Gajim. Только зачем тебе PGP? Ты точно читал XEP по нему?

@kagami Гажим я уже публично тестил, больше не хочу. Да, читал. Да, знаю, что это ёбаное говно с replay-атаками. Но именно шифрование там норм сделано.

@l29ah Бери OTR, он много где нормально сделан. Алгоритмы тоже надёжные — DHKA + AES. Плюс есть дополнительные няшные фишечки типо Perfect forward secrecy и Deniable authentication. Просто OpenPGP в жаббире тебе не даст вообще никакой гарантии о том, что себеседник является собой, т.к. сообщения не подписываются, только шифруются. Есть какой-то недокостыль с подписыванием презенсов, но он похоже нигде не реализован и в любом случае хуйня. Каждое сообщение должно быть подписано.

@kagami В psi otr тоже сделан через жопу. Я знаю, что такое otr, не надо мне рассказывать. Подписка там есть и работает, но уязвима к replay.

@l29ah В том-то и дело, что не работает. В гаджиме и пси по крайней мере. Хотя я сейчас вчитался, вроде можно подписывать и тело. Только вот где оно реализовано?

@l29ah Не, нельзя. > It does not enable both signing and encryption of a stanza, only signing of the presence status and encryption of the message body.

@kagami В пси работает. Реализовано в ткаббере.

mcabber ^_^

@nebeda У него сломаны ресурсы.

@l29ah нет у тебя

@failman жпж там же до сих пор useless anus

@failman алсо ахуенный хэшномер

@l29ah И аватарки

@failman потому что ты не юзал жпж?

@o01eg Похуй на аватарки. Отсутствие аватарок хотя бы гарантирует, что его не будет пидорасить от моего няшного юзерпика.

@l29ah Psi+ тоже не пидорасит от твоей аватарки

@o01eg Пидорасит, но мягко. В обычном режиме в ростере показывается миниатюра, а рамка не кушается. Если заглянуть в User Info, покажется миниатюра чуть больше, а потребление памяти подскочит на триста метров.

@l29ah Что именно работает? Ещё раз: ты читал XEP?

@kagami Подписывание статусов, подписывание и шифрование сообщений. Да, читал, но не помню, что из этого говна стандартизировано.

@l29ah В каком месте они подписываются? Они _только_ энкриптятся.

@kagami Поставь tkabber.

@l29ah http://xmpp.org/extensions/xep-0027.html >It does not enable both signing and encryption of a stanza, only signing of the presence status and encryption of the message body.

@kagami Перечитай /982.

@l29ah Если они идут в обход XEP, то их говно нигде кроме как у них работать не будет. А как ты проверял что сообщения подписываются?

@kagami Кэп. Я не проверял, поскольку не пользуюсь подпиской, поскольку реализована она несекурно.

@kagami А, да, я видел летящие от чужого ткаббера подписанные сообщения, подпись которых мой ткаббер осиливал/не осиливал проверить.

@l29ah Почему несекьюрно?

@kagami Потому, что уязвима перед replay-атаками.

@l29ah Так она используется для обхода аутентификации. IM-то тут причём? Олсо, можно класть метку времени.

@kagami Но ткаббер не кладёт. В результате эта фича хуже, чем бесполезна.

@l29ah Опиши пример использования replay-атаки в обычном диалоге между Alice и Bob.

@kagami Алиса постоянно использует подписывание сообщений в своих чятиках. Чеширский Кот, Живущий у Ermine Дома, несколько месяцев сниффает её болтовню. Чеширский Кот переотправляет простые короткие сообщения, отправленные ранее Алисой, в такой последовательности, что Болванщик выполняет какое-либо неугодное действие, считая, что получает просьбу от Алисы.

@l29ah Подписываются только шифрованные сообщения. Толку если Чеширский кот пошлёт Болванщику сообщения, шифрованные публичных ключом Чеширского кота? Он их не сможет прочитать.

@kagami Ткаббером подписываются и нешифрованные сообщения. А шифровать сообщения, отсылаемые в конфу, смысла мало, лол.

@l29ah Просто подписанное сообщение от Алисы не просьба к действию. Это говорит только о том, что Алиса писала такое сообщение, вот и всё. И причём здесь вообще конфа? В диалоге между двумя участниками, которые шифруют и затем подписывают сообщения, этим воспользоваться не получится. А вот если сообщения не подписываются, то у тебя вообще нет никакой гарантии о том, что ты говоришь с тем человеком. Владелец жаббир-сервера может подмешивать в середину диалога сообщения, адресованные как бы от собеседника и шифрованные твоим публичным ключом, а тебе будет казаться, что их написал собеседник.

@kagami Што. Притом, что такова реализация подписывания в tkabber. Да. Но они могут и не шифровать, надеясь, что подписывание эквивалентно аутентификации. Никакой доки о том, что в tkabber это неправда, нету. Причём тут шифрование вообще? Мы говорим про случай без шифрования.

@l29ah Я не знаю что там в ткаббере, но не вижу абсолютно никакого смысла в >надеясь, что подписывание эквивалентно аутентификации Ровно как и в шифровании без подписи.

Веб-клиент для Google Talk

@kurkuma Зобаню.

@l29ah Ба-бах?

@kurkuma OK. Blacklist updated.

@l29ah Лол

Это баг в апстриме. Они пользуют кривую либу для gpg

@o01eg Да мне похуй.