Пользователь
0,0
рейтинг
22 сентября 2008 в 16:42

Разработка → Почему Jabber свободен от спама? перевод

Вольный перевод текста от Peter Saint-Andre, одного из самых активных участников Jabber/XMPP community.

1. В XMPP, адрес отправителя задается не на компьютере отправителя в программе-клиенте, а на сервере. Так что, клиент не может подделать адрес «От:». (Конечно, если вы — администратор сервера jabber.org, в принципе, вы можете отослать сообщение от имени любого пользователя этого сервера. Но только этого сервера. Отослать сообщение от имени пользователя другого домена вы не сможете).

2. В XMPP, сервера проверяют друг друга с помощью протокола «dialback» (RFC 3920 / XEP-0220), основанного на DNS, или с помощью сертификатов сервера. Так что, если я запустил сервер на домене jabber.org, я не смогу отсылать сообщения от имени microsoft.com или whitehouse.gov. (Кроме того, сообщения доставляются от сервера отправителя к серверу получателя напрямую, минуя промежуточные jabber-сервера. Подделывать адреса сообщения в процессе доставки некому.)

3. В принципе, протокола «dialback» вполне достаточно, чтобы предотвратить анонимные рассылки в сети. Но, также существует пока необязательная аутентификация серверов с помощью SSL-сертификатов (подробности на xmpp.net). При необходимости, эту аутентификацию можно довольно просто сделать обязательной, это предусмотрено в протоколе.

4. XMPP основан на чистом XML и злоумышленники не могут так просто присоединить malware-скрипты и вирусы к Jabber-сообщениям.
В случае с email, спаммеры активно сотрудничают с вирусописателями. Здесь же, «черным программистам» делать нечего, уже меньше повода для спама.

5. Большинство e-mail спама (или спама+malware) нацелено на одну конкретную платформу: Outlook + Windows. В мире XMPP нет доминирующей программной платформы.

6. При обмене IM-сообщениями, люди привыкли к ведению контакта-листа — списка людей с которыми они хотят общаться. Для спаммеров такая культура гораздо хуже, чем «Я получаю письма по e-mail от кого угодно в мире». Вы всегда можете удалить человека из своего контакт-листа, чтобы он вам не надоедал или вообще заблокировать его сообщения на сервере.

7. Все распространенные XMPP-сервера (серверные программы) имеют ограничения на частоту сообщений. Это предотвращает рассылку большого числа сообщений от одного пользователя за короткий период времени.

XMPP не совершенен, в нем тоже можно рассылать спам. Но сделать это намного сложнее, чем в SMTP-сети. Причем, все эти сложности и ограничения для спаммеров предусмотрены специально, «by design».

update: Всем, кто утверждает, что «можно просто поднять свой сервер»: пойдите и подымите, а потом попробуйте разослать с него спам и не спалиться. ;) Спам через e-mail рассылают анонимно: ломают чужие сервера, строят бот-неты, ищут открытые relay-и,… Оставаться анонимным клиентом довольно просто. А вот в случае с Jabber анонимным сервером быть очень сложно.
Перевод: Peter Saint-Andre
ugnich @ugnich
карма
91,3
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (141)

  • –21
    Был бы еще нормальный простой клиент для Jabber'a. Пока все которые мне встречались были с какими-либо закидонами.
    • +8
      Если бы вы свою ОС написали, было бы проще что-то ответить по существу. Но вообще-то вы плохо искали.
      • +1
        Не понял, при чем здесь своя ОС. Может сначала процессор свой спаять? ;)
        • +5
          закидон это объявить все клиенты джабера в наличии закидонов
          • 0
            То есть критика у нас не в почёте :)
        • +4
          какая ОС у вас стоит)
          а так Gajim вам в трей)
        • +3
          Да так… Думал посоветовать Jabber-клиент для той операционной системы, которой вы пользуетесь.
          • –1
            А, понятно. В основном Windows XP.
            • +1
              Psi — прекрасный клиент, и для Windows есть билды (причем несколько). У QIP Infium и Miranda есть модули Jabber. Яндекс.Онлайн тоже основан на Jabber и позволяет подключаться к нескольким серверам. Выбор — за вами.
              • 0
                Всем спасибо, остановился на QIP Infium (убил таки этот несчастный транспорт).
                • 0
                  qutIM
            • 0
              Miranda IM, Pidgin.
            • +1
              долго пользовался JAJC — довольно простой без закидонов
        • +1
          P.S. Всё, заработался по ходу. Надо отдыхать )))
        • +1
          Перевожу на русский: если бы вы указали ОС, которую используете… и далее по тексту.
          • 0
            Спасибо, все уже поняли :)
    • +10
      Psi :)
      • +1
        Мне gajim нравится, и под win, и под nix. А так у нас большенство пользуется либо мирандой, либо инфиумом
        • 0
          Я тоже сделал выбор в пользу Gajim, но в свете последних событий очень рекомендуют Я.Онлайн(это для пользователей вин в первую очередь)
          • 0
            а что за события? и почему не GTalk?
            • 0
              я правильно понимаю что GTalk привязан только к учетке гугла, а учетку с другого сервера к нему привязать нельзя?
              • 0
                насколько я знаю, да.
                а если можно, то очень сложно)
                в клиенте от Яндекса все проще
                • 0
                  Что Google Talk, что Яндекс… Онлайн — можно подключаться к их сеткам через любой Jabber-клиент (я использую Пси) и не париться лишний раз.

                  Ну если только не нужны специфические функции конкретно их родных клиентов.

                  • 0
                    насколько я понимаю, тут вопрос обратный — в клиенте GTalk или Я. Онлайн использовать любую сеть
                    • 0
                      И что, кому-то удалось?
                      • 0
                        как я писал выше, в GTalk нельзя использовать что-то кроме google account, а в Я. вроде бы можно.
                        сам не проверял, так что могу ошибаться в обоих утверждениях.
                        • 0
                          Понятно. По моему убеждению, если только конкретный клиент (Gtalk, Yandex, Gizmo и пр.) не даёт конкретные функции — ну там, голосовое общение и т. п. — выгоднее general Jabber клиент.
            • 0
              собственно, выход Я.Онлайн: основан на Psi + смотри ниже :)
      • –5
        Угу. В пси даже нет режима «невидимый». Удалил с винта, и ставить больше никогда эту ересь не буду.
        • +3
          эм…

          image

          по крайней мере, у меня в options.xml присутствует

          <status comment=«Options for the status menu» >
          <chat type=«bool» comment=«Enable free for chat» >true</chat>
          <invisible type=«bool» comment=«Enable invisibility» >true</invisible>
          <xa type=«bool» comment=«Enable extended away/not available» >true</xa>
          </status>
          • 0
            Весьма странно. М.б. мы говорим о разных версиях этой программы?
            • 0
              Быть может и так, я свой конфиг не менял со времён 0.10.
              Вероятно, в новых версиях дефолтный конфиг могли как-то не очень поправить :)
        • 0
          Не тех ругаете. См. обсуждение на форуме Пси, где чётко говорится: стаутс «невидимый» удалён, потому что не согласуется с XMPP 1.0 спецификацией.

          RTFM, в общем.
          • 0
            Тем не менее, в Infium этот статус успешно работает. И у товарища выше — тоже. Поэтому всем минусователям — жирный луч поноса в их темное царство.

            Быть может, действительно ругаю не тех. Статус нужный, без него — неудобно.
            • 0
              Прочтите ссылку, которую я дал, тщательнее.

              Там, помимо прочего сказано: есть ещё Jabber-серверы — версии — которые поддерживают статус «невидимый». Сказано там и про то, что рекомендуется использовать взамен (приватные группы).

              Так что работает потому, что вы используете Jabber-сервер, ещё не поддерживающий новый стандарт.

              К слову: если не путаю, добавить в Пси возможность включать невидимость просто — вроде бы просто поправить options.xml

              А вы его (Пси) сразу ругать начали, не разобравшись. Вот вам и минусы.

              Удачи.
    • +1
      Чем вас, к примеру, psi не устраивает? Или pidgin? Какие у вас требования к джаббер клиенту? Вы действительно плохо искали
      • –3
        Psi пока не пробовал. В Pidgin были какие то проблемы с кодировками (в никсах остановился на sim, но десктоп с никсами остался в другом городе). Gtalk не понравился тем что зохавал ICQ-контакты без имен, только номерами, и при запуске выбивает qip (как их обратно отобрать я пока не нашёл). Последним был Pandion, который тоже не справился с именами контактов. А переименовывать весь контакт-лист по очереди я в гробу видал, извините :)

        Вот так )
        • 0
          SIM есть и для Windows.
          • 0
            Я уже остановился на Infium'е :)
            • 0
              Он же не свободный!
              • 0
                Я его менять и не собираюсь. Я собираюсь им пользоваться.
        • 0
          ну это ясен пень, что gtalk будет выбивать qip
          вопрос, gtalk уже поддерживает icq транспорт?
          • 0
            Поддерживает, но так себе. См. мой коммент выше.
      • 0
        P.S. Возможно я действительно плохо искал. Сейчас вот обновил QIP до Infium'а — там тоже оказался Джаббер.
    • +1
      qip infinum, pidguin, adium
    • +2
      не знаю где вы искали, тот же qip или miranda что еще может быть проще или привычнее?
    • –1
      QIP Infium нынче поддерживает если оно вам надо…
      Но ИМХО клиент не без недостатков (если не считать главного недостатка что это windows-клиент)
    • 0
      Use Spark, man!11 :)
    • –2
      QIP Infium всех поработит и пристрастит к жаберу.
  • +3
    а мне кажется, что всё дело в низкой популярности jabber'а…
    т.е. примерно такая же ситуация, что и с вирусами под mac os x
    • +8
      А по-моему, приведенные аргументы, достаточно подробно объясняют бессмысленность и практически полную невозможность рассылать спам в jabber.
      • –2
        Я так понимаю, что для рассылки спама потребуется на каждой рассылающей спам машине просто поднять jabber-сервер.
        С этим есть какие-то проблемы? Появление новых серверов как-то отслеживается?
        • 0
          Не отслеживается, бери и поднимай, никто зарегаться в глобальном регистре джаббер-империи не попросит, отпечатки пальцев не возьмёт и маячок не повесит :).
          Разве что завязано сильно на днс.

          *Эх, можно было бы из JUD самостоятельно удаляться, не удаляя VCard...*
          • 0
            Тогда никак понять не могу поста этого.
            Я так понимаю, все сводится к «если у нас появится спам, введем реестр серверов»?
            Это реализуемо?
            • 0
              Про «реестр» — шутка, вообще, в теории — возможно, но на практике сомнительно, что будут вводить стандарт такой, или введут в разделе «юмор» (как например стандарт о бинарном xmpp с тегами one/zero).

              Вообще, не так давно в списке свежих стандартов заметил стандарт о капче, чтоб тому, кто хочет добавиться в ростер сперва пришлось доказать, что он не верб… не робот.
              Да и в посте, и в комментариях другие аспекты были описаны, почему спаму будет сложно гадить в джаббере.
              • 0
                Список состоит из позиций, объясняющих почему через чужой сервер слать спам невозможно (сложно).
                На тему рассылки с собственного сервера (ботнета серверов) там ничего.
                Да нужен помимо ботнета jabber-серверов еще и ботнет DNS-серверов. Сложно, но неужели нерешаемо?
                Комментарии — флейм на тему клиентов и популярности. Решил, что проще прямой вопрос задать.

                В целом Busla комментарием ниже более ясно мое недоумение выразил.
            • 0
              > Я так понимаю, все сводится к «если у нас появится спам, введем реестр серверов»?

              Нет, будут просто добавлять проверки на s2s: DNS, сертификат, что там еще. В конце-концов начнут поднимать серверных антиботов (которые капчи спрашивают у незнакомцев), а это уже сила.

              А лучше все это комбинировать:
              Нормальный DNS, хороший сертификат? — Проходи, не задерживайся.
              IP вместо домена, в обратной зоне есть ppp, сертификат выдал snakeoil? — А вот на тебе теорему Ферма и 30 минут на доказательство.
              • 0
                Ну т.е. по факту реализация сейчас такая:
                Когда спам будет — что-нибудь обязательно придумаем! А проблемы с обратной совместимостью — это фантастика. С нею только e-mail сталкивается.
                Так?
                • +1
                  Реализация такая: уже сейчас для спама есть довольно много преград. Если вдруг этого не хватит — предусмотрено ещё куча всего.
          • 0
            >*Эх, можно было бы из JUD самостоятельно удаляться, не удаляя VCard...*

            на сколько я помню архитектуру того же jabberd2 «из коробки» сервис JUD никак не связан с VCard.
            Устанавливается JUD отдельно, может использовать отличную от основного сервиса базу динных и после уже настраивается на конкретный jabberr сервер.
            Хотя для удобства зачастую базы JUD и VCard интегрируются друг в друга. Возможно у вас как раз такая ситуация.
        • 0
          гораздо проще отслеживать спам адреса, никаких релеев и другие, ты должен на прямую с серваком коннектиться, отдать свой днс…
          есно это не панацея, и есно спам будет, но меньше чем на аське, и тем более меньше чем на почте…

          опять же никуда не денутся взломы аккаунтов и другое… но все это сложнее чем с аськой и почтой…
        • 0
          Если не ошибаюсь, сейчас в основном e-mail спам рассылают с бот-нетов. Поднять на зараженном клиентском компьютере jabber-сервер будет проблематично. :)

          Вы бы рискнули взять в аренду сервер, расплатится за него (читай: засветиться) и использовать его в противоправных действиях? Вряд ли. А совсем анонимно поднять сервер достаточно сложно.
          • 0
            Ничего не понимаю. Какая проблема поднять DNS-сервер с RPC-интерфейсами, каждому желающему jabber-серверу из ботнета выписывать домен на ип юзера и рассылать куда хошь и сколько хошь?
      • 0
        надо же только читать, но и обдумывать, проводить параоллели с уже существующими системами
        1-3,7 при чём тут jabber.org кто сказал, что спамеры будут имитировать клиент — система децентрализованная — каждый может поднять сервер хоть на своём dailupclient5555.provider.net
        4,5 не надо всё в одну кучу валить — malware и обычно вместе не считают, да и величины совсем разных порядков
        6 одним белым списком жив не будешь — иначебы и не было никакого спама ни в e-mail, ни в icq
  • –7
    ситуация будет примерно такой же, как и с аськой.
    • +16
      Примерно такой же как с аськой ситуация не будет, и вот почему:

      1. В джаббере нельзя перебрать все JID-ы по циклу. Придется собирать роботом, поисковиком, или перебирать распространенные имена на распространенных серверах.

      2. В джаббере нет одной большой базы данных для всех пользователей сети.

      Два первых пункта уже хорошая защита для пользователей частных маленьких серверов, которые не светят свой JID в гугле.

      3. В случае корпоративного jabber-сервера можно ограничить s2s соединения только jabber-серверами партнеров, что на 99% уберет весь спам на работе (1% — письма счастья от сотрудниц) В аське так не сделать.

      4. Можно внедрить антиспам-бота на свой сервер, защитив всех своих пользователей одновременно.

      Думаю хватит :)
      • 0
        Первая проблема частично решается перебором с поиском в JUD на тех серверах, где он есть, в своё время проводил вполне успешные «исследования» на эту тему. По-моему сейчас просто еще не выгодно развивать это направление спама из-за малого количества пользователей, с другой стороны в первое время спам будет крайне эффективен ввиду полного отсутствия у 99% пользоветелей знаний о Privacy Lists и прочих Simple Communications Blocking, которые еще и не на всех серверах есть…
        • 0
          мне кажется, сейчас джаббер в основном распространен среди той части населения, которой не трудно разобраться в privacy lists. Да и в многих клиентах есть кнопочка «не принимать сообщения от контактов не из ростера»
          • 0
            К величайшему «щастию» сейчас уже немало людей, которые как раз не знают ни о PL, ни о SCB :) Знаю просто проблему изнутри, как девелопер :)
          • НЛО прилетело и опубликовало эту надпись здесь
      • –2
        Вы не поняли смысл слова «примерно». Естесственно имелось в виду, что ситуация на каждом сервере будет совя, но распространяться спам будет так же как и в аське. То есть отлично от email
  • +5
    Я в свое время общался с Peter Saint-Andre, когда получал ssl-сертификат на jabber-сервер. Приятный собеседник, правда, знаний моего английского было явно недостаточно для общения.
    • 0
      А зачем Вашему джаббер-серверу понадобился сертификат?
      Я просто не в курсе, может быть. Просветите?
      • 0
        Для шифрованного соединения клиент-сервер и сервер-сервер.
  • 0
    (4) а в чем принципиальное отличие ( в этом ракурсе ) от формата почтовых сообщений, или html-страниц? ведь опасность или потенциальную брешь в безопасности наивных пользователей зачастую дает клиент, а так же всяческая автоматическая обработка ( на подобии как в Windows обрабатываются autorun.inf/desktop.ini/… )

    если имелось в виду, что xml — текстовый, то помню софтинку-протектор из времен MSDOS, которая создавала исполняемый файл в котором были лишь текстовые символы. жаль забыл название :(
  • +5
    Со всем согласен, но почему джаббер сравнивают с почтой, а не с аськой?
    • +2
      Jabber/XMPP — это открытый протокол, основанный на индустриальных стандартах, так же, как и e-mail.
      А при чем тут ваша аська?
      • 0
        И почему меня преследуют неудовлетворенные комментаторы?

        Я ICQ терпеть не могу. Поэтому она не моя. Поэтому мне не надо доказывать, что она говно.

        Аська это Internet messaging и Jabber тоже. Причем тут наша почта?
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Сервера аськи масштабов предприятия существуют =) У нас на работе например у каждого сотрудника есть корпоративный 4х-значный UIN =)
        Кстати конкретный пример сразу приходит в голову это SIQ.
      • 0
        Я делал сервер масштабов локальной сети. Ничего сложного, на самом деле.
      • 0
        Нет, электронная почта и интернет мессаджинг — это две очень разные сути.
    • +1
      Хороший вопрос :) Но, если учесть, что джабберу по плечу вытеснить обе технологии, то все логично: в smtp проблема спама намного сильнее выражена, по сути это Главная Проблема Почты, а в icq нет. Поэтому логично было ударить в это больное место у почты, а для IM-сетей выбрать другую точку.
      • 0
        а в IM ударить тем, что не нужны другие проги и другой идентификатор )
    • –1
      Они про аську и не знают.
  • +2
    разработчики qip сделали, кстати, очень большой шаг в популяризации jabber.
    В QIP Infium 9015 по умолчанию предлагается создать джаббер-аккаунт вида username@qip.ru (очень навязчиво, кстати, предлагается).
    Учитывая, что многие пользователи общение по icq отождествляют с qip («- Какой у тебя номер аськи? — У меня не аська, у меня кип») это может привести к тому, что по умолчанию будут регистрировать джаббер на qip.ru.
    Если они ещё сделают простую и понятную для новичков работу icq-транспорта…
    • 0
      ну тут проблема максимально сильно не популизируют (если все оставлять на транспортах, поскольку аол банально ограничивает число соединений…
    • +2
      Вот именно, очень уж навязчиво заставляют регистрировать джаббер на их серверах. А зачем мне еще один джид, если у меня и так уже два? Один на jabber.ru, другой на собственном сервере.
      Поэтому для джаббера я использую PSI, а для ICQ — Qip 9070.
      • 0
        Qip 8070, простите.
    • 0
      А зачем им транспорт если ICQ (и не только) открывается в том же клиенте? Плюс метаконтакты есть.
  • –8
    джабберу будет сложно развиваться потому что у него нет простой бизнес-модели. не покажешь в клиенте баннеры как в msn или icq, к серверу не привяжешь; плюс, корпорациям не нравится когда нет централизованного контроля над сервисом. технически для пользователя джаббер чуть сложнее (ибо надежнее и безопаснее), это и отталкивает неподготовленных пользователей (а их большинство), да и видит этот неподготовленный пользователь рекламу отнюдь не джаббера… а даже если пользуется GTalk-ом или Я.Онлайном, то очень смутно понимает всю суть.
    ну и в заключении пресловутый network-эффект, все уже пользуются другим и мигрировать не хотят…
    • +1
      Насчет enterprise: вы jabber.com вообще видели?! Зачем вы рассуждаете о том, в чем ничего не понимаете?!
      Насчет end-user: зачем им понимать какую-то суть? Пускай просто пользуются GTalk-ом или ЯОнлайном. Понимать суть будут разработчики этих клиентов, а юзеры — просто общаться.
      • –4
        то что делает jabber.com AFAIK нацелено на корпоративный сегмент. где своих IM-подобных протоколов (типа Same Time) тоже хватает.

        и вот зашел обычный юзверь в раздел clients на этом сайте. и что он видит? правильно, ничего полезного для себя…

        а вот именно, что разработчики клиентов сделают так, как им скажут маркетологи выше. вот, гугломаркетологи и сказали, что сервер менять нельзя (брэндинг, брэндинг!), а не-gmail собеседники добавляяться должны криво. про такие понятия как subscription забыли (про остальное вообще молчу). и что получаем? увы, фигню на палочке.
        • 0
          Что-то я не очень понимаю, чего вы хотите?!
          Есть хороший протокол, есть масса серверов и клиентов со своими достоинствами и недостатками, есть компании, которые предлагают решения на основе этого протокола. Всё точно так же, как и с электронной почтой, только пока развивается.

          Разработчикам почтовых программ тоже всё диктуют маркетологи. Через Outlook распространяются вирусы. Что теперь, электронная почта — фигня на палочке?! :)
    • 0
      Ну, электронной почте многие из перечисленных вами недостатков стать корпоративным стандартом не помешали. А вот нетворк-эффект да, присутствует )
    • +1
      > ну и в заключении пресловутый network-эффект, все уже пользуются другим и мигрировать не хотят

      Сетевой эффект — вещь обманчивая. Это преимущество большой сети над маленькой, и чем сильнее разница, тем больше давление. Вот только jabber с точки зрения мира уже давно обошел аську, а в России достаточно близок.

      Вроде бы баланс? Ан нет. У джаббера преимущество: децентрализация. Гугл поднял свой GTalk over XMPP и сразу получил «не пустую» сеть, а Jabber — кучу новых пользователей. Недавно это сделал Яндекс. Сеть выросла еще. Каждый раз Jabber-сеть увеличивается, тем самым становится привлекательнее для подобных поступков от других компаний. Это еще один сетевой эффект, которого у аськи не может быть по-определению.

      Если вспомнить открытость для разработки своих дополнений, в том числе и на серверной стороне, то получим третий сетевой эффект, которым аська не пользуется.

      Получается, что сетевой эффект работает на джаббер: только децентрализованная, открытая сеть может по-настоящему его раскочегарить, пока другие значительную часть энергии просто теряют.
      • 0
        Согласен со всем выше сказанным.
        + Открытось и доступность Jabber очень стимулирует девелоперов и прочих «людей интересующихся и увлеченных». В итоге проект получает еще большее развитие.
        Любая монополия и политика закрытости — это путь в никуда, просто многие этого еще не поняли, хотя это уже давно налицо.
  • –7
    Ни один из перечисленных пунктов не даёт преимуществ по сравнению с централизованным сервером ICQ
    • 0
      Правильнее будет так — > Ни один из перечисленных пунктов не является значительным по сравнению с децентрализованностью Jabber'a
      • –2
        Децентрализованность джаббера может влиять на рассылку спама только негативно (поощрять).

        П.С. Пусть выскажется тот, кто поставил минут. Хочется писать куда угодно и когда угодно, а какие-то неизвестные личности оценки расставляют, хотя суждений от них чего-то не видно.
        • 0
          Минус не я поставил, но хочется узнать: чем же децентрализованность повлияет негативно на рассылку спама?
          • –2
            очень просто, аська централизованно забанила ботов и все, в жаббере ты ботов не забанишь.
            • 0
              Да ладно? Тебе приходит спам по джабберу? А по аське? Плохо банят?
              • 0
                мне ни там ни там не приходит :)
          • +1
            Просто никто не мешает поднять свой сервер и рассылать с него спам.
            Об этом неоднократно писали выше.
        • +1
          второй минус я случайно поставил, промахнулся :(
          • +1
            браво
  • 0
    Jabber это очень хорошо. Поднял у себя на серваке всего за час.
    Преимущества технологии кроме описанных выше на лицо. (много всего в сети написанно, читайте не буду перечислять)
    Но самое главное, на мой взгяд, это то что ты сам себе хозяин, поднял свой сервак и есть гарантия что никакой AOL не читает твои сообщения и не собирает данные. Все прозрачно, демократия и открытость в действии!
    IRC пользуюсь давно по тем же причинам и Jabber теперь мой выбор.
    Чем смогу буду помогать развитию подобных прекрасных проектов.
  • 0
    Сорри. Не бейте). Специфика спама в IM сетях как раз и заключается в том, что приходят сообщения от какого-то конкретного ID. Я верю, что в Jabbere нельзя рассылать сообщения анонимно, но во всех IM сетях, которые я знаю, этого тоже делать нельзя (может быть иногда открываются какие-то баги протоколов, которые такое позволяют, но by design все так).

    Вопрос такой (сорри, Jabber знаю плохо) насколько сложно будет создать например 1000 аккаунтов на разных серверах, чтобы поспамить народ по конкретному спам-листу. Имхо это критерий оценки спам-безопасности IM-протокола.

    Второй вопрос. «XMPP основан на чистом XML и злоумышленники не могут так просто присоединить malware-скрипты и вирусы к Jabber-сообщениям.» — «чистый» XML позволяет передавать бинарные данные. Имхо возможность присоединения вирусов к сообщениям — баги конкретных IM клиентов, т.к. возможность перекачивания файлов, общения голосом и т.д. и т.п. сегодня одна из важных функций IM, а значит что-то где-то тут может быть нечисто.

    С остальным согласен. SMTP пора на покой)

    • –1
      На многих серверах нет проверки на человечность при регистрации. Да и капчи, как мы сейчас везде слышим, боты учатся разгадывать. ИМХО, можно найти приличное количество публичных серверов и (с ботнета?) на регистрировать аккаунтов и рассылать сообщения.
      Есть ограничение на количество соединений с одного айпи, есть ограничение на частоту отсылки. Но, если использовать много компьютеров, то эта проблема отпадает.
  • –2
    Имхо, джаббер точно так же подвержен спаму как и мыло иначе его антиспам преимущества уже давно бы перенесли на почту. Значит их просто нет.

    Указанное преимущество номер 2 это тот же самый SPF.

    Рассылка спамерских сообщений по джебберу ничем принципиально не будет отличаться от нынешних мыльных.
    • 0
      ИМХО, голосовые и видео-звонки через джаббер — это миф. Если бы через джаббер действительно можно было говорить голосом и видеть собеседника в реальном времени, эти функции давно бы уже перенесли в электронную почту. Значит их просто нет.

      И откуда только берутся такие аналитики?! :)
      • –2
        +1
    • 0
      > иначе его антиспам преимущества уже давно бы перенесли на почту
      Предложите способ это сделать — соглашусь с Вашим комментарием.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Никто и не говорит, что спам в Jabber рассылать невозможно. Можно! Но сложно. :)

      Насчет вашего «предположим» — это вы описали сферического коня в вакууме. Ботнет — это очень динамичная и непредсказуемая штука. Сделать из тысячи абсолютно разных компьютеров джаббер-сервера — это почти из области фантастики. Мало того, вы ещё и к DNS это всё прикрутить хотите. :)
      • 0
        Ну так smtp-то сервера же делают.
      • 0
        не сложно, даже проще чем в SMTP.
        просто это никому не нужно. есть рабочие программы для спама в джаббере их никто не прячет. просто таким как автор статьи несколько побоку это. главное реклама джаббера?
        если кого-то заинтересует могу написать пост в котором будет более подробно все описано и рассказано.
        • 0
          ах да, и сервер поднимать вовсе не обязательно
    • 0
      Более того если забанить *.mydomain.zju Весь ваш ботнет… как бы это сказать повежливей :) Так что защита в целом не такая уж и плохая.
      Господа я считаю что прежде чем спорить по этому поводу нужно детально изучить Jabber и его протоколы и сравнивать с тем что уже существует например в email сервисах… Только тогда можно будет объективно увидеть плюсы и минусы. Факт состоит в том что Jabber сейчас располагает дополнительными «фичами» для защиты от спама. И спама в нем нет, остальное покажет время и практика. :)
      ИМХО.
      • –2
        Спама в нем нет потому что и пользователей в нем нет =)

        Вот если бы гугл сделал возможность юзать джаббер на своих доменах да еще с возможностью подключать ICQ-транспорт это была бы вещь =)
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Подскажите, плз, где это делается? в интерфейсе управления доменом ничего подобного не нашел.
            • 0
              на русском
              панель иснтрументов
              добавить новые службы
              добавить чат %)
        • 0
          GTalk давным-давно работает в рамках Apps.
          Сам пользуюсь таким уже почти год — успешно.
        • 0
          тьфу, забыл дописать — с успешно подключенным туда ICQ-транспортом с geeklife.ru ;)
  • 0
    Ни разу не получал спама в Jabber ) Так что подтверждено на практике
    • 0
      Если не секрет — какой процент вашего контакт-листа из аськи и какой с джаббера?

      Я хоть и поставил свой джаббер сервер два года назад из общего контакт-листа с джаббера у меня ровно один чел =)
  • 0
    обидно одно, почему такие стабильные сервисы как от google и yandex не любят icq? да, я тоже не люблю, но попробуйте объяснить это моей девушке, у которой в аське полно других таких же «негиковых» знакомых, моей маме, моему начальнику… как ни крути, но в «канцелярском» мире корпораций jabber крайне редок(по моему опыту), а вот icq как правило не проблема.
    собственно досада в том, что приходится довольствоваться «второсортными» сервисами, в которых есть транспорт icq, стабильность которых хромает.
    xmpp конечно открыт, но почему вышеупомянутые google и yandex закрывают выход в icq? даже если я бы и не пользовался icq, очень хотелось бы свободный доступ даже к таким гадким вещам как «аська».
    СВОБОДА — должна быть не только свободой для хорошего и в хорошее, но и для плохого и в плохое. Иначе это плохая свобода.
    • 0
      дело в том что это не они «закрывают» доступ в аську, это аол закрывает доступ в аську, аол ставит ограничения на транспорты, поэтому крупным проектам открывать транспорты не имеет смысла, зачем для 1% успевших подключиться пользователей?
  • 0
    всё это пустая беллетристика.
    • 0
      все пользуются SMTP
      пока все не перестанут пользоваться SMTP — спам будет.
  • 0
    почемуто у меня антиспам прекрасно справляется со спамом в аске,… так что это надуманная проблема:)
    • 0
      У вас антиспам реализован на уровне клиента. Это метод борьбы страуса: проблему не вижу — нет проблемы.
  • 0
    Непонятно, почему сравнивают Jabber и SMTP, а не, например, ICQ.
    • 0
      примерно одинаковые схемы для передачи используются. сами вы не сможете в общую сеть поднять свой ICQ сервер.
  • 0
    Можно поднимать псевдо-сервера в домене третьего уровня (что бы много денег на домены не тратить) в бот-нете, при этом используя wild-card ssl например.

    Я думаю что принципиальной разницы в спаме для smtp и xmpp нет, разве что методы спама должны немного отличаться.
  • 0
    А я узнал о Джаббер именно от хабра, юзаю миранду сижу в аське и джаббере.
    Главная проблема для меня сейчас в том что очень редко можно найти человека в джаббере. Т.е с больше вероятностью у человека будет аська, но не будет Jid
    • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    А почему jabber сравнивается с email а не с icq?
  • 0
    в джабере не рассылают спам только по одной причине: он непопулярен. когда джабером будет пользоваться каждый пользователь интернет, как e-mail, то будет и спам. сейчас этот спам никому не принесёт никакой отдачи, спамеры это прекрасно понимают, потому что они хоть и засранцы пакостные, но отнюдь не глупые.

    так что по большому счёта все наши попытки перетащить пользователей на джаббер приближают тот момент, когда в нём появится спам.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.