TaganRock vs форум exploit

marti1n · 30 Ноя 2018

ауди хорош, ты и сам небось тагана давно знаешь?
я не пойму на дм нет проблем, нахрена эту тему поднимать тут???
ТС скажи кто тебя попросил запилить тему, очень интересно

marti1n · 30 Ноя 2018

optimus1 <[email protected]>
сегодня опять рассылка идет
задолбался удолять

AudiA6 · 30 Ноя 2018

marti1n написал(а):
ауди хорош, ты и сам небось тагана давно знаешь?
я не пойму на дм нет проблем, нахрена эту тему поднимать тут???
ТС скажи кто тебя попросил запилить тему, очень интересно

Тагана знаю давно и как человека его уважаю. Вообще Фил верно сказал, такая новость про логгирование в джаббере что пздц просто. Конечно, смотря с какой стороны рассматривать. Например палить схемы, но Таган не занимается картингом, ему это не к чему. В любом случаи логирование это не правильно. А еще больше не правильно то, если говоришь что не логируешь, а на самом деле логируешь. Другой же вопрос в том, если логируешь но об этом сам не в курсе и как это контролировать - еще не научился. Я как пользователь линукса, к примеру, ставлю всякие софты там через терминал, команды которые ищу в гугле. То есть я не знаю на память команды типа sudo update там тд тп, я их гуглю и ставлю.
По поводу модуля который, как было доказано разработчиком еджаббера, был включен умышленно. Поставил я как-то на сервак се форум, булку кстати. Ну и хотелось бы его наполнить чем нить уникальным, да и вообще наполнить по принципу чем больше всякой хрени - тем лучше. Нагуглил я хаков всяких на *** булки, и поставил все что только можно туда. Форум тупить стал правда писец как. Я к чему это все пишу. В связи с выяснившемся обстоятельствами по данному разбору, я характеризую Таганрока как любителя а не специалиста, в плане поддержки и технического обслуживания джаббер сервера, по этому сказать что он собирал там какие-то данные с сообщений пользователей, сидя перечитывая их днем и ночью, убивая на это реально уйму времени для поиска чего либо стоящего, при этом ежедневно в активном порядке модерируя ввх форум.... ну язык не поворачивается. Скорее всего это было сделано может и умышленно, но не с целью вреда. В любом случаи, это не правильно, потому что сервер публичный и на нем есть пользователи, и к такому формату нужно подходить со всей ответственностью, без эксперементов. По этому мне кажется, ему нужно просто принять эту информацию и исправить бока в своем жаббере.
Хотел видать как лучше, а получилось как всегда.
Вообще для чего юзают джаббер в даркнете? Верно, для сокрытия диалогов посредством шифрования трафика, который может скомпрометировать любого. Конкретно в данном случаи - для использования ОТР модуля, который обеспечивает полную анонимность в переписках. Если я не ошибаюсь, Зинид упомянул, что при использовании шифрования посредством модуля ОТР, никакое логирование со стороны сервера не возможно. Сообщения, которые логируются, это сообщения без сквозного шифрования (если я верно все понял с его слов?). Если вы не используете шифрование, то нафига вам жаба вообще? Юзайте телеграмм, аську, или еще лучше - вайбер или вацап.
А то что соврал по поводу включенного модуля - да, это плохо, но а чо ему делать то? Говорить "да я дурень, включил осознанно, эксперементировал с сверером, а в связи с тем что сервер пользуется популярностью - хотел его как можно лучше модернизировать, но я из-за своей непрофессиональности не мог даже подумать о том, что этот модуль может доставить мне столько проблем...". Каждый творец, владелец или кто бы это не было - хочет сделать свое детище лучшим. Вон Лука в настройке форума как рыба на сковородке, уже не раз было что Лука эксперементировал и наэксперементировал такое, что форум тупо отключался или пропадало пол форума, потом восстанавливали с бэкапа. По этому он нанимает технических специалистов для его модернизации.
А с Таганом видать было так: в свое время он сказал "Я могу поднять сервер джаббера для ВВХ!", и ВВХ сказал "давай малой, действуй". И легенда о том, что Таганрок на самом деле крутой спец в мире кодинга - прижилась само собой, но не стоит забывать, что это всего лишь легенда. По этому ожидать от него каких либо основательных ответов на ровне с Зинидом по технической части было глупо. А кто не хотел бы быть приближенным к администрации своих покровителей из всех вас? Верно, кроме меня - никто. Все хотят быть важными и нужными, это психология.
В любом случаи, решение на экспе, решение верное. Это их форум, и такие ошибки на форуме по кодингу - не допустимы. Это их основное направление.

sweetMika7 · 30 Ноя 2018

Luca Brasi написал(а):
Судя по статусу TaganRock только админ жаббера, потому не справедливо обвинять весь WWH в непорядочности и логах. А вот с ним считаю мнение exploit исчерпывающим и авторитетным. Как на самом WWH администрация отреагировала?

Он админ jabber сервера который создан с подачи администрации wwh, если бы не было согласия свыше - то сервер бы не назывался под эгидой wwh.

sweetMika7 · 30 Ноя 2018

AudiA6 написал(а):
Вообще для чего юзают джаббер в даркнете? Верно, для сокрытия диалогов посредством шифрования трафика, который может скомпрометировать любого. Конкретно в данном случаи - для использования ОТР модуля, который обеспечивает полную анонимность в переписках. Если я не ошибаюсь, Зинид упомянул, что при использовании шифрования посредством модуля ОТР, никакое логирование со стороны сервера не возможно. Сообщения, которые логируются, это сообщения без сквозного шифрования (если я верно все понял с его слов?). Если вы не используете шифрование, то нафига вам жаба вообще? Юзайте телеграмм, аську, или еще лучше - вайбер или вацап.

Тут ты не прав, при ОТР сообщения все также могут логгироваться, просто из-за наличие сквозного шифрования - ЕСЛИ сервер не производит MITM атаку - сообщения расшифровать будет нельзя

AudiA6 · 30 Ноя 2018

sweetMika7 написал(а):
Тут ты не прав, при ОТР сообщения все также могут логгироваться, просто из-за наличие сквозного шифрования - ЕСЛИ сервер не производит MITM атаку - сообщения расшифровать будет нельзя

Ну я это и имел ввиду да, там всякие MITM OEM BULKA SHMULKA... Из-за них сообщения расшифровать нельзя и по этому смысл логирования теряется.

marti1n · 30 Ноя 2018

мика пожалуйста не надо...

Komrakoff · 30 Ноя 2018

AudiA6 написал(а):
Я подымал. Когда-то грузчиком работал, и был заказ перевезти одну айтишную компанию с одного места в другое. По этому я с уверенностью могу сказать, что сервер я подымал, и не один!!!

ты такой разносторонний... Друг)))
когда ты всё успеваешь, у тебя наверное велосипед?

Bes73 · 30 Ноя 2018

AudiA6 написал(а):
Я подымал. Когда-то грузчиком работал, и был заказ перевезти одну айтишную компанию с одного места в другое. По этому я с уверенностью могу сказать, что сервер я подымал, и не один!!!

Так это ты тот *** что уронил мне два сервака в тот переезд? :D

Forum services · 30 Ноя 2018

sweetMika7 написал(а):
Он админ jabber сервера который создан с подачи администрации wwh, если бы не было согласия свыше - то сервер бы не назывался под эгидой wwh.

Ну вот прикинь, я хочу жаббер и обратился к тебе. Я не могу сам его поднять, мне нужна помощь, ты выглядишь как человек разбирающийся в теме.

Дальше ты начала там мутить с логами и бравые ребята с эксплойта тебя раскусили. Все сплыло, вышел скандальчик.

Виноват ли я? Ну да, виноват, что выбрал такого человека в команду, но не в том, что я непорядочный или вел логи... я бы их не вел.

p.s. я так понимаю жаббер у них внутриклубный и это так то внутренние дела их клуба.

marti1n · 30 Ноя 2018

Luca Brasi
на этом жабере не только клубни сидят , но и другие пользователи
и даже юзеры, кот орые не зареганы на ввх

DirectorX · 30 Ноя 2018

Bes73 написал(а):
Так это ты тот *** что уронил мне два сервака в тот переезд? :D

На вряд ли, т.к. если бы ты заказывал данные услуги у него, то твой переезд закончился бы просто без двух серваков.

Forum services · 30 Ноя 2018

marti1n написал(а):
Luca Brasi
на этом жабере не только клубни сидят , но и другие пользователи
и даже юзеры, кот орые не зареганы на ввх

Ну люди и на XMPP.jp сидят, там не только логи, но и утечки достаточно регулярно происходят.

sweetMika7 · 30 Ноя 2018

Luca Brasi написал(а):
Ну вот прикинь, я хочу жаббер и обратился к тебе. Я не могу сам его поднять, мне нужна помощь, ты выглядишь как человек разбирающийся в теме.

Дальше ты начала там мутить с логами и бравые ребята с эксплойта тебя раскусили. Все сплыло, вышел скандальчик.

Виноват ли я? Ну да, виноват, что выбрал такого человека в команду, но не в том, что я непорядочный или вел логи... я бы их не вел.

p.s. я так понимаю жаббер у них внутриклубный и это так то внутренние дела их клуба.

Дело в том что, когда обычно запускают проект на безопасность - всегда есть понятие "внешний аудит", это нормальная практика, но в случае с сервером ввх ее или не было или в этом не видели смысла. (иначе бы сразу нашли такой досадный фейл)

Он не совсем внутриклубный - там несколько доменов у серверов, некоторые доступны всем, некоторые доступны только юзерам ввх, а некоторые доступны только если человек прошел платный курс ввх (вроде бы все так).

Там история в общем в другом - о том что был включен модуль mod_mam, который позволяет делать копии переписки, однако по факту как правильно написал сам автор mod_mam, если есть желание - то можно написать свой модуль, который не будет числиться в списке XEP, но при этом делать дубли переписки.
ОДНАКО факт того что mod_mam был и он работал - воть это и есть основная причина всего срача, хотя изначально говорили что этого модуля на серверах ввх нет.

Тренер · 30 Ноя 2018

sweetMika7 написал(а):
Дело в том что, когда обычно запускают проект на безопасность - всегда есть понятие "внешний аудит", это нормальная практика, но в случае с сервером ввх ее или не было или в этом не видели смысла. (иначе бы сразу нашли такой досадный фейл)

1. Скинь пожалуйта ссылки на теневые проекты по которым проводили "внешний аудит".
2. Если я правильно понял, этот "досадный фейл" несколько месяцев искало пол экспа и докапались лишь с помощью непосредственного разработчика.

sweetMika7 · 30 Ноя 2018

FillMorr написал(а):
1. Скинь пожалуйта ссылки на теневые проекты по которым проводили "внешний аудит".
2. Если я правильно понял, этот "досадный фейл" несколько месяцев искало пол экспа и докапались лишь с помощью непосредственного разработчика.

1. Я не могу писать про проекты для которых делала аудит, и про которые я знаю что его проводили. Можете просто на экспе спросить - надо ли это и т.д.
2. Экспу не нужны кардеры, ввх это свое сообщество. Админ экспа написал разработчику модуля по причине того что - узнать, стоит ли mod_mam по дефолту или же его нужно включать специально. Если бы это модуль стоял по дефолту - то в этом случае можно классифировать как халатность, а вот если включен специально - в принципе, что из этого вышло - можете почитать на экспе.

Я не вижу смысла это все обсуждать, на экспе в теме уже высказались все кто только мог.

marti1n · 30 Ноя 2018

мика ты лучше своими серваками займись
а то так и будут тебя называть- "ну очень медлленная"

rialantterp · 30 Ноя 2018

marti1n написал(а):
а можно без флуда хоть тут??
весь форум своим говном загадили
rialantterp ты кто такой????
с модулем mod_mam какие не стыковки
да еще оптимус еще тот ******* и его точно вот надо забанить
кто то из вас хоть прочитал все эти 30 с лишним страниц разбора
кто то из вас поднимл хоть раз сервер
закройте рот и проходите мимо
таган нормальный

Таган крыса, Оптимус это доказал, а официальный разработчик подтвердил слова Оптимуса

rialantterp · 30 Ноя 2018

FillMorr написал(а):
1. Скинь пожалуйта ссылки на теневые проекты по которым проводили "внешний аудит".
2. Если я правильно понял, этот "досадный фейл" несколько месяцев искало пол экспа и докапались лишь с помощью непосредственного разработчика.

Этот фейл экспа искала пол года, а Оптимус нашел его сразу, до обновления он заявил о том, что ведутся логи, после ТаганРок обновил сервер, и Оптимус опять сказал это, цитирую слова Оптимуса:

После обновы первый ребут сервера, еще ДНС кстати даже не вссе обновились модуль был отключен, но через пару часов опять ребут, и модуль уже был включен, так как ранее он логировал, и я мог это доказать, я не стал выкладывать доказательства по старой версии ВВХ - так как они не составляли ценность, а по новой версии - после обновы - я осознавал если тыкну пальцем, то Таганрок просто скажет - ребята, я еще не закончил настройку сервера, поэтому решил дать Таганроку время, чтобы он завершшил настройку сервера, пол года думаю ему хватит.
До обновы и после обновы разница в логировании была - до обновы - было скрытое логирование, патченый мод_логдб, а после обновы ленивое решение, к тому же паливное - мод_мам, говорить о том, что он не знал, это ничего не говорить, он все знал, все делал сознательно, просто всех держал за дэбилов, потому что все хавали его бред о безопасном сервере.

Если кто-то сомневается о том, что логировалось умышленно, вспомните разговор на ДМ, одного из арбитров, разговор которого дошел до третьих ушей/глаз, а вы и дальше верьте в невинность.

Все аргументы защиты и оправдания ТаганРока сводятся к тому, что Оптимус спаммер, и не нужно его слушать, а когда Оптимус грузил его технической частью, которую потом полностью разработчик еджабберда подтвердил, ТаганРок понял, что круто обосрался :) :) :)

sweetMika7 · 30 Ноя 2018

marti1n написал(а):
мика ты лучше своими серваками займись
а то так и будут тебя называть- "ну очень медлленная"

у меня усе ок, за меня не волнуйся :)

TaganRock vs форум exploit

marti1n

MysterySnail

marti1n

MysterySnail

AudiA6

sweetMika7

Яндере-тян (ヤンデレちゃん)

sweetMika7

Яндере-тян (ヤンデレちゃん)

AudiA6

marti1n

MysterySnail

Komrakoff

Service Group ✅

Bes73

Forum services

marti1n

MysterySnail

DirectorX

Forum services

sweetMika7

Яндере-тян (ヤンデレちゃん)

Тренер

@Trener_service

sweetMika7

Яндере-тян (ヤンデレちゃん)

marti1n

MysterySnail

rialantterp

rialantterp

sweetMika7

Яндере-тян (ヤンデレちゃん)