中文版Google Talk是未加密明文传输聊天内容
2012-10-19 14:02
1011 查看
http://initiative.yo2.cn/archives/642153
在 八卦小组 看到一个令人震惊的消息:中文版Google Talk是明文传输聊天内容,我验证了一下,的确是明文,截图如下:
请各位Google Talk用户注意鉴别阉割版,老大哥在注视着你!
记得以前wikipedia说过,Google官方承认Google
Talk的end-to-end的聊天是未加密的并不能保证一个终端到另一个终端都是加密的。
[...] that the connection between the Google Talk client and the Google Talk
server is encrypted. This prevents others from seeing your mail
notifications, Friends list, and other personal settings. The
encryption also prevents others from seeing messages between your
desktop and Google's servers. However, encryption is not end-to-end, so
there is no guarantee that the messages are encrypted when sent to
another user. IMs will not be encrypted in these scenarios:
- Sender/recipient is using Gmail's chat features over HTTP
- Sender/recipient is on a federated network that doesn't support
encryption
- Sender/recipient is behind IMLogic or another similar proxy
具体什么是end-to-end,我猜应该是p2p的libjingle某些情况下是直接未加密传输的吧? 也就是说,如果你用的是英文版的Google Talk,那么Google
Talk从你桌面到Google服务器是加密的,但是从Google服务器出去,到你聊天对象那里加密与否,Google不能保证。
其他未加密的情况有:通过http的Gmail测栏聊天;通过IMLogic等代理登录GTalk;你所在的XMPP federation不支持加密。
下面具体说明一下我所知道的 GoogleTalk 各个版本加密与否情况:
中文版 Google Talk(安装文件URL) 1.0.0.105,使用的未加密明文传输XMPP
繁体中文版 Google Talk (安装文件URL)1.0.0.105,同样是未加密。
英文版 Google Talk(安装文件URL) 1.0.0.104 则是TLS加密,一般来说无法破解和嗅探
Google Talk Labs Edition(安装文件URL)1.0.267.233,看了下,使用的也是明文传输,不是通过XMPP协议,而是普通HTTP
GET和HTTP POST,通讯网址是 http://talkgadget.google.com/talkgadget/msg
Gmail侧栏和iGoogle里嵌入的Google
Talk,以及Google Talk Gadget和网站连接方式和网页制作设定有关。一般来说网页是https://开头的就是加密的。普遍国内 Gmail 用户使用https的习惯还是有的吧?
第三方XMPP客户端(例如pidgin)登录GTalk的,选择TLS就算加密。
长期用英文版还没注意到这个严重的问题,直到有人说抓包发现Google Talk是明文。才发现中文版居然是未加密的。汗死!这一点谷歌算作恶了吧?明明知道国内网络环境不太好的,居然还把加密取消了,也不说明一下。
更新
根据抓包的情况来看,有一个方法估计可以屏蔽中文GTalk,Jabber ID(JID)是由
在 八卦小组 看到一个令人震惊的消息:中文版Google Talk是明文传输聊天内容,我验证了一下,的确是明文,截图如下:
请各位Google Talk用户注意鉴别阉割版,老大哥在注视着你!
记得以前wikipedia说过,Google官方承认Google
Talk的end-to-end的聊天是未加密的并不能保证一个终端到另一个终端都是加密的。
[...] that the connection between the Google Talk client and the Google Talk
server is encrypted. This prevents others from seeing your mail
notifications, Friends list, and other personal settings. The
encryption also prevents others from seeing messages between your
desktop and Google's servers. However, encryption is not end-to-end, so
there is no guarantee that the messages are encrypted when sent to
another user. IMs will not be encrypted in these scenarios:
- Sender/recipient is using Gmail's chat features over HTTP
- Sender/recipient is on a federated network that doesn't support
encryption
- Sender/recipient is behind IMLogic or another similar proxy
具体什么是end-to-end,我猜应该是p2p的libjingle某些情况下是直接未加密传输的吧? 也就是说,如果你用的是英文版的Google Talk,那么Google
Talk从你桌面到Google服务器是加密的,但是从Google服务器出去,到你聊天对象那里加密与否,Google不能保证。
其他未加密的情况有:通过http的Gmail测栏聊天;通过IMLogic等代理登录GTalk;你所在的XMPP federation不支持加密。
下面具体说明一下我所知道的 GoogleTalk 各个版本加密与否情况:
中文版 Google Talk(安装文件URL) 1.0.0.105,使用的未加密明文传输XMPP
繁体中文版 Google Talk (安装文件URL)1.0.0.105,同样是未加密。
英文版 Google Talk(安装文件URL) 1.0.0.104 则是TLS加密,一般来说无法破解和嗅探
Google Talk Labs Edition(安装文件URL)1.0.267.233,看了下,使用的也是明文传输,不是通过XMPP协议,而是普通HTTP
GET和HTTP POST,通讯网址是 http://talkgadget.google.com/talkgadget/msg
Gmail侧栏和iGoogle里嵌入的Google
Talk,以及Google Talk Gadget和网站连接方式和网页制作设定有关。一般来说网页是https://开头的就是加密的。普遍国内 Gmail 用户使用https的习惯还是有的吧?
第三方XMPP客户端(例如pidgin)登录GTalk的,选择TLS就算加密。
长期用英文版还没注意到这个严重的问题,直到有人说抓包发现Google Talk是明文。才发现中文版居然是未加密的。汗死!这一点谷歌算作恶了吧?明明知道国内网络环境不太好的,居然还把加密取消了,也不说明一下。
更新
根据抓包的情况来看,有一个方法估计可以屏蔽中文GTalk,Jabber ID(JID)是由
node@domain/resource这个格式构成的,XMPP客户端可以尝试屏蔽(如果支持的话)以
Talk.v105开头的resource。目前我也没有具体步骤,只是说这个可能实现的原理。
相关文章推荐
- 使用RSA非对称加密登陆界面登陆密码,防止明文传输
- https安全传输和内容加密的短信接口代码
- git中公钥私钥的作用,作用在于对传输内容进行加密。
- SSL 和 只加密传输内容
- [安全] -- PHP API 等传输 明文加密解密方法
- 系统明文密码加密传输
- DotNet 资源大全中文版,内容包括:编译器、压缩、应用框架、应用模板、加密、数据库、反编译、IDE、日志、风格指南等
- .net 密码明文传输 加密传递方法
- Android传输数据时加密详解
- Android中仿QQ聊天内容中提取电话号码,URL
- MSN聊天加密
- php RSA加密传输代码示例
- 密码传输中Rsa加密
- Linux系统下Tomcat6.0配置SSL加密传输
- Linux系统下Tomcat6.0配置SSL加密传输
- HTTP 传输内容的压缩
- Android数据传输中的参数加密代码示例
- 解决打不开 RSA 密钥容器 即:加密web.config中的内容
- 如何读取shell 管道传输过来的内容
- 使用数字证书技术来保证WCF传输中的数据加密