Bezpečnost?

Tento text jsem našel, když jsem si zjišťoval, jak je to vlastně s Jabberem a odesíláním hesla na server, SSL a bezpečnosti všeobecně,… Zajímal by mě váš názor a zkušenosti.

Originál textu je na

Cituji: ICQ nebo Jabber? A co bezpečnost?

V České republice je enormně populární ICQ a já osobně nechápu proč. Konkurence v této oblasti v podobě Microsoftího MSN, Yahoo! Messenger, AOL Instant Messenger, či Google Talk je obrovská, a často nabízí lepší služby a vyšší stabilitu centrálního serveru. V zahraničí se více než ICQ používá častěji právě vynikající MSN a Yahoo! Messenger.

Existuje nezanedbatelná skupinka lidí, kteří rovněž horují pro otevřené standardy. To je moc fajn, ale třeba na serveru Jabber.cz Vás jako uvítací hláška přivítá tato věta: „Vážení uživatelé! při dnešních (Sobota 28.01.2006) ranních změnách na serveru bohužel došlo ke ztrátě uživatelských dat za posledních 30 dnů.“. Jinak řečeno, ať jste jakkoliv nakloněni opensource a otevřených standardům, skutečnou stabilitu jim dodá až velká komerční firma.

Tata komerční firma může být například Google a jeho Google Talk. Google Talk není nic jiného než implementace otevřeného Jabber protokolu do prostředí Google (včetně do Google Mail, s archivací Vaší konverzace) a provozování Jabber serveru významnou světovou firmou.

Osobně, kdybych byl admin nějakého svého Jabber serveru, budu celý den sedět za počítačem a sledovat korespondenci ostatních. Proč ne, je tu tato možnost, a Vyvolení 2 jsou proti libovolnému back-endu Jabber serveru jen velice slabý odvar. To, že komunikaci sleduje Google na jeho Google Talk, to tolik nevadí, přece jenom jeho desítky až stovky miliónů uživatelů znamenají do značné míry anonymitu jednotlivce.

Je zajímavé, kolik lidí klidně posílá své zprávy třeba přes zmíněný Jabber.cz (a desítky dalších Jabber serverů), aniž je schopno říci, kdo jej vlastně provozuje (ve zmíněném případě zcela chybí sekce Kontaktů) a kdo tedy může (ryze teoreticky) tuto komunikaci monitorovat a analyzovat (velice zde chybí sekce Ochrana osobních údajů). Do takovéhoto serveru bych opravdu nešel…

Jedním z možných řešení bezpečnosti IM (instantních zpráv) je používání například Trillianu, který podporuje veškeré myslitelné IM protokoly (například i Google Talk) a navíc přidává funkce Secure IM, tedy šifrování zpráv. Problémem je, že i protistrana musí touto funkcí disponovat, takže není v praxi příliš použitelná. Druhou možností je použití IM klienta, který umí integrovat GnuPG a zprávy šifrovat Vaším veřejným klíčem, nicméně, protistrana zase musí používat to samé a použití GnuPG je v Česku bohužel téměř nulové.

Skutečné řešení bezpečnosti je tak vyvarovat se firem a IM serverů, které neříkají nic o své bezpečnostní politice, a neposílat ani přes velké a známé servery jakákoliv senzitivní data.

Pokud si říkáte, že Vás bezpečností problémy nevzrušují, nepodceňoval bych to. Dnes třeba ne, ale za pět let ano a log Vašich zpráv může stále kdesi existovat, zcela bez Vašeho vědomí…

konec citátu