Eng

На главную страницу

Замечания по поводу безопасности

Вы должны включить TLS/SSL в настройках вашего клиента, если вы не используете onion-зеркала нашего сервера в сети Tor. В противном случае соединение не будет установлено, так как мы отключили режим работы без шифрования. Однако, поскольку TLS/SSL потенциально может понизить анонимность XMPP-клиентов, а трафик внутри сети Tor идёт уже зашифрованным и аутентифицированным должным образом, мы рекомендуем вам отключить TLS/SSL при соединении с нашими onion-зеркалами в сети Tor (тем не менее, TLS/SSL поддерживается и для таких соединений).

В TLS мы используем те типы шифров и режимов шифрования, которые обеспечивают наилучшую безопасность со свойством PFS. Вы можете узнать, какие параметры поддерживаются нашим сервером, пройдя по этой ссылке.

Некоторые XMPP-клиенты позволяют сделать так называемый «certificate pinning» (фиксирование сертификата) при использовании TLS/SSL — это прямое указание правильного отпечатка для серверного TLS/SSL-сертификата в настройках клиента. Подпись этого отпечатка нашим PGP-ключом вы можете загрузить отсюда. «Certificate pinning» — надёжный способ противодействия атакам на PKI, поэтому, если ваш XMPP-клиент имеет соответствующую опцию, мы рекомендуем вам использовать её при TLS/SSL-соединении (не забудьте сначала проверить PGP-подпись отпечатка сертификата!).

Все три адреса сервера (домен securejabber.me и два onion-зеркала) указаны в uid'ах нашего PGP-ключа. В случае изменения доменного имени или onion-адреса соответствующий uid будет отозван, а uid с новым адресом — добавлен. Учтите, что PGP-ключ — единственный способ получения достоверной информации об адресах и сертификатах нашего сервера.

XMPP создавался давно, когда о необходимости анонимности в каналах связи почти никто не задумывался. Как следствие, в зависимости от типа вашего XMPP-клиента возможны утечки чувствительной информации об используемом софте и его конфигурации, такие как: текущее время на вашем компьютере, ваш часовой пояс, географические координаты (геолокация, XEP-0080), версия вашей операционной системы и XMPP-клиента. Кроме того, некоторые XMPP-клиенты имеют возможность автоматической загрузки контента (картинок, файлов), что может быть использовано атакующим для выяснения вашего IP-адреса (если загрузка контента идёт в обход сети Tor). Таким образом, если анонимность важна для вас, рекомендуется запускать XMPP-клиент в виртуальной машине (в виртуальной операционной системе), где софтварные настройки XMPP-клиента (время, часовой пояс, IP-адрес и др.) могут быть сделаны отличными от используемых вашей основной операционной системой.

На главную страницу