливо (по вашему мнению) забанили, то тут вас не только разбанят, но и дадут вам администраторские полномочия, и вы с легкостью сможете отвести душу.

Игра четвертая: учим арабский


Это очень старая игра, которая со временем потеряла свой захватывающий геймплей, но не потеряла актуальности. Ранее, если в конференцию на jabber.ru написать что-то на арабском языке, то следовал немедленный кик. Так как администраторы плохо знали диапазоны юникода, то кик можно было огрести и за некоторые символы, которые не имеют к арабскому языку никакого отношения. Например, символы юникода, копируемые из комментариев сервиса YouTube.

Ранее игра была крайне захватывающей: можно было взять себе арабское имя и зайти в любую конференцию. Лучше всего работало в конференциях с ботами, где просто было достаточно написать ping и бОльшая часть конференции отваливалась. Было очень красиво и эффектно.

Со временем, геймплей изменился. Кик был удален, а текст сообщения заменялся на «I'm arabian pig». Данное признание можно было встретить от многих уважаемых участников совершенно разных конференций. К сожалению, новый геймплей не оценили и продержался он не очень долго, так как администрации грозили судами. Так как это уже не шутки, то вскоре сообщения начали заменяться на "***", можете попробовать сами.

Но даже сейчас очень весело заходить в различные конференции с арабским ником и активно участвовать в дискуссиях. Попробуйте сами!

Игра пятая: бонус


Зайти в support@conference.jabber.ru, сообщить о багах, о недоступности сервиса, задать технические вопросы и не получить бан. Конечно, разговаривать надо с официальными представителями, а не рядовыми пользователями.

Были и другие игры, которые могли бы скоротать ваш досуг. Например, кривой шейпер, который фактически блокировал работу конференции в случае, если один из участников оной отправлял длинную станзу. Были даже люди, которые сначала блокировали конфу, а потом просили выкуп за возвращение доступа. Впрочем, сообщения и сейчас очень часто не отправляются по причине limit rate, даже когда они исходят от легитимных пользователей и написаны живым человеком.

Генеральный спонсор игр: zinid.
Павел Жовнер @zhovner
карма
163,0
рейтинг 0,1
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (26)

  • +5
    Администрация совсем на письма не реагирует?
    • +11
      Администрация очень азарная и уже не первый день сама играет во все это. Попробуй поиграть в пятую игру сам.
    • +1
      Я тут некоторое время назад решил сделать доброе дело и редизайнул jabber.ru. В процессе работы контент можно было всячески изменять, мы довольно долго общались с администрацией. Ни о каких саппортах по емэйлу мне не говорили (и даже вроде наоборот говорили, что это не тру), иначе бы я его обязательно указал.
  • +2
    В связи с нестабильной работой сервиса, в последнее время всё чаще думаю сменить сервер… Вот только ростер жалко терять.
    • +2
      Поднял свой за 20 минут (prosody). Минусов за год использования не заметил.
      C точки зрения конфиденциальности безопаснее, настраивается как хочешь, внешние конференции работают.
      Ростер не проблема перенести, сохранить контакты и переотправить запросы с нового jid.
      • 0
        Свой это хорошо, но для этого нужно сервер иметь, а чисто ради джаббера покупать не хочется. Но спасибо за наводку: может ещё пригодится…
        • +2
          Я думаю почти у каждого айтишника найдётся vps/vds за 5$ для тестов и домашних страничек :)
          • +1
            Вспомнился старый анекдот:
            — У тебя нет своей домашней странички?! Скажи ещё, что ты девственник!

            vds я завести давно хочу, но как-то руки не доходят. Да и хомяк сделать тоже не доходят. Может когда-нибудь исправлюсь =)
            • +3
              Хомпагу и блог делай на Github Pages, а насчёт джаббера — бери себе домен и приходи к нам на Jabber-hosting.com ;)
              // Предложение открыто для всех желающих, если что. Если нет своего домена, то выберем какой-нибудь домен покрасивше из своих загашников.
              • 0
                Да я как бы даже octopress скачал и начал настраивать… Мотивации нету =)

                А за предложение спасибо, напишу тебе в jabber ;)
        • +1
          Есть неплохой вариант — XMPP от проекта DuckDuckGo. Использую около года, всем устраивает. duck.co/blog/using-pidgin-with-xmpp-jabber
        • +1
          Я свой тоже на prosody поднял дома (благо статический IP). А если лень ставить или нет возможности поставить свой сервер, то pdd.yandex.ru в помощь. У меня там один домен давно уже висит. Вроде всё работает стабильно. За одно о почте оповещает. Перешёл на него с jabber.ru в своё время, когда на конференцию Радио-Т не пускало с jabber.ru. С тех пор через него и заходил пока домашний сервер не поднял.
          • 0
            Разве у яндекса работает ещё xmpp? По-моему они отказались давно от него.
            • 0
              Доброе утро.
              На данный момент они не только не отказались от XMPP, но и «думают о том, чтобы начать требовать SSL/TLS»
              • 0
                Понятно, просто у них раньше в почте прямо веб клиент был, потом они отказались от него и вроде как xmpp хотели закрывать.
  • +5
    Пост вышел несколько негативный, попробую добавить немного позитива.

    1. По поводу просмотра списка посетителей конференции — так это не какая-то секретная дырка, а вполне стандартный запрос, который, насколько я понимаю, используется многими клиентами. Его можно заблокировать в настройках конференции.
    2. Во-первых, при заходе в такую конференцию многие клиенты показывают предупреждение: room is filtered by an external service, что должно заставить посетителей кой-чего заподозрить. Ни разу не видел, чтобы фичу применяли нелегитимно, в основном всякого рода навесную защиту от ботов через неё делают.
    4. История взаимоотношений jabber.ru с арабским сообществом довольно долгая и я не в курсе, что у них там за разногласия, но как минимум один раз была обнаружена дыра в нескольких клиентах сразу, которая позволяла ронять их парой арабских символов. Возможно, в сервере тоже были проблемы с перекодировками. Так что запрет на арабские буквы какое-то время был просто технической мерой, чтобы не роняли сервер (зачем он существует до сих пор — я не знаю; возможно, кто-нибудь из администрации развеет наши сомнения).

    По поводу саппорта — лично у меня только позитивный опыт общения с администрацией, обычно отвечают оперативно и даже могут за пару дней по запросу починить баги в сервере. Ни разу не банили тестеров и баг-репортеров, в целом общаются в позитивном ключе.
    • +3
      1. А вы попробуйте заблокировать.
      2. А как вы узнаете, насколько легитимно ее используют?
      4. Баг с юникодными символами до сих пор жив и здоров. Сервер его не режет.
      • 0
        И да, в жаббере нет перекодировок, utf8 прописан в стандарте.
      • +3
        1. Подтверждаю, действительно, мне не удалось спрятать список участников от вашего iq-запроса (я пробовал разные конфигурации настроек). Очень жаль.
        2. Захожу, смотрю, спрашиваю у ответственного за фильтрацию (как правило, кто-то из владельцев конференции). Разумеется, стопроцентной гарантии я дать не могу.
        • +4
          >спрашиваю у ответственного за фильтрацию

          Ну тогда никаких проблем, можно спать спокойно.
        • 0
          А если установить пароль на вход? Если не ошибаюсь, список участников в этом случае не отдается по запросу
          • 0
            Пароль тоже не спасает. Пожалуйста, скажите мне, что я неправ :(
            • 0
              Да, неправ. Сброс аффилок работает нормально, без прав мембера чужой человек не может посмотреть список мемберов конференции. Во всяком случае, перепроверил прямо сейчас — действительно работает, а на приснопамятный запрос отдаёт 403.
    • +5
      как минимум один раз была обнаружена дыра в нескольких клиентах сразу, которая позволяла ронять их парой арабских символов
      Это были проблемы с некоторыми utf-символами из zalgo-генератора, да.

      даже могут за пару дней по запросу починить баги в сервере
      Я несколько месяцев общался с ними на предмет протухающих s2s-коннектов, каждый раз все заканчивалось фразой «проблемы на вашей стороне, у нас все ок».
  • 0
    Я правильно понимаю, что пост относится к конкретно взятому серверу, и что на любом другом сервере со включенным шифрованием поиграть не удастся?
    • 0
      Если на сервере установлен ejabberd — то, возможно, что-нибудь из перечисленного и удастся провернуть. К другим серверам описанное в посте относится в меньшей степени.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.