Как Skype уязвимости чинил



    Короткий ответ: никак, им пофиг.


    В статье описываются мои безуспешные попытки убедить сотрудников Microsoft, что их сервис уязвим, а также унижения, которые приходится выносить пользователям Skype. Под катом невежество, боль и отчаяние.

    UPD


    Статья на английском hub.zhovner.com/geek/how-skype-fixes-security-vulnerabilities/

    Пост на HackerNews news.ycombinator.com/item?id=13227480

    TL;DR:

    • Любой может заблокировать ваш аккаунт навсегда так, что вы больше не сможете им пользоваться. Для этого достаточно знать только имя аккаунта. В большинстве случаев Skype откажет вам в восстановлении доступа. Microsoft знает об этой проблеме несколько лет.

    • Механизм генерации восьмизначных одноразовых кодов аутентификации (Microsoft Security Code), которые используются для восстановления пароля к аккаунту Microsoft, уязвим. Атакующий может угадать код.

    • Техподдержка Skype уязвима для атак социальной инженерии. Microsoft считает это нормальным.

    • Техподдержка Skype не знает, что на самом деле происходит с вашим аккаунтом, и почему он заблокирован. В любом случае вы получите стандартный ответ, что ваш аккаунт заблокирован за нарушение правил, даже если аккаунт был удален по вашему запросу.

    • Skype по-прежнему раскрывает ваш IP-адрес, в том числе и локальный (тот, что на сетевом интерфейсе). В некоторых случаях возможно раскрытие контактов, подключенных с того же внешнего IP-адреса, что и вы. Например, членов семьи, подключенных к домашнему роутеру.

    • Атакующий может скрыть активную сессию из списка авторизованных клиентов (команда /showplaces) используя старые версии SDK. Таким образом, зная пароль, можно незаметно просматривать переписку жертвы.


    Обо мне


    Я пользуюсь скайпом около десяти лет. Раньше я мог назвать себя настоящим фанбоем скайпа.
    Когда был доступен публичный баг-трекер jira.skype.com, я активно пытался улучшить Skype, рапортовал о багах.

    Например, SCW-2778 Remote DoS exploit. Эта уязвимость позволяла удаленно обрушить десктопную версию Skype для Windows так, что программа не запускалась без очистки истории.

    Или SCW-3328, которая позволяла удаленно включить отключенный микрофон во время звонка.

    Уже тогда Skype настораживал своим подходом к исправлению багов. Мне приходилось буквально умолять разработчиков исправить проблему, которую не могли починить годами! Вот как это выглядело.

    Я пользовался всеми продуктами Skype, инструментами для разработки Skype4Com, Skypekit. Покупал premium-подписки. Продвинул на работе идею купить Skype For Business. Писал ботов, сервис для генерации собственных смайлов и т.д.

    Но сегодня могу сказать, что я искренне ненавижу Skype. Это отвратительный сервис, погрязший в бюрократии и невежестве сотрудников, абсолютно игнорирующий проблемы и занятый только созданием 3D Видеосмайлов. На сегодняшний день Skype не просто не безопасен, он представляет угрозу для пользователей, потому что его механизмы обеспечения безопасности не работают.

    Хронология событий


    Уже на протяжении нескольких лет существуют уязвимости, приводящие к блокировке произвольного Skype-аккаунта. Их несколько, ими активно пользуются злоумышленники и предоставляют в качестве сервиса.

    Раньше я много писал про уязвимости скайпа, и ко мне стали обращаться жертвы блокировок, которые находили меня через поиск.

    Я видел разные случаи блокировок Skype-аккаунтов. Пытался помочь людям восстановить доступ и умолял Skype сделать с этим хоть что-то.

    Обычно это были блокировки через массовые жалобы. Это давно известный способ, который существует уже много лет. Он настолько старый, что стал частью детской субкультуры, ведущей войны друг с другом в Skype. Но за последний год случилось нечто вопиющее, о чем я не могу молчать.

    Способ 1 — абузы (классический)


    В Skype аккаунт блокируется автоматически, если на него поступило достаточное количество жалоб от других пользователей. Предположительно, более 20 штук.

    Для того, чтобы отправить жалобу, не нужно даже добавлять аккаунт в контакт-лист, это можно сделать, найдя аккаунт через поиск и кликнув «заблокировать → сообщить о нарушении».

    Таким образом, жертва может не знать об отправленных в ее адрес жалобах.

    Этой технике уже много лет. О ней писали на Хабре, о ней знают даже дети, которые собираются в группы для совместного накручивания жалоб.

    Вот, например, найденные беглым поиском по vk.com:

    vk.com/block_pidaram_skype
    vk.com/skype_delete
    vk.com/blacklistskype
    vk.com/blockskyp
    vk.com/eds_snos
    vk.com/club58649499
    vk.com/club49404483

    Таких сообществ много и в самом Skype. Существует даже отдельная субкультура «вкачивателей». Обычно это дети 12-19 лет, которые объединяются в кланы. Суть их деятельности состоит в максимальном нанесении вреда оппоненту, который выбирается случайным образом.

    Основные баталии происходят в виде словесных дуэлей в групповых звонках. Смысл в том, чтобы максимально унизить собеседника за короткий период времени и зафиксировать это на видео.

    Видеозаписи дуэлей (Осторожно: мат и крики)

    Некоторые кланы вкачиваетелей выпускают свой фирменный софт для автоматизации вредоносной деятельности.

    Демонстрация программы для массовой рассылки жалоб (Видео). Получается подобие ботнета из собственного контакт-листа, который добровольно абузит присланные аккаунты. Напомню, что для жалобы не нужно добавлять аккаунт жертвы к себе в контакты. То есть на вас может пожаловаться сотня школьников, с которыми вы никогда не общались, и вы этого не узнаете.

    Я лично знаю десяток жертв, чьи аккаунты были удалены таким образом. На все обращения в поддержку Skype отвечают стандартной отпиской:

    I understand that your Skype account was blocked. I apologize for any inconvenience that this may have caused, but I will be more than happy to look into this for you.

    Our automatic systems detected that activities which are contrary to Skype’s Terms and Conditions have taken place via your Skype account. As a result, your account has been restricted and will remain restricted until further notice.

    Перевод

    Я понимаю, что ваш аккаунт был заблокирован, и извинюсь за доставленные неудобства. Я буду БОЛЕЕ ЧЕМ СЧАСТЛИВ посмотреть, чем я могу помочь.

    Наша автоматическая система определила, что вы чмо и нарушаете все правила. Поэтому мы удалили нафиг ваш аккаунт, до свидания.

    Угадайте, исправлена ли эта уязвимость на текущий момент? Конечно же нет!

    Блокировка через техподдержку


    Осенью 2015 года мне стали писать люди, пострадавшие от нового вида атаки. На этот раз перед блокировкой аккаунта жертве приходили письма от Microsoft с восьмизначным кодом. Письма были отправлены с ящика verifyme@microsoft.com и имели корректную DKIM-подпись, то есть были точно от Microsoft.

    weak microsoft security code prediction attack

    Проведя с друзьями собственное расследование, мы нашли исполнителя атаки. Его объявлениями были заполнены все форумы для малолетних кулхацкеров.

    Вот его реквизиты:

    ICQ: 676061500
    Skype: alaaasddsa1.as
    Jabber: block_service@xmpp.jp
    

    Вот одно из объявлений удалятора:

    image

    Чтобы проверить, как происходит удаление, я заказал у него удаление моего тестового аккаунта.
    Для чистоты эксперимента были соблюдены такие условия:

    • Аккаунт был зарегистрирован на свежесозданный почтовый ящик, никак не связанный с аккаунтом. Угадать или найти почту от аккаунта в открытых источниках было невозможно.
    • Был установлен сложный пароль из длинной последовательности цифр и букв в разном регистре
    • В контакт-листе были добавлены только доверенные контакты.
    • Аккаунт не состоял в конференциях и почти не использовался для переписки и звонков

    На протяжении всего процесса удаления я мониторил почтовый ящик и был авторизован в десктопном Skype клиенте.

    Через несколько часов после оплаты на почту посыпались письма с Microsoft Security Code, как на скриншоте выше.

    За 10 часов пришло 24 письма с кодами. Забегая вперед скажу, что атакующий в итоге угадывал код подтверждения.

    Вот все коды из писем, пришедшие за время атаки, с привязкой ко времени получения письма.
    Видно, что отправка происходит короткими всплесками в пределах нескольких минут.

    Microsoft Support Code: 41917837 Fri, 26 Feb 2016 04:25:54 -0800 (PST)
    Microsoft Support Code: 14793784 Fri, 26 Feb 2016 04:27:32 -0800 (PST)
    Microsoft Support Code: 58837293 Sat, 27 Feb 2016 03:29:18 -0800 (PST)
    Microsoft Support Code: 68871688 Sat, 27 Feb 2016 03:29:33 -0800 (PST)
    Microsoft Support Code: 38424446 Sat, 27 Feb 2016 03:30:33 -0800 (PST)
    Microsoft Support Code: 25068066 Sat, 27 Feb 2016 03:35:39 -0800 (PST)
    Microsoft Support Code: 27311897 Sat, 27 Feb 2016 03:58:58 -0800 (PST)
    Microsoft Support Code: 93194445 Sat, 27 Feb 2016 04:02:43 -0800 (PST)
    Microsoft Support Code: 32506812 Sat, 27 Feb 2016 04:03:36 -0800 (PST)
    Microsoft Support Code: 33627494 Sat, 27 Feb 2016 04:05:40 -0800 (PST)
    Microsoft Support Code: 98350414 Sat, 27 Feb 2016 09:00:03 -0800 (PST)
    Microsoft Support Code: 12437217 Sat, 27 Feb 2016 11:41:04 -0800 (PST)
    Microsoft Support Code: 42078695 Sat, 27 Feb 2016 11:42:45 -0800 (PST)
    Microsoft Support Code: 41321028 Sat, 27 Feb 2016 11:43:09 -0800 (PST)
    Microsoft Support Code: 44964659 Sat, 27 Feb 2016 11:43:19 -0800 (PST)
    Microsoft Support Code: 90692933 Sat, 27 Feb 2016 12:50:21 -0800 (PST)
    Microsoft Support Code: 23696204 Sat, 27 Feb 2016 12:55:18 -0800 (PST)
    Microsoft Support Code: 60212551 Sat, 27 Feb 2016 12:55:25 -0800 (PST)
    Microsoft Support Code: 81725942 Sat, 27 Feb 2016 12:58:04 -0800 (PST)
    Microsoft Support Code: 29172590 Sat, 27 Feb 2016 14:26:54 -0800 (PST)
    Microsoft Support Code: 28091548 Sat, 27 Feb 2016 14:30:38 -0800 (PST)
    Microsoft Support Code: 55969586 Sat, 27 Feb 2016 14:54:21 -0800 (PST)
    Microsoft Support Code: 12424717 Sat, 27 Feb 2016 14:57:59 -0800 (PST)
    Microsoft Support Code: 36300450 Sat, 27 Feb 2016 14:58:16 -0800 (PST)
    

    После того, как письма прекратились, в профиле аккаунта удалились личные данные (имя, фамилия, пол). Остался только логин. В настройках аккаунта на сайте skype.com почтовый ящик сменился с моей почты на deleted@skype.com. Меня разлогинило из десктопного клиента.

    На тот момент мы имели следующие данные:

    • Атакующий не знает почту от аккаунта. Учитывая предыдущие инциденты со взломом аккаунтов, от которых была известна почта, можно было предположить похожую атаку.
    • Пароль от аккаунта достаточно надежен и подбор исключен.
    • Запросов авторизации от незнакомых контактов не происходило. В Skype-клиенте никакой активности не было. Атакующий никак не контактировал с жертвой.

    Из этого не было понятно, как именно происходит удаление. Не удавалось найти форму, которая генерирует письма с Microsoft Security Code. Ничего не оставалось, кроме как пытаться выудить информацию у взломщика. Мы с друзьями продолжили заказывать удаление тестовых аккаунтов, и в один момент взломщик, в качестве доказательства выполнения атаки, показал скриншот, на котором оператор техподдержки подтверждает, что аккаунт успешно удален:

    image
    Имя аккаунта заблюрено.

    Это была форма Live Chat Support, доступная аккаунтам с подпиской. Найти ее можно на сайте skype.com, пройдя несколько раз мастер решения проблем. Если выбирать все время «проблема не решена», то на последнем шаге предлагается открыть чат.

    Чат открывался со стороннего домена https://sales.liveperson.net. Из описания на сайте видно, что это сторонняя компания, предлагающая услуги поддержки для вашего продукта.

    В итоге процедура удаления аккаунта через чат тех. поддержки выглядела так:

    1. Атакующий говорит: «Пожалуйста, удалите мой аккаунт accountname, потому что я завел другой.
    2. Оператор просит подтвердить владение аккаунтом, назвав код, который был выслан на почту, привязанную к аккаунту. При этом оператор не называет почты, а только ожидает правильный код.
    3. После того, как оператор получит правильный код, аккаунт удаляется. При этом оператор соглашается выслать код повторно несколько раз и не возражает, если названный ему код не подходит.

    Забавно, что в форму чата с поддержкой передается логин, под которым был авторизован клиент на skype.com. То есть оператор, в теории, должен видеть, с каким именно пользователем он общается. От того особенно странно, что можно назвать совершенно любой аккаунт для удаления и оператор послушно согласится начать процедуру удаления.

    В этот момент все еще неясно, как конкретно атакующий успешно завершает процедуру удаления.

    Эй, Microsoft!


    Уязвимость очевидна. Бежим кричать тревогу в Skype.
    Ведь такую серьезную уязвимость обязательно должны исправить, не так ли?

    Так как у Skype нет каких-то публичных контактов для сообщений об уязвимостях, пробую написать на форум. Никто не реагирует, зато в теме отметились другие жертвы этой атаки.

    Через друзей мне удалось связаться напрямую с сотрудниками Microsoft. Я подробно описал все этапы уязвимости, приложил скриншоты, листинги кодов. Меня заверили, что начато внутреннее расследование. Серьезная компания ведь.

    Однако спустя месяц ко мне снова обратились новые жертвы этой атаки. Сотрудники Microsoft сообщили, что расследование еще не закончено.

    Пробую написать в secure@microsoft.com. Это специальный ящик для быстрого реагирования на критические уязвимости. Гарантируется ответ в течение 24 часов. В письме я подробно описываю этапы удаления аккаунта со скриншотами.

    Ответ Microsoft Security Response Center:
    image

    Вольный перевод: это не уязвимость, вы просто дурак.

    Раз в неделю я спрашивал, как продвигается расследование у ребят из Microsoft, на что получал ответ, что результата нет. Так продолжалось около ШЕСТИ МЕСЯЦЕВ!!!.

    Было достоверно известно, что атакующий называет правильный код оператору. Иногда со второй-третьей попытки. Стыдно признаться, но мне так и не удалось выяснить как, именно это происходило. Сперва мне казалось, что код генерируется от времени, и поэтому атакующий пытается запросить как можно больше кодов в течение одной минуты, что видно по времени получения писем, но я не смог найти зависимости кода от времени. Возможно, был уязвим сам сервис чатов liveperson.net.

    Недавно Skype отказались от сервиса liveperson.net, и чат с агентом поддержки происходит на домене microsoft.com. Процедура удаления скайп-аккаунта теперь недоступна оператору тех. поддержки, и ее нужно выполнять самостоятельно через форму.

    Наверное, тут вы подумаете, что уязвимость закрыта. Как бы не так.

    Эксперимент — умереть за ваши грехи


    Спустя год после описанных выше событий, ко мне снова обратились жертвы нашего удалятора скайпов. Теперь письма с Security Code не приходили, очевидно был найден другой способ.

    Признаться, мне вся эта история уже порядком надоела. Я устал умолять, унижаться и выпрашивать исправить уязвимости по многу месяцев.

    Как я уже говорил, я пользуюсь скайпом около десяти лет. Моему основному аккаунту zhovner примерно столько же. Мне показалось, что будет нечестно только смотреть на страдания других людей, не пережив этого самому. Тогда я решил провести эксперимент и заказать сразу удаление своего аккаунта.

    Заказ удаления



    Стоимость работ — 2 тысячи рублей (примерно $30). На этот раз удалятор обозначил три дня на выполнение работы. И действительно, через несколько дней меня разлогинило из скайпа, и больше я не мог в него войти.



    Общение с техподдержкой Skype


    Сразу после блокировки аккаунта я написал в техподдержку Skype. Предположив, что аккаунт был заблокирован старым добрым способом через массовые жалобы, я подробно описал ситуацию.

    Оригинал переписки можно посмотреть здесь: telegra.ph/Account-blocked-by-mass-abuse-reporting (Читать сверху вниз)
    Я рекомендую прочитать именно оригинал, чтобы ощутить полностью унижение, которое испытывают невинные жертвы блокировок.

    Краткая выдержка из переписки:

    <Я> Почему мой аккаунт заблокирован? Я предполагаю, что это результат массовых поддельных жалоб.

    <Skype> Наша автоматическая система заблокировала ваш аккаунт за нарушение правил использования Skype.

    <Я> Ваша система уязвима, с помощью поддельных жалоб можно заблокировать чужой аккаунт, даже если он не выполняет никаких действий и не нарушает правила. Мой аккаунт был заблокирован именно таким образом. Пожалуйста, проверьте тщательно.

    <Skype> Мы проверили, наша система не ошибается, вы точно нарушили правила. Наша система очень точна, и все действия логируются. Мы точно видим, что вы нарушили правила, ваш аккаунт не будет разблокирован никогда. Если хотите пользоваться скайпом дальше — заводите новый.

    <Я> Ваша система подвержена мошенническим манипуляциям. Вот доказательства.

    <Skype> Нет, наша система не ошибается, инфа 100%

    <Я> Хорошо, назовите мои конкретные действия, которые привели к блокировке.

    <Skype> Вы уже описали эти действия в предыдущих письмах. Вы правы насчет причин блокировки.

    <Я> Вы что, сумасшедшие? Получается, вы подтверждаете, что любой аккаунт может быть удален, если злоумышленник отправит достаточное количество жалоб? И вы даже не знаете о причинах этих жалоб? Вы знаете, что эти абузы могут быть отправлены даже без добавления жертвы в контакт-лист. То есть их можно отправить с аккаунта, который никогда даже не общался с тем, на кого он жалуется. Получается, вы фактически подтверждаете существование такой уязвимости. Это вообще законно? Я планирую обратится в суд.

    <Skype> Мы считаем, что предоставили вам достаточно информации. Вы просто говно и все тут.

    <Я> Это очень серьезная уязвимость. Я считаю, что вы должны тщательно расследовать ее. У меня достаточно данных для воспроизведения этой уязвимости. Мы можем повторить ее на аккаунте, который вы предоставите, который точно не нарушает правила, и который вы полностью контролируете. Я оплачу удаление этого аккаунта атакующему, и вы сможете расследовать эту проблему.

    <Skype> Мы понимаем, что вы хотите узнать точную причину удаления вашего аккаунта. Мы уже сообщали вам ранее, что наша автоматическая система выявления мудаков очень точна. Так вот, вы — мудак. У нас все записано!

    <Я> Хорошо, что если я хочу сообщить об уязвимости? Вот ее подробное описание…

    <Skype> Да нам пофиг вообще, идите в суд или полицию.

    Итог


    На текущий момент, прошло 15 дней с момента блокировки моего аккаунта. Из переписки с поддержкой видно, что возвращать его не собираются. Но я все-таки рассчитываю его вернуть, и получить извинения от Skype за все унижения, которые мне приходится терпеть, пытаясь сделать их сервис безопаснее.

    К сожалению, Skype на сегодняшний день — огромная неповоротливая бюрократическая машина, которая из-за своих размеров и плохой организации не способна выявлять и реагировать на проблемы. Я сильно сомневаюсь, что в ближайшее время что-то изменится.

    В статье описаны уязвимости, которые известны лично мне. По опыту, можно предположить, что существует еще огромное число проблем, о которых я просто не знаю, и которые активно эксплуатируются.

    Важно понимать, что таким проблемам подвержен ЛЮБОЙ мессенджер с централизованным управлением, где вся безопасность строится на доверии к администрации.

    Если вы считаете, что ваш любимый мессенджер более безопасен чем Skype, потому что его сотрудники хорошие ребята, то это большое заблуждение.

    Люди, которые имеют неограниченный доступ к информации всех своих пользователей, могут быть уязвимы к давлению, шантажу или обману. Вряд ли кто-либо готов сидеть в тюрьме или отдать жизнь за сохранность сообщений своих пользователей. И пока существует такой неограниченный доступ, всегда будет соблазн этот доступ использовать неправомерно.

    По-настоящему безопасный мессенджер должен быть построен не на доверии к какой-то группе людей, а на невозможности неправомерного доступа к информации на уровне спецификации.
    Метки:
    Поделиться публикацией
    Комментарии 391
    • +2

      Переходите на дискорд) Что я зря статью писал свою чтоли)

      • +5
        А видеозвонки, шаринг экрана? И почему вдруг дискорд хоть сколько-нибудь безопаснее скайпа?

        И почему в вашем дискорде нет возможности проверить как меня слышно, почему я вынужден спрашивать у остальных «громко? тихо? А так нормально?»
        • 0
          Ухты, видео добавили. Но все равно я не понял зачем придумана такая сущность как сервера? Зачем внутре серверов какие-то комнаты. Почему бы не сделать просто одну комнату/конференцию. Сложный интерфейс, я не осилил.
          • +2

            Ну вы попробуйте, эта сложность окупается с головой в сообществах больше 5 человек. А так, вы можете и тупо в друзья нужных людей добавить и даже группы создать… Так тоже можно пользоваться дискордом. Выйдет почти тот же скайп.

            • 0
              А еще я не понял почему логин не уникален. Как тогда однозначно идентифицировать пользователя? Как на визитке написать свой дискорд-аккаунт? vovan1231234?
              • +1

                Все верно, там же айди добавляется к логину. У меня Believer #4484

                • +3
                  Тогда у меня Believer #4127 Можете добавляться.
                  • +3

                    Это типа такой юмор у вас?) Так я и не понял, чего народу в дискорд не нравится. Мы уже около года там, всё это время я полностью был доволен его работой. По сути, это лучший инструмент для коммуникации для группы людей.

                    • +10
                      Нет, я не шучу, это правда мой айди, можете добавляться.
                      • 0

                        Ну окей, добавились. Надеюсь теперь вы довольны ))

                    • 0
                      Прям перекличка белиберов какая-то! :'D
              • +1
                Это чисто игровой мессенджер, потому и комнаты/сервера/итд для разных игр, групп, гильдий и т.д. Для игроков это действительно удобно, а для обычного общения лично я перешел на Тох и перетащил туда нужные контакты.
              • +2
                Они могут сами вас сделать тише/громче
                • 0

                  А как в скайпе проверить, как меня слышно?

                  • 0
                    Позвонить на «Skype Test Call». Это можно сделать из настроек либо добавить контакт echo123.
                • 0
                  Также есть Curse Client, в котором уже есть групповые видео звонки и демонстрация экрана.
                  • +1
                    Ну а мы, в свою очередь, пользуемся https://zoom.us/
                    Сервисов куча. На скайпе свет клином не сошелся. Хрен бы с ним :) К счастью мелкомякие отказались покупать слак ;D
                    • 0
                      Microsoft отказался или Slack?
                      • 0
                        Плюсую, межконтинентальная связь в zoom просто бесподобна.
                      • 0
                        Curse — тоже на хромиуме.
                        • +1
                          И это довольно сильно раздражает. Вообще — это программа для обновления дополнений к онлайн-играм. Её задача — проверять обновления файлов, качать их и распаковывать.

                          Но теперь они решили, что игроки непременно хотят, чтобы обновлятор содержал ещё голосовой чатик (притом, что самим игрокам это не упёрлось, они уже сидят на RaidCall, Discord и т.п.).

                          Я чую, что придётся пореверсить общение клиента с сервером и пилить свою утилиту, которая будет маленькой, быстрой и делающей лишь одно дело — обновляющей дополнения.
                          • 0
                            Curse App и Curse Client две абсолютно разных программы — первая это чат/мессанжер аналогичный дискорду, вторая же для установки модов к играм.
                            • 0
                              Вот только это теперь называется «legacy Curse Client» и больше не обновляется… А установку модов запилили в Curse App.
                              • 0
                                Первая тоже умеет устанавливать моды. И её позиционируют, как замену второй, которую (в будущем) прекратят поддерживать.

                                К счастью, там достаточно простой протокол, отвечающий за обновление модов. Всю необходимую информацию сервер отдаёт в виде JSON.
                          • 0
                            Периодически отвратительное качество звука и дикие задержки в комплекте, ага.
                          • +3
                            я так понял это на электроне написано? У меня мало доверия к тому, что написано под систему на веб технологиях
                            • +9
                              Сейчас каждая вторая программа это браузер.
                              • +26
                                Но это не значит, что это хорошо…
                              • 0
                                Конкретнее можно? Чему там не доверять если это отдельный сэндбокс.
                              • +8
                                Он разве тоже не централизован, да еще и закрытый?
                                Зачем шило на мыло менять?
                                • 0
                                  Вот когда кто-то напишет к нему нормальный десктопный клиент, без использования хромиума… В чём я очень сомневаюсь.

                                  И замена он тимспику и прочим игровым войс чатам, скорее. Т.к. та же самая инфраструктура — сервера, комнаты.
                                  • +1

                                    Вы хоть попробуйте. Оно работает быстрее многих клиентов.

                                    • +2

                                      Это если компьютер мощный. Может за последние месяцы там что-то радикально изменилось, но когда я несколько раз пытался им воспользоваться — на стационарнике все был о шустро (главное — не открывать диспетчер задач), а вот на ноуте, да еще от батарейки… Скажем так, у меня тимспик с кучей юзеров в канале так не лагал и так не выжирал батарейку, как дискорд с пятью людьми в единственном канале на "сервере". Да и "сервера" у него — одно название, ведь используются их сервера.

                                      • +1
                                        Так я пробовал же. Именно в качестве игрового войс чата. Быстрее, конечно, чем его вкладка в Firefox, например, но по сравнению с тем же тимспиком… Особенно чувствуется, если всего памяти 4ГБ.
                                        • +1

                                          Arch linux, текущая нагрузка. Core i3, ноутбук.


                                          image




                                          И я даже не знаю. Тимспик — это вообще же ужас в плане юзабилити.

                                          • +1
                                            У меня, конечно, не голосовые чаты, но…

                                            Мультипротокольный клиент (ICQ, Jabber, IRC) — 20 мегабайт памяти. Секрет — максимальное использование WinAPI.

                                            Использовать Electron это быстро, удобно для разработчика, но за всё приходится платить и цена, в данном случае — потребление ресурсов (лично для меня 100 мегабайт на один мессенджер это уже перебор).
                                            • 0

                                              Все указанные вами инструменты всё равно менее юзабельные, всё это я и сам использовал, в джаббере несколько лет сидел на тиклевском клиенте Tkabber в своё время. Но если говорить о совокупности функционала, юзабилити, юзер френдли, хорошей скорости — то Дискорд пока рвёт всех сразу, практически. Там хорошо вообще всё. Поиска вот не хватает, но он уже на подходе.

                                              • –3
                                                Печально, учитывая, что плашка на 8гб памяти стоит 2500 рублей, свой комфорт вы оцениваете не более, чем в 32 рубля. Очень заниженная планка, как мне кажется.
                                                • +3
                                                  Уважаемый, с нормальными, нативными клиентами я могу, например, сидеть в 40 чат-комнатах IRC, и IRC-клиент будет потреблять 30 мегабайт RAM. Да и существуют случаи, когда увеличить объем RAM просто не представляется возможным, например, во многих современных ноутбуках RAM впаяна.
                                                  • 0
                                                    Я тоже не люблю все эти browser-like приложения, в которых внезапно вылезают js-ошибки (в настольном приложении? что?), но между ними и «нативными WinAPI» лежит пропасть, в которой вполне существуют приемлемые решения вроде C#/Java. 100МБ на мессенджер это вообще не проблема даже для мобильного телефона. Тем более, что мобильный телефон это все же не то устройство, где подразумевается возможность открывать по 20 приложений в фоне. Браузер-читалка-чат-плеер, стандартный джентельменский набор постоянно открытых приложений, остальные открываются и закрываются по требованию и не создают каких-то проблем.

                                                    Если бы написание винапи-приложений было бы целесообразным, все бы только их и писали. Но это не так, и как пользователь могу предположить — почему. Потому что мне, например, намного важнее единый UX, и по возможности единый клиент под все платформы, пусть даже это выльется в какой-то оверхед. Конечно, тут есть определенные границы разумного (Firefox с одной вкладкой с открытыми devtools за ночь съедает 3гб памяти), но речь-то не о том…
                                                    • 0
                                                      Приложения могут быть написаны, например, на C++ с Qt, могут быть полностью кросс-платформенными, и в то же время нативными. У 2ГИС же как-то это получается, например.
                                                      • 0
                                                        Между утверждением «Го писать кроссплатформенно на Qt» и «Го писать на WinAPI, потому что ненужные абстракции едят нашу память» пропасть, и с первым утверждением я нигде не спорил.
                                                      • 0
                                                        100МБ на мессенджер это вообще не проблема даже для мобильного телефона.

                                                        По опыту использования мобильного устройства с гигабайтом оперативки, могу сказать, что нехватка оперативки там — тоже проблема. При таком объёме памяти даже Firefox при длительной прокрутке, скажем, поиска по картинкам Google, просто берёт и вылетает.
                                                    • 0
                                                      Вы забываете про мобильные устройства.
                                                      • +2

                                                        На мобильных устройствах нет мессенджеров на электроне :) А скайп — самый тормознутый изо всех себе подобных на Android. Да и на iOS, по-моему, тоже.

                                                        • 0
                                                          Привязка к конкретной платформе конечно имеет преимущества в скорости, это очевидно, что каждый слой абстракции обходится нам во что-то, но по-моему мы уже достигли такого уровня, когда можно заплатить 50мб оверхеда за возможность запускать приложения на всех платформах. Да, JS тут не подходит (имхо), но есть куча других платформ, которые предлагают лучший компромисс производительность/портабельность. Я не согласен как раз с тем, чтобы затачивать приложение под конкретную платформу. Потому что большинство пользователей хотят использовать одно и то же и на компе, и на планшете, и на телефоне. Писать 2-3 разных приложения? Или все же одно подо все (по крайней мере ядро), и оставить платформо-специфическими только те вещи, которые нерентабельно выносить в общий код?
                                                          • –1

                                                            Не знаю что вам там не нравится насчёт джс. 100 мегабайт, я кидал наверху скриншот. Это практически не оверхед, для 4гб озу это всего лишь 2.5% вашей ОЗУ. Всего два с половиной процента. Неужели это реально так много, и стоит из-за этого разводить такую критику в сторону джс?

                                                            • 0
                                                              JS меня в основном не устраивает не памятью, а скоростью. Задержки тайпинга во всяких Atom весьма заметны.
                                                              • 0

                                                                Если мы говорим о редакторах кода, то тут я вас поддерживаю, в общем-то. Хотя особой разницы между Нетбинсом/ПхпШтормом и прочими Эклипсами, написанными на Яве, и всякими Брекетсами и Атомами, написанными на джс — я честно не вижу. Все они тормозят. Трудно толком сказать, кто тормозит больше.


                                                                Итог ясен, я думаю. Как всегда всё утыкается в компромиссы. Либо писать всё на си, чтобы всё ело мало памяти и работало мега-быстро, но при этом по количеству функций всё будет очень скромновато. Либо брать определённые языки и платформы, которые позволяют достигнуть результата намного быстрее, и фичами обрасти более широкими за более короткое время, но ценой некоторой потери производительности и экономности.


                                                                Саблайм например написан на С++, он хорош по скорости. Но набор функциональных возможностей меня удручает, и не хочу я сидеть и ковырять Интернет в поиске горы плагинов, и потом надеяться на то, что они вместе нормально заработают. Проще нетбинс использовать, он в разы более проработанный, хоть и работает медленнее. Всё равно его использовать приятнее.

                                                                • 0

                                                                  думается мне, что когда набор функциональных возможностей саблайма сравняется с тем же набором нетбинс/шторма/эклипса/etc, то он так же будет "тормозить"...

                                                                  • 0
                                                                    Не знаю, по-моему опыту та же студия с тайпингом справляется куда лучше, особенно учитывая установленные решарпер/тайпчекер и еще десяток плагинов. И это б-гомерзский WPF. То же про райдер, казалось бы, java-IDE, которая на каждый чих пихает объекты в .Net-бекенд, ан нет, очень шустро работает.
                                                                    • 0
                                                                      Бинс писали сами ораклы, а теперь апачи. Не думаю что вообще возможно написать что-то оптималнее
                                                            • 0
                                                              Для использования таких плашек (если речь о DDR3/DDR4) мне потребуется поменять также процессор и материнскую плату. Сейчас у меня четыре 2-гиговые плашки DDR2, и чтобы нарастить объём хотя бы до 12 гигабайт (4+2+4+2), мне нужно вовсе не 2500, а все 5-6 тысяч рублей (я смотрел цены на местных барахолках).
                                                              • 0
                                                                Впрочем, это уже не столь насущная проблема, поскольку благодаря вот этой новости я таки решил проапгрейдиться (а теоретический максимум поддерживаемой памяти у чипсетов Z170 — 64 ГБ).
                                                          • +1
                                                            При этом версия для Linux на сайте в разделе «скачать» значится как «уже скоро», скачать то я конечно скачал, но выходит что это бета версия…

                                                            Вот решил со скайпом сравнить (скайп бета, и дискорд бета — всё честно):

                                                            image

                                                            AMD Athlon II x2 (+ 8 гигов оперативки)
                                                            • +2
                                                              На Linux Skype и вовсе последнюю неделю черти что вытворяет… Где же это ныне популярное Microsoft ♡ Linux????

                                                              Сопли
                                                              Официальное приложение с начала этого года перестало показывать некоторые групповые чаты, перешел на web-версию скайпа (даже скачал SkypeForLinux Alpha которая по сути тот же браузер только с иконкой в трее.) То что там нет демонстрации экрана и не работают видеозвонки — это тоже всё очень печально, а 2 дня назад и вовсе веб версия перестала работать и не работала целые сутки, я конечно сразу написал в тех. поддержку на что мне ответили: «ничего не ответили»
                                                              Через день скайп снова заработал, только теперь спустя некоторое время он перестаёт принимать и отправлять сообщения, при этом вы и не знаете что скайп выключился, пишете сообщения как обычно, только вам ничего не отвечают. И только после перезапуска — вас ругают что в середине рабочего дня куда-то пропал…

                                                      • 0
                                                        Изучайте API и пишите.
                                                        • 0

                                                          Да он даже тимспику не замена. Тимспик можно поднять у себя (до 32 человек на сервере — бесплатно, дальше либо получать NPL, либо коммерческая лицензия, либо изначально ставить опенсорсный Mumble) и сидеть в локалке, соединения (постоянного) с интернетом не требуется.
                                                          А в дискорде понятие "сервера" виртуальное, дань привычке, так сказать, по факту все хостится у них. Впрочем, для народа это проще, да.

                                                        • 0
                                                          Для Discord нет приложения под Win Mobile(
                                                          • 0
                                                            Дискорд действительно прекрасен.
                                                          • +26


                                                            Полная запись эфира: https://files.catbox.moe/epbba8.opus
                                                            • 0

                                                              Поржал. Только видео удалось посмотреть только после того, как перешёл на твиттер. Так что лучше было просто ссылку кинуть на пост в твиттере, скажем. (debian stretch amd64, chromium 55.0)

                                                            • +19
                                                              Корректно ли будет сказать, что автор был слит и вкачан?
                                                              • +12
                                                                Да, Вы правы. Вкачан под запись. Автослив засчитан.
                                                              • +18
                                                                Интересно, а «заказ» аккаунтов разработчиков не ускорит ситуацию с исправлением уязвимостей?
                                                                • +1
                                                                  Только хотел это же написать. Полагаю, это сильно ускорит процесс. Правда, будет довольно дорого стоить.
                                                                  • +8
                                                                    Если всё действительно так тупо и на автоматизме происходит, то по идее цена должна быть такая же. Было бы интересно посмотреть на лица разработчиков/руководства и их дальнейшие действия, когда их учётки массово заблокирует система. А вообще ситуация довольно прискорбная и я не думаю, что в ближайшее время что-то кардинально будет меняться в лучшую сторону. Нужны увесистые пинки со стороны конкурентов, может тогда начнут думать о безопасности и комфорте, а не рекламе и куче смайлов, эмодзи и другой бесполезной ерунды. Остаётся только ждать и надеяться.
                                                                    Было бы интересно почитать о реализации последней заказной атаки, надеюсь автор дополнит статью, если появится дополнительная информация.
                                                                    • +2
                                                                      Последняя атака, выполненная 15 дней назад, как раз и описана в статье. Переписку с поддержкой skype я буду выкладывать сюда telegra.ph/SRX1365288845ID

                                                                      Пост на русском языке вряд ли привлечет особое внимание. Нужно перевести и запостить на HN.
                                                                      • 0
                                                                        Имелось в виду подробности реализации самой атаки. Может кто в курсе и опишет в каментах.
                                                                        • +6
                                                                          Раз уж вы платите из своего кармана блокировщику, чтобы продемонстрировать механизм уязвимости системы, что может быть проще, чем заплатить за пару блокировок аккаунтов разработчиков Microsoft, как советует Slip007?
                                                                          посмотреть на лица разработчиков/руководства и их дальнейшие действия, когда их учётки массово заблокирует система
                                                                        • +6
                                                                          Я думаю, они прикажут персоналу в ручном режиме восстановить их эккаунты и запретить их удаление/блокировку.

                                                                          Правители не покупают ничего в тех магазинах, где отовариваемся мы, не ездят по тем дорогам, по которым ездим мы (или ездят — но для них расчищают дорогу от остальных машин) — и им пофиг на наши проблемы.
                                                                          • 0

                                                                            100 ботов могут за сутки забанить вагон и маленькую тележку топов M$.

                                                                            • +3
                                                                              Не могут, если у топов выставлен флажок «этих не банить ни при каких условиях».
                                                                              • 0

                                                                                А этот флажок существует?

                                                                                • +6
                                                                                  Вероятно, появится, это проще, чем пофиксить баги.
                                                                                  • 0
                                                                                    После того, как кого-то из топов забанят по этой схеме — появится.
                                                                        • +1
                                                                          Мне думается они не дураки сами пользоваться скайпом. Вспоминается знаковая история двухлетней давности когда Гейтс не смог установить себе на компьютер 8.1 и оооооочень удивился.
                                                                          • +5

                                                                            Можно "заказать" не разработчиков, а достаточно известных публичных персонажей. Поднимется хай в СМИ. Внимание к проблеме уж точно будет привлечено.

                                                                            • +21
                                                                              Ну раз уж у нас минутка античата…

                                                                              Я склонен с Вами не согласиться. Если предположить, что (а) будут найдены skype id неких «известных публичных персонажей», и (б) они будут заблокированы таким образом — их просто разблокируют и всё. Ну то есть буквально, разблокируют и поставят напротив их учётных записей галку «не блокировать». Такая простая и безотказная стратегия защиты, в то время как у атакующих возникает проблема уже на этапе «а». Если же эти skype id известны и лежат в открытом доступе, то не факт, что исполнителям вашей затеи захочется влезать в эту кашу за две тысячи. Короче, всё как в реальной жизни.

                                                                              По правде говоря, намного более действенным кажется бить по кошельку, чем по имиджу — освоить технологию блокировки и начать банить вообще всех подряд. Во-первых, рекламации польются рекой, не пара десятков в месяц как сейчас, а сотни или тысячи в день — что может быть более действенным способом пробить первую линию поддержки? Во-вторых, действуя таким образом, можно эффективно снизить аудиторию, а вместе с ней — доходы от показов рекламы через скайп-клиент. Этого вам точно не простят, и возьмутся за проблему (да и за Вас) вполне серьёзно.

                                                                              Если что, это я так теоретизирую и ни в коем случае никого ни к чему не призываю :)
                                                                              • +12
                                                                                Ага, а потом скажут «русские хакеры взломали скайп».
                                                                                • +1
                                                                                  Да какая разница что напишут. Дождаться публикации в приличном СМИ с большой аудиторией и слить им по почте способ «взлома». После этого выходит статья «скайп — решето» и тут уже M$ придётся реагировать.
                                                                              • +28
                                                                                А еще можно говном обмазать дверные ручки в офисах или похитить детей сотрудников Skype и требовать в качестве выкупа исправление уязвимостей. Но те ли это методы, которые нужно применять в подобных ситуациях? Почему нельзя оставаться в рамках закона и просто сообщить об уязвимости и расчитывать на ее исправление? Как мы дожили до того, что обсуждаем это?
                                                                                • +16
                                                                                  Если верить автору, разработчики не признают это уязвимостью. Значит это штатная функция, и использование её не является нарушением закона. Это штатная функция для блокировки неугодных аккаунтов.
                                                                                  • +10
                                                                                    Если скайп нам ничего не должен, должны ли мы чего-нибудь скайпу? Скайпа нет в РФ, на него нельзя подать здесь в суд. Зато скайп есть в USA, и он не сможет там подать в суд на нас здесь. Вот и вся логика.
                                                                                    • +3
                                                                                      В РФ есть замечательные статьи 272-274 УК РФ. В РФ сейчас очень модны блокировки всего и вся. Блокировки — это плохо, но из любой преграды надо уметь делать ступеньку…
                                                                                      • +1
                                                                                        У Microsoft есть официальное представительство в РФ.
                                                                                      • 0

                                                                                        Оставайтесь в рамках закона — они нарушили ToS, за что и будут покараны блокировкой своих аккаунтов.

                                                                                  • +3

                                                                                    "Закажите" echo sound test service :)

                                                                                    • 0
                                                                                      надо echo123 заказать
                                                                                    • +13
                                                                                      Сделай/попроси/купи перевод статьи и зарепости на зарубежных ресурсах — reddit, hackernews, slashdot и подобных. Может какая буча поднимется. Обсуждение на русскоязычных ресурсах ни к чему не приведёт.
                                                                                    • +1
                                                                                      По поводу восьмизначного кода, смею предположить, что атакующий мог каким-то способом перехватывать все отправляемой техподдержкой коды в определенный момент времени, но не знал, куда именно они отправляются. Если коды отправлялись сотрудниками liveperson.net в microsoft, то возможно, был скомпрометирован их сервер, или один из компьютеров сотрудников. В этом случае атакующий, возможно, пытался отправить коды с разных сотрудников, что бы попасть на нужный ПК. Это объясняет то, что отправлялись запросы «всплесками» с интервалом в несколько часов (никогда неизвестно, есть ли кто-то из поддержки за нужной рабочей станцией).

                                                                                      Но как-то это слишком круто для школьника/студента, который продает услуги блокировки по $30. История с N репортами звучит гораздо более убедительно.

                                                                                      Что если попробывать связаться напрямую с сотрудниками microsoft (желательно с кем-нибудь наверху в пищевой цепочке) со Skype-аккаунтом (желательно личным), и заблокировать его? Я думаю, на репорт взлома сотрудника в microsoft отреагируют более адекватно.
                                                                                    • +1
                                                                                      Не устану напоминать, каким именно я вижу идеальный мессенджер: https://habrahabr.ru/post/272937/#comment_8734719
                                                                                      При этом я считаю, что необходимые данные, которые смогли бы однозначно идентифицировать пользователя, вполне могут храниться при помощи блокчейн технологий — собственно именно блокчейн я вижу тем самым связующим звеном, который заставил бы всю эту систему работать. В блокчейн вносится «история» аккаунта — публичный ключ в первую очередь, затем подписанные этим публичным ключём новые данные, как пример: подписанный предыдущим публичным ключём новый публичный ключ если вдруг пользователь решил его сменить, подписанный публичным же ключём зашифрованный сторедж приватного, если пользователю удобно авторизовываться по паролю, какие-нибудь «субключи» (опять таки подписанные публичным мастер-ключом) для делегирования аккаунта на облачные сервера, и т.д.
                                                                                      • +7
                                                                                        А что на счёт децентрализованных мессенджеров типа tox?
                                                                                        • 0
                                                                                          В tox уже можно сделать один аккаунт на телефон, планшет и комп?
                                                                                          Меня лично останавливает это…
                                                                                          • 0
                                                                                            Можно, только при каждом добавлении нового контакта нужно будет руками синхронизировать контак-лист со всеми клиентами.
                                                                                            • 0
                                                                                              На мобильном вообще клиент нормально не работает, пользуюсь только на десктопе.
                                                                                              Между десктопами можно синхронизировать каким-нибудь btsync, к примеру.
                                                                                              • 0
                                                                                                У клиента (по крайней мере под андроид) колоссальное потребление ресурсов. Трафика и батареи. При запущеном клиенте, речь идёт о часах работы смартфона, потребление как у включенного экрана.
                                                                                                Меня останавливает скорее даже это.
                                                                                              • +1
                                                                                                Насколько я помню, Tox очень прилично сажает аккумулятор мобильного устройства. Это плата за децентрализованность: через вас идёт трафик других абонентов.
                                                                                                • +2

                                                                                                  Странно, что никто ещё не упомянул open-source matrix.org: децентрализированный протокол с отрытой спецификацией и уже приличным количество серверов и клиентов его поддерживающих.


                                                                                                  Сам протокол в плане децентрализации чем-то походит на IMAP/SMTP: каждый волен поднять свой собственный сервер и подключить его (или не подключить) к общей сети.


                                                                                                  Официальный сервер написан на python, но есть также и многие другие реализации.


                                                                                                  Клиентов написано уже немало (в том числе для iOS и android), с поддержкой шифрования, групповых чатов, аудио/видео звонков, интеграций и т.п. Для особых гурманов же имеется вагон и маленькая тележка client SDKs, почти на любой вкус и цвет.

                                                                                                  • 0
                                                                                                    Какой из клиентов поддерживает передачу аудио и видео? Протокол поддерживает транспорт произвольных данных, но клиентов, поддерживающих медиа, а не встречал. Я что-то упустил?
                                                                                                    • 0
                                                                                                      Веб-клиент: Riot (можно использовать гостевой вход, чтобы просто посмотреть, при авторизации через форму «sign in» использовать «enter as guest»).
                                                                                                      • 0
                                                                                                        Сайт выглядит как подделка для развода на деньги.
                                                                                                        • 0
                                                                                                          Очень странная ассоциация на мой взгляд, вас кто-то развёл на деньги на сайте с похожим дизайном? Сайт (главную страницу) можно миновать пройдя по прямой ссылке на клиент.
                                                                                                        • +2
                                                                                                          Пытаюсь зарегаться в десктопной клиенте.

                                                                                                          На втором шаге появляется это. Что нужно делать?

                                                                                                          image
                                                                                                          • 0
                                                                                                            Лично я не использовал десктопный клиент, т.к. его нет под GNU/Linux, так что не могу дать комментариев.
                                                                                                            • +1
                                                                                                              Похоже, вчера или позавчера появился: https://riot.im/desktop.html
                                                                                                              • 0
                                                                                                                Странная запись идентификатора вида user:example.com.
                                                                                                                Почему не сделать по-людски user@example.com?
                                                                                                                • 0
                                                                                                                  Лучше спросить в #matrix:matrix.org у мейнтейнеров, почему они решили так, я не знаю.
                                                                                                            • 0
                                                                                                              О, да, разобрался, нужно было зарегистрироваться, чтобы звонить. Какой-нибудь не-web-клиент поддерживает звонки? Будут ли групповые звонки?
                                                                                                              Похоже, Matrix это такая современная замена XMPP, пока что находящаяся на начальной стадии развития. Очень интересно.
                                                                                                              • +1
                                                                                                                Проект очень молодой, но быстро развивается, силами основателей и силами сообщества, пилятся гейты (мосты в другие мессенджеры), матрикс — это не только мессенджинг, это вообще платформа для коммуникации, например комната #neovim:matrix.org помимо того, что она вещь в себе, она соединяет между собой канал на Gitter и IRC на фриноде, таким образом пользователи из Gitter могут общаться с пользователями IRC на фриноде. Матрикс использовали как платформу коммуникации с роботами (чтобы ими управлять). Также это и групповые чаты, аудио-видео-звонки, передача файлов, etc.

                                                                                                                При всём этом, — вся сеть распределена между серверами, то-есть изначально децентрализованна (наверное в этом есть похожесть на джаббер по вашему), но в отличие от, там используется другой подход, если я ничего не путаю, вместо «доставки» сообщений, используется «синхронизация», история синхронизируется между серверами (чего кстати многим не хватает в открытых решениях), там как-то хитро это работает, я всех деталей не знаю. Каждый кому не лень, поднимает свой локалхост и свои бриджи (кроме доступных на matrix.org, есть куча поделок разного уровня качества от сообщества, всякие телеграмы и прочее). Комнаты могут к примеру иметь двойственные имена каналов (с разными суффиксами серверов) и функционировать как единые.

                                                                                                                В общем не знаю как бы вкратце описание уложить, суть в том что проект открыт, свободен и децентрализован изначально, имеет пользовательскую базу, реально функционирует, а не умер в зачатке, как некоторые другие интересные идеи. Я бы предложил сходить на #ru.matrix:matrix.org и позадавать вопросы (можно без регистрации через гостевой вход, т.к. в комнате открыт доступ гостям.

                                                                                                                Я сам начал использовать матрикс как IRC клиент с оффлайн-логами, вошёл в ряд комнат-мостов на фриноду (ну и mozilla). Например чтобы сходить на #haskell на фриноде, можно просто пойти в рум #freenode_#Haskell:matrix.org, вовсе не обязательно создавать отдельный рум и поднимать бридж, на matrix.org можно таким образом попасть в любой IRC-канал на серверах для которых подняты такие мосты.
                                                                                                                • 0
                                                                                                                  Мы тестировали Riot несколько недель назад. Концепция matrix выглядит довольно интересной.

                                                                                                                  Как я понимаю Riot это самая продвинутая реализация протокола? На текущий момент сыровато. Пока это выглядит как поделка от гиков для гиков.

                                                                                                                  Я хоть и задрот, но такой интерфейс даже мне кажется сложным. image.

                                                                                                                  • 0
                                                                                                                    хорошие ники для тестирования используете :)
                                                                                                                    • +10
                                                                                                                      Да всё же понятно:
                                                                                                                      za — zhovner account
                                                                                                                      loop — кольцевой, т.е. для тестов
                                                                                                                      a — первый (a, b, c etc.)
                                                                                                                  • 0
                                                                                                                    Ни про matrix ни про riot не нашёл ни одной статьи на хабре :( а вещь то интересная.
                                                                                                                    • +2
                                                                                                                      Не удивительно, только недавно появился десктопный клиент, и тот не клиент а браузер.
                                                                                                                      • 0
                                                                                                                        Он просто в этой стране пока особо не светился, в основном хайп идёт по англоговорящим странам. Основатели периодически презентуются на всяких конференциях. К примеру интервью с Мэтью: (он подключается где-то с 4-ой минуты).
                                                                                                                        • 0
                                                                                                                          Просто очередной русскоязычный пост на тему.
                                                                                                            • +1
                                                                                                              «Here’s an easy guide for creating a new account: https://support.skype.com/faq/FA10184»
                                                                                                              «Вы просто говно и все тут.»
                                                                                                              перевод понравился)
                                                                                                              И да, многие хакеры вкладывают немало усилий в репутацию своего аккаунта скайпа (зарабатывая на взломах/ддосах, написании специального софта), заодно описывая, как отличить свой аккаунт от поддельных. Если вдруг техподдержка глянет чаты подобного заблокированного аккаунта, то уже точно вряд ли восстановит. В соглашении имеется пункт:
                                                                                                              Возможны другие случаи незаконного использования, и Skype оставляет за собой право учитывать при вынесении своего решения любые другие незаконные, запрещенные, ненормальные или необычные действия

                                                                                                              в другом месте:
                                                                                                              a. Соглашаясь с настоящими Условиями, вы соглашаетесь, что при использовании Служб вы будете следовать таким правилам:
                                                                                                              i. Не делать ничего незаконного.
                                                                                                              v. Не осуществлять действия, которые являются ложными или вводящими в заблуждение (например, попытки выманивания денег обманным путем, выдача себя за другое лицо, манипулирование Службами с целью увеличить значение счетчика воспроизведения или повлиять на рейтинги или оценки, или комментарии), или клеветническими, или оскорбляющими достоинство.
                                                                                                              ix. Не осуществлять действия, нарушающие право на неприкосновенность частной жизни или права на защиту данных других лиц.
                                                                                                              x. Не содействовать другим лицам в нарушении этих правил.
                                                                                                              • 0
                                                                                                                Как уже где-то когда-то говорилось, в любой системе(в плане безопасности) слабым звеном является человек. Есть вероятность того, что человек предоставляющий услугу блокировки аккаунтов просто «дает на лапу» сотруднику подразделения занимающегося «скайпом» (например, представителю тех. поддержки), тот в свою очередь тщательно изображает свою непричастность к инсайдерской(если я правильно употребил термин) деятельности при этом выполняя какие то действия позволяющие «блокировальщику» заблокировать чужой аккаунт.
                                                                                                                • +1
                                                                                                                  30 баксов еще и попилить...??? не стоят такие риски таких денег — очевидно же
                                                                                                                  • 0
                                                                                                                    Пять старушек — рупь. https://blockchain.info/address/17kYmTtYyy4tWdY9y7ovzAgtVcBhphuBHK
                                                                                                                • 0
                                                                                                                  Отличный материал, только один вопрос:
                                                                                                                  зачем было жертвовать свой главный акк, когда перед этим были убиты тестовые?
                                                                                                                  Придать себе мотивации биться за решение проблемы? :)
                                                                                                                  Ну, а в общем, да, наплевательское отношение больших компаний к отдельным юзерам сильно огорчает
                                                                                                                  • +18
                                                                                                                    А смысл дорожить каким-то акком в такой клоаке?
                                                                                                                  • +23
                                                                                                                    Боже! Чертов майкрософт.
                                                                                                                    Недавно потребовалось выйти на конференцию в скайпе, в результате:
                                                                                                                    1. Скайп RT обновился и заявил что более не поддерживается, разумеется не включившись.
                                                                                                                    2. Десктопный вылетел с ошибкой «Ваш аккаунт использует кто-то другой», где есть ВСЕ, кроме опции «ЭТО Я!».
                                                                                                                    3. Заставили поменять пароль, старый не подходит, в новом должны быть все эти «passworD1» проверки.
                                                                                                                    4. Вбил что пришло в голову, ибо время жмет, «Скайп старый обновитесь или катитесь к чертям!».
                                                                                                                    5. Смотрю на почту, они додумались прислать мне эмейл с полными личными данными(имя и т.п.), которые в скайпе я никогда даже не указывал.
                                                                                                                    6. В бешенстве, захожу в обновленный скайп, в профиле откуда-то появился город и номер телефона, меняю профиль
                                                                                                                    7. Укажите фамилию! Новое обязательное поле, номер так не убрать! Разумеется «фамилия» вставилась как nicknameОленев, пробел туда конечно вставить нельзя...


                                                                                                                    *Тяжелые вздохи ярости*
                                                                                                                  • +5

                                                                                                                    Еще одна проблема — это нативный клиент под Linux. Разработчики решили поиздеваться и выпустить веб-браузер для своего сайта.


                                                                                                                    Увы старый нативный клиентик пока что работает стабильнее, хотя и меньше возможностей.

                                                                                                                    • 0
                                                                                                                      Под виндой тоже самое.
                                                                                                                      • 0

                                                                                                                        Под виндой он принимает старый профиль и тянет из него историю.
                                                                                                                        Под линухом это тупо окно браузера без адресной строки с открытым web.skype.com.

                                                                                                                        • 0
                                                                                                                          Это наверно не на долго, авторизация будь она не ладна уже через веб.
                                                                                                                      • 0
                                                                                                                        Pidgin + Skypeweb через HTTP, если видео/аудио не часто используется
                                                                                                                      • +14
                                                                                                                        Примерно полгода назад как раз заблокировали скайп-аккаунт. При обращении в саппорт меня послали читать соглашение, сказали что я нарушил какое-то правило и меня автоматически заблокировали, разблокировка невозможна.
                                                                                                                        Я решил все-таки выяснить что именно я нарушил, но каждый раз получал один и тот же ответ: «Заблокирован автоматически, читайте правила.» После 4-5 подобных писем я начал подключать в копию письма все email техподдержки Microsoft, которые только смог найти. Так же в каждом письме я просил подключить начальника отдела саппорта для разрешения проблемы.

                                                                                                                        В итоге мои финальные письма содержать просьбу подключить руководство, т.к девочка-саппортер не может решить проблему.
                                                                                                                        В общем, через 4-5 дней после блокировки девочка написала что мой аккаунт теперь разблокирован… Но ее начальство так и не подключилось к обсуждению.

                                                                                                                        В общем, зовите начальство, если руководитель саппорта не поможет — подключайте руководство над ним и т.д
                                                                                                                        • +8
                                                                                                                          R.I.P. Skype
                                                                                                                        • +1
                                                                                                                          Было бы хорошо чтобы эта статья была опубликована и на английском кстати.
                                                                                                                          • +2
                                                                                                                            https://habrahabr.ru/post/316912/#comment_9973266
                                                                                                                          • +1
                                                                                                                            Подайте на них в суд. :)

                                                                                                                            P.S. Я серьезно. Правда, возможно, эффективнее сподвигнуть на это кого-то из жертв, проживающих на западе.
                                                                                                                            • 0
                                                                                                                              Ресурсов бодаться не хватит, btw
                                                                                                                              • +1
                                                                                                                                Каких ресурсов? Сама по себе подача иска никаких серьезных расходов не влечёт. Никто же не заставляет платить адвокатам столько же, сколько MS.

                                                                                                                                Автор не хочет выходить за рамки законности, но считает, что его права нарушены, а переговоры с нарушителем не дают результата. Суд — совершенно естественный выход из подобной ситуации, если действительно хочется добиться положительного результата. Не знаю, можно ли начать такой процесс в РФ, но в Америке и Европе с этим не должно быть проблем, по идее.

                                                                                                                                Даже если положительного результата не будет, Скайп, как минимум, должен будет раскрыть конкретные нарушения, за которые пострадавшие были заблокированы, да и встряска для MS будет посерьезнее, чем очередные обличения в инете, к ним у MS уже наверняка хороший такой иммунитет, ибо их направо и налево обвиняют в чём угодно, не глядя, кто прав, кто виноват. :))
                                                                                                                            • +24
                                                                                                                              У меня тоже был забавный случай:
                                                                                                                              Нашёл в мобильном приложении Скайпа уязвимость, решил им написать.

                                                                                                                              — Добрый день. Я нашёл уязвимость в мобильном приложении Скайпа. Как о ней можно сообщить.
                                                                                                                              — Добрый день. Я правильно понял, что у вас нет проблем с доступом к аккаунту?
                                                                                                                              — Да, но вопрос не об этом.
                                                                                                                              — Отлично, всего хорошего.
                                                                                                                              • +7
                                                                                                                                Отлично.

                                                                                                                                ТП (Техподдержка): У вас есть проблемы с доступом к аккаунту?

                                                                                                                                К1 (Первый клиент): Нет.

                                                                                                                                ТП: Значит всё хорошо, до свидания.

                                                                                                                                К2 (Второй клиент): Да.

                                                                                                                                ТП: Это потому что вы нарушили какой-то пункт правил. Мы не ошибаемся. Доступ восстановлен не будет. До свидания.
                                                                                                                              • 0
                                                                                                                                Есть у меня одна очень опасная идея — что если по этому пути пойти и заблочить акк одного из тех, кто в верхах M$?
                                                                                                                                • 0
                                                                                                                                  Выше уже написали: по тихому разблокируют и сделают так, чтобы заблокировать было нельзя (если уже не сделали).
                                                                                                                                  • 0
                                                                                                                                    Так соль в том, что руководство даже не подозревает об этих косяках,
                                                                                                                                    а так может по шапке настучат, когда узнают