Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru

Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS.

https://www.opennet.ru/opennews/art.shtml?num=59965

@opennet@zhub.link грустные новости. Интересно, насколько сложно/дорого организовать аудит частного сервера? Наверняка можно принять множество мер, что бы это было не так просто выполнить

@blue @opennet чем больше мер, тем медленнее пашет сервер, так как там начинаются онионы, многослойка луковая и прочее подобное, да еще и установки под кроватью в общественном вайфае. Таким кроме трех с половиной параноиков никто пользоваться не будет.

@3draven@mtdn.anyqn.com @opennet@zhub.link мне кажется, не обязательно, например я видел что кто то писал, что надо было какие-то особые опции в сертификате включать, кто то говорил что нужно какой-то специальной авторизацией пользоваться, кто то предлагал запрещать нешифрованное c2s и s2s, кто то предлагал не использовать STARTTLS - я больше вот про всякие такие штуки

@blue @opennet ну, товарищ штурмбанфюрер просто возмет диск твоей машины домой и сделает все, что захочет. Если она физически не твоя и не спрятана. Вот о чем я говорю. Так что настройки это хорошо, но от тех кто имеет физ. доступ не поможет. Да и в целом столько дыр есть, что они почти бесполезны.

@3draven@mtdn.anyqn.com @opennet@zhub.link вынужден несогласиться, мне кажется что можно предпринять некоторые меры, которые не сильно усложнили бы жизнь мне и моим пользователям но осложнили бы атаки.
Мне не кажется такая обреченность хорошей концепцией. Да у домушников есть отмычки, но мы все еще ставим замки на двери

@blue @opennet либо решать вопрос, либо знать, что это небезопасное решение. Тут "я старался" на мой взгляд не катит. Шифрованные диски на физически твоей машине, и все, что сможешь про безопасность и аудит это решение. Остальное "театр безопасности"...термин такой.