15.04.2013, 15:26
@lukasamd
Dzięki za odpowiedź.
Rozwiejmy trochę wątpliwości o tym jak to wszystko działa. Masz rację, protokół XMPP pod względem haseł jest co najmniej ''dziwny''. Aczkolwiek da się to wszystko znieść jeżeli do tego wszystkiego nie dojdą transporty. Tutaj zaczyna się już pod górkę, bo nie możemy zrobić czegoś takiego że hasła są szyfrowane w naszej bazie a potem szyfrowane lecą do serwerów np. Gadu-Gadu. Bo najnormalniej w świecie one ich nie przyjmą. Odnośnie tego jedynym słusznym wyjściem było zaszyfrowanie haseł w naszej bazie a wysyłanie ich do serwerów docelowej sieci w postacie zdeszyfrowanej. Ale tutaj proszę mieć na uwadze że to połączenie odbywa się za pomocą 2048 bitowego klucza SSL wystawionego przez autoryzowanego dostawcę. Dlatego też oferujemy spośród wszystkich (bądź większości
) sieci Jabber jedne z lepszych zabezpieczeń.
To jest jedna sprawa, drugą rzeczą są same konta Jabber. Tutaj i hasła przechowywane i te które są dostarczane do naszych serwerów lecą szyfrowane. Na dodatek również z pomocą klucza SSL.
Trzecią i ostatnią rzeczą są zabezpieczenia w wyższej warstwie niż na protokole XMPP. Nasza centrala składa się z maszyn wirtualizowanych na XEN''ie. Co samo w sobie już w pewny sposób ogranicza posunięcia potencjalnego włamania, oczywiście tutaj wszystko jest odpowiednio skonfigurowane. Do tego dostęp do maszyn wirtualnych gdzie znajduje sie Jabber, transporty oraz bazy danych jest dostępny tylko z wewnętrznej sieci. Zainstalowane jest odpowiednie oprogramowanie monitorujące i wykrywające potencjalnie ''dziwne'' zachowania ze strony serwera. A także wysoko zabezpieczone jądro z nakładką GRSEC na poziomie HIGH oraz PAX''em. Nie będę się dalej rozpisywał, po prostu powiem że całościowo infrastruktura Jabbiego jest odpowiednio przygotowana na różne zagrożenia i sytuacje. Dlatego sam fakt tak lakonicznych zabezpieczeń na protokole XMPP i transportach nie stwarza dla nas istotnej wartości.
I na marginesie, przepraszam za taką reklamę, może faktycznie osoba z jednym postem i tym dziwnie wyglądała
P.S. Nie zapominajcie o samym szyfrowaniu wiadomości metodą PGP oraz OTR które bez problemowo wspieramy i REKOMENDUJEMY!
W niedługim czasie planujemy ''poszerzyć'' decentralizację naszych usług, rozbić ją na klastry i zagwarantować jeszcze większą stabilność dla użytkowników.
Pozdrawiam
Patryk Piotrowski
Dzięki za odpowiedź.
Rozwiejmy trochę wątpliwości o tym jak to wszystko działa. Masz rację, protokół XMPP pod względem haseł jest co najmniej ''dziwny''. Aczkolwiek da się to wszystko znieść jeżeli do tego wszystkiego nie dojdą transporty. Tutaj zaczyna się już pod górkę, bo nie możemy zrobić czegoś takiego że hasła są szyfrowane w naszej bazie a potem szyfrowane lecą do serwerów np. Gadu-Gadu. Bo najnormalniej w świecie one ich nie przyjmą. Odnośnie tego jedynym słusznym wyjściem było zaszyfrowanie haseł w naszej bazie a wysyłanie ich do serwerów docelowej sieci w postacie zdeszyfrowanej. Ale tutaj proszę mieć na uwadze że to połączenie odbywa się za pomocą 2048 bitowego klucza SSL wystawionego przez autoryzowanego dostawcę. Dlatego też oferujemy spośród wszystkich (bądź większości
) sieci Jabber jedne z lepszych zabezpieczeń. To jest jedna sprawa, drugą rzeczą są same konta Jabber. Tutaj i hasła przechowywane i te które są dostarczane do naszych serwerów lecą szyfrowane. Na dodatek również z pomocą klucza SSL.
Trzecią i ostatnią rzeczą są zabezpieczenia w wyższej warstwie niż na protokole XMPP. Nasza centrala składa się z maszyn wirtualizowanych na XEN''ie. Co samo w sobie już w pewny sposób ogranicza posunięcia potencjalnego włamania, oczywiście tutaj wszystko jest odpowiednio skonfigurowane. Do tego dostęp do maszyn wirtualnych gdzie znajduje sie Jabber, transporty oraz bazy danych jest dostępny tylko z wewnętrznej sieci. Zainstalowane jest odpowiednie oprogramowanie monitorujące i wykrywające potencjalnie ''dziwne'' zachowania ze strony serwera. A także wysoko zabezpieczone jądro z nakładką GRSEC na poziomie HIGH oraz PAX''em. Nie będę się dalej rozpisywał, po prostu powiem że całościowo infrastruktura Jabbiego jest odpowiednio przygotowana na różne zagrożenia i sytuacje. Dlatego sam fakt tak lakonicznych zabezpieczeń na protokole XMPP i transportach nie stwarza dla nas istotnej wartości.
I na marginesie, przepraszam za taką reklamę, może faktycznie osoba z jednym postem i tym dziwnie wyglądała
P.S. Nie zapominajcie o samym szyfrowaniu wiadomości metodą PGP oraz OTR które bez problemowo wspieramy i REKOMENDUJEMY!
W niedługim czasie planujemy ''poszerzyć'' decentralizację naszych usług, rozbić ją na klastry i zagwarantować jeszcze większą stabilność dla użytkowników.
Pozdrawiam
Patryk Piotrowski