【注意】中文版Google Talk是未加密明文传输聊天内容
在 八卦小组 看到一个令人震惊的消息:中文版Google Talk是明文传输聊天内容,我验证了一下,的确是明文,截图如下:
http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/16.jpg
请各位Google Talk用户注意鉴别阉割版,老大哥在注视着你!
记得以前wikipedia说过,Google官方承认Google Talk的end-to-end的聊天是未加密的并不能保证一个终端到另一个终端都是加密的。
[...] that the connection between the Google Talk client and the Google Talk
server is encrypted. This prevents others from seeing your mail
notifications, Friends list, and other personal settings. The
encryption also prevents others from seeing messages between your
desktop and Google's servers. However, encryption is not end-to-end, so
there is no guarantee that the messages are encrypted when sent to
another user. IMs will not be encrypted in these scenarios:
- Sender/recipient is using Gmail's chat features over HTTP
- Sender/recipient is on a federated network that doesn't support
encryption
- Sender/recipient is behind IMLogic or another similar proxy
具体什么是end-to-end,我猜应该是p2p的libjingle某些情况下是直接未加密传输的吧? 也就是说,如果你用的是英文版的Google Talk,那么Google Talk从你桌面到Google服务器是加密的,但是从Google服务器出去,到你聊天对象那里加密与否,Google不能保证。
其他未加密的情况有:通过http的Gmail测栏聊天;通过IMLogic等代理登录GTalk;你所在的XMPP federation不支持加密。
下面具体说明一下我所知道的 GoogleTalk 各个版本加密与否情况:
中文版 Google Talk(安装文件URL) 1.0.0.105,使用的未加密明文传输XMPP
http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/2.jpg
繁体中文版 Google Talk (安装文件URL)1.0.0.105,同样是未加密。
http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/15.png
英文版 Google Talk(安装文件URL) 1.0.0.104 则是TLS加密,一般来说无法破解和嗅探
http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/3.jpg
Google Talk Labs Edition(安装文件URL)1.0.267.233,看了下,使用的也是明文传输,不是通过XMPP协议,而是普通HTTP GET和HTTP POST,通讯网址是 http://talkgadget.google.com/talkgadget/msg
http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/4.jpg
Gmail侧栏和iGoogle里嵌入的Google Talk,以及Google Talk Gadget和网站连接方式和网页制作设定有关。一般来说网页是https://开头的就是加密的。普遍国内 Gmail 用户使用https的习惯还是有的吧?
第三方XMPP客户端(例如pidgin)登录GTalk的,选择TLS就算加密。
http://olds.blogcn.com/wp-content/uploads/74/7487/2009/08/1.gif
长期用英文版还没注意到这个严重的问题,直到有人说抓包发现Google Talk是明文。才发现中文版居然是未加密的。汗死!这一点谷歌算作恶了吧?明明知道国内网络环境不太好的,居然还把加密取消了,也不说明一下。
更新
根据抓包的情况来看,有一个方法估计可以屏蔽中文GTalk,Jabber ID(JID)是由 node@domain/resource 这个格式构成的,XMPP客户端可以尝试屏蔽(如果支持的话)以 Talk.v105 开头的resource。目前我也没有具体步骤,只是说这个可能实现的原理。
标签: google, Google Talk, TLS, xmpp
这篇文章发布于 2009年08月25日,星期二,19:15,归类于 Hacks, software。 您可以跟踪这篇文章的评论通过 RSS 2.0 feed。 您可以留下评论,或者从您的站点trackback。 编辑.
22 条评论 发表在"【注意】中文版Google Talk是未加密明文传输聊天内容"上
http://id.blogcn.com/user/1e1e5ac67bcd06a5d9b9b308/ duola 说到:
2009-08-25 @ 22:14 (编辑)
老大哥监视着我,他要干什么呢
2.
http://id.blogcn.com/user/1a013b6a32e6d80a3c3d7cae/ monnand 说到:
2009-08-25 @ 22:35 (编辑)
XMPP提供的是下层通信协议。上层的加密完全可以在通信双方进行协议,这样更加灵活,安全。
试想:通信双方实现协定好加密算法和密钥,通过XMPP协议,利用gtalk传输。这样即便中途信息被劫持,也很难破解。
我们再看看QQ:通信的每一方和服务器协商一个密钥,全部信息都转发给服务器,服务器解密后再加密传送给目的端。换句话说,服务器完全控制着加密的全部流程。随时可以过滤。你不信?多少人都是因为QQ里面谈论敏感信息被请去喝茶,甚至成为法庭证据啊。
3.
4.
http://id.blogcn.com/user/809f1346221e4f45a7ed0dec/ rogue 说到:
2009-08-25 @ 22:55 (编辑)
刚看了Miranda IM,默认已勾选"使用TLS",应该是加密了吧?
5.
http://id.blogcn.com/user/56fe4cdf8b2202c503205dd4/ zola 说到:
2009-08-25 @ 22:56 (编辑)
用pidgin登录GTALK,再用上OTR插件,就可以实现加密的通讯了,即使在GMAIL的chat目录也只能看到乱码。
http://id.blogcn.com/user/1a013b6a32e6d80a3c3d7cae/ monnand 说到:
2009-08-26 @ 00:45 (编辑)
同意! 强烈建议使用自由/开源软件,且使用公开协议(比如gtalk用的XMPP),这样更加安全。
6.
7.
http://id.blogcn.com/user/de8501152ea2534b19e1a013/ lihlii 说到:
2009-08-25 @ 23:38 (编辑)
是不是 1.0.0.105 版本的通病呢?可以查一下 1.0.0.105 版本的英国版和其他语言版。美国版只有 1.0.0.104。
如果只有中文版这样,这算 google 作恶的一个罪证。是否 google 中文软件部门配合暴点潮。提上裤政的恶行?
8.
http://id.blogcn.com/user/4d8c91a5809a8e02c4245e61/ hauy 说到:
2009-08-26 @ 01:52 (编辑)
一直只用英文版
9.
10.
http://id.blogcn.com/user/d92cb3892fc0886ba01064e2/ 老K 说到:
2009-08-26 @ 03:08 (编辑)
鲜用Google Talk.
11.
http://id.blogcn.com/user/e33262522e37b102e533aca4/ Terry 说到:
2009-08-26 @ 08:18 (编辑)
Pidgin或者Adium用Force old SSL就是了。文中的截图似乎有点老,还有点问题。2.5.x和2.6.x中,正确的设置应该是Force Old (Port 5223) SSL,端口是5223。
用https方式访问gmail用gtalk也是经过SSL加密的。不过还得看和你聊天的人是否也同样用了SSL,否则聊天内容还是不安全的。
http://id.blogcn.com/user/eb4ae4130ecd627b03a4da96/ electronixtar 说到:
2009-08-26 @ 09:20 (编辑)
截图的确有点老,我网上找的,但是似乎不是force OLD ssl,而应该勾选tls。
当然这个tls只是保证你到google服务器是加密的,google服务器出去到对方加密与否就未知数了。
http://id.blogcn.com/user/5595fb3be085c9888d7e1014/ shellex 说到:
2009-08-26 @ 12:49 (编辑)
唔,确实是个麻烦事情、看来应该用OTR了
12.
http://id.blogcn.com/user/53db781ecf27d7b5c9073880/ JimmyZ 说到:
2009-08-26 @ 17:09 (编辑)
中文版GTalk实际上版本比较低, 比如中文版105不支持传文件, 英文版104就可以, 不过不管哪个都已经三年没有更新了, Google似乎把全部精力放在GMail内置Talk上了, 又或者他们在进行一项关于不维护的程序能够有多久生命力的研究
http://id.blogcn.com/user/eb4ae4130ecd627b03a4da96/ est 说到:
2009-08-26 @ 17:14 (编辑)
被你猜对了。实际上,英文版GTalk已经内置IMUCTalkAPI和IMUCTalkPlugin了,也就是多人聊天室。中文版版本虽然高,但是没有这个接口。
13.
http://id.blogcn.com/user/109f0cf85f8d4229f77f76bb/ pumaboyd 说到:
2009-09-01 @ 10:32 (编辑)
请问一下,你使用的是什么抓包工具
http://id.blogcn.com/user/e33262522e37b102e533aca4/ Terry 说到:
2009-09-07 @ 12:16 (编辑)
一看就是WireShark啦,就是以前的Ethereal。
14.
http://id.blogcn.com/user/a8e1ee5549ab78e043b15652/ 吴思想 说到:
2009-09-04 @ 21:46 (编辑)
如果就连Google中文版talk都未加密,信息可以被中途拦截破解;可想而知QQ的服务器只能对"老大"更开放更透明。
不过,话说回来,任何保密措施都是相对的,如果老大想知道些什么你再怎么也隐藏不住;告诉自己的朋友们:各自小心,各按天命,其它悉听君便。
15.
http://id.blogcn.com/user/3db954aa45fc2559e85f5d5b/ nico 说到:
2009-09-22 @ 16:53 (编辑)
Google Talk chatback badge也是未加密么
16.
http://id.blogcn.com/user/97f07c6fae7bc8a48075f380/ gfw 说到:
2009-10-08 @ 15:00 (编辑)
没办法,"依法"办事是必须的啊。
0 件のコメント:
コメントを投稿