Короткий ответ: никак, им пофиг.


В статье описываются мои безуспешные попытки убедить сотрудников Microsoft, что их сервис уязвим, а также унижения, которые приходится выносить пользователям Skype. Под катом невежество, боль и отчаяние.

UPD


Статья на английском hub.zhovner.com/geek/how-skype-fixes-security-vulnerabilities/

Пост на HackerNews news.ycombinator.com/item?id=13227480

TL;DR:

  • Любой может заблокировать ваш аккаунт навсегда так, что вы больше не сможете им пользоваться. Для этого достаточно знать только имя аккаунта. В большинстве случаев Skype откажет вам в восстановлении доступа. Microsoft знает об этой проблеме несколько лет.

  • Механизм генерации восьмизначных одноразовых кодов аутентификации (Microsoft Security Code), которые используются для восстановления пароля к аккаунту Microsoft, уязвим. Атакующий может угадать код.

  • Техподдержка Skype уязвима для атак социальной инженерии. Microsoft считает это нормальным.

  • Техподдержка Skype не знает, что на самом деле происходит с вашим аккаунтом, и почему он заблокирован. В любом случае вы получите стандартный ответ, что ваш аккаунт заблокирован за нарушение правил, даже если аккаунт был удален по вашему запросу.

  • Skype по-прежнему раскрывает ваш IP-адрес, в том числе и локальный (тот, что на сетевом интерфейсе). В некоторых случаях возможно раскрытие контактов, подключенных с того же внешнего IP-адреса, что и вы. Например, членов семьи, подключенных к домашнему роутеру.

  • Атакующий может скрыть активную сессию из списка авторизованных клиентов (команда /showplaces) используя старые версии SDK. Таким образом, зная пароль, можно незаметно просматривать переписку жертвы.


Обо мне


Я пользуюсь скайпом около десяти лет. Раньше я мог назвать себя настоящим фанбоем скайпа.
Когда был доступен публичный баг-трекер jira.skype.com, я активно пытался улучшить Skype, рапортовал о багах.

Например, SCW-2778 Remote DoS exploit. Эта уязвимость позволяла удаленно обрушить десктопную версию Skype для Windows так, что программа не запускалась без очистки истории.

Или SCW-3328, которая позволяла удаленно включить отключенный микрофон во время звонка.

Уже тогда Skype настораживал своим подходом к исправлению багов. Мне приходилось буквально умолять разработчиков исправить проблему, которую не могли починить годами! Вот как это выглядело.

Я пользовался всеми продуктами Skype, инструментами для разработки Skype4Com, Skypekit. Покупал premium-подписки. Продвинул на работе идею купить Skype For Business. Писал ботов, сервис для генерации собственных смайлов и т.д.

Но сегодня могу сказать, что я искренне ненавижу Skype. Это отвратительный сервис, погрязший в бюрократии и невежестве сотрудников, абсолютно игнорирующий проблемы и занятый только созданием 3D Видеосмайлов. На сегодняшний день Skype не просто не безопасен, он представляет угрозу для пользователей, потому что его механизмы обеспечения безопасности не работают.

Хронология событий


Уже на протяжении нескольких лет существуют уязвимости, приводящие к блокировке произвольного Skype-аккаунта. Их несколько, ими активно пользуются злоумышленники и предоставляют в качестве сервиса.

Раньше я много писал про уязвимости скайпа, и ко мне стали обращаться жертвы блокировок, которые находили меня через поиск.

Я видел разные случаи блокировок Skype-аккаунтов. Пытался помочь людям восстановить доступ и умолял Skype сделать с этим хоть что-то.

Обычно это были блокировки через массовые жалобы. Это давно известный способ, который существует уже много лет. Он настолько старый, что стал частью детской субкультуры, ведущей войны друг с другом в Skype. Но за последний год случилось нечто вопиющее, о чем я не могу молчать.

Способ 1 — абузы (классический)


В Skype аккаунт блокируется автоматически, если на него поступило достаточное количество жалоб от других пользователей. Предположительно, более 20 штук.

Для того, чтобы отправить жалобу, не нужно даже добавлять аккаунт в контакт-лист, это можно сделать, найдя аккаунт через поиск и кликнув «заблокировать > сообщить о нарушении».

Таким образом, жертва может не знать об отправленных в ее адрес жалобах.

Этой технике уже много лет. О ней писали на Хабре, о ней знают даже дети, которые собираются в группы для совместного накручивания жалоб.

Вот, например, найденные беглым поиском по vk.com:

vk.com/block_pidaram_skype
vk.com/skype_delete
vk.com/blacklistskype
vk.com/blockskyp
vk.com/eds_snos
vk.com/club58649499
vk.com/club49404483

Таких сообществ много и в самом Skype. Существует даже отдельная субкультура «вкачивателей». Обычно это дети 12-19 лет, которые объединяются в кланы. Суть их деятельности состоит в максимальном нанесении вреда оппоненту, который выбирается случайным образом.

Основные баталии происходят в виде словесных дуэлей в групповых звонках. Смысл в том, чтобы максимально унизить собеседника за короткий период времени и зафиксировать это на видео.

Видеозаписи дуэлей (Осторожно: мат и крики)

Некоторые кланы вкачиваетелей выпускают свой фирменный софт для автоматизации вредоносной деятельности.

Демонстрация программы для массовой рассылки жалоб (Видео). Получается подобие ботнета из собственного контакт-листа, который добровольно абузит присланные аккаунты. Напомню, что для жалобы не нужно добавлять аккаунт жертвы к себе в контакты. То есть на вас может пожаловаться сотня школьников, с которыми вы никогда не общались, и вы этого не узнаете.

Я лично знаю десяток жертв, чьи аккаунты были удалены таким образом. На все обращения в поддержку Skype отвечают стандартной отпиской:

I understand that your Skype account was blocked. I apologize for any inconvenience that this may have caused, but I will be more than happy to look into this for you.

Our automatic systems detected that activities which are contrary to Skype’s Terms and Conditions have taken place via your Skype account. As a result, your account has been restricted and will remain restricted until further notice.

Перевод

Я понимаю, что ваш аккаунт был заблокирован, и извинюсь за доставленные неудобства. Я буду БОЛЕЕ ЧЕМ СЧАСТЛИВ посмотреть, чем я могу помочь.

Наша автоматическая система определила, что вы чмо и нарушаете все правила. Поэтому мы удалили нафиг ваш аккаунт, до свидания.

Угадайте, исправлена ли эта уязвимость на текущий момент? Конечно же нет!

Блокировка через техподдержку


Осенью 2015 года мне стали писать люди, пострадавшие от нового вида атаки. На этот раз перед блокировкой аккаунта жертве приходили письма от Microsoft с восьмизначным кодом. Письма были отправлены с ящика verifyme@microsoft.com и имели корректную DKIM-подпись, то есть были точно от Microsoft.

weak microsoft security code prediction attack

Проведя с друзьями собственное расследование, мы нашли исполнителя атаки. Его объявлениями были заполнены все форумы для малолетних кулхацкеров.

Вот его реквизиты:

ICQ: 676061500
Skype: alaaasddsa1.as
Jabber: block_service@xmpp.jp

Вот одно из объявлений удалятора:

image

Чтобы проверить, как происходит удаление, я заказал у него удаление моего тестового аккаунта.
Для чистоты эксперимента были соблюдены такие условия:

  • Аккаунт был зарегистрирован на свежесозданный почтовый ящик, никак не связанный с аккаунтом. Угадать или найти почту от аккаунта в открытых источниках было невозможно.
  • Был установлен сложный пароль из длинной последовательности цифр и букв в разном регистре
  • В контакт-листе были добавлены только доверенные контакты.
  • Аккаунт не состоял в конференциях и почти не использовался для переписки и звонков

На протяжении всего процесса удаления я мониторил почтовый ящик и был авторизован в десктопном Skype клиенте.

Через несколько часов после оплаты на почту посыпались письма с Microsoft Security Code, как на скриншоте выше.

За 10 часов пришло 24 письма с кодами. Забегая вперед скажу, что атакующий в итоге угадывал код подтверждения.

Вот все коды из писем, пришедшие за время атаки, с привязкой ко времени получения письма.
Видно, что отправка происходит короткими всплесками в пределах нескольких минут.

Microsoft Support Code: 41917837 Fri, 26 Feb 2016 04:25:54 -0800 (PST)
Microsoft Support Code: 14793784 Fri, 26 Feb 2016 04:27:32 -0800 (PST)
Microsoft Support Code: 58837293 Sat, 27 Feb 2016 03:29:18 -0800 (PST)
Microsoft Support Code: 68871688 Sat, 27 Feb 2016 03:29:33 -0800 (PST)
Microsoft Support Code: 38424446 Sat, 27 Feb 2016 03:30:33 -0800 (PST)
Microsoft Support Code: 25068066 Sat, 27 Feb 2016 03:35:39 -0800 (PST)
Microsoft Support Code: 27311897 Sat, 27 Feb 2016 03:58:58 -0800 (PST)
Microsoft Support Code: 93194445 Sat, 27 Feb 2016 04:02:43 -0800 (PST)
Microsoft Support Code: 32506812 Sat, 27 Feb 2016 04:03:36 -0800 (PST)
Microsoft Support Code: 33627494 Sat, 27 Feb 2016 04:05:40 -0800 (PST)
Microsoft Support Code: 98350414 Sat, 27 Feb 2016 09:00:03 -0800 (PST)
Microsoft Support Code: 12437217 Sat, 27 Feb 2016 11:41:04 -0800 (PST)
Microsoft Support Code: 42078695 Sat, 27 Feb 2016 11:42:45 -0800 (PST)
Microsoft Support Code: 41321028 Sat, 27 Feb 2016 11:43:09 -0800 (PST)
Microsoft Support Code: 44964659 Sat, 27 Feb 2016 11:43:19 -0800 (PST)
Microsoft Support Code: 90692933 Sat, 27 Feb 2016 12:50:21 -0800 (PST)
Microsoft Support Code: 23696204 Sat, 27 Feb 2016 12:55:18 -0800 (PST)
Microsoft Support Code: 60212551 Sat, 27 Feb 2016 12:55:25 -0800 (PST)
Microsoft Support Code: 81725942 Sat, 27 Feb 2016 12:58:04 -0800 (PST)
Microsoft Support Code: 29172590 Sat, 27 Feb 2016 14:26:54 -0800 (PST)
Microsoft Support Code: 28091548 Sat, 27 Feb 2016 14:30:38 -0800 (PST)
Microsoft Support Code: 55969586 Sat, 27 Feb 2016 14:54:21 -0800 (PST)
Microsoft Support Code: 12424717 Sat, 27 Feb 2016 14:57:59 -0800 (PST)
Microsoft Support Code: 36300450 Sat, 27 Feb 2016 14:58:16 -0800 (PST)

После того, как письма прекратились, в профиле аккаунта удалились личные данные (имя, фамилия, пол). Остался только логин. В настройках аккаунта на сайте skype.com почтовый ящик сменился с моей почты на deleted@skype.com. Меня разлогинило из десктопного клиента.

На тот момент мы имели следующие данные:

  • Атакующий не знает почту от аккаунта. Учитывая предыдущие инциденты со взломом аккаунтов, от которых была известна почта, можно было предположить похожую атаку.
  • Пароль от аккаунта достаточно надежен и подбор исключен.
  • Запросов авторизации от незнакомых контактов не происходило. В Skype-клиенте никакой активности не было. Атакующий никак не контактировал с жертвой.

Из этого не было понятно, как именно происходит удаление. Не удавалось найти форму, которая генерирует письма с Microsoft Security Code. Ничего не оставалось, кроме как пытаться выудить информацию у взломщика. Мы с друзьями продолжили заказывать удаление тестовых аккаунтов, и в один момент взломщик, в качестве доказательства выполнения атаки, показал скриншот, на котором оператор техподдержки подтверждает, что аккаунт успешно удален:

image
Имя аккаунта заблюрено.

Это была форма Live Chat Support, доступная аккаунтам с подпиской. Найти ее можно на сайте skype.com, пройдя несколько раз мастер решения проблем. Если выбирать все время «проблема не решена», то на последнем шаге предлагается открыть чат.

Чат открывался со стороннего домена https://sales.liveperson.net. Из описания на сайте видно, что это сторонняя компания, предлагающая услуги поддержки для вашего продукта.

В итоге процедура удаления аккаунта через чат тех. поддержки выглядела так:

  1. Атакующий говорит: «Пожалуйста, удалите мой аккаунт accountname, потому что я завел другой.
  2. Оператор просит подтвердить владение аккаунтом, назвав код, который был выслан на почту, привязанную к аккаунту. При этом оператор не называет почты, а только ожидает правильный код.
  3. После того, как оператор получит правильный код, аккаунт удаляется. При этом оператор соглашается выслать код повторно несколько раз и не возражает, если названный ему код не подходит.

Забавно, что в форму чата с поддержкой передается логин, под которым был авторизован клиент на skype.com. То есть оператор, в теории, должен видеть, с каким именно пользователем он общается. От того особенно странно, что можно назвать совершенно любой аккаунт для удаления и оператор послушно согласится начать процедуру удаления.

В этот момент все еще неясно, как конкретно атакующий успешно завершает процедуру удаления.

Эй, Microsoft!


Уязвимость очевидна. Бежим кричать тревогу в Skype.
Ведь такую серьезную уязвимость обязательно должны исправить, не так ли?

Так как у Skype нет каких-то публичных контактов для сообщений об уязвимостях, пробую написать на форум. Никто не реагирует, зато в теме отметились другие жертвы этой атаки.

Через друзей мне удалось связаться напрямую с сотрудниками Microsoft. Я подробно описал все этапы уязвимости, приложил скриншоты, листинги кодов. Меня заверили, что начато внутреннее расследование. Серьезная компания ведь.

Однако спустя пару месяц ко мне снова обратились новые жертвы этой атаки. Сотрудники Microsoft сообщили, что расследование еще не закончено.

Пробую написать в secure@microsoft.com. Это специальный ящик для быстрого реагирования на критические уязвимости. Гарантируется ответ в течение 24 часов. В письме я подробно описываю этапы удаления аккаунта со скриншотами.

Ответ Microsoft Security Response Center:
image

Вольный перевод: это не уязвимость, вы просто дурак.

Раз в неделю я спрашивал, как продвигается расследование у ребят из Microsoft, на что получал ответ, что результата нет. Так продолжалось около ШЕСТИ МЕСЯЦЕВ!!!.

Было достоверно известно, что атакующий называет правильный код оператору. Иногда со второй-третьей попытки. Стыдно признаться, но мне так и не удалось выяснить как, именно это происходило. Сперва мне казалось, что код генерируется от времени, и поэтому атакующий пытается запросить как можно больше кодов в течение одной минуты, что видно по времени получения писем, но я не смог найти зависимости кода от времени. Возможно, был уязвим сам сервис чатов liveperson.net.

Недавно Skype отказались от сервиса liveperson.net, и чат с агентом поддержки происходит на домене microsoft.com. Процедура удаления скайп-аккаунта теперь недоступна оператору тех. поддержки, и ее нужно выполнять самостоятельно через форму.

Наверное, тут вы подумаете, что уязвимость закрыта. Как бы не так.

Эксперимент — умереть за ваши грехи


Спустя год после описанных выше событий, ко мне снова обратились жертвы нашего удалятора скайпов. Теперь письма с Security Code не приходили, очевидно был найден другой способ.

Признаться, мне вся эта история уже порядком надоела. Я устал умолять, унижаться и выпрашивать исправить уязвимости по многу месяцев.

Как я уже говорил, я пользуюсь скайпом около десяти лет. Моему основному аккаунту zhovner примерно столько же. Мне показалось, что будет нечестно только смотреть на страдания других людей, не пережив этого самому. Тогда я решил провести эксперимент и заказать сразу удаление своего аккаунта.

Заказ удаления



Стоимость работ — 2 тысячи рублей (примерно $30). На этот раз удалятор обозначил три дня на выполнение работы. И действительно, через несколько дней меня разлогинило из скайпа, и больше я не мог в него войти.



Общение с техподдержкой Skype


Сразу после блокировки аккаунта я написал в техподдержку Skype. Предположив, что аккаунт был заблокирован старым добрым способом через массовые жалобы, я подробно описал ситуацию.

Оригинал переписки можно посмотреть здесь: telegra.ph/Account-blocked-by-mass-abuse-reporting (Читать сверху вниз)
Я рекомендую прочитать именно оригинал, чтобы ощутить полностью унижение, которое испытывают невинные жертвы блокировок.

Краткая выдержка из переписки:

<Я> Почему мой аккаунт заблокирован? Я предполагаю, что это результат массовых поддельных жалоб.

<Skype> Наша автоматическая система заблокировала ваш аккаунт за нарушение правил использования Skype.

<Я> Ваша система уязвима, с помощью поддельных жалоб можно заблокировать чужой аккаунт, даже если он не выполняет никаких действий и не нарушает правила. Мой аккаунт был заблокирован именно таким образом. Пожалуйста, проверьте тщательно.

<Skype> Мы проверили, наша система не ошибается, вы точно нарушили правила. Наша система очень точна, и все действия логируются. Мы точно видим, что вы нарушили правила, ваш аккаунт не будет разблокирован никогда. Если хотите пользоваться скайпом дальше — заводите новый.

<Я> Ваша система подвержена мошенническим манипуляциям. Вот доказательства.

<Skype> Нет, наша система не ошибается, инфа 100%

<Я> Хорошо, назовите мои конкретные действия, которые привели к блокировке.

<Skype> Вы уже описали эти действия в предыдущих письмах. Вы правы насчет причин блокировки.

<Я> Вы что, сумасшедшие? Получается, вы подтверждаете, что любой аккаунт может быть удален, если злоумышленник отправит достаточное количество жалоб? И вы даже не знаете о причинах этих жалоб? Вы знаете, что эти абузы могут быть отправлены даже без добавления жертвы в контакт-лист. То есть их можно отправить с аккаунта, который никогда даже не общался с тем, на кого он жалуется. Получается, вы фактически подтверждаете существование такой уязвимости. Это вообще законно? Я планирую обратится в суд.

<Skype> Мы считаем, что предоставили вам достаточно информации. Вы просто говно и все тут.

<Я> Это очень серьезная уязвимость. Я считаю, что вы должны тщательно расследовать ее. У меня достаточно данных для воспроизведения этой уязвимости. Мы можем повторить ее на аккаунте, который вы предоставите, который точно не нарушает правила, и который вы полностью контролируете. Я оплачу удаление этого аккаунта атакующему, и вы сможете расследовать эту проблему.

<Skype> Мы понимаем, что вы хотите узнать точную причину удаления вашего аккаунта. Мы уже сообщали вам ранее, что наша автоматическая система выявления мудаков очень точна. Так вот, вы — мудак. У нас все записано!

<Я> Хорошо, что если я хочу сообщить об уязвимости? Вот ее подробное описание…

<Skype> Да нам пофиг вообще, идите в суд или полицию.

Итог


На текущий момент, прошло 15 дней с момента блокировки моего аккаунта. Из переписки с поддержкой видно, что возвращать его не собираются. Но я все-таки рассчитываю его вернуть, и получить извинения от Skype за все унижения, которые мне приходится терпеть, пытаясь сделать их сервис безопаснее.

К сожалению, Skype на сегодняшний день — огромная неповоротливая бюрократическая машина, которая из-за своих размеров и плохой организации не способна выявлять и реагировать на проблемы. Я сильно сомневаюсь, что в ближайшее время что-то изменится.

В статье описаны уязвимости, которые известны лично мне. По опыту, можно предположить, что существует еще огромное число проблем, о которых я просто не знаю, и которые активно эксплуатируются.

Важно понимать, что таким проблемам подвержен ЛЮБОЙ мессенджер с централизованным управлением, где вся безопасность строится на доверии к администрации.

Если вы считаете, что ваш любимый мессенджер более безопасен чем Skype, потому что его сотрудники хорошие ребята, то это большое заблуждение.

Люди, которые имеют неограниченный доступ к информации всех своих пользователей, могут быть уязвимы к давлению, шантажу или обману. Вряд ли кто-либо готов сидеть в тюрьме или отдать жизнь за сохранность сообщений своих пользователей. И пока существует такой неограниченный доступ, всегда будет соблазн этот доступ использовать неправомерно.

По-настоящему безопасный мессенджер должен быть построен не на доверии к какой-то группе людей, а на невозможности неправомерного доступа к информации на уровне спецификации.
Поделиться с друзьями
-->

Комментарии (374)


  1. saggid
    20.12.2016 01:21
    +2

    Переходите на дискорд) Что я зря статью писал свою чтоли)


    1. zhovner
      20.12.2016 01:24
      +5

      А видеозвонки, шаринг экрана? И почему вдруг дискорд хоть сколько-нибудь безопаснее скайпа?

      И почему в вашем дискорде нет возможности проверить как меня слышно, почему я вынужден спрашивать у остальных «громко? тихо? А так нормально?»


      1. zhovner
        20.12.2016 01:30

        Ухты, видео добавили. Но все равно я не понял зачем придумана такая сущность как сервера? Зачем внутре серверов какие-то комнаты. Почему бы не сделать просто одну комнату/конференцию. Сложный интерфейс, я не осилил.


        1. saggid
          20.12.2016 01:40
          +2

          Ну вы попробуйте, эта сложность окупается с головой в сообществах больше 5 человек. А так, вы можете и тупо в друзья нужных людей добавить и даже группы создать… Так тоже можно пользоваться дискордом. Выйдет почти тот же скайп.


          1. zhovner
            20.12.2016 01:41

            А еще я не понял почему логин не уникален. Как тогда однозначно идентифицировать пользователя? Как на визитке написать свой дискорд-аккаунт? vovan1231234?


            1. saggid
              20.12.2016 02:02
              +1

              Все верно, там же айди добавляется к логину. У меня Believer #4484


              1. zhovner
                20.12.2016 02:10
                +3

                Тогда у меня Believer #4127 Можете добавляться.


                1. saggid
                  20.12.2016 02:16
                  +3

                  Это типа такой юмор у вас?) Так я и не понял, чего народу в дискорд не нравится. Мы уже около года там, всё это время я полностью был доволен его работой. По сути, это лучший инструмент для коммуникации для группы людей.


                  1. zhovner
                    20.12.2016 02:19
                    +10

                    Нет, я не шучу, это правда мой айди, можете добавляться.


                    1. saggid
                      20.12.2016 10:18

                      Ну окей, добавились. Надеюсь теперь вы довольны ))


                1. Indexator
                  20.12.2016 09:18

                  Прям перекличка белиберов какая-то! :'D


        1. FeNUMe
          20.12.2016 14:22
          +1

          Это чисто игровой мессенджер, потому и комнаты/сервера/итд для разных игр, групп, гильдий и т.д. Для игроков это действительно удобно, а для обычного общения лично я перешел на Тох и перетащил туда нужные контакты.


      1. plartem
        20.12.2016 09:22
        +2

        Они могут сами вас сделать тише/громче


      1. safinaskar
        23.12.2016 16:17

        А как в скайпе проверить, как меня слышно?


        1. zhovner
          23.12.2016 16:18

          Позвонить на «Skype Test Call». Это можно сделать из настроек либо добавить контакт echo123.


    1. Satellence
      20.12.2016 02:37

      Также есть Curse Client, в котором уже есть групповые видео звонки и демонстрация экрана.


      1. Vanger13
        20.12.2016 02:56
        +1

        Ну а мы, в свою очередь, пользуемся https://zoom.us/
        Сервисов куча. На скайпе свет клином не сошелся. Хрен бы с ним :) К счастью мелкомякие отказались покупать слак ;D


        1. BookaZoid
          20.12.2016 08:31

          Microsoft отказался или Slack?


        1. Bo0oM
          20.12.2016 09:36

          Плюсую, межконтинентальная связь в zoom просто бесподобна.


      1. Massacre
        20.12.2016 07:20

        Curse — тоже на хромиуме.


        1. dartraiden
          20.12.2016 14:59
          +1

          И это довольно сильно раздражает. Вообще — это программа для обновления дополнений к онлайн-играм. Её задача — проверять обновления файлов, качать их и распаковывать.

          Но теперь они решили, что игроки непременно хотят, чтобы обновлятор содержал ещё голосовой чатик (притом, что самим игрокам это не упёрлось, они уже сидят на RaidCall, Discord и т.п.).

          Я чую, что придётся пореверсить общение клиента с сервером и пилить свою утилиту, которая будет маленькой, быстрой и делающей лишь одно дело — обновляющей дополнения.


      1. chupasaurus
        20.12.2016 16:13

        Периодически отвратительное качество звука и дикие задержки в комплекте, ага.


    1. xGromMx
      20.12.2016 03:26
      +3

      я так понял это на электроне написано? У меня мало доверия к тому, что написано под систему на веб технологиях


      1. zhovner
        20.12.2016 03:30
        +9

        Сейчас каждая вторая программа это браузер.


        1. Krypt
          20.12.2016 09:15
          +26

          Но это не значит, что это хорошо…


      1. Chikey
        20.12.2016 15:57

        Конкретнее можно? Чему там не доверять если это отдельный сэндбокс.


    1. keydon2
      20.12.2016 03:29
      +8

      Он разве тоже не централизован, да еще и закрытый?
      Зачем шило на мыло менять?


    1. Massacre
      20.12.2016 07:18

      Вот когда кто-то напишет к нему нормальный десктопный клиент, без использования хромиума… В чём я очень сомневаюсь.

      И замена он тимспику и прочим игровым войс чатам, скорее. Т.к. та же самая инфраструктура — сервера, комнаты.


      1. saggid
        20.12.2016 08:58
        +1

        Вы хоть попробуйте. Оно работает быстрее многих клиентов.


        1. KorDen32
          20.12.2016 14:10
          +2

          Это если компьютер мощный. Может за последние месяцы там что-то радикально изменилось, но когда я несколько раз пытался им воспользоваться — на стационарнике все был о шустро (главное — не открывать диспетчер задач), а вот на ноуте, да еще от батарейки… Скажем так, у меня тимспик с кучей юзеров в канале так не лагал и так не выжирал батарейку, как дискорд с пятью людьми в единственном канале на "сервере". Да и "сервера" у него — одно название, ведь используются их сервера.


        1. Massacre
          20.12.2016 14:18
          +1

          Так я пробовал же. Именно в качестве игрового войс чата. Быстрее, конечно, чем его вкладка в Firefox, например, но по сравнению с тем же тимспиком… Особенно чувствуется, если всего памяти 4ГБ.


          1. saggid
            20.12.2016 17:31
            +1

            Arch linux, текущая нагрузка. Core i3, ноутбук.


            image




            И я даже не знаю. Тимспик — это вообще же ужас в плане юзабилити.


            1. dartraiden
              20.12.2016 19:15
              +1

              У меня, конечно, не голосовые чаты, но…

              Мультипротокольный клиент (ICQ, Jabber, IRC) — 20 мегабайт памяти. Секрет — максимальное использование WinAPI.

              Использовать Electron это быстро, удобно для разработчика, но за всё приходится платить и цена, в данном случае — потребление ресурсов (лично для меня 100 мегабайт на один мессенджер это уже перебор).


              1. saggid
                20.12.2016 19:19

                Все указанные вами инструменты всё равно менее юзабельные, всё это я и сам использовал, в джаббере несколько лет сидел на тиклевском клиенте Tkabber в своё время. Но если говорить о совокупности функционала, юзабилити, юзер френдли, хорошей скорости — то Дискорд пока рвёт всех сразу, практически. Там хорошо вообще всё. Поиска вот не хватает, но он уже на подходе.


              1. PsyHaSTe
                21.12.2016 16:33
                -3

                Печально, учитывая, что плашка на 8гб памяти стоит 2500 рублей, свой комфорт вы оцениваете не более, чем в 32 рубля. Очень заниженная планка, как мне кажется.


                1. ValdikSS
                  21.12.2016 16:40
                  +3

                  Уважаемый, с нормальными, нативными клиентами я могу, например, сидеть в 40 чат-комнатах IRC, и IRC-клиент будет потреблять 30 мегабайт RAM. Да и существуют случаи, когда увеличить объем RAM просто не представляется возможным, например, во многих современных ноутбуках RAM впаяна.


                  1. PsyHaSTe
                    21.12.2016 17:16

                    Я тоже не люблю все эти browser-like приложения, в которых внезапно вылезают js-ошибки (в настольном приложении? что?), но между ними и «нативными WinAPI» лежит пропасть, в которой вполне существуют приемлемые решения вроде C#/Java. 100МБ на мессенджер это вообще не проблема даже для мобильного телефона. Тем более, что мобильный телефон это все же не то устройство, где подразумевается возможность открывать по 20 приложений в фоне. Браузер-читалка-чат-плеер, стандартный джентельменский набор постоянно открытых приложений, остальные открываются и закрываются по требованию и не создают каких-то проблем.

                    Если бы написание винапи-приложений было бы целесообразным, все бы только их и писали. Но это не так, и как пользователь могу предположить — почему. Потому что мне, например, намного важнее единый UX, и по возможности единый клиент под все платформы, пусть даже это выльется в какой-то оверхед. Конечно, тут есть определенные границы разумного (Firefox с одной вкладкой с открытыми devtools за ночь съедает 3гб памяти), но речь-то не о том…


                    1. ValdikSS
                      21.12.2016 17:19

                      Приложения могут быть написаны, например, на C++ с Qt, могут быть полностью кросс-платформенными, и в то же время нативными. У 2ГИС же как-то это получается, например.


                      1. PsyHaSTe
                        21.12.2016 17:32

                        Между утверждением «Го писать кроссплатформенно на Qt» и «Го писать на WinAPI, потому что ненужные абстракции едят нашу память» пропасть, и с первым утверждением я нигде не спорил.


                    1. dartraiden
                      21.12.2016 18:48

                      100МБ на мессенджер это вообще не проблема даже для мобильного телефона.

                      По опыту использования мобильного устройства с гигабайтом оперативки, могу сказать, что нехватка оперативки там — тоже проблема. При таком объёме памяти даже Firefox при длительной прокрутке, скажем, поиска по картинкам Google, просто берёт и вылетает.


                1. zhovner
                  21.12.2016 16:40

                  Вы забываете про мобильные устройства.


                  1. Bringoff
                    21.12.2016 16:59
                    +2

                    На мобильных устройствах нет мессенджеров на электроне :) А скайп — самый тормознутый изо всех себе подобных на Android. Да и на iOS, по-моему, тоже.


                  1. PsyHaSTe
                    21.12.2016 17:21

                    Привязка к конкретной платформе конечно имеет преимущества в скорости, это очевидно, что каждый слой абстракции обходится нам во что-то, но по-моему мы уже достигли такого уровня, когда можно заплатить 50мб оверхеда за возможность запускать приложения на всех платформах. Да, JS тут не подходит (имхо), но есть куча других платформ, которые предлагают лучший компромисс производительность/портабельность. Я не согласен как раз с тем, чтобы затачивать приложение под конкретную платформу. Потому что большинство пользователей хотят использовать одно и то же и на компе, и на планшете, и на телефоне. Писать 2-3 разных приложения? Или все же одно подо все (по крайней мере ядро), и оставить платформо-специфическими только те вещи, которые нерентабельно выносить в общий код?


                    1. saggid
                      21.12.2016 18:43
                      -1

                      Не знаю что вам там не нравится насчёт джс. 100 мегабайт, я кидал наверху скриншот. Это практически не оверхед, для 4гб озу это всего лишь 2.5% вашей ОЗУ. Всего два с половиной процента. Неужели это реально так много, и стоит из-за этого разводить такую критику в сторону джс?


                      1. PsyHaSTe
                        21.12.2016 19:03

                        JS меня в основном не устраивает не памятью, а скоростью. Задержки тайпинга во всяких Atom весьма заметны.


                        1. saggid
                          21.12.2016 20:06

                          Если мы говорим о редакторах кода, то тут я вас поддерживаю, в общем-то. Хотя особой разницы между Нетбинсом/ПхпШтормом и прочими Эклипсами, написанными на Яве, и всякими Брекетсами и Атомами, написанными на джс — я честно не вижу. Все они тормозят. Трудно толком сказать, кто тормозит больше.


                          Итог ясен, я думаю. Как всегда всё утыкается в компромиссы. Либо писать всё на си, чтобы всё ело мало памяти и работало мега-быстро, но при этом по количеству функций всё будет очень скромновато. Либо брать определённые языки и платформы, которые позволяют достигнуть результата намного быстрее, и фичами обрасти более широкими за более короткое время, но ценой некоторой потери производительности и экономности.


                          Саблайм например написан на С++, он хорош по скорости. Но набор функциональных возможностей меня удручает, и не хочу я сидеть и ковырять Интернет в поиске горы плагинов, и потом надеяться на то, что они вместе нормально заработают. Проще нетбинс использовать, он в разы более проработанный, хоть и работает медленнее. Всё равно его использовать приятнее.


                          1. Borz
                            21.12.2016 22:42

                            думается мне, что когда набор функциональных возможностей саблайма сравняется с тем же набором нетбинс/шторма/эклипса/etc, то он так же будет "тормозить"...


                          1. PsyHaSTe
                            21.12.2016 22:43

                            Не знаю, по-моему опыту та же студия с тайпингом справляется куда лучше, особенно учитывая установленные решарпер/тайпчекер и еще десяток плагинов. И это б-гомерзский WPF. То же про райдер, казалось бы, java-IDE, которая на каждый чих пихает объекты в .Net-бекенд, ан нет, очень шустро работает.


                1. dartraiden
                  21.12.2016 18:43

                  Для использования таких плашек (если речь о DDR3/DDR4) мне потребуется поменять также процессор и материнскую плату. Сейчас у меня четыре 2-гиговые плашки DDR2, и чтобы нарастить объём хотя бы до 12 гигабайт (4+2+4+2), мне нужно вовсе не 2500, а все 5-6 тысяч рублей (я смотрел цены на местных барахолках).


                  1. dartraiden
                    21.12.2016 19:03

                    Впрочем, это уже не столь насущная проблема, поскольку благодаря вот этой новости я таки решил проапгрейдиться (а теоретический максимум поддерживаемой памяти у чипсетов Z170 — 64 ГБ).


            1. funnybanana
              22.12.2016 04:42
              +1

              При этом версия для Linux на сайте в разделе «скачать» значится как «уже скоро», скачать то я конечно скачал, но выходит что это бета версия…

              Вот решил со скайпом сравнить (скайп бета, и дискорд бета — всё честно):

              image

              AMD Athlon II x2 (+ 8 гигов оперативки)


              1. funnybanana
                22.12.2016 05:00
                +2

                На Linux Skype и вовсе последнюю неделю черти что вытворяет… Где же это ныне популярное Microsoft ? Linux????

                Сопли
                Официальное приложение с начала этого года перестало показывать некоторые групповые чаты, перешел на web-версию скайпа (даже скачал SkypeForLinux Alpha которая по сути тот же браузер только с иконкой в трее.) То что там нет демонстрации экрана и не работают видеозвонки — это тоже всё очень печально, а 2 дня назад и вовсе веб версия перестала работать и не работала целые сутки, я конечно сразу написал в тех. поддержку на что мне ответили: «ничего не ответили»
                Через день скайп снова заработал, только теперь спустя некоторое время он перестаёт принимать и отправлять сообщения, при этом вы и не знаете что скайп выключился, пишете сообщения как обычно, только вам ничего не отвечают. И только после перезапуска — вас ругают что в середине рабочего дня куда-то пропал…


      1. LoadRunner
        20.12.2016 13:31

        Изучайте API и пишите.


      1. KorDen32
        20.12.2016 14:32

        Да он даже тимспику не замена. Тимспик можно поднять у себя (до 32 человек на сервере — бесплатно, дальше либо получать NPL, либо коммерческая лицензия, либо изначально ставить опенсорсный Mumble) и сидеть в локалке, соединения (постоянного) с интернетом не требуется.
        А в дискорде понятие "сервера" виртуальное, дань привычке, так сказать, по факту все хостится у них. Впрочем, для народа это проще, да.


    1. Splo1ter
      20.12.2016 09:33

      Для Discord нет приложения под Win Mobile(


    1. darthslider
      20.12.2016 13:24

      Дискорд действительно прекрасен.


  1. ValdikSS
    20.12.2016 01:38
    +26


    1. safinaskar
      23.12.2016 16:29

      Поржал. Только видео удалось посмотреть только после того, как перешёл на твиттер. Так что лучше было просто ссылку кинуть на пост в твиттере, скажем. (debian stretch amd64, chromium 55.0)


  1. aquamine
    20.12.2016 01:50
    +19

    Корректно ли будет сказать, что автор был слит и вкачан?


    1. zhovner
      20.12.2016 01:53
      +12

      Да, Вы правы. Вкачан под запись. Автослив засчитан.


  1. Bakazoid
    20.12.2016 03:30
    +18

    Интересно, а «заказ» аккаунтов разработчиков не ускорит ситуацию с исправлением уязвимостей?


    1. JINR
      20.12.2016 03:46
      +1

      Только хотел это же написать. Полагаю, это сильно ускорит процесс. Правда, будет довольно дорого стоить.


      1. Slip007
        20.12.2016 04:01
        +8

        Если всё действительно так тупо и на автоматизме происходит, то по идее цена должна быть такая же. Было бы интересно посмотреть на лица разработчиков/руководства и их дальнейшие действия, когда их учётки массово заблокирует система. А вообще ситуация довольно прискорбная и я не думаю, что в ближайшее время что-то кардинально будет меняться в лучшую сторону. Нужны увесистые пинки со стороны конкурентов, может тогда начнут думать о безопасности и комфорте, а не рекламе и куче смайлов, эмодзи и другой бесполезной ерунды. Остаётся только ждать и надеяться.
        Было бы интересно почитать о реализации последней заказной атаки, надеюсь автор дополнит статью, если появится дополнительная информация.


        1. zhovner
          20.12.2016 04:03
          +2

          Последняя атака, выполненная 15 дней назад, как раз и описана в статье. Переписку с поддержкой skype я буду выкладывать сюда telegra.ph/SRX1365288845ID

          Пост на русском языке вряд ли привлечет особое внимание. Нужно перевести и запостить на HN.


          1. Slip007
            20.12.2016 04:07

            Имелось в виду подробности реализации самой атаки. Может кто в курсе и опишет в каментах.


          1. kedobear
            20.12.2016 19:39
            +6

            Раз уж вы платите из своего кармана блокировщику, чтобы продемонстрировать механизм уязвимости системы, что может быть проще, чем заплатить за пару блокировок аккаунтов разработчиков Microsoft, как советует Slip007?

            посмотреть на лица разработчиков/руководства и их дальнейшие действия, когда их учётки массово заблокирует система


        1. Karpion
          20.12.2016 19:32
          +6

          Я думаю, они прикажут персоналу в ручном режиме восстановить их эккаунты и запретить их удаление/блокировку.

          Правители не покупают ничего в тех магазинах, где отовариваемся мы, не ездят по тем дорогам, по которым ездим мы (или ездят — но для них расчищают дорогу от остальных машин) — и им пофиг на наши проблемы.


          1. Gendalph
            20.12.2016 20:13

            100 ботов могут за сутки забанить вагон и маленькую тележку топов M$.


            1. Karpion
              20.12.2016 22:02
              +3

              Не могут, если у топов выставлен флажок «этих не банить ни при каких условиях».


              1. Gendalph
                21.12.2016 00:17

                А этот флажок существует?


                1. Keyten
                  21.12.2016 02:02
                  +6

                  Вероятно, появится, это проще, чем пофиксить баги.


                1. Karpion
                  21.12.2016 22:59

                  После того, как кого-то из топов забанят по этой схеме — появится.


    1. iehrlich
      20.12.2016 04:03
      +1

      Мне думается они не дураки сами пользоваться скайпом. Вспоминается знаковая история двухлетней давности когда Гейтс не смог установить себе на компьютер 8.1 и оооооочень удивился.


      1. kentaskis
        20.12.2016 04:27
        +5

        Можно "заказать" не разработчиков, а достаточно известных публичных персонажей. Поднимется хай в СМИ. Внимание к проблеме уж точно будет привлечено.


        1. iehrlich
          20.12.2016 04:42
          +21

          Ну раз уж у нас минутка античата…

          Я склонен с Вами не согласиться. Если предположить, что (а) будут найдены skype id неких «известных публичных персонажей», и (б) они будут заблокированы таким образом — их просто разблокируют и всё. Ну то есть буквально, разблокируют и поставят напротив их учётных записей галку «не блокировать». Такая простая и безотказная стратегия защиты, в то время как у атакующих возникает проблема уже на этапе «а». Если же эти skype id известны и лежат в открытом доступе, то не факт, что исполнителям вашей затеи захочется влезать в эту кашу за две тысячи. Короче, всё как в реальной жизни.

          По правде говоря, намного более действенным кажется бить по кошельку, чем по имиджу — освоить технологию блокировки и начать банить вообще всех подряд. Во-первых, рекламации польются рекой, не пара десятков в месяц как сейчас, а сотни или тысячи в день — что может быть более действенным способом пробить первую линию поддержки? Во-вторых, действуя таким образом, можно эффективно снизить аудиторию, а вместе с ней — доходы от показов рекламы через скайп-клиент. Этого вам точно не простят, и возьмутся за проблему (да и за Вас) вполне серьёзно.

          Если что, это я так теоретизирую и ни в коем случае никого ни к чему не призываю :)


          1. hardegor
            20.12.2016 06:02
            +12

            Ага, а потом скажут «русские хакеры взломали скайп».


            1. pda0
              20.12.2016 14:54
              +1

              Да какая разница что напишут. Дождаться публикации в приличном СМИ с большой аудиторией и слить им по почте способ «взлома». После этого выходит статья «скайп — решето» и тут уже M$ придётся реагировать.


        1. zhovner
          20.12.2016 05:43
          +28

          А еще можно говном обмазать дверные ручки в офисах или похитить детей сотрудников Skype и требовать в качестве выкупа исправление уязвимостей. Но те ли это методы, которые нужно применять в подобных ситуациях? Почему нельзя оставаться в рамках закона и просто сообщить об уязвимости и расчитывать на ее исправление? Как мы дожили до того, что обсуждаем это?


          1. Darth_Malok
            20.12.2016 07:18
            +16

            Если верить автору, разработчики не признают это уязвимостью. Значит это штатная функция, и использование её не является нарушением закона. Это штатная функция для блокировки неугодных аккаунтов.


          1. Saffron
            20.12.2016 07:25
            +10

            Если скайп нам ничего не должен, должны ли мы чего-нибудь скайпу? Скайпа нет в РФ, на него нельзя подать здесь в суд. Зато скайп есть в USA, и он не сможет там подать в суд на нас здесь. Вот и вся логика.


            1. NickKolok
              20.12.2016 15:08
              +3

              В РФ есть замечательные статьи 272-274 УК РФ. В РФ сейчас очень модны блокировки всего и вся. Блокировки — это плохо, но из любой преграды надо уметь делать ступеньку…


            1. varnav
              21.12.2016 13:08
              +1

              У Microsoft есть официальное представительство в РФ.


          1. Gendalph
            20.12.2016 15:33

            Оставайтесь в рамках закона — они нарушили ToS, за что и будут покараны блокировкой своих аккаунтов.


    1. safinaskar
      23.12.2016 16:22
      +3

      "Закажите" echo sound test service :)


  1. iSlava
    20.12.2016 04:10
    +13

    Сделай/попроси/купи перевод статьи и зарепости на зарубежных ресурсах — reddit, hackernews, slashdot и подобных. Может какая буча поднимется. Обсуждение на русскоязычных ресурсах ни к чему не приведёт.


    1. zhovner
      20.12.2016 04:29
      +8

      Залил статью на гитхаб github.com/zhovner/how-skype-fix-vulnerabilities. Жду помощи в виде пулл-реквестов.


      1. markhor
        20.12.2016 13:51
        +1

        Отправил на HN https://news.ycombinator.com/item?id=13218834


        1. zhovner
          20.12.2016 14:29
          +4

          Статья не переведена даже на половину. Зачем вы это сделали?


          1. markhor
            20.12.2016 14:32
            +2

            Тьфу, я вниз не прокрутил. Удалено. Извините.


      1. zhovner
        21.12.2016 04:27
        +17

        Статья на английском zhovner.com/how-skype-fixes-security-vulnerabilities/

        Пост на HN news.ycombinator.com/item?id=13225939

        Пост на Reddit reddit.com/r/netsec/comments/5jh5o5/how_skype_fixes_security_vulnerabilities/

        Спасибо всем за помощь в переводе.


  1. splatt
    20.12.2016 08:02
    +1

    По поводу восьмизначного кода, смею предположить, что атакующий мог каким-то способом перехватывать все отправляемой техподдержкой коды в определенный момент времени, но не знал, куда именно они отправляются. Если коды отправлялись сотрудниками liveperson.net в microsoft, то возможно, был скомпрометирован их сервер, или один из компьютеров сотрудников. В этом случае атакующий, возможно, пытался отправить коды с разных сотрудников, что бы попасть на нужный ПК. Это объясняет то, что отправлялись запросы «всплесками» с интервалом в несколько часов (никогда неизвестно, есть ли кто-то из поддержки за нужной рабочей станцией).

    Но как-то это слишком круто для школьника/студента, который продает услуги блокировки по $30. История с N репортами звучит гораздо более убедительно.

    Что если попробывать связаться напрямую с сотрудниками microsoft (желательно с кем-нибудь наверху в пищевой цепочке) со Skype-аккаунтом (желательно личным), и заблокировать его? Я думаю, на репорт взлома сотрудника в microsoft отреагируют более адекватно.


    1. TimsTims
      20.12.2016 09:05
      +5

      > атакующий мог каким-то способом перехватывать все отправляемой техподдержкой коды

      Гораздо проще и беспалевнее выглядит вариант с подбором ветки seed для random'a, как раньше взламывали php-форумы.


      1. sleeply4cat
        20.12.2016 11:18
        -2

        ??


        1. TimsTims
          20.12.2016 15:49

          Примерно вот так https://habrahabr.ru/company/pt/blog/149746/
          Т.е. просто предсказание псевдослучайных чисел.



  1. Evengard
    20.12.2016 08:07
    +1

    Не устану напоминать, каким именно я вижу идеальный мессенджер: https://habrahabr.ru/post/272937/#comment_8734719
    При этом я считаю, что необходимые данные, которые смогли бы однозначно идентифицировать пользователя, вполне могут храниться при помощи блокчейн технологий — собственно именно блокчейн я вижу тем самым связующим звеном, который заставил бы всю эту систему работать. В блокчейн вносится «история» аккаунта — публичный ключ в первую очередь, затем подписанные этим публичным ключём новые данные, как пример: подписанный предыдущим публичным ключём новый публичный ключ если вдруг пользователь решил его сменить, подписанный публичным же ключём зашифрованный сторедж приватного, если пользователю удобно авторизовываться по паролю, какие-нибудь «субключи» (опять таки подписанные публичным мастер-ключом) для делегирования аккаунта на облачные сервера, и т.д.


  1. wtigga
    20.12.2016 08:11
    +7

    А что на счёт децентрализованных мессенджеров типа tox?


    1. Stanislavvv
      20.12.2016 09:05

      В tox уже можно сделать один аккаунт на телефон, планшет и комп?
      Меня лично останавливает это…


      1. zhovner
        20.12.2016 09:10

        Можно, только при каждом добавлении нового контакта нужно будет руками синхронизировать контак-лист со всеми клиентами.


      1. wtigga
        20.12.2016 09:19

        На мобильном вообще клиент нормально не работает, пользуюсь только на десктопе.
        Между десктопами можно синхронизировать каким-нибудь btsync, к примеру.


      1. kernelconf
        21.12.2016 15:21

        У клиента (по крайней мере под андроид) колоссальное потребление ресурсов. Трафика и батареи. При запущеном клиенте, речь идёт о часах работы смартфона, потребление как у включенного экрана.
        Меня останавливает скорее даже это.


    1. dartraiden
      20.12.2016 15:18
      +1

      Насколько я помню, Tox очень прилично сажает аккумулятор мобильного устройства. Это плата за децентрализованность: через вас идёт трафик других абонентов.


    1. 1801405
      20.12.2016 20:56
      +2

      Странно, что никто ещё не упомянул open-source matrix.org: децентрализированный протокол с отрытой спецификацией и уже приличным количество серверов и клиентов его поддерживающих.


      Сам протокол в плане децентрализации чем-то походит на IMAP/SMTP: каждый волен поднять свой собственный сервер и подключить его (или не подключить) к общей сети.


      Официальный сервер написан на python, но есть также и многие другие реализации.


      Клиентов написано уже немало (в том числе для iOS и android), с поддержкой шифрования, групповых чатов, аудио/видео звонков, интеграций и т.п. Для особых гурманов же имеется вагон и маленькая тележка client SDKs, почти на любой вкус и цвет.


      1. ValdikSS
        20.12.2016 21:43

        Какой из клиентов поддерживает передачу аудио и видео? Протокол поддерживает транспорт произвольных данных, но клиентов, поддерживающих медиа, а не встречал. Я что-то упустил?


        1. unclechu
          20.12.2016 23:51

          Веб-клиент: Riot (можно использовать гостевой вход, чтобы просто посмотреть, при авторизации через форму «sign in» использовать «enter as guest»).


          1. zhovner
            20.12.2016 23:56

            Сайт выглядит как подделка для развода на деньги.


            1. unclechu
              20.12.2016 23:59

              Очень странная ассоциация на мой взгляд, вас кто-то развёл на деньги на сайте с похожим дизайном? Сайт (главную страницу) можно миновать пройдя по прямой ссылке на клиент.


          1. zhovner
            21.12.2016 00:10
            +2

            Пытаюсь зарегаться в десктопной клиенте.

            На втором шаге появляется это. Что нужно делать?

            image


            1. unclechu
              21.12.2016 00:12

              Лично я не использовал десктопный клиент, т.к. его нет под GNU/Linux, так что не могу дать комментариев.


              1. ValdikSS
                21.12.2016 00:13
                +1

                Похоже, вчера или позавчера появился: https://riot.im/desktop.html


              1. zhovner
                21.12.2016 00:25

                Странная запись идентификатора вида user:example.com.
                Почему не сделать по-людски user@example.com?


                1. unclechu
                  21.12.2016 00:28

                  Лучше спросить в #matrix:matrix.org у мейнтейнеров, почему они решили так, я не знаю.


          1. ValdikSS
            21.12.2016 00:25

            О, да, разобрался, нужно было зарегистрироваться, чтобы звонить. Какой-нибудь не-web-клиент поддерживает звонки? Будут ли групповые звонки?
            Похоже, Matrix это такая современная замена XMPP, пока что находящаяся на начальной стадии развития. Очень интересно.


            1. unclechu
              21.12.2016 00:51
              +1

              Проект очень молодой, но быстро развивается, силами основателей и силами сообщества, пилятся гейты (мосты в другие мессенджеры), матрикс — это не только мессенджинг, это вообще платформа для коммуникации, например комната #neovim:matrix.org помимо того, что она вещь в себе, она соединяет между собой канал на Gitter и IRC на фриноде, таким образом пользователи из Gitter могут общаться с пользователями IRC на фриноде. Матрикс использовали как платформу коммуникации с роботами (чтобы ими управлять). Также это и групповые чаты, аудио-видео-звонки, передача файлов, etc.

              При всём этом, — вся сеть распределена между серверами, то-есть изначально децентрализованна (наверное в этом есть похожесть на джаббер по вашему), но в отличие от, там используется другой подход, если я ничего не путаю, вместо «доставки» сообщений, используется «синхронизация», история синхронизируется между серверами (чего кстати многим не хватает в открытых решениях), там как-то хитро это работает, я всех деталей не знаю. Каждый кому не лень, поднимает свой локалхост и свои бриджи (кроме доступных на matrix.org, есть куча поделок разного уровня качества от сообщества, всякие телеграмы и прочее). Комнаты могут к примеру иметь двойственные имена каналов (с разными суффиксами серверов) и функционировать как единые.

              В общем не знаю как бы вкратце описание уложить, суть в том что проект открыт, свободен и децентрализован изначально, имеет пользовательскую базу, реально функционирует, а не умер в зачатке, как некоторые другие интересные идеи. Я бы предложил сходить на #ru.matrix:matrix.org и позадавать вопросы (можно без регистрации через гостевой вход, т.к. в комнате открыт доступ гостям.

              Я сам начал использовать матрикс как IRC клиент с оффлайн-логами, вошёл в ряд комнат-мостов на фриноду (ну и mozilla). Например чтобы сходить на #haskell на фриноде, можно просто пойти в рум #freenode_#Haskell:matrix.org, вовсе не обязательно создавать отдельный рум и поднимать бридж, на matrix.org можно таким образом попасть в любой IRC-канал на серверах для которых подняты такие мосты.


              1. zhovner
                21.12.2016 00:59

                Мы тестировали Riot несколько недель назад. Концепция matrix выглядит довольно интересной.

                Как я понимаю Riot это самая продвинутая реализация протокола? На текущий момент сыровато. Пока это выглядит как поделка от гиков для гиков.

                Я хоть и задрот, но такой интерфейс даже мне кажется сложным. image.


                1. andrey_pavlovich
                  21.12.2016 13:44

                  хорошие ники для тестирования используете :)


                  1. eisaev
                    21.12.2016 14:23
                    +10

                    Да всё же понятно:
                    za — zhovner account
                    loop — кольцевой, т.е. для тестов
                    a — первый (a, b, c etc.)


              1. QDeathNick
                21.12.2016 01:03

                Ни про matrix ни про riot не нашёл ни одной статьи на хабре :( а вещь то интересная.


                1. zhovner
                  21.12.2016 01:05
                  +2

                  Не удивительно, только недавно появился десктопный клиент, и тот не клиент а браузер.


                1. unclechu
                  21.12.2016 01:08

                  Он просто в этой стране пока особо не светился, в основном хайп идёт по англоговорящим странам. Основатели периодически презентуются на всяких конференциях. К примеру интервью с Мэтью: (он подключается где-то с 4-ой минуты).


                1. unclechu
                  21.12.2016 18:48

                  Просто очередной русскоязычный пост на тему.


  1. Sabbaot
    20.12.2016 09:06
    +1

    «Here’s an easy guide for creating a new account: https://support.skype.com/faq/FA10184»
    «Вы просто говно и все тут.»
    перевод понравился)
    И да, многие хакеры вкладывают немало усилий в репутацию своего аккаунта скайпа (зарабатывая на взломах/ддосах, написании специального софта), заодно описывая, как отличить свой аккаунт от поддельных. Если вдруг техподдержка глянет чаты подобного заблокированного аккаунта, то уже точно вряд ли восстановит. В соглашении имеется пункт:

    Возможны другие случаи незаконного использования, и Skype оставляет за собой право учитывать при вынесении своего решения любые другие незаконные, запрещенные, ненормальные или необычные действия

    в другом месте:
    a. Соглашаясь с настоящими Условиями, вы соглашаетесь, что при использовании Служб вы будете следовать таким правилам:
    i. Не делать ничего незаконного.
    v. Не осуществлять действия, которые являются ложными или вводящими в заблуждение (например, попытки выманивания денег обманным путем, выдача себя за другое лицо, манипулирование Службами с целью увеличить значение счетчика воспроизведения или повлиять на рейтинги или оценки, или комментарии), или клеветническими, или оскорбляющими достоинство.
    ix. Не осуществлять действия, нарушающие право на неприкосновенность частной жизни или права на защиту данных других лиц.
    x. Не содействовать другим лицам в нарушении этих правил.


  1. sharpmaster
    20.12.2016 09:06

    Как уже где-то когда-то говорилось, в любой системе(в плане безопасности) слабым звеном является человек. Есть вероятность того, что человек предоставляющий услугу блокировки аккаунтов просто «дает на лапу» сотруднику подразделения занимающегося «скайпом» (например, представителю тех. поддержки), тот в свою очередь тщательно изображает свою непричастность к инсайдерской(если я правильно употребил термин) деятельности при этом выполняя какие то действия позволяющие «блокировальщику» заблокировать чужой аккаунт.


    1. MASe
      20.12.2016 10:01
      +1

      30 баксов еще и попилить...??? не стоят такие риски таких денег — очевидно же


      1. shara
        20.12.2016 18:03

        Пять старушек — рупь. https://blockchain.info/address/17kYmTtYyy4tWdY9y7ovzAgtVcBhphuBHK


  1. TrolomenJirnota
    20.12.2016 09:06

    Отличный материал, только один вопрос:
    зачем было жертвовать свой главный акк, когда перед этим были убиты тестовые?
    Придать себе мотивации биться за решение проблемы? :)
    Ну, а в общем, да, наплевательское отношение больших компаний к отдельным юзерам сильно огорчает


    1. Revertis
      20.12.2016 11:32
      +18

      А смысл дорожить каким-то акком в такой клоаке?


  1. Lexicon
    20.12.2016 09:07
    +23

    Боже! Чертов майкрософт.
    Недавно потребовалось выйти на конференцию в скайпе, в результате:

    1. Скайп RT обновился и заявил что более не поддерживается, разумеется не включившись.
    2. Десктопный вылетел с ошибкой «Ваш аккаунт использует кто-то другой», где есть ВСЕ, кроме опции «ЭТО Я!».
    3. Заставили поменять пароль, старый не подходит, в новом должны быть все эти «passworD1» проверки.
    4. Вбил что пришло в голову, ибо время жмет, «Скайп старый обновитесь или катитесь к чертям!».
    5. Смотрю на почту, они додумались прислать мне эмейл с полными личными данными(имя и т.п.), которые в скайпе я никогда даже не указывал.
    6. В бешенстве, захожу в обновленный скайп, в профиле откуда-то появился город и номер телефона, меняю профиль
    7. Укажите фамилию! Новое обязательное поле, номер так не убрать! Разумеется «фамилия» вставилась как nicknameОленев, пробел туда конечно вставить нельзя...


    *Тяжелые вздохи ярости*


    1. hdfan2
      20.12.2016 16:37
      +3

      Заставили поменять пароль, старый не подходит, в новом должны быть все эти «passworD1» проверки.

      О да. Из-за этого мой пароль в скайпе сейчас очень напоминает известные 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗ@дницыЕслиТыНе ДашьМнеДоступПрямоБл%дьСейчас!


      1. Lexicon
        20.12.2016 16:51
        +7

        А он такой


        В поле ввода пароля запрещенные символы! (гадайте какие)


  1. panaceya
    20.12.2016 09:10
    +5

    Еще одна проблема — это нативный клиент под Linux. Разработчики решили поиздеваться и выпустить веб-браузер для своего сайта.


    Увы старый нативный клиентик пока что работает стабильнее, хотя и меньше возможностей.


    1. rub_ak
      20.12.2016 09:59

      Под виндой тоже самое.


      1. Gendalph
        20.12.2016 17:02

        Под виндой он принимает старый профиль и тянет из него историю.
        Под линухом это тупо окно браузера без адресной строки с открытым web.skype.com.


        1. rub_ak
          20.12.2016 18:42

          Это наверно не на долго, авторизация будь она не ладна уже через веб.


    1. shara
      20.12.2016 18:07

      Pidgin + Skypeweb через HTTP, если видео/аудио не часто используется


  1. esermolaev
    20.12.2016 09:18
    +14

    Примерно полгода назад как раз заблокировали скайп-аккаунт. При обращении в саппорт меня послали читать соглашение, сказали что я нарушил какое-то правило и меня автоматически заблокировали, разблокировка невозможна.
    Я решил все-таки выяснить что именно я нарушил, но каждый раз получал один и тот же ответ: «Заблокирован автоматически, читайте правила.» После 4-5 подобных писем я начал подключать в копию письма все email техподдержки Microsoft, которые только смог найти. Так же в каждом письме я просил подключить начальника отдела саппорта для разрешения проблемы.

    В итоге мои финальные письма содержать просьбу подключить руководство, т.к девочка-саппортер не может решить проблему.
    В общем, через 4-5 дней после блокировки девочка написала что мой аккаунт теперь разблокирован… Но ее начальство так и не подключилось к обсуждению.

    В общем, зовите начальство, если руководитель саппорта не поможет — подключайте руководство над ним и т.д


  1. enc0de
    20.12.2016 09:19
    +8

    R.I.P. Skype


    1. eternal_sorrow
      24.12.2016 10:02
      +1

      Не R.I.P, а гори в аду, скайп.


  1. inakrin
    20.12.2016 10:13
    +1

    Было бы хорошо чтобы эта статья была опубликована и на английском кстати.


    1. zhovner
      20.12.2016 10:17
      +2

      https://habrahabr.ru/post/316912/#comment_9973266


  1. ildarz
    20.12.2016 11:05
    +1

    Подайте на них в суд. :)

    P.S. Я серьезно. Правда, возможно, эффективнее сподвигнуть на это кого-то из жертв, проживающих на западе.


    1. electronus
      20.12.2016 16:41

      Ресурсов бодаться не хватит, btw


      1. ildarz
        20.12.2016 17:09
        +1

        Каких ресурсов? Сама по себе подача иска никаких серьезных расходов не влечёт. Никто же не заставляет платить адвокатам столько же, сколько MS.

        Автор не хочет выходить за рамки законности, но считает, что его права нарушены, а переговоры с нарушителем не дают результата. Суд — совершенно естественный выход из подобной ситуации, если действительно хочется добиться положительного результата. Не знаю, можно ли начать такой процесс в РФ, но в Америке и Европе с этим не должно быть проблем, по идее.

        Даже если положительного результата не будет, Скайп, как минимум, должен будет раскрыть конкретные нарушения, за которые пострадавшие были заблокированы, да и встряска для MS будет посерьезнее, чем очередные обличения в инете, к ним у MS уже наверняка хороший такой иммунитет, ибо их направо и налево обвиняют в чём угодно, не глядя, кто прав, кто виноват. :))


  1. pyrk2142
    20.12.2016 11:29
    +24

    У меня тоже был забавный случай:
    Нашёл в мобильном приложении Скайпа уязвимость, решил им написать.

    — Добрый день. Я нашёл уязвимость в мобильном приложении Скайпа. Как о ней можно сообщить.
    — Добрый день. Я правильно понял, что у вас нет проблем с доступом к аккаунту?
    — Да, но вопрос не об этом.
    — Отлично, всего хорошего.


    1. pda0
      20.12.2016 14:48
      +7

      Отлично.

      ТП (Техподдержка): У вас есть проблемы с доступом к аккаунту?

      К1 (Первый клиент): Нет.

      ТП: Значит всё хорошо, до свидания.

      К2 (Второй клиент): Да.

      ТП: Это потому что вы нарушили какой-то пункт правил. Мы не ошибаемся. Доступ восстановлен не будет. До свидания.


  1. ghosthope
    20.12.2016 11:34

    Есть у меня одна очень опасная идея — что если по этому пути пойти и заблочить акк одного из тех, кто в верхах M$?


    1. Loki3000
      20.12.2016 11:44

      Выше уже написали: по тихому разблокируют и сделают так, чтобы заблокировать было нельзя (если уже не сделали).


      1. TrolomenJirnota
        20.12.2016 11:53

        Так соль в том, что руководство даже не подозревает об этих косяках,
        а так может по шапке настучат, когда узнают


        1. Loki3000
          20.12.2016 11:57
          +1

          Зато разработчики, наверняка, подозревают. И им совсем не хочется чтобы их руководство поставили об этом в известность подобным образом.


          1. TrolomenJirnota
            20.12.2016 12:10
            +1

            Так это их святая обязанность поставить в известность непосредственных руководителей.
            Плохо будет только тем, кто решил не прокидывать проблему на уровень выше, а решил, что и так сойдет. За это пусть и расплачиваются


            1. Loki3000
              20.12.2016 12:26
              +1

              Разработчики — это не только (и даже не столько) программисты. Это может быть какой-нибудь руководитель проекта. А всех кто над ним — не интересуют технические подробности, если доходы не падают. Так что он вполне может отдать распоряжение не блокировать аккаунты зарегистрированные на почту в домене microsoft.com (или регулярно подключающиеся с майкросовтовских ip) — и все, начальства это никогда не коснется. Лично я подозреваю что эту уже давно сделано — наверняка есть какие-нибудь привилегированные аккаунты с которых и звонить можно бесплатно и они вполне себе абузоустойчивые.


              1. il--ya
                20.12.2016 15:08
                +1

                Ага, бояре плохие. Это не программисты и не разработчики, это политика компании. Как первый день живёте, честное слово. Это ж microsoft! Деньги от рекламы идут — нет проблем. Проблемы пользователей их никогда не интересовали, пока это не влияет на revenue, да и тогда они скорее задумаются, как сделать проблемы пользователей источником доходов, чтобы компенсировать выпадающие доходы. Например, сделать платное восстановление.


  1. fedorro
    20.12.2016 11:51
    +1

    А я сам удалил свой аккаунт, и не жалею — мне плевать, что им наплевать… А за мной и родственники потихоньку подтягиваться начали, и другие люди, которым я сказал, что больше не буду помогать возвращать ломанные и скайповые аккаунты. Кто хочет связаться по скайпу отвечаю — нету скайпа, вот альтернативные способы связи, и среди них всегда находится подходящий. Глядишь тоже начнут отказываться, так же как и переходили на него. Ну а если кому сильно приспичит — можно новый одноразовый скайп-акккаунт зарегистрировать (хотя не уверен, т.к. нужды не было), на который тоже наплевать.


    1. nehrung
      20.12.2016 16:01
      -2

      нету скайпа, вот альтернативные способы связи

      В качестве таковых альтернативных можно предложить ooVoo. Все нужные опции из Скайпа есть и у ooVoo: показ экрана, передача файлов, бесплатная видеоконфа до 12 человек. На сайте пишут, что более 150 млн клиентов. Правда, оно вроде тоже не p2p, но пока MS его не купил, это можно пережить.


      1. zhovner
        20.12.2016 16:04
        +5

        В каждую подобную тему приходят люди советовать свой любимый мессенджер.
        Советую вам почитать пост Почему ваш любимый мессенджер должен умереть.


        1. nehrung
          21.12.2016 13:56

          Спасибо, я в курсе, ибо давно слежу за Скайпом. Но ввиду давности того поста вставить туда сейчас коммент про ooVoo мне не удалось.
          А собственно, чем это плохо — выбрать из всех предложений наилучшую альтернативу Скайпу? Я ж не с бухты-барахты предлагаю ooVoo — оно реально наиболее близко по набору опций и прочим пользовательским параметрам. Все прочие требуют, например, указать номер мобилы при регистрации и тем самым себя деанонимизировать, а ooVoo этим не страдает.


          1. TovNah
            21.12.2016 14:05

            жаль под linux нет клиента, хотел попробовать


          1. zhovner
            21.12.2016 14:46
            +8

            А собственно, чем это плохо — выбрать из всех предложений наилучшую альтернативу Скайпу?


            Ладно, я попробую еще раз на пальцах ответить на этот вопрос.

            Представим что есть супер защищенный классный мессенджер в вакууме HooYoVooo.
            Его разрабатывают святые безгрешные люди Вова, Петя и Антон. Они не едят еду, не носят одежду, им не нужны деньги вообще (как Telegram-у например). Они готовы потратить всю свою жизнь на разработку протокола, написание клиентов под все платформы, дизайн интерфейсов, содержание серверов по всему миру для поддержания сети.

            Для того чтобы публиковаться в PlayMarket, AppStore они регистрируют HooYoVooo LLC. Юридическое лицо зарегистрированное в каком-либо государстве.

            При этом Вова, Петя и Антон как главные и единственные разработчики имеют полный доступ ко всей информации хранящейся на серверах своего мессенджера. Это вполне логично, ведь они эти сервера и устанавливают.

            Мессенджер HooYoVooo настолько хорош, что быстро завоевывает популярность и им пользуются все люди в мире.

            Внезапно оказыается, что в HooYoVooo есть публичные каналы с пиратской музыкой. Apple требует заблокировать эти каналы иначе приложение будет удалено из AppStore.
            Вова и Петя спешно создают инструмент для модерирование публичных чатов, хотя раньше не вмешивались в переписку своих пользователей.

            Потом оказывается что во многих странах запрещена порнография, а в HooYoVooo много каналов для обмена порнографией. Apple требует заблокировать! Ребята срочно разрабатывают инструмент для анализа всех картинок пересылаемых пользователями, чтобы для Ирана, Сирии, Киргистана и России автоматически блокировалось порно.

            Вдруг к ребятам домой (живут они в деревне в Англии) приходит МИ-6 и требует раскрыть переписку некоторых пользователей подозреваемых в терроризме. Иначе Вова, Петя и Антон сядут в тюрьму и вся их контора HooYoVooo LLC закроется. Как же поступят наши герои? Сядут в тюрьму за нашу свободу?

            Через время Петя внезапно пропадает из команды разработчиков. Оказывается что его похитил ИГИЛ и заставляет раскрыть переписку дипломатов и послов Германии. Если Петя откажется ему публично отрежут голову. Что выберет Петя? Очевидно, отрезание головы, ведь он святой и не боится смерти.

            Теперь к реальности: ooVoo это коммерческая компания которая заинтересована только в одном — в зарабатывании денег. Они защищают свой продукт и берут за это деньги. Этот продукт существует пока существует компания и пока ее занятие приносит доход. Если завтра она обонкротится или решит что разрабатывать этот продукт больше не выгодно, она его закроет. Вместе со всеми серверами и инфраструктурой.

            Даже если реализация протокола открыта и появилось миллион открытых клиентов, любое изменение все сломает. Достаточно вспомнить инструменты для разработки альтернативных клиентов Skype. Где сегодня Skypekit SDK? Они разослали письмо в котором буквально говорится «вы должны уничтожить все что сделали, программа закрыта». Как в таком случае быть тем разработчикам который встроил этот продукт в аппаратные телефоны, холодильники, автомобили. Выбросить все это?

            Любая подобная компания ВСЕГДА уязвима для воздействия со стороны государства. Они обязаны исполнять законы страны в которой работают. И если по закону переписка пользователей должна быть раскрыта, то так и будет. Не важно гласно или нет. Иначе все сервера и счета компании будет арестованы и закрыты.

            А еще в таких компаниях работают люди. Их сотни и у большинства есть семьи. Эти люди могут быть введены в заблужение, обмануты, взломаны. Они всегда предпочтут лично благополучие сохранности ваших данных. Никто не пожертвует своей свободой и жизнью ради ваших данных.


            1. nehrung
              22.12.2016 10:38
              -2

              Можно было сформулировать и покороче: всё пропало и выхода нет (в вашем комментарии ведь действительно не предлагается никакого выхода). Мне же кажется, что вы, имея перед глазами пример Скайпа, переносите его беды на всё остальное, причём обосновываете оправданность такого переноса лишь самыми общими соображениями.

              Думаю, будет всё же правильнее не впадать в такую панику и решать задачи по мере их возникновения. У ooVoo таки есть SDK, компания не закрывается (судя по наращиванию числа пользователей), её (вроде бы!) никто не прессует, к её продукту(пока!) не присосались ни порнографы, ни пираты. По мне, это означает, что её продуктом можно пользоваться, причём ровно до того момента, пока пользоваться им станет нельзя (вот как Скайпом). А как станет нельзя — ищем следующую альтернативу, жизнь ведь продолжается!


              1. maxpsyhos
                22.12.2016 11:29
                +4

                Что-то мне не улыбается перспектива каждые 2-3 года искать новый мессенджер, потом мучительно уговаривать 100 человек из моего контакт-листа перейти на него-же, терять всю историю переписки, обновлять свои контактные данные везде где только можно. И только всё устаканится, почти сразу начинать всё по новой.


                1. nehrung
                  22.12.2016 18:14
                  -3

                  Вот на этом вашем консерватизме и нежелании шевельнуть пальцем и держится Скайп, не собираясь исправлять свои мерзости. Хотите сдвинуть с места эту проблему — делайте хоть что-нибудь!


                  1. nehrung
                    23.12.2016 13:18

                    Отправил вчера в техподдержку ooVoo вопрос: делается ли у них что-нибудь для облегчения миграции потенциальных пользователей со Скайпа на ooVoo (ну хотя бы импорт контактного листа, а в идеале — и поддержка протокола, чем чёрт не шутит). Жду ответа.


                    1. Vadiman
                      23.12.2016 13:39

                      А в скайпе такие: «Что такое ooVoo?»


              1. eternal_sorrow
                22.12.2016 18:27
                +1

                всё пропало и выхода нет

                есть — распределённые мессенджеры, которые не хранят переписку пользователей на серверах (а возможно, в них вообще отсутствует понятие сервера)


                1. nehrung
                  23.12.2016 13:09

                  Именно таким был Скайп до MS, когда он работал по p2p. Центральный сервер всё же был тогда нужен, но только для инициализации соединения. Помнится, те клиенты, у кого канал связи был «потолще», использовались как ноды и фоном пропускали через себя часть чужого трафика (пока я не поставил себе индикатор трафика, я об этом и не подозревал).
                  А какие из нынешних умеют работать без центрального сервера?


                  1. eternal_sorrow
                    24.12.2016 09:59

                    А какие из нынешних умеют работать без центрального сервера?

                    Как минимум, Tox.


                    1. nehrung
                      24.12.2016 15:51

                      Скачал две версии: qTox (22 мБ, инсталлятор, требует создания учётки) и uTox (1,5 мБ, похоже на portable, автоматом создаёт ключ). Жаль, не с кем опробовать.


                      1. eternal_sorrow
                        25.12.2016 16:23

                        8270670ED0B0B3CFACAE7B5C4D8B7B8BD09F0453F9B315BD6ECCCB028527063C628E76C96DA3 добавляйтесь


                        1. nehrung
                          25.12.2016 21:52

                          Опробовали — оно и вправду работает. На звуке создаёт поток данных толщиной около 20 кБ/сек, что больше, чем у Скайпа (тому хватало модемных 56 килобит в секунду). Есть заметный временной лаг (прикидочно около секунды), так что во избежание пропусков приходится говорить как по рации.
                          Видео и передачу файлов опробовать не удалось. Рабочий стол, в отличие от Скайпа, Токс показывает не в динамике, а отсылая скриншот.
                          Интересно, что в состоянии ожидания Токс тоже генерирует поток псевдослучайного вида (судя по картинке с NetWorx) толщиной где-то 4...5 кБ/сек.


                          1. Saffron
                            26.12.2016 02:34

                            Рабочий стол тоже можно показывать. Я пользую utox — там в настройках видео можно выбрать устройство, с которого захватывать картинку. Можно выбрать одну (из многих?) веб камеру или рабочий стол.


                1. ildarz
                  23.12.2016 13:22

                  А как там у современных децентрализованных мессенджеров дела с отправкой оффлайн-сообщений обстоят, например?


                  1. Darth_Malok
                    27.12.2016 03:52
                    -1

                    Ну у скайпа они обстоят никак, хотя он и централизован)


                    1. sonik_spb
                      27.12.2016 13:24
                      +1

                      Сообщения отправленные пользователям оффлайн хранятся на серверах скайпа и норм доходят когда те в онлайн возвращаются. Вроде бы это даже файлами сейчас работает? (какие-то лимиты там)


    1. nikolay_karelin
      20.12.2016 17:03

      А какие именно вы используете, и если можно, краткие выводы за/против?


  1. dim2r
    20.12.2016 12:21
    +13

    У меня такая история случилась — нам поставили новый комп на работе с Win10. Вошел в скайп и винда потихому привязала акаунт микрософта к этому компу. Потом я решил скачать приложение из Store для настройки меню. Внезапно меня спросили дату рождения. Что бы побыстрее скачать поставил 01.01.2016. Нажал на кнопке Next и я попал в категорию детей до 13 лет.

    Акаунт скайпа и live.com заблокировался. Скайп не работает, синхронизация документов не работает, почта outlook.com не работает. Микрософт потребовал 50 центов, номер кредитки, телефон, адрес и тд.

    Кому интересно смотрите
    скриншоты

    Больше всего порадовал работник службы поддержки, до которого добраться было непросто по телефону. Я спросил почему скайп нарушает российский закон о персональных данных, он говорит что ведь программа-то неросийская и поэтому может его нарушать.


    1. dim2r
      20.12.2016 12:28
      +1

      извиняюсь, тут скриншоты в более лучшем оформлении
      скриншоты


    1. NickKolok
      20.12.2016 15:14
      +3

      Под блокировку его! Со всем мелкософтовским диапазоном IP! Чтоб windows update работать перестал, а чиновники наоборот — начали!
      А то лурочку блокировать все умеют…


    1. LynXzp
      20.12.2016 18:04

      Gmail — то же самое. Случайно указываешь дату рождения на любом сервисе гугла — и все — блокировка. Особенно весело если ФИО в gmail фейковые, а для разблокировки тебя просят прислать скан паспорта.


      1. dim2r
        21.12.2016 10:17

        Gmail — то же самое

        По крайней мере у них понятно кто и что спрашивает и на что это повлияет. Я же на новом компе полез в их Store и нафига он спросил возраст — не догадывался. Оказалось, что перед этим я вошел в skype и уже действовал от имени аккаунта microsoft.


        1. LynXzp
          21.12.2016 13:43

          Не все так понятно. Спросило у меня на youtube, сначала ник, а потом и возраст (я и забыл что там бывают возрастные ограничения) и ввел рандомную дату. Youtube и дальше можно было смотреть (кроме этого и др. роликов), а почту заблокировало полностью. Хотя понимаю что у MS может быть еще хуже, но это не повод.


          1. dim2r
            21.12.2016 20:08

            Понятно, видимо используют партизанскую тактику. Если внезапно спросят возраст, надо лет 30 ставить.


    1. Bringoff
      21.12.2016 08:46

      А что происходит, если нажать "я взрослый"?


      1. dim2r
        21.12.2016 09:44

        если нажать «я взрослый»

        Спрашивают номер кредитной карты, телефон, адрес и списывают 50 центов. См скриншоты начальном сообщении. Я не хотел палить свою карту, поэтому завел новый аккаунт


        1. Bringoff
          21.12.2016 11:51

          Гм, ну, как по мне, нормальный способ проверить возраст :) Возможно, это удобнее, чем вручную, допустим, сканы паспорта проверять, по ому что может быть проделано автоматически. Деньги обычно возвращаются после подобных идентификаций. Плюс, допустим, можно завести виртуальную карту и поставить маленький лимит, по крайней мере, у меня в Приватбанке есть. Это чтобы реальную не палить.


          1. dim2r
            21.12.2016 12:14

            На счет возврата информация неоднозначная. На одном скрине говорится, что ничего сниматься не будет. На другом говорится, что 50 центов снимутся навсегда без возврата… (ссылка на скрины в моем начальном сообщении)


            1. grossws
              21.12.2016 13:00

              Обычно для таких вещей делают hold и либо отменяют его самостоятельно, либо оно само отвалится через пару недель.


  1. Ktulkhu_Triediniy
    20.12.2016 12:43
    +1

    С одной стороны, я сочувствую автору и понимаю его возмущение. А с другой, чего он ждёт от Мелкомягких? У них повсеместно такой треш творится и им пофигу. Везде и всегда одни отписки и никаких решений проблем.


    1. quwy
      21.12.2016 02:58
      +4

      Можно подумать у кого-то из «монстров» не так. И фесбуки и пэйпэлы блокируют аккаунты направо и налево, без права не то что восстановить доступ, но даже узнать за что заблокировали. Это стало просто чумой современного интернета, построенного на базе крупных сервисов, которые ведут себя по-скотски.


      1. dim2r
        21.12.2016 10:26

        Там хотя бы понятно кто и что спрашивает и на что это повлияет. Я же на новом компе полез в их Store и нафига винда спросила возраст — не догадывался. Была некая эйфория и суета из-за нового компа. Оказалось, что перед этим я вошел в skype и уже действовал от имени аккаунта microsoft. А то, что я уже несколько лет им пользуюсь никак не было учтено. Просто блокировка и гони 50 центов за подтверждение возраста.

        При заведении нового аккаунта теперь обязательно вводить номер телефона. То есть надо брать еще одну симку, так как старая засветилась. Она понадобится при восстановлении пароля или для настройки двуфакторной авторизации.


  1. FreakII
    20.12.2016 12:44
    +5

    Интересно, а что скажут на эту статью вот эти ребята? Я понимаю, что они, скорее всего, к скайпу отношения не имеют, у них там сплошные облака, дип лёнинг и прочие модные хипстерские штуки, но все-таки


    1. fobazzz
      20.12.2016 13:25
      +33

      Как бы намекают

      image


      1. zhovner
        20.12.2016 14:31
        +1

        Что это за страница?


        1. fobazzz
          20.12.2016 15:17
          +6

          https://habrahabr.ru/company/microsoft/


          1. zhovner
            20.12.2016 15:45
            +9

            Это очень смешно.


      1. fedorro
        20.12.2016 16:24
        +1

        Видимо кто-то уже догадался заблокировать их Skype-аккаунт =D //sarkazm


  1. ValdikSS
    20.12.2016 14:20
    +22

    zhovner еще забыл сказать, что он зарегистрировал новый аккаунт Skype, как ему советовала техподдержка, и его автоматически заблокировали через 2 дня.


  1. iMisanthrope
    20.12.2016 14:42

    Почитав и ужаснувшись решил на всякий случай удалить учетку скайпа, все равно давно не пользуюсь.
    И тут началось интересное. Логин-пароль от скайп аккаунта я помню, но при клике на «Закрытие учетной записи» редиректит на account.live.com, пароль от которой я не помню, а почта, на которую live-акк зареген уже не существует. Но есть опция «у меня нет доступа к этим данным». Жмем, предлагается заполнить новую почту для live-аккаунта и ответить на ряд вопросов для подтверждения, что я есть я: ранее использованные пароли, есть ли учетка в Xbox / Skype, на какие номера звонили, кто в контакт листе, оплачивали ли счет Skype, с какой карты… Из всего этого я отметил галочку, что имею Skype аккаунт и перечислил трех человек из контакт листа и что когда-то платил за него 10$ (без указания карты, да и сумма не факт, что точная). И вуаля, через 5-10 минут на новую почту пришло сообщение со ссылкой на сброс пароля.
    Я может чего-то не понял, но получается, что зная контакт лист Skype-аккаунта, можно получить контроль над live-учеткой. Я не пользуюсь продуктами Microsoft, но вроде бы live-учетка это вроде Apple ID – там и кредитка, и личные данные, и покупки в сторе… Конечно для этого, полагаю, все же нужен скомпроментированный Skype-аккаунт, но все таки.
    Удалить учетку Skype мне кстати так и не дали – нужно подождать 30 дней после смены почтового адреса live-учетки.


    1. dartraiden
      20.12.2016 22:52

      Сейчас, видимо, хотя бы можно самому её закрыть, пусть и за 30 дней. Когда я удалял учётку несколько лет назад, приходилось делать это исключительно через онлайн-чат с поддержкой.


  1. stantler
    20.12.2016 14:42
    +2

    Есть медийная личность из Microsoft: https://majornelson.com/2005/04/29/taking-skype-calls-today/


  1. Fuckoff95
    20.12.2016 14:42

    Есть гайды про узнаванию ip адреса?
    А то уязвимость есть, а инструкции к ней нет :(


    1. dartraiden
      20.12.2016 15:07

      Ефим Бушманов когда-то публиковал деобфусцированный клиент, который писал логи в незашифрованном виде (обычный клиент шифрует логи так, что их может расшифровать лишь тех.поддержка). Так вот, в том клиенте достаточно было лишь поиском найти жертву (без добавления в контакты) и у вас уже в логах светился её IP.

      Ссылки в его блоке уже давно удалены по требованию Microsoft, но файлы заботливо схоронены мною.

      Будьте осторожны, есть сведения, что аккаунты, уличённые в заходе через этот клиент, банят быстро и решительно.


      1. zhovner
        20.12.2016 16:23
        +2

        Все верно, эти техники до сих пор работают. Я не стану делиться софтом, но могу продемонстрировать при необходимости.

        Skype ранее заявлял, что проблема с раскрытием IP решена, но на самом деле они просто включили по-умолчанию опцию «раскрывать мой IP только контактам». Частично это решило проблему, теперь для резолва IP нужно делать это с аккаунта авторизованного у жертвы. При этом достаточно запроса на добавление в контакты от жертвы к резолверу.

        Самое веселое, что в некоторых случаях можно обнаружить не только IP адрес жертвы, но и аккаунты которые подключены с того же IP. Например вы резолвите одного человека и попутно видите в логах логины которые в данный момент находятся с ним в одной квартире, то есть членов семьи, при том что эти аккаунты ранее не были известны. Я пока не могу это контролируемо воспроизвести, так что работает не всегда. Но сам факт настораживает.


      1. zhovner
        20.12.2016 16:32
        +1

        Сюда же относится трюк со скрытием активной сессии.

        Если ввести в любом чате Skype команду /showplaces будут показаны активные сессии, то есть на каких устройствах данный момент авторизован ваш аккаунт.

        Предполагается, что эта команда позволит увидеть, если вдруг кто-то посторонний залогинен вашим аккаунтом и читает переписку. Но при этом, существуют особые версии Skype клиентов, которые просто не отображаются в этом списке. С ним можно спокойно подсматривать за вашей перепиской и не боятся раскрытия.


        1. varnav
          21.12.2016 13:16

          а ещё там нередко висят сессии-призраки. если удалить android-приложение skype, не разлогинившись, его сессия там будет висеть вечно. /remotelogout не поможет


          1. jetexe
            21.12.2016 13:31

            Как показала практика, не вечно, но очень долго. У меня отпала спустя года два. /remotelogout — не помогает, тоже проверено было. Даже смена пароля не помогает


      1. doga
        23.12.2016 22:15

        удален даже первоначальный блог — но давно создан другой, и с удивительно знакомым названием, и все ссылки там работают
        http://skype-open-source2.blogspot.ru/
        только никому про него не рассказывайте — особенно местным представителям обсуждаемой корпорации.
        На руборде недавно местный активист-урод не опознал то ли самого Бушманова, то ли кого-то близкого — см. последнюю реплику в профильной теме,
        здесь никто не знает про блог-2…
        … я не верю, что «я один такой умный и информированный»…


  1. geov
    20.12.2016 14:58
    +2

    Т.е. чтобы ктото почесался нужно чтобы уязвимость приобрела массовый характер? Дожились. А можно ли автоматизировать abuse процесс чтобы каждый день блочить по 100-200 учеток… Просто так…


  1. amarao
    20.12.2016 15:21
    +6

    Если настроить бота для автоматической блокировки всех аккаунтов по номеру, на каком миллионе пользователей Майкрософт задумается о том, насколько это разумная модель?


    1. electronus
      20.12.2016 16:44

      Обвинят во вмешательстве в работу сервиса


      1. Eldhenn
        20.12.2016 17:00
        +2

        Кого? Русских хакеров?


        1. electronus
          20.12.2016 17:07
          +4

          У СЩА экстерриториальная юстиция. Не важно где ты. Это так, если коммент не просто тро-ло-ло


          1. amarao
            20.12.2016 17:22
            +1

            Меня судьба скайпа не интересует. А на экстерриториальную юрисдикцию есть экстюризцикционная анонимизация.


          1. PsyHaSTe
            21.12.2016 18:26
            +1

            Майкрософт утверждает, что это не уязвимость, значит её использование не может являться преступлением. Тут скорее вопрос моральности, уничножить скайпы миллионов чтобы ВАМ стало приятнее пользоваться мессенджером. Это довольно жестоко.


            1. Gendalph
              21.12.2016 18:43

              Соль в том что из-за этой "фичи" на Скайп полагаться нельзя.


      1. amarao
        20.12.2016 17:21

        окей. Но кого это будет волновать с точки зрения заблокированных миллионов?


        1. electronus
          20.12.2016 17:28

          Ну МС. Покажут что столько-то денюжки не капнуло за просмотр рекламы, ибо отабюзили умышленно, с целью принесения материального вреда механизм блокировки нарушающих термсы


      1. geov
        21.12.2016 03:19

        Ненене. Главное потом всем показать что микрософт знала про проблему и довела своим бездействием все до такого состояния. Может даже акции упадут. Вот тогда накажут всех невиновных и наградят непричастных.


    1. Graf54r
      21.12.2016 23:47

      Нужно заблокировать аккаунты скайп сотрудников Microsoft. Пока на себе не почувствуют, все будет также.


  1. electronus
    20.12.2016 16:48

    Затея пустая. Им нужна система блокировки, без нее им не смочь. Ну то что она дырявая, так ничего. Хуже для их бизнеса будет её отсутствие. А на репутацию им наплевать. Пока это не будет опубликовано где-то на видном месте и сможет повлиять на курс их акций на фондовом рынке.


    1. Gendalph
      20.12.2016 17:27
      +1

      Затея не пустая.
      Достаточно сломать к чертям их систему блокировки у всех на виду, чтобы M$ была вынуждена начать действовать.


  1. K_e_X
    20.12.2016 16:54

    Очень не хватает мета-мессенджера, который бы объединил все эти бесконечные телеграммы, вайберы, скайпы, аськи, лайны, вотсапы и т.д. и т.п., да на какой-нибудь крипто-п2п платформе со своим функционалом, куда, возможно, впоследствие все бы и мигрировало.


    1. ValdikSS
      20.12.2016 16:56
      +2

      Мета-мессенджеры есть, например http://meetfranz.com/, но это чепуха, по сути, просто браузер с вкладками и уведомлениями. Есть еще мессенджеры, использующие libpurple или libtelepathy, как вариант, но там не все протоколы доступны, т.к. компании сопротивляются созданию сторонних реализаций или клиентов.


    1. dartraiden
      20.12.2016 19:03
      +1

      Вот пример того, почему создавать (а тем более бесплатно) такой мета-мессенджер — сомнительное удовольствие. Цитирую себя же:

      Они ещё и сторонним десктопным клиентам ставят палки в колёса при попытке отреверсить и реализовать протокол. В Миранде, в конце-концов, просто плюнули, когда очередной Whatsаpp-аккаунт разработчика забанили.

      Реверсить закрытый протокол сама по себе не особо приятная задача, а когда тебя за это ещё и банят — ну его в пень.


  1. ssh24
    20.12.2016 18:32
    +1

    Нет слов… даже не знал, что все так плохо со Скайпом(((
    Ох.Помню, не радовался я новости, что МС покупает Скайп и не зря.

    Еще один пример того, как хороший продукт можно превратить в полное Г.


    1. saboteur_kiev
      21.12.2016 01:59
      +4

      Скайп и до покупки был точно таким же. Уязвимости МС в него особо не добавляла.


      1. zhovner
        21.12.2016 03:20
        +3

        Это так.


  1. nikitasius
    20.12.2016 18:39

    Хотя бы в 2016 теперь можно писать каки про скайп. А 3 года назад за это в бан отправляли, в стиле поддержки мелкософта.


    Отличный материал!


  1. Dark_Purple
    20.12.2016 19:24
    +6

    Сучий скайп.


  1. RevenantX
    20.12.2016 20:49
    -2

    Есть надежда на еще 1 открытый децентрализированный аналог скайпа — Ring. Инфы мало о нём. Но вот сайтик https://ring.cx


  1. Vnuchok
    20.12.2016 20:50
    +1

    А я-то ломаю башку — чего ж такого я нарушил! Да, я ничего не нарушал, просто раз в месяц общаюсь в скайпе с матерью… пришлось другой акк завести… Вот уроды-то, а?!


  1. RIscRIpt
    20.12.2016 20:51
    +1

    Мой аккаунт несколько лет назад заблокировали на новый год. Так же мучился, несколько недель пытался до них достучаться.
    В общем после этого пользовался скайпом только в исключительных случаях.
    Получилось восстановить аккаунт только через 2 года, когда нашёл архив с локальной базой данной моего аккаунта (User\AppData\Romaing\Skype), от туда получилось достать достаточно подробные данные, что бы ответить на все вопросы из этой формы, до которой точно не помню как добраться.


    1. dartraiden
      20.12.2016 22:44
      +1

      Да это беда у многих тех.поддержек — там совершенно дубовая «первая линия». Я так недавно у mail.ru восстанавливал учётку, заблокированную по подозрению во взломе. Ты можешь знать пароль, ответ на контрольный вопрос, иметь приложение на смартфоне для генерации одноразовых паролей для входа в «Облако», привязанное к этому аккаунту. Да хотя бы даже перечислить файлы и папки в облаке, или IP-адреса, использовавшиеся для входа в аккаунт за последние месяцы.

      Но нет, всё это фигня, если ты не вспомнишь, какой пароль и контрольный вопрос у тебя был 10 лет назад при регистрации — можешь попрощаться с учёткой.


      1. dachi304
        21.12.2016 06:50

        Забавно, буквально на днях занимался тем же. Заблокирована по подозрению, не использовал года три. Учетке лет 10 где-то. Если не больше. К ней был привязан телефон, который давно уже как мертв. Ответа на вопрос не помнил.
        Заполнил форму восстановления максимально подробно (т.е. почти никак). Пришел ответ: попробуйте снова.
        Заполнил снова, вспомнил пару адресов куда мог отправлять письма, лет 5 назад. Пришел ответ: попробуйте снова.
        Ответил на письмо «Друзья мои, вы издеваетесь? Сколько раз мне слать эти заявки и сколько раз получать один и тот же автоматический ответ?». Спустя два дня разблокировали. Магия.


        1. dartraiden
          21.12.2016 14:39
          +1

          Это вообще абсурд — какой смысл тогда наворачивать дополнительную защиту в виде одноразовых кодов и т.п., если по факту весь доступ к аккаунту держится на неактуальных данных. А если злоумышленник их узнает? Получается, что тогда всё, он всегда сможет получать доступ снова и снова.

          Мне восстановили лишь после того, как я написал письмо в тех. поддержку самого «Облака» и попросил в порядке исключения перекинуть имевшийся терабайт облачного на другой аккаунт, раз с этим можно распрощаться.


  1. duskpoet
    20.12.2016 20:51

    А вот мне интересно, почему все уперлись в децентрализацию? Неужели нельзя обойтись без неё? Двустороннее шифрование, запасные сервера и т. д.? Просто такую инфраструктуру гораздо же легче поддерживать.


    1. ValdikSS
      20.12.2016 21:40

      Двустороннее шифрование
      Поясните, что вы имеете ввиду.
      Просто такую инфраструктуру гораздо же легче поддерживать.
      А в случае какого-либо вида децентрализации (федерация, p2p) у вас вообще может не быть инфраструктуры, которую нужно поддерживать. Если брать федерацию, то в случае проблем на вашем сервере, они не затрагивают другой сервер (ну, кроме того, что пользователи других серверов не смогут отправить вам сообщения), и наоборот, проблемы с интернетом на вашем сервере не повлияют на другие серверы, кроме того, в этом случае даже на вашем сервере сообщения внутри вашего сервера (домена) будут работать.


    1. Sjam
      20.12.2016 21:59

      Проблема любых централизованных систем в наличии у них дяди. И ни какое шифрование вас не спасет


      1. varnav
        21.12.2016 13:19

        как это так e2e шифрование меня не спасёт от дяди?


        1. Sjam
          21.12.2016 15:05

          Если ваш аккаунт и метаданные не принадлежат вам, забудьте об e2e и любых шифрованиях.


          1. varnav
            21.12.2016 17:50

            а, ну метаданные дядя пусть читает.


        1. MikailBag
          21.12.2016 22:17

          Насколько мне известно, у скайпа и прочих исходный код клиента закрыт. Говорить при этом о end-to-end шифровании бессмысленно


          1. varnav
            22.12.2016 12:49

            А как связаны закрытый код и e2e?


            1. MikailBag
              22.12.2016 17:41
              +1

              Как вы можете быть уверены, что ваш любимый мессенджер реализует end-to-end шифрование (без закладок), если исходный код его клиента закрыт? Другое дело Telegram и другие мессенджеры с открытыми исходниками клиента. Там действительно можно убедиться в корректности e2e и отсутствии в месенджере закладок.


              1. dimm_ddr
                23.12.2016 12:21

                А телеграм открыл исходники? Я правда не в курсе, последнее что я помню — народ жаловался что исходники закрыты и это не должно называться безопасностью.


                1. QDeathNick
                  23.12.2016 14:57
                  +1

                  Народ и дальше будет жаловаться, на то он и народ.
                  Проблема не в открытости исходников сервера, сервер должен быть средой передачи, а шифрование должно обеспечиваться в открытом протоколе. Кто лучше напишет сервер для протокола, того и тапки, к тому и пользователи побегут и пусть он закрыт, защищен патентами и.т.д. От него не должна зависеть безопасность общения, только скорость, надежность и доступность.

                  Если у чего-то открытый код сервера, это же не гарантирует, что в конкретном сервере крутится именно этот код. Так же и с клиентом, если клиент открыт, то никто же не даст гарантии, что у злоумышленника именно он.
                  Только открытый протокол может обеспечить безопасность, а у телеграма он всегда был открыт и косяки там находятся.



  1. Sjam
    20.12.2016 21:17
    +1

    Почти идеал для вас это tox. Распределённый полностью, местами и анонимный, видео, голос есть. Не без недостатков но жить можно


  1. Vladekk
    20.12.2016 22:00
    +3

    Как запостите на реддит, обновите, проголосуем дружно. Майкрософт тут не при чём, в таких случаях единственный способ исправить ситуацию — либо скандал, либо внимание высочайших чинушь.


  1. devalone
    20.12.2016 22:00

    Как же это мне знакомо… Не в такой степени конечно, но тоже находил как-то в одном сервисе критические уязвимости(позволяли украсть аккаунт пользователя, почистить его контент, менять пароль не зная старый) и фиксились они только после того, как я долго и нудно рассказывал, насколько это серьёзный баг


  1. belonesox
    20.12.2016 22:03

    • Допустим скайп приватен и все такое. Т.е. централизованно они не хранят и не знают даже о факте посылки сообщения или приглашения к контакту.
    • Приглашение к контакту используется очевидным образом для спама (все сталкивались).
    • Как им реализовать защиту от такого спама, и без побочных эффектов («атака жалобами»)? Только уникальные блек-листы для каждого пользователя?


    1. Gendalph
      21.12.2016 01:24

      Допустим скайп приватен и все такое. Т.е. централизованно они не хранят и не знают даже о факте посылки сообщения или приглашения к контакту.

      Ха-ха-ха! У них на серверах хранится последний месяц переписки и боты ходят по ссылкам в переписке. Они знают о каждом посланном сообщении и могут его прочитать.


      Приглашение к контакту используется очевидным образом для спама (все сталкивались).

      Локальный BL +рассмотрение жалоб живым человеком после определенного порога.


      Можно как в Adblock предусмотреть механизм шаринга BL.


      1. belonesox
        21.12.2016 17:18

        У них на серверах хранится последний месяц переписки и боты ходят по ссылкам в переписке

        Это мы в это решили верить, это не доказано. (Я проводил эксперименты с секретными ссылками — боты не приходили). Когда я общался со скайп-командой — четко упирали на абсолютное жесткое прайваси. Даже если это что-то ходит, это впилила отдельная команда, у основных разработчиков нет данных о социнтеракции. Можно вообразить аналогичную проблему у некого идеального скайпа, если в это не верится.


        рассмотрение жалоб живым человеком после определенного порога

        Модераторы > Фейсбук > тоже ад и нарушение прайваси.


        Локальный BL

        Вот кроме этого ничего в голову не приходит, но это не остановит спамеров.


        механизм шаринга BL

        Вот не видел пока идеального и не нарушающего прайваси.


        1. gxcreator
          21.12.2016 23:43

          Это мы в это решили верить, это не доказано.

          Попробовал отправить картинку в чат — тут же прибежал бот.
          image


  1. hvalaAllahu
    20.12.2016 23:29
    +1

    Я таких как вы называю киберангелами, что бы было с безопасностью если не такие как вы…. недавно тоже скайп ломался, я могла в него зайти, но он не работал — саппорт сказал мне почистить историю и убрать галку безопасное соединение в EI — заработал. Тоже интересует вопрос альтернативы… на меня многие давят что бы я установила вацап, но что то не прельщает возможность спама, бага с контактами и прочими ужасами. Кстати я вас видела ваш скайп в одной из групп ВК из вашей статьи.


  1. monah_tuk
    21.12.2016 02:57

    Пытаюсь на Wire переползать. Субъективизм, чего хватает/не хватает:


    • Хватает:
      • Чат + Markdown форматирование со стороны клиента (сейчас только на десктопных)
      • Звонки
      • Видео
      • Общий чат (вроде как до 128 чел)
      • Клиенты подо всё
      • Работа с нескольких машин
      • Временные сообщения (автоматически удаляются по истечению заданного промежутка времени)
      • Отправка файлов, картинок
    • Не хватает:
      • Настроек. Например прокси, отправки сообщения по Ctrl-Enter и новой строки по Enter. Настройки шрифтов.
      • Нормального десктопного приложения, а не завёрнутого в электрон сайта. Хотя кушает не много.
      • Цитирования… Или не разобрался (классический вариант с > не помог).

    Ещё не хватает статусов. Но сам я всегда использовал только два: в сети и не в сети. Поэтому не могу понять — удобно это или не удобно. Непривычно — точно.


    Ну и прочие плюшки:


    • Клиент открыт — желающие могут разобрать его.
    • Заявляется P2P шифрование и защита, типа, европейскими законами (юр лицо в Германии).


    1. ValdikSS
      21.12.2016 02:59

      Пробовали мы Wire, простой аудиовызов жрет два полных ядра процессора. Мой ноутбук нагрелся до 83°C, ноутбук zhovner тоже начал выть кулером.


      1. monah_tuk
        21.12.2016 03:19

        Может исправили что, но у себя такое не заметил. Ещё погляжу внимательнее.


  1. greatvovan
    21.12.2016 04:03
    +3

    Какие всё-таки бессмысленные обезьяны сидят в техподдержке Skype...


    1. RussianNeuroMancer
      23.12.2016 01:47
      +2

      Это техподдержка Microsoft India. С тем же успехом могли бы натаскать Cortana.


  1. am0rall
    21.12.2016 05:47

    Интересно, а комментарии от представителей Мелкомягких будут в треде?
    Ибо, как я понимаю, топик стремится в популярное за месяц, мол, резонансное событие.


    1. olekl
      21.12.2016 15:08

      А они тут есть?


      1. am0rall
        21.12.2016 20:41

        Конечно есть. На Хабре их аж 26 человек.
        https://habrahabr.ru/company/microsoft/profile/

        Топику всего 1 день, а уже 49к просмотров и 230+ комментариев.
        Это самый быстрорастущий топик за неделю. С трудом верится, что они не заметили :)


        1. Vadiman
          22.12.2016 02:52

          А они заглядывают куда-то, кроме топиков, собственно, Майкрософт?


          1. shara
            22.12.2016 08:41
            +3

            1. mixen
              22.12.2016 09:45
              +8

              Спасибо за детальную информацию
              Как правильно написали в комментариях выше, работа Skype в частности и сервисов для пользователей в целом не относится к компетенции команды по работе с разработчиками
              Мы проинформировали группу Skype о данной статье, надеюсь, это поможет


            1. Gromina
              22.12.2016 11:56

              Я уже довольно давно не там.


            1. Sveolon
              22.12.2016 21:34
              +3

              Спасибо за репорт. Я сообщил о статье команде информационной безопасности в тот же день, когда она была написана.


  1. norlin
    21.12.2016 07:54
    +4

    Я бы сказал, что проблема не столько в конкретной уязвимости Скайпа, и даже не столько в Майкрософт, сколько в нынешнем положении дел с тех.поддержкой крупных компаний в принципе.


    Хотя MS отличается особым умом и сообразительностью, да… Недавно имел шанс пообщаться (не про Skype).
    По-сути, сейчас все эти чаты и даже голосовые телефоны – не более чем интерфейс к FAQ и справке. Встречал всего пару примеров адекватного саппорта, который действительно помогает, а не тупо действует по инструкции...


    Если говорить конкретно про Skype – никогда не любил этот мессенджер, хотя по работе приходиться пользоваться. В качестве замены (для работы) – Slack или Discord. Для личного пользования – Telegram (хорошо бы что-то открытое/децентрализованное, но всё существующее на данный момент слабопопулярно и почти нереально перетащить все контакты на какой-нибудь Tox).


  1. NLO
    21.12.2016 11:56

    НЛО прилетело и опубликовало эту надпись здесь


  1. sguslya
    21.12.2016 13:19
    +3

    А что если автор статьи и есть тот самый кул хацкер...?


    1. http2
      21.12.2016 19:56
      +1

      То напиши ему в личку и он удалит тебе любой аккаунт за 30 баксов. :^)

      Это не хакер плохой, это скайп — имбицилы.


  1. http2
    21.12.2016 17:19
    +1

    До чего же все прогнило.


  1. ipekshev
    22.12.2016 02:52

    Автор прав на 100500 процентов, имел честь общения с ТП скайпа по техническим проблемам, полное отсутствие желания что-либо сделать и запредельно низкий уровень специалистов ТП. Им по фигу абсолютно все.


  1. klerik
    22.12.2016 10:16

    ну что микрософт хоть как-то среагировал?


    1. vlivyur
      22.12.2016 10:24

      Полчаса назад https://habrahabr.ru/post/316912/#comment_9977776


  1. wuoten
    22.12.2016 12:39
    +3

    У майкрософта просто феерическая поддержка. Как-то раз я купил себе винду для виртуальной машины и не смог активировать, тк ключ нерабочий. Поддержка сказала, что все хорошо и не знаем чего не работает, иди на форум, а на форуме сказали «че пришел, ключ рабочий, иди звони в поддержку». И я, заплатив деньги, пошел на торренты.


    1. vladm
      27.12.2016 05:56

      Как бывший столько-то лет назад сотрудник российского инфоцентра MSFT, вот чего скажу: работники при звонке заводят обращение и объясняют границы поддержки. В данном случае, по логике, они либо предлагают переключить на центр активации, в задачи которого и входит решение вопросов активации, либо предлагают с ЦА связаться самостоятельно и сразу называют их часы работы (а если таки звонить в США, например, то часы работы ожидаемо 24/7, хотя не всем удобен английский или испанский).


      Вариант с убогими по своему уровню в целом, юзабилити, содержанию и степени полезности комментариев форумов Answers не считаю вариантом вообще (а именно туда вас и отправили, если скрипты не менялись за последние столько-то лет) в отличие от technet и msdn, но сотрудники инфоцентра Answers называют потому, что это их рабочая обязанность и скрипт. Я же в частном порядке могу сколько угодно выражать свое мнение по этому поводу и давно не связан с теми форумами, планами их модерирования и компанией в целом. Зато остались приятные воспоминания о хорошем коллективе.


      Совершенно не понимаю, как так случилось, что центр активации не помог и было ли с ними общение в принципе. Допустимо и, что был косяк со стороны инфоцентра, что понятно не объяснили.


  1. Mikleg
    22.12.2016 14:21
    +3

    Столкнулся в апреле-мае 2013 с подобной проблемой. Опишу её.
    В одном из чатов увидел слова человека, жалующегося на то, что у него украли скайп. Я присоединился к беседе и от души над ним посмеялся — мол, растяпа, пароли не умеет хранить/придумывать. Он отверг мои наивные предположения и предложил в качестве доказательства, раз уж я такой умный, украсть мой скайп. Все, что ему для этого нужно — мой логин. Ещё он указал на то, что с привязанным к мобильному телефону аккаунтом штука не пройдет. Мой аккаунт не был привязан к номеру телефона, но я был на 100% уверен в своем пароле, а никакие другие данные случайный собеседник узнать/подобрать не мог. В крайнем случае я рассчитывал на техническую поддержку Скайп — ведь все данные у меня есть.
    Мы поспорили на 100 символических $, что он не сможет украсть мой аккаунт. 10 минут понадобилось этому человеку, чтобы я был разлогинен и больше никогда не смог войти в эту учетную запись.
    Я бросился восстанавливать пароль, но автоформы восстановления возвращали критическую ошибку при сабмите и никакая форма не отправлялась, хотя идентифицирующих данных я вводил более, чем достаточно.
    Следующий этап был — общение с поддержкой в онлайн-чате с описанием метода взлома, о котором мне поведал тот самый инкогнито, лишивший меня скайпа.
    Способ, которым меня отлучили от Скайпа: В одной из конференций (точто не вспомню, но, возможно, TeamSpeak) сидят около 20 человек, которые развлекаются блокировкой скайп-аккаунтов рассылая массовую жалобу на аккаунт-жертву. Всё, финита ля комедия.
    Как честный человек, 100$ я этому бродяге не отдал, так как мой аккаунт не был украден, но был заблокирован.
    В заключение, после крайне неплодотворного общения в чате я получил письмо на почту, после которого я сделал такой же вывод, как и Вы — Скайп маст дай.
    Привожу письмо от поддержки, в котором меня посылают на 3 (4 в данном случае) буквы с отжатием всех средств текущего счета Скайп.

    In accordance with paragraph 5.2 of the Skype End User License at http://www.skype.com/intl/en-gb/legal/eula/ (EULA), we have terminated your right to use theSkype software, and have prevented any further access to your Skype account, because you are in breach of paragraph 4.1 © of the EULA which prohibits the use of the Skype software to send unsolicited communications. Any Skype Credit that was in your account is non refundable.

    If you believe that you have received this message in error, please reply to this email, which will then be responded to by a Customer Service agent.

    --------Original Message--------

    Name: %user_name% Skype Name: %user_nick% E-mail: %user_email% Topic: Account and Password Subtopic: Blocked Accounts Subject: Suspended account Device: Desktop Computer | Skype for Windows desktop Skype Version: null null Country: EE Language: en Browser: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31 IP address: 88.196.131.110 Message: — 27.04.13 someone have changed my password. I had a session with one of your support agent. He said, that it will be some investigation with my problem. How it goes? — Orders: [Did not answer] Calls: [Did not answer] SMS: [Did not answer] To allow us to verify your identity and unblock your account, please provide the following details. If you paid with PayPal, what is your PayPal registered email address?: [Did not answer] If you paid with PayPal, what is your full first and last name, as it is registered against your PayPal account?: [Did not answer] If you paid with PayPal, what is the full registered address for your account?: [Did not answer] If you paid by credit card, please provide the first 6 and last 4 digits of your card number.: [Did not answer] If you paid by credit card, what is the full name of the cardholder as written on the card?: [Did not answer] If you paid by credit card, what is the issuing country of the card?: [Did not answer]


  1. Vnuchok
    22.12.2016 15:49

    примерно так Здравствуйте!


  1. Snooper
    22.12.2016 22:10
    +1

    В качестве альтернативы можно рассмотреть ring.cx
    Поддерживается голосовая и видео-связь, обмен сообщениями, создание конференций, обмен и совместный доступ к файлам, переадресация и удержание вызовов, запись звонков, различные кодеки (G711u, G711a, GSM, Speex, Opus, G.722), история вызовов с поиском, автоматический контроль громкости, шифрование видео, голоса и сообщений, интеграция с адресными книгами GNOME и KDE.
    Полностью децентрализован — никаких блокировок через техподдержку, никаких сливов информации по запросу спецслужб. (wire, который тут уже предлагали, имеет владельца и сервера)
    End-to-end шифрования (ключи присутствуют только на стороне клиента) и аутентификации на основе сертификатов X.509.
    Open source. Released under GPLv3 licence.
    Развивается под крылом проекта GNU.
    Возможно использовать единый RingID на всех своих устройствах одновременно. Письма и звонки будут поступать на каждое включенное устройство.
    Как новые, так и старые пользователи теперь могут зарегистрировать человеческое имя наряду со случайным идентификатором.
    Реестр имён, к которому Ring обращается по умолчанию, основан на платформе Ethereum, использующей блокчейн, и полностью децентрализован.
    Бинарные сборки подготовлены для GNU/Linux (Debian, Ubuntu, Fedora), Windows, macOS и Android, к которым скоро добавятся сборки для iOS и UWP (Universal Windows Platform).


    1. zhovner
      22.12.2016 22:45

      Около года назад, когда мы последний раз тестировали Ring, у него был не подписанный бинарник для MacOS.
      В последних версиях MacOS по умолчанию запрещен запуск неподписанных программ.
      С тех пор, как я вижу, ничего не изменилось.

      Я понимаю, конечно, что это опенсорс и все такое, но если у разработчиков нет ста баксов на выпуск сертификата и подписания программы чтобы облегчить жизнь пользователям и не заставлять их ломать систему защиты операционной систем, можно предположить что и к остальным аспектам разработки они подходят так же.

      image

      При регистрации предлагается создать публичный ID. Требования к формату публичного ID не описаны. После второй или третьей попытки ввода ID, индикатор доступности начинает крутится бесконечно. Никогда эти опенсорсные поделки не станут популярны, если даже базовый функционал не работает.

      image


  1. safinaskar
    23.12.2016 18:36
    -1

    Вы призываете создать децентрализованный мессенджер, который не будет подконтролен государству. Зачем? Вот скажем, всё что присылается по (обычной, неэлектронной) почте, просматривается государством. И что? Создавать альтернативную почту? С летающими дронами? Да, скайп имеет проблемы, это я уже понял. Нужен хороший мессенджер. Но почему ему обязательно быть неподконтрольным государству?


    1. MikailBag
      23.12.2016 18:44

      Когда человек не хочет, чтобы гос-во за ним следило, он не будет пользоваться подконтрольным гос-ву мессенджером.


      1. safinaskar
        23.12.2016 20:21

        Ну вот и я о том же говорю. Когда захочет — тогда и будет использовать. А зачем всем пересаживаться на неподконтрольный мессенджер?


        1. ValdikSS
          23.12.2016 20:35

          Затем, чтобы нельзя было получить информацию о вас от ваших друзей, которые общаются с вами.


          1. safinaskar
            23.12.2016 20:40
            -2

            Слабый аргумент. То есть, допустим, я нарушил закон, скажем, распространяю порнуху, или торгую биткоинами или ещё что-нибудь. Я сам не распространяюсь об этом через "плохие мессенджеры" типа скайпа, а вот мои друзья обсуждают в скайпе, как я торгую биткоинами, и на этом меня государство и поймало. (Я правильно вас понял?) Что ж, вероятность такого мала.


            Ещё раз: если мне действительно есть что скрывать, я воспользуюсь "хорошим" мессенджером и буду обсуждать свои "преступления" только через него


            1. ValdikSS
              23.12.2016 20:57
              +1

              Что ж, вероятность такого мала.
              Вы заблуждаетесь, так как, вероятно, не сталкивались с этим. Получение информации путем социальной инженерии или взлома друзей — пожалуй, один из самых популярных способов получения информации о ком-либо, о ком вы не можете что-то узнать напрямую.


            1. MikailBag
              24.12.2016 17:01

              Согласитесь, что вы не расскажите мне тут ваш пин-код, домашний адрес и место, где лежит ключ от квартиры, где деньги лежат. Но кто сказал, что абстрактный ФСБшник Петя, имеющий доступ к вашим данным, не продаст их кому-нибудь?


              1. safinaskar
                24.12.2016 17:16
                -1

                Я уже отвечал. Сохранность от преступлений важнее


                1. dimm_ddr
                  26.12.2016 14:12

                  О, но почему вы тогда не ходите голым? Ведь в одежде можно носить оружие, наркотики или что-то еще запрещенное. Ведь сохранность от преступлений важнее чем какой-то стыд.


                1. Gendalph
                  26.12.2016 17:50

                  А я просто процитирую Бенджамина Франклина


                  Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.

                  А вот это


                  Сохранность от преступлений важнее

                  Это вообще откуда взялось? Сколько людей умирают вследствие терактов ежегодно? А вследствие убийств? Болезней, ДТП?
                  Позиция — "необходимо бороться с преступностью, пусть даже ценой личной свободы" — лицемерна и глупа.


                  1. ildarz
                    27.12.2016 11:07

                    Сколько людей умирают вследствие терактов ежегодно? А вследствие убийств?

                    Ну-ка, ну-ка, а сколько людей умирает от того, что их личную переписку дядя в погонах прочитал? На одной стороне — спасенные жизни, на второй — моральный дискомфорт части людей, которых беспокоит, что кто-то может прочитать их переписку (не реально будет, а просто имеет возможность). И чья тут позиция лицемерна?


                    И да, цитировать политических деятелей вне исторического контекста надо с очень большой осторожностью — вот уж кто-то, а эти люди лицемеры просто в силу вида деятельности.


                    Disclaimer: разумеется, меня сейчас тут же запишут в сторонники тотальной слежки, тут это любят, но реальная цель этого комментария — продемонстрировать несостоятельность одного конкретного аргумента.


                    1. Areso
                      28.12.2016 18:38
                      +1

                      Давайте я приведу вам выдуманный пример. Был некий Имярек, работал, достигал. Вот он уже замдиректора одного из московских предприятий, публичная персона. Был некий Иван Иванов, который имел возможность читать его переписку (ну, вдруг там отмывание или финансирование терроризма, мало ли что?). Узнал этот товарищ Иван Иванов какие-то пикантные (пусть и не противозаконные) вещи из переписки, например, что Имярек, скажем, гей. Рассказал об этом кому-то, специально или нет. И вот Имярека, который долго и упорно шел к своей должности, лишают всех должностей, титулов и владений и увольняют вчерашним числом, потому что ВНЕЗАПНО оказалось, что государство у нас против пропаганды гомосексуалов, и физиономию Имярека на камерах и в газетах, в сочетании со ставшим известным фактом об его ориентации, ВНЕЗАПНО, приравняли к этой самой пропаганде.
                      Увы, никто не знает, какие законы и директивы спустят завтра. Вы можете стать отщепенцем общества одномоментно, потому что вы не устанавливаете правила игры. Как говорится в русской пословице, от сумы и от тюрьмы.


                      1. ildarz
                        29.12.2016 10:45

                        Нет никакого смысла приводить выдуманные примеры. Я их сам могу плодить пачками, причем в обе стороны.


                        Как я уже сказал, я отвечал на вполне конкретный аргумент — что спасение жизни реальных людей за счет доставления морального дискомфорта кому-то якобы являтся лицемерием.


                        1. Areso
                          29.12.2016 12:59

                          http://medialeaks.ru/2012yut-amoralshhitsa-shestopalova-uchitelnitsu-iz-krasnoyarska-uvolili-iz-za-zhalobyi-aktivista-na-pirsing-i-foto-v-sotssetyah

                          А я против. Можно и ведь каждого досматривать, включая отверстия в теле и наличия в желудке и прямой кишке посторонних предметов — а что, вдруг террористы или наркоторговцы, а мы тут жизни спасаем. И ведь действительно, спасут. Но какой ценой!


    1. zhovner
      23.12.2016 18:49
      +1

      Хорошо, какому именно государству в данном случае он должен быть подконтролен? Почему именно этому? Что значит вообще «быть подконтрольным»? То есть по любому запросу вся переписка и данные будут доступны любому чиновнику? Вы уверенны, что через месяц всю вашу переписку нельзя будет купить на радиорынке на DVD как сегодня можно купить базы ГИБДД и любые другие базы данных подконтрольные государству?


      1. safinaskar
        23.12.2016 20:32
        -1

        Хорошо, какому именно государству в данном случае он должен быть подконтролен?

        В том, что касается переписки между людьми из страны X, он должен быть подконтролен стране X. Именно так, как это делают популярные мессенджеры типа Skype. Я где-то читал, что в Китае "свой Skype". То есть там он особый, подконтрольный Китаю. Иначе скайп просто не пустят в Китай. Ну вот как-то так, видимо, и надо. То есть в каждой стране нужно быть подконтрольным этой стране.


        То есть по любому запросу вся переписка и данные будут доступны любому чиновнику?

        Не по любому запросу, а по запросу, сделанному в соответствии с законами этой страны. То есть в России, как я понимаю, по решению суда. Впрочем, как я понимаю, представители российской власти не соблюдают свои же законы и требуют переписку без всякого суда. В таких случаях, видимо, нужно действовать так: до последнего пытаться препятствовать незаконным требованиям, но если "прижмут", то всё-таки выполнить их (ну а куда деваться?).


        Вы уверенны, что через месяц всю вашу переписку нельзя будет купить на радиорынке на DVD как сегодня можно купить базы ГИБДД и любые другие базы данных подконтрольные государству?

        Что ж, да, это проблема. Но почему вы предлагаете перейти на анархический мессенджер, но не предлагаете при этом перестать пользоваться государственной (неэлектронной, бумажной) почтой, перестать пользоваться автомобилями с госномерами (они же все в базе ГИБДД!) и так далее и тому подобное?


        Во-первых, поясните, что именно вы предлагаете? Перейти на анархический мессенджер вообще всем или только тем, кому действительно есть что скрывать от государства (ну там, порнуха, подпольные планы по свержению власти и так далее)?


        И предлагаете ли вы отказаться от бумажной почты (которую просматривают) и телефона (который прослушивают) и так далее? Где грань между тем, что должно оставаться под контролем государства и тем, что не должно?


        И скажу, что я не уверен в том, что говорю. Я потому и ввязался в спор, что я хочу сам разобраться


        1. ValdikSS
          23.12.2016 20:52

          Я где-то читал, что в Китае «свой Skype».
          Это уже 3 года не так.
          В таких случаях, видимо, нужно действовать так: до последнего пытаться препятствовать незаконным требованиям, но если «прижмут», то всё-таки выполнить их (ну а куда деваться?).
          А зачем, если технически можно сделать так, чтобы нечего было выдавать по требованию? Это же и безопасней, и проще для обеих сторон.
          Но почему вы предлагаете перейти на анархический мессенджер, но не предлагаете при этом перестать пользоваться государственной (неэлектронной, бумажной) почтой, перестать пользоваться автомобилями с госномерами (они же все в базе ГИБДД!) и так далее и тому подобное?
          Потому что мы в виртуальном пространстве, где что-то свое можно заставить работать буквально по щелчку пальцев, никого не спрашивая и ничего ни с кем не согласуя, в отличие от реальной жизни, где все кому-то уже принадлежит. Тем не менее, в случае с почтой у вас тоже есть выбор. Вы можете воспользоваться сторонней, негосударственной службой доставки, например.
          Перейти на анархический мессенджер вообще всем или только тем, кому действительно есть что скрывать от государства (ну там, порнуха, подпольные планы по свержению власти и так далее)?
          Если мессенджером не могут пользоваться насильники, террористы и люди, обсуждающие свержение власти, безопасно, то это явно плохой мессенджер, которым не следует пользоваться. Технически невозможно сделать систему, которая будет безопасна только для людей какого-то определенного типа, идеалов, моральных устоев, мировоззрения. Вы должны смириться с этим.
          И предлагаете ли вы отказаться от бумажной почты (которую просматривают)
          Вы часто пользуетесь почтой по прямому назначению — отправлять и принимать текст, написанный на бумаге, в конверте? А зачем? Это же неэффективно, долго, дорого. От нее и отказываться не нужно, она просто невостребована; я отправил, может быть, 10 писем почтой за всю свою жизнь.
          телефона (который прослушивают)
          Вы можете использовать интернет через VPN на телефоне, и его не смогут прослушать. Проблема, в таком случае, полностью решена, если у вас есть безопасный мессенджер с поддержкой аудиовызовов.
          Где грань между тем, что должно оставаться под контролем государства и тем, что не должно?
          Все, что технически можно реализовать, будет реализовано, и никого даже не интересует мнение государства на этот счет. Вот, например, к автору ShadowSocks — защищенного прокси-сервера, разрабатываемого китайцем и нацеленного преимущественно на китайскую аудиторию — пришли домой власти Китая и попросили удалить исходный код и прекратить работу над проектом. Вы думаете, на этом все закончилось? Как бы ни так, проект подхватили другие разработчики, он активно развивается. Или, например, сервисы по определению личности по фотографии, типа FindFace. Вы думаете, разработчиков волнует мнение государства или других людей об их сервисе и алгоритмах? Все, что может быть реализовано, будет реализовано, и никто не в силах этому препятствовать.


          1. safinaskar
            23.12.2016 21:05

            Если мессенджером не могут пользоваться насильники, террористы и люди, обсуждающие свержение власти, безопасно, то это явно плохой мессенджер, которым не следует пользоваться. Технически невозможно сделать систему, которая будет безопасна только для людей какого-то определенного типа, идеалов, моральных устоев, мировоззрения. Вы должны смириться с этим.

            Я не об этом. Я спрашиваю, вы предлагаете перейти на анархический месенджер вообще всем или только тем, кому действительно по каким-то причинам хочется что-то скрыть от государства?


            1. ValdikSS
              23.12.2016 21:21
              +1

              Не совсем понимаю, что вы имеете в виду под словом «анархический». В понимании zhovner и моем, мессенджер просто не должен быть централизован в обоих смыслах: у него не должно быть каких-то серверов, при отключении которых все сломается, и у него не должно быть людей, которые владеют перепиской.

              Да, конечно, мессенджером, в идеале, должны пользоваться все, а не только те, кому нужно безопасное общение. Ведь если в мессенджере не будет людей, то там и не с кем, по сути, общаться будет, и популярности он не наберет.


              1. safinaskar
                23.12.2016 21:48
                -2

                Хорошо, а как тогда раскрывать преступления? Изучение переписки государством помогает в раскрытии преступлений. И я сейчас не о порнухе. Я говорю, скажем, об убийстве.


                Вы, конечно, скажите, что если человек задумал убийство, он не станет распространяться об этом через скайп. И даже не будет говорить в скайпе ничего такого, что поможет выяснить, где он был в момент совершения преступления.


                Что ж, да, возможно. Но значительная часть преступлений совершается без подготовки. Один человек разозлился и зарезал другого подвернувшимся кухонным ножом. Убийца не знал заранее, что убьёт. И он запросто мог заранее сказать друзьям в скайпе, к кому он идёт.


                Да и вообще, далеко не все преступники такие умные. Даже если преступление подготовлено заранее, преступник мог "проколоться" и что-то кому-то сказать через скайп.


                Поэтому массовый месенджер должен быть подконтролен государству. Чтобы государство могло раскрывать через него преступления. Хотя бы какую-то их часть. Хотя бы те, которые совершены "глупыми" преступниками. А уж "умные" всегда найдут, как спрятаться.


                Так что пусть массы сидят на подконтрольных мессенджерах. Ну а киберпанки (пускай даже не преступники, а просто "борцы за свободу") пускай сидят на каких-то своих.


                (Ещё раз скажу: я не уверен в том, что пишу. Я просто хочу разобраться.)


                1. zhovner
                  23.12.2016 22:11
                  +8

                  По сути, вы предлагаете создать государству возможность доступа к каталогизированной персонифицированной базе данных разговоров людей друг с другом. Верно?

                  Я предлагаю вам развить эту идею. Ведь сейчас до сих пор большинство разговоров происходит не в электронном виде, а устно! Это сильно мешает раскрывать преступления.
                  Предлагаю исправить этот фатальный просчет.

                  • В каждой жилой квартире необходимо установить по микрофону в каждой комнате.
                  • Также в каждой жилой комнате необходимо установить камеру с разрешением не ниже FullHD


                  При этом все записи будут стекаться в единый государственный архивный центр и будут абсолютно надежно защищены. Доступ к базе данных будет строго регламентирован и никто из сотрудников никогда не злоупотребит этой возможностью. Более того, все сотрудники, которые будут участвовать в монтаже, настройке, обслуживании и управлении этой базой данных, никогда не нарушат закон, не воспользуются базой данных в личных целях, мимо закона и как-либо иначе. Вся система будет стандартизирована, сертифицирована и все сотрудники дадут честное слово не использовать ее во зло.

                  Ведь вы, safinaskar, очевидно законопослушный человек и вам совершенно точно нечего скрывать. Вы даже никогда не смотрели порнографию, которая, кстати, запрещена в России в любом виде, даже в литературе.

                  safinaskar уточните пожалуйста планировку своей квартиры, сколько человек в ней проживает и когда вам будет удобно выполнить монтаж нужного оборудования. Спасибо.


                  1. safinaskar
                    23.12.2016 22:20
                    -5

                    Вы утрируете. Установить везде камеры и микрофоны — это беспрецендентная мера. Это дорого и вызовет протесты. И это перебор. А вот прослушивать существующие мессенджеры (и запрещать те, которые прослушать не удаётся) — это относительно легко для государства.


                    Если убрать утрирование и иронию из вашего сообщения, то единственный аргумент против прослушивания мессенджеров, который вы по сути предлагаете, — это возможность использовать это прослушивание не в тех целях (подкупные администраторы баз данных и так далее).


                    Но в то же время, как я уже указал, у такого прослушивания есть польза — раскрытие преступлений.


                    И почему вы считаете, что лучше отказаться этой пользы, чтобы не было нецелевого использования? Почему вы считаете, что это важнее?


                    1. zhovner
                      24.12.2016 03:07
                      +4

                      Установить везде камеры и микрофоны — это беспрецендентная мера


                      Почему вы согласные предоставить доступ к цифровым разговорам но не согласным к обычным устным? В чем принципиальная разница?

                      Только представьте сколько преступлений можно будет раскрыть! И даже еще не совершенных, а только готовящихся.


                      1. safinaskar
                        24.12.2016 03:22
                        -6

                        Мне сложно объяснить на словах. Я не хочу жить в стране, в которой прослушивают разговоры в комнате. Но прослушка телефонов меня устраивает, я к ней привык


                        1. Gendalph
                          26.12.2016 17:59

                          Смотрите, фокус: тайна связи/переписки обеспечивается законом.
                          А есть ли такое понятие как тайна разговора? Раз её нет, то она не защищается, а значит можно спокойно подслушивать все разговоры. Записывать тоже можно.


                          Давайте тогда действительно реализуем предложение zhovner — законные основания уже есть.


                  1. Ipeacocks
                    27.12.2016 18:23

                    Мне не ясно, как этого люди не понимают.


                1. ValdikSS
                  23.12.2016 22:17
                  +2

                  У вас, вероятно, слишком хорошее мнение об эффективности работы наших спецслужб и проценте раскрытых преступлений. Мой любимый показательный случай: Академовские маньяки, которые публично, от своего имени, в группе во Вконтакте писали, кого они убили, и «вербовали» других, тем не менее, им удалось убить шестерых.

                  Но суть не в этом.
                  В случае с государственным мессенджером, сообщения в котором могут просматриваться, у нас появляются следующие вопросы, которые вы, как обычный гражданин, не можете проверить:

                  • У кого есть доступ к вашей переписке? Как я предполагаю, в вашем понимании мессенджера, доступ к переписке должен быть у спецслужб. Каким образом вы подтвердите или опровергните, что он есть только у спецслужб?
                  • Насколько честны эти люди? Почему вы считаете, что люди, у которых есть доступ к вашей переписке, не будут использовать информацию из нее в целях, отличных от раскрытия преступлений?
                  • Как конкретно будут использоваться ваши данные? Скажем, вы пишете в конференцию: «А вы любите мороженое? Это как трахаться с лошадью, но в то же время быть на пляже», и вас не увозят в дурку, нет, а просто не выпускают из страны, не объясняя причины. Самое плохое в том, что вы даже не узнаете, что к такому решению привело именно это ваше сообщение.
                  • Почему вы считаете, что вы безгрешный с точки зрения закона? Людей буквально, без преувеличений, сажают десятками в тюрьму за репосты, с моей точки зрения, абсолютно безобидные. Именно для этого и нужна анонимность и безопасность.


                  Хорошо, а как тогда раскрывать преступления?
                  Не знаю, я совершенно не разбираюсь в этом вопросе. Вероятно так, как это делалось, в общем-то, всегда, привычными оффлайн-способами.


                  1. safinaskar
                    24.12.2016 01:50

                    У вас, вероятно, слишком хорошее мнение об эффективности работы наших спецслужб и проценте раскрытых преступлений

                    Я говорю, что прочитывание переписки помогает раскрывать уже свершившееся преступление.


                    у нас появляются следующие вопросы, которые вы, как обычный гражданин, не можете проверить

                    И что? Я ещё раз говорю, что возможность раскрывать преступления перевешивает.


                    и вас не увозят в дурку, нет, а просто не выпускают из страны, не объясняя причины

                    Почему вы решили, что такое возможно? Как я понял, сажают пока за публичные репосты. :) Про тюрьму за приватные сообщения (и в конфах) ничего не было. :)


                    А вообще, да, я щас поискал в инете про тюрьмы за репосты и как-то не по себе стало. Может быть, и правда временно перейти на дец. мессенджеры, но потом (как ситуация в стране станет получше) перейти всё же обратно на централизованные?


                    Не знаю, я совершенно не разбираюсь в этом вопросе. Вероятно так, как это делалось, в общем-то, всегда, привычными оффлайн-способами.

                    Ну дык. Возможность прочтения переписки даст дополнительные возможности полиции. Чем больше зацепок, тем лучше


                    1. ValdikSS
                      24.12.2016 04:20

                      И что? Я ещё раз говорю, что возможность раскрывать преступления перевешивает.
                      Проблема в том, что вы можете совершить преступление, сами того не зная. Как в случае с репостами, например. Оказывается, фотография Милонова в футболке «православие или смерть» — экстремизм. Вы отправляете такую картинку в групповой чат, и все, вы — распространитель экстремистского материала, и вам вменяют уголовное преступление. Это совершенно реалистичный вариант развития событий с мессенджером, подконтрольным государству, ведь он же, по сути, для этого и будет создаваться — для прослушки. И, к слову, уже были прецеденты, когда человека судили за то, что он публиковал в открытый доступ материал, который только потом признавали экстремистским, т.е. вы могли не совершать преступление не тот момент, но после, когда материал был признан экстремистским, вашу переписку в государственном мессенджере поднимут, увидят, что вы его кому-то пересылали, и вы уже едете.
                      Государства ловят не террористов. Государства ловят врагов народа.

                      Преступление раскрыто.

                      И вообще, почему вы начали развивать тему мессенджера именно от государства? Им же, во-первых, никто вменяемый не будет пользоваться, каких-нибудь чиновников могут заставить им пользоваться, но обычных граждан — вряд ли, а во-вторых, он должен быть удобнее, предоставлять какие-то сервисы или что-то еще, чтобы выиграть в конкурентной борьбе, чтобы пользователи предпочли государственный какому-то другому мессенджеру добровольно, во что мне поверить сложно.

                      По сути, наш с вами разговор сводится к различному пониманию фразы «мне нечего скрывать», посему порекомендую прочитать вам сначала реальную, не выдуманную историю, а затем вот этот документ, там подробно расписаны опасности, которые таит слежка.


                      1. Vadiman
                        24.12.2016 09:57

                        человека судили за то, что он публиковал в открытый доступ материал, который только потом признавали экстремистским
                        Это странно. Законы же не имеют обратной силы. Формально, по крайней мере. Хотя если только под предлогом «У вас на странице это всё ещё лежит».


                        1. EviGL
                          24.12.2016 15:49

                          Да не, тут всё просто. Ты репостнул картинку, на тебя написали, оттуда эта картинка ушла на экспертизу и была признана экстремистской. Обратная сила тут и не нужна, это не картинка стала экстремистской, она (якобы) всегда была, просто не было экспертизы это подтверждающей.
                          Так что копать по базе активности неугодных людей до 2007 года и искать сомнительные картинки — милое дело.


                      1. safinaskar
                        24.12.2016 14:46

                        Я не про мессенджер от государства. Я про обычные централизованные мессенджеры, которые можно, в случае чего, прослушать. Скайп, ICQ.


                        Первая ссылка (реддит) имеет мало отношения к теме. Во-первых, она не про Россию, а про некую арабскую страну и про Америку. Во-вторых, мысль статьи в том, что иногда в стране всё может пойти очень плохо и тогда нужна революция (я прочитал по диагонали). Про то, что нужно использовать децентрализованные мессенджеры, там не слова.


                        Да, я понял, что вы хотели сказать этой ссылкой. Мол, иногда может быть всё плохо, и тогда нужно перестать доверять государству и начать скрывать от него как можно больше.


                        Но ответьте на вопрос: считаете ли вы, что использование децентрализованных мессенджеров нужно только в некоторых странах в некоторые промежутки времени, такие как Россия сегодня? Или по-вашему никогда не будет такой хорошей страны, чтобы её жители могли доверить ей свою переписку? Ради раскрытия настоящих преступлений (убийство и т. д.).


                        Если второе, то тогда выходит, что такую сферу человеческой жизни, как переписка, нельзя доверять государству. А что тогда по-вашему можно доверять и что нельзя? Может тогда по-вашему вообще никакие сферы человеческой жизни нельзя доверять государству, т. к. государство может любую власть над любой частью нашей жизни использовать не в тех целях? Может, тогда нельзя доверять государству полицию, школы, медицину, суды и так далее? Может, всё отобрать у государства? Что тогда от него останется? Зачем оно тогда вообще нужно? Не предлагаете ли вы отменить государства? Где грань между тем, где государство всё ещё нужно и тем, где уже нет? Где грань между тем, что можно доверить государству и что нельзя? Почему?


                        И мне так никто и не ответил на вопрос, почему всё-таки якобы вред от прослушивания больше, чем польза от прослушивания (раскрытие настоящих преступлений). В идеале нужны какие-нибудь конкретные численные метрики того и другого. И даже если для России этот факт действительно верен, то далеко не факт, что он верен для других стран.


                        По поводу "нечего скрывать". Разумеется, я не собираюсь рассказывать всем всё. Я не собираюсь сейчас выкладывать здесь историю операций по банковской карте и т. д. Мой аргумент в том, что я готов пожертвовать частью своей privacy ради сохранности от преступлений.


                        У второй ссылки я прочитал лишь начало. Объясните в двух словах какой аргумент против моего "нечего скрывать" вы всё же предлагаете.


                        1. EviGL
                          24.12.2016 16:00
                          +1

                          Может, всё отобрать у государства? Что тогда от него останется?

                          Ах, если бы можно было заменить суды, выдачу и обработку медицинской страховки, раскрытие преступлений на децентрализованную компьютерную систему со смесью строгой логики и пользовательского воздействия (там где компьютеры пока пасуют). Тогда решение суда напрямую логически противоречащее законодательству в принципе не могло бы быть принято. Тогда судью нельзя было бы подкупить, т.к. для этого надо было бы подкупить больше 50% судей данного момента, разбросанных по всей стране случайным образом.
                          Ну и да, чиновничий аппарат тогда был бы не обязателен, прямая власть народа через распределённую автоматизированную систему.

                          Извиняюсь, что ворвался со своей утопией.


                        1. eternal_sorrow
                          25.12.2016 16:59

                          я готов пожертвовать частью своей privacy ради сохранности от преступлений
                          Тот, кто готов пожертвовать свободой ради безопасности, недостоин ни того ни другого. — Бенджамин Франклин


                          1. safinaskar
                            25.12.2016 17:04

                            Отлично, блин. Может быть теперь вообще запретить представителям государства при любых обстоятельствах обыскивать квартиры? Ведь это жешь покушение на свободу!


                            1. eternal_sorrow
                              25.12.2016 19:46

                              Обыскивать следует лишь квартиры тех, кто подозревается в преступлении. Причём если подозрение было ошибочным, следует давать достойную компенсацию за доставленные неудобства.


                              1. safinaskar
                                25.12.2016 20:41

                                Ну и вот. Вот и я предлагаю сделать так, чтобы переписку в случае чего тоже можно было прочитать. Если человек подозревается в преступлении. Я не предлагаю действительно читать вообще всё и искать там паттерны, как делают в Америке судя по некоторым документам


                                1. zhovner
                                  26.12.2016 01:22
                                  +1

                                  Как уже было сказано выше — невозможно сделать такой мессенджер безопасным для хороших людей и небезопасным для плохих.

                                  Вы явно заинтересованное лицо. Упоминание американцев слишком выдает.


                                  1. safinaskar
                                    26.12.2016 03:38

                                    Упоминаю Америку, т. к. в этом треде мне кинули эту ссылку: http://tehlug.org/files/solove.pdf, где упоминается, как американские спецслужбы прослушивают кучу инфы и ищут там паттерны


                                1. eternal_sorrow
                                  26.12.2016 09:17

                                  в случае чего тоже можно было прочитать

                                  тут такое дело — нельзя сделать так, чтобы переписку можно было прочитать только "в случае чего". Её либо можно прочитать, либо нет.


                            1. MikailBag
                              25.12.2016 19:48

                              Тоталитарный режим ничем не хуже пресловутых террористов.


                              1. eternal_sorrow
                                26.12.2016 09:14

                                и не лучше


                                1. MikailBag
                                  26.12.2016 17:59

                                  я оговорился


                    1. MikailBag
                      27.12.2016 18:34
                      +1

                      Ну дык. Возможность прочтения переписки даст дополнительные возможности полиции. Чем больше зацепок, тем лучше

                      раз так, то давайте


                      • ходить голыми (чтобы полицейский видел, что у нас нет взрывных устройтсв), как писали выше
                      • не ограничимся госмессенджером, а введем гос. "Интернет"
                      • разрешим физическое насилие (отличная "зацепка" для получения информации)


                1. Saffron
                  24.12.2016 04:41

                  > Хорошо, а как тогда раскрывать преступления?

                  А как раньше это делали, когда мобильных телефонов не было? Глупых преступников запросто находили по следам крови.


                  1. safinaskar
                    24.12.2016 14:48

                    Я уже отвечал:


                    Ну дык. Возможность прочтения переписки даст дополнительные возможности полиции. Чем больше зацепок, тем лучше


                    1. Saffron
                      24.12.2016 17:55

                      За каждую возможность надо платить. Открываешь всеобщую слежку — создаёшь соблазн эпичных злоупотреблений. А дурачка, зарубившего соседа топором, ты в любом случае найдёшь.

                      В классической схеме допустима коррупция — народ имеет способ с ней бороться. В вашей схеме коррупция станет непобедимой.


                  1. EviGL
                    24.12.2016 16:05

                    Справедливости ради, когда не было мобильных телефонов и мессенджеров, согласование преступлений было по обычным телефонам, почте либо при личной встрече.
                    С личными встречами всё понятно, они так и остались, а вот всё те же разговоры/переписка ушли в интернет.
                    Так что нельзя просто аргументировать «а как же раньше это делали». Сейчас уже не раньше, прослушка домашних телефонов уже не даст тебе той же информации о преступном мире, что давала раньше.


                1. Eklykti
                  24.12.2016 16:59

                  Убийца не знал заранее, что убьёт. И он запросто мог заранее сказать друзьям в скайпе, к кому он идёт.

                  Значит, следователю придётся по старинке оторвать жопу от стула и опросить каждого друга лично, не ходил ли подозреваемый вон туда.


                  1. safinaskar
                    24.12.2016 17:17
                    -1

                    Я уже отвечал. Чем больше информации, тем следователю проще


                    1. Gendalph
                      26.12.2016 18:10

                      А что делать когда следователь расследует "мыслепреступление" — нечто, что является преступлением только в этой стране и наказывается совершенно дурацким законом, вместо того чтобы искать наркоторговца? Та же футболка Милонова vs дилеры солей. Это не гипотетическая ситуация, это сейчас происходит в вашей стране.
                      Ему проще ткнуть поиск по картинке и наставить в ведомость палок.


                    1. nehrung
                      28.12.2016 19:18

                      Не соглашусь. Тут есть чисто политический момент — сложившаяся за последние годы (да и за последние века) репутация нашего государства. Получив такие данные, оно гарантированно будет пользоваться ими не только для ловли преступников, и даже в основном не для ловли преступников. Можно трактовать и немного по-другому — оно будет назначать главными преступниками тех, кто против этого государства, а прочих ловить во вторую очередь (в нашей истории такое деление уже бывало — «социально близкие» и «враги народа», и нет никаких гарантий от повторения).
                      ПМСМ, такой порядок лучше работал бы государстве наподобие США, чем в России — там репутация у государства не столь подмочена, и там полиция умеет работать по-настоящему, без политических перекосов.


        1. Ipeacocks
          26.12.2016 13:44

          > Не по любому запросу, а по запросу, сделанному в соответствии с законами этой страны.

          Не нужно покладаться на такие вещи как совесть, право и тд… если у человека есть возможность что-то сделать, что его интересует, то есть прочитать втихую переписку, узнать номер девушки, которая ему нравится и т.п. — он это сделает. Это человеческий фактор. В идеале, необходимы технологии, которые нивилируют это. Напимер, end-to-end шифрование https://en.wikipedia.org/wiki/End-to-end_encryption


  1. Stan_i_slav
    24.12.2016 03:00
    +1

    Недавно столкнулся со «взломом» своего skype. Всем моим контактам и не только были разосланы спам ссылки на китайский поисковик baidu с дальнейшем редиректом на другой сайт. Более того, когда я днём зашёл в skype, то меня из него выкинуло и я уже не мог зайти обратно. Естественно, я сразу же сменил/восстановил пароль и начал выяснять, как такое вообще могло произойти.

    Когда я подключил microsoft аккаунт (ранее у меня он не был подключен), то там стало возможным смотреть последние действия. Как минимум один «странный» заход в skype был с итальянского IP. И защиту skype это никак, видимо, не смутило. Никаких предупреждений на почту не приходило.

    Оказывается, проблема носит массовый характер. И… Смена пароля, как я понял, мало кому помогает. Вот ветка официального комьюнити скайпа, где практически ежедневно появляются новые сообщения с описанием подобных проблем. Только в этой ветке уже более 50 страниц. А есть и другие подобные.

    Официально представители компании сообщают, что проблема на стороне клиента. Советуют вирусы искать и т.д. Но в это мало кто верит. Слишком уж массовым стало данное явление.

    Может кто из читающих это сообщение или ТС сталкивались с подобным «взломом» и знают, как избежать его в дальнейшем? Вариант замены скайпа другими альтернативными мессенджерами пока не рассматривается, так как мои важные контакты пока не планируют от него отказываться…


  1. powerman
    24.12.2016 09:00

    Так что в результате, реальные альтернативы скайпу есть? Хотя бы то, что нужно для митингов по работе:


    • клиенты под все платформы с хоть какой-то синхронизацией
    • поддержка групповых (до 20 человек) аудио/видео звонков
    • относительная стабильность (чтобы глюки не мешали пользоваться) работы самих клиентов
    • приемлемое (на уровне скайпа хотя бы) качество аудио/видео


    1. Vadiman
      24.12.2016 09:59

      Да дофига. Вон в том же Дискорде есть, кроме видео, которое в следующем году внедрят — в бете уже есть, вроде бы.


    1. Bringoff
      25.12.2016 18:21

      Hangouts, к примеру.


    1. Ipeacocks
      26.12.2016 13:45

      Hipchat, хотя он мне не нравится.


  1. Demanoidos
    27.12.2016 13:23

    Если вы юзаете облачный сервис сторонней компании, вы должны осознавать риски, с этим связанные. Это утечка вашей информации не по вашей вине, это косяки службы поддержки, которой вообщем-то наплевать на вас.

    Хотите безопасности — работайте со stand-alone решением типа MyChat или каким-нибудь opensource, аудит которого вы в состоянии провести и заниматься его настройкой.


  1. AndrewTishkin
    27.12.2016 19:08

    Ещё к примерам «прекрасного». Убрали вход через facebook, а потом убрали и привязку к microsoft-аккаунту. И как быть тем, кто не успел совершить привязку?


  1. Zell_ru
    28.12.2016 19:05

    Павел, пытался связаться с вами в январе 2016 по вашим ранним статьям по скайпу, но был цинично проигнорирован по всем доступным мне каналам. Если не сложно прокомментируйте ваше заявление «Skype по-прежнему раскрывает ваш IP-адрес». В новых версиях скайпа ip-адрес пациента шифрован. Его можно расшифровать или нужно использовать какие-либо другие методы?


    1. zhovner
      28.12.2016 19:17

      был цинично проигнорирован

      Наверное ерунду какую-то спросили, как и сейчас. Ответ уже был в комментариях https://habrahabr.ru/post/316912/#comment_9974540

      В новых версиях скайпа ip-адрес пациента шифрован. Его можно расшифровать или нужно использовать какие-либо другие методы?

      Что значит шифрован?


      1. Zell_ru
        28.12.2016 19:28

        «Шифрован» — означает что он уже не отражается в виде привычного ip-адреса, а «шифрован». Уже более года как. Если вы видите по «старым техникам» ip-адрес, это означает лишь то, что клиент а абонента не обновлялся. Старые методы на новых версиях скайпа не работают. Дырка в старом виде закрыта уже год. В коментах неактуальная информация.

        Ну вот по всей видимости скайп и компания так же относятся к вопросам недалеких юзеров. Как вы — так и к вам. Ерундой какой-то напрягаете техподдержку. Успехов

        Также позволю себе привести копию письма направленную вам год назад, которое вы сходу назвали «ерундой». Видимо большого мнения о себе:
        ====
        Добрый день, Павел!

        Прошу прощения за беспокойство, но так и не смог разобраться, как на хабре можно оставлять комменты к публикациям или использовать личную почту.

        Интересует вопрос по IP в скайпе.
        http://habrahabr.ru/post/142876/#_=_
        http://habrahabr.ru/post/142805/

        Я долгое время использовал метод представленный в статье 1 с деобфусцированным скайпом. Однако в последнее время IP адреса стали представлены неким шестнадцеричным кодом. Легкое гугление дало информацию что Apple перешел на IPv6 на своих устройствах. И действительно, в основном именно «айфонщики» ушли с радара. Но последнее время андроиды тоже стали выдавать IP адрес в таком виде. Не могу утверждать, но подозреваю, что это как-то связано с IPv6 либо скайп наконец-то начал шифровать IP.

        Выглядит это примерно вот так -s-s157.55.235.157:40029=a63325b2=45c05ac9
        Как только абонент подключает «традиционный» девайс к сети, айпи отображается в нормальном десятичном виде.

        Попытки перевести шестнадцеричный адрес в десятичный особого успеха не дали — я ни разу не смог получить внятный айпи соответсвующий местоположению абонента. Последнее время таких «мутных» адресов все больше и больше.

        Был бы благодарен за информацию, куда копать, если таковая имеется.
        ======


        1. zhovner
          28.12.2016 23:42

          Дырка в старом виде закрыта уже год


          Вы ошибаетесь. Проверил на десктопной версии для мака. Можем попробовать с вам, назовите свой логин.

          гугление дало информацию что Apple перешел на IPv6 на своих устройствах

          Какой протокол будет использован для связи зависит не от производителя устройства, а от провайдера интернета. Все актуальные операционные системы поддерживают ipv6 и он включен по-умолчанию, но если провайдер выдает клиенту ipv4 адрес то этот же адрес будет использован для выхода в интернет.

          И действительно, в основном именно «айфонщики» ушли с радара. Но последнее время андроиды тоже стали выдавать IP адрес в таком виде.
          Выглядит это примерно вот так -s-s157.55.235.157:40029=a63325b2=45c05ac9


          Мобильные версии Skype больше не работают по P2P а устанавливают только один коннект с сервером. В большинстве случаев, на мобильных действительно нельзя увидеть IP адрес клиента.

          В приведенной вами записи есть только адрес ноды Microsoft и какой-то токен. В нем не зашифровано никакого IP-адреса.


          1. Zell_ru
            29.12.2016 11:03

            В моем примере значения «a63325b2» и «45c05ac9» — это как раз и есть зашифрованный IP-адрес. По крайней мере эти значения стоят ровно на том месте, где ранее отображался десятичный IP-адрес удаленного клиента. Если клиент обновился — IP-адрес пропадает и вместо него отображается вот такое.

            Нахождение клиента в контакт листе не помогает, также как и его отсутствие. Т.е. если клиент «старый» (условно до января 2016 года — я не помню точной версии, когда МС его обновил), то IP виден даже без добавления абонента в контакт-лист. А если клиент новый, то IP отображается в зашифрованном 16-ричном виде как в моем примере даже для контактов из контакт-листа.

            Про IPv6 это было мое предположение (неверное) годичной давности, когда айфоны стали скрывать свои IP. Но потом подтянулись и андроиды и десктопы. Объясняется просто — человек покупает новый смартфон и скачивает обновленный скайп. Десктопы обновляются заметно реже, потому многие десктопные клиенты до сих пор светят IP (но это уже вопросы к пользователю).

            На обновленном десктопе IP также не видны. Вот про MAC спорить не буду — не проверял. На windows при обновлении клиента скайп — совершенно точно клиент скрывает IP.

            Для проверки, клиент Skype version 7.30.64.105, windows 7x86, логин skype Abdel Sellou <sellouabdel@gmail.com>
            Свой «рабочий» логин не свечу — я статью дочитал до конца )))


            1. zhovner
              29.12.2016 16:01

              Давайте обычный скайп аккаунт а не live:blabla.


              1. doga
                29.12.2016 16:40

                если это поможет ускорить развенчивание очередных местных мифов…
                скайп аккаунт: zhovner_connect
                Skype version 7.30
                winXPsp3
                заодно можно будет перебрать и все остальные вин-версии


                1. doga
                  29.12.2016 16:50
                  +1

                  подтверждаю, что все работает точно так, как описал Павел — только что проверили на 2 разных IP 2 разных моих мск-провайдеров


                  1. doga
                    29.12.2016 16:52

                    уточняю: мои ip Павел определил сам, все 4 шт. — т.е., и внутренние в сети провайдера тоже


                    1. Zell_ru
                      29.12.2016 17:48

                      Но уже как минимум признал, что есть «необычные» скайп аккаунты для десктопа, по которым ничего увидеть не может. И это уже половина ответа на мой вопрос.


              1. Zell_ru
                29.12.2016 17:44

                Кроме словоблудия и бездоказательных псевдо-определений ip-адресов пока ничего не увидел. «Обычный» скайп это какой? Зарегистрировался под этой почтой в скайп и запустил десктоп клиент с логином. Что такое лайв-бла-бла-бла мне неведомо. Каков критерий «обычности» скайп-аккаунта?
                Наверное я совсем тупой, если два года пользовался версиями 5.5 и 5.9 и в логах видел ip-адреса, а после января оные перестали отображаться. Т.е. использую те же методы, но каменный цветок не выходит. А тут и «развенчатели местных мифов» подтянулись…
                Опять же о чем речь — о логах и презенс-менеджере или каком-то другом спец-софте? Пустопорожние переливания. Идут ссылки на статьи, которые не актуальны в 2016 году. И все такие секретные и загадочные…


                1. zhovner
                  29.12.2016 18:00

                  бездоказательных псевдо-определений ip-адресов пока ничего не увидел

                  Вы меня обвинили во лжи и заставляете доказывать что я не вру. doga посторонний человек которого я не знаю. С его аккаунтом и клиентом способ работает.

                  Что такое лайв-бла-бла-бла мне неведомо. Каков критерий «обычности» скайп-аккаунта?

                  Скайп-логин это не имя «Abdel Sellou» и не почта «sellouabdel@gmail.com». В вашем случае скайп-логин это live:sellouabdel. Под обычным я имею в виду аккаунт без приставки live и двоеточия вначале. Двоеточие ломает парсер, хотя если вы настаиваете, я согласен провести опыт и с этим аккаунтом. Авторизуйте меня пожалуйста, я отправил запрос.

                  Наверное я совсем тупой

                  Я не хочу вас оскорблять, но манера в которой вы ведете разговор отталкивает. При всей браваде и гоноре вы до сих пор не смогли разобраться что такое скайп-логин и как он выглядит, зато вы рассказываете про ipv6 и шифрования ip адреса.


                  1. Zell_ru
                    29.12.2016 18:10

                    Причем тут IPv6? Я вроде уже дважды пояснил по этому поводу. В январе, когда перестали отображаться ip-адреса, то первыми с радара ушли именно айфоны. Никакой другой зацепки, кроме заявлений о перехода apple на IPv6 я не нашел. И это было мое предположение. Ошибочное! Уже дважды это признал. Привел вам копию письма от января 2016 (!) года. Причем тут IPv6 — вам прикопаться что-ли больше не к чему? Увод темы в сторону.


                    1. zhovner
                      29.12.2016 18:11

                      Так вы меня авторизуете или нет?


              1. Zell_ru
                29.12.2016 17:59

                Бла-бла-бла: mr.nice.004 — надеюсь достаточно «обычный» для вас. И собственно, раз вы всех так интенсивно посылаете в Бушманова, то мы говорим все же об использовании логов деобфусцированной версии? Или это какой-то другой софт? Тут нужны пояснения. А то идет отмашка — типа читайте, валенки — там все написано, а на деле используются какие-то совсем другие механизмы.


                1. zhovner
                  29.12.2016 18:09

                  Отправил запрос и к этому аккаунту. Авторизуйте его.


                  1. Zell_ru
                    29.12.2016 18:15

                    Э, нет. Так дело не пойдет! Ранее IP адреса определялись без вообще какого-либо добавления и испытуемый вообще ничего у себя не видел. А тут мало того, что приходит запрос, так оказывается его еще и нужно принять (!). Поэтому заявление «все старые техники работают» — уже некорректно. Во лжи я вас не обвинял. Скорее призвал быть точным в своих формулировках.
                    Т.е. фаза 1 пройдена — я правильно понял, что без принятия запроса на авторизацию вы IP-адрес не видите?
                    Авторизую.


                    1. zhovner
                      29.12.2016 18:18

                      Если вы прочтете внимательно самый первый мой ответ на ваш комментарий, то увидите, что там сказано об этом. Процитирую еще раз, может с третьего раза вы сможете прочесть все слова в этих предложениях

                      Skype ранее заявлял, что проблема с раскрытием IP решена, но на самом деле они просто включили по-умолчанию опцию «раскрывать мой IP только контактам». Частично это решило проблему, теперь для резолва IP нужно делать это с аккаунта авторизованного у жертвы. При этом достаточно запроса на добавление в контакты от жертвы к резолверу.


                      1. Zell_ru
                        29.12.2016 18:32

                        Единственное, что я неверно прочитал это «от жертвы к резолверу», которую я понял как «от резолвера к жертве» — т.е. достаточно направить запрос, который не будет принят. Моя ошибка. Т.е. нужно все же добавление контакта в лист и принятие запроса на авторизацию. Хорошо, принято.


                        1. zhovner
                          29.12.2016 18:40

                          В результате эксперимента IP-адрес Zell_ru был успешно найден.

                          Логин: mr.nice.004
                          ОС: Windows 7
                          Skype: 7.30.64.105


          1. doga
            29.12.2016 15:25

            JFYI
            старые мобильные версии Skype для андроида до сих пор успешно запускают там http://4pda.ru/forum/index.php?showtopic=192087
            Для скачивания нужно залогинится на 4пда.
            Там же «в шапке» темы есть инструкции по шаманизму и бубнам для такого запуска.


            1. doga
              29.12.2016 15:40

              * залогинитЬся


          1. Zell_ru
            29.12.2016 18:45
            +2

            По итогам жарких дискуссий с Павлом пришли (ну или он мне доказал), что IP адрес в скайпе все же по прежнему раскрывается.

            Правда наложен ряд ограничений. Нужно чтобы «жертва» приняла (!) авторизационный запрос, что уже существенно осложняет задачу. К тому же «старые техники» все же работают не в полной мере. И те запросы, что ранее выдавали IP-адреса удаленных пользователей теперь показывают некий «код» мало соотносящийся с IP. Тем не менее мне был продемонстрирован мой IP-адрес — т.е. сие по прежнему возможно. Однако дословное следование инструкции от Бушманова не помогает.

            Одна из дополнительных сложностей — отсутствие поиска в клиентах 5.5 и 5.9. Хотя это уже не актуально, т.к. раньше ip-check можно было сделать по-тихому, а теперь в любом случае требуется добавление себя в контакт-лист «жертвы».

            Если где-то перешел грань дозволенного в пылу дискуссии — прошу понять и простить.


            1. doga
              29.12.2016 19:25

              > теперь в любом случае требуется добавление себя в контакт-лист «жертвы».

              я ламер и снова не хочу разбираться, но можно «добавить» кого-то в свой контакт-лист и без его одобрения — правкой конфига скайпа в винде: в том файле, где создается\дублируется этот самый список контактов. Подробностей не помню — явно придется как-то шаманить.

              > прошу понять и простить.

              взаимно, гы: т.е., мож кому-то станет интересно поковырять и вышеупомянутый «хак»?

              > дословное следование инструкции от Бушманова не помогает.

              он начинал с 5-версии — мож, поэтому для нее больше подобных фич?
              Т.е., если он собрал $3k на что-то смежное, то, мож, и на что-то другое его можно сподвигнуть сбором соотв. средств?


      1. Zell_ru
        28.12.2016 19:39

        И в дополнение, есть такой косячок, что старые версии скайпа (конкретно — деобфусцированные версии 5.5 и 5.9) с недавнего времени не позволяют находить абонентов поиском. Т.е. при вводе в строку поиска точно существующего ника, поиск выдает сообщение, о том, что абонент не найден. Этот эффект наблюдается примерно в последние месяца три (точнее сказать не могу). Поэтому прочекать ip-адрес без добавления абонента в контакт-лист проблематично, хотя раньше это было возможно.
        При написании следующей статьи вы «ерунду» хотя бы по диагонали прочитайте — возможно натолкнет на какую-либо здравую мысль.


        1. doga
          28.12.2016 22:59

          Zell_ru
          не [любые] «старые», и не «деобфусцированные», а любые 5-версии «потеряли» поиск, потому что «поиск» в скайпе бывает «разный»: в 3 и 4 версии он работает до сих пор, как в 6 и 7.
          Я смотрю, тут руборд не любят — там все эти пертурбации для ПК-вин-версии отслеживают оперативно.


          1. Zell_ru
            29.12.2016 10:47

            Ну я писал про конкретно деобфусцированные версии 5.5 и 5.9 (других не имею), т.к. поиск меня интересует именно в них, а не сферический поиск в вакууме. Так что я тут спорить не буду — действительно не отслеживаю.
            Если у вас есть информация о деобфусцированных версиях с расшифрованными логами, где работает поиск — буду благодарен.


            1. doga
              29.12.2016 15:19

              я не вникал в разницу между «деобфусцированные» и «патченные», но Бушманов сделал то же самое с 3 и 4 версиями, и он же или кто-то другой выкладывал что-то про логи. Поиск работает везде, кроме 5-версий. Есть еще какая-то мелкая разница (для некоторых ников и иногда) между поиском в 3 и 4, кроме возможности поиска статуса «skype_me».
              Для ленивых и несообразительных:
              чтобы запустить любую(!) старую версию(но не 2.х), надо с автологоном запустить сначала «патченную», а затем выйти из нее и запускать уже нужную.
              Совместимость логона у скайпа снизу вверх: для запуска 4 версии можно начать с 4 и 3 патченных версий, а для 5 — с 3 или 4 или 5 версий, но не наоборот. Т.е., после запуска старшей версии с автологоном младшие не запустятся.
              Ссылки на Бушманова я приводил выше, остальное\то же самое есть в «шапке» темы на руборд, или внутри той темы придется шерстить, если не ответят тамошние самаритяне на любой вопрос по ПК-вин-версии.


              1. doga
                29.12.2016 15:36

                Для ленивых и несообразительных, часть 2 — на всякий случай:
                для работы скайпа достаточно его единственного файла Skype.EXE — для версий до 7.13,
                а для более новых — еще 1 или 2 файла с понятными именами:
                SkypeResources.dll
                SkypeSkylib.dll
                Все остальное «не очень нужно»\не нужно вообще — для обсуждаемого запуска кучи разных версий после друг друга.
                Для экономии кол-ва папок\не дублирования на диске доп.файлов, которые не всегда отличаются для разных версий: имя основного файла скайпа может быть произвольным, т.е. в одну папку можно напихать разных версий и запускать их оттуда даже одновременно — если использовать соотв. параметр, который вроде бы тоже перестал у каких-то версий работать. Про последнее не разбирался и не вникал тоже.


                1. Zell_ru
                  29.12.2016 17:36

                  Для немного слепых — где в тексте вопрос и проблема запуска? С чего это вы так возбудились? Вопрос про просмотр информации о клиенте не добавленного в контакт-лист в 5-ой версии. Причем тут «ленивые», «несообразительные» и «запуск с автологином». Просто выдали в эфир все что знали?
                  «Ссылки на Бушманова» я читал. Кроме 5-ой версии нешифрованных логов не видел ни в одной другой версии. Если есть конкретные ссылки, а не словоблудие про «кто-то что-то типа того же сделал» — приведите.


                  1. doga
                    29.12.2016 18:01

                    всегда возбуждаюсь на интересующие меня темы: Павел мой интерес удовлетворил, а Вы — уж как-нить "… сама, сама, сама!.." (с) герой Михалкова в популярном фильме.


                    1. Zell_ru
                      29.12.2016 18:06

                      Так я вроде ему вопрос и задавал. Причем тут ваш интерес и ваше умение запускать старые версии? Задаю вопрос, а ваш интерес удовлетворен и тему можно закрывать. При том что ответа не последовало. Накинул на вентилятор и слился.


                      1. doga
                        29.12.2016 18:17

                        > Причем тут ваш интерес?

                        меня заинтересовала тема Вашей с ним дискуссии — и я не стал ждать Вашего появления: извините, что испортил Вам ощущения пионера-первопроходца