www.nsoft-s.com

https://nsoft-s.com/mcserverhelp/index.html?networkoptionsencrypttraffic.htm

После обновления до 8 версии (коммерческая версия) указанной строки вообще нет или вы ее куда то перенесли ?
В итоге клиенты подключаются и с шифрование и без.

Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Алексей Пикуров писал(а):Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Как то сухенько, Алексей
А где же подробности? Собираетесь ли вернуть в будущем или упраздняете функцию целиком?
Тогда почему в клиенте (Android) до сих пор осталась возможность включить шифрование?

Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Тогда каким образом запретить подключение пользователей без шифрования? Иначе андроид клиент остается бесполезной "мулькой".

Андроид клиенты подключаются не напрямую к серверу чата на 2004 порт, а к веб-серверу, поэтому, если вы добавили сертификат в настройках веб-сервера — андроид клиенты всегда подключаются с шифрованием.

Если я отключаю проброс 2004 порта то андроид клиент не может подключиться.

Андроид хоть и подключается к веб-серверу, но данные для подключения он спрашивает по 2004 порту. Если он закрыт, приложение считает, что подключиться оно не может.

Именно а 2004 порт хочу шифрую хочу нет. Это неверно в принципе.

Вопрос был таким

Тогда каким образом запретить подключение пользователей без шифрования?

Если оставлять 2004 порт открытым без шифрования любой клиент может подключаться к серверу.
Это неправильно.

Мы сейчас думаем, как отвязать андроид клиент от "2004" порта, но оставим проверку по нему как резервный механизм.

Чтобы "любой клиент" не мог подключиться к вашему серверу - просто установите пароль для подключения к серверу.

Чтобы "любой клиент" не мог подключиться к вашему серверу - просто установите пароль для подключения к серверу.

Суть проблемы "на пальцах"

1. пользователь с ноутбуком уехал куда (например отдыхать) ставит обновление или просто переставляет чат вводит пароль не поставив шифрование и тупо все что он пишет (включая логин и пароль) идет через чью то точку доступа вайфай которая в 40% перехватывает весь трафик (ну кого в кафешке интересует сетевая безопасность клиентов).

"Шаблон настроек клиентов" примениться в лучшем случае при следующем подключении.

2. Андроид клиент (учитывая его нестабильность на сегодня (падает регулярно) ) пользователь с завидной регулярностью вводит логин и пароль заново не ставя галку шифровать в итоге то что он шлет по 2004 порту (предполагаю( потому что нигде не написано) логин и пароль)) в открытом виде через ту же взломанную хот спот точку в кафе.

Отсюда вопрос как избежать? Решение было в 7.7 запрет подключения без шифрования. Отвечая на вопросы вы обещали что в 8 версии все будет отлично с шифрованием а в итоге убрали запрет подключения без шифрования. Если это решение проблемы то извините.....

Эта опция на сервере создавала огромные проблемы. Мы от неё отказались. Использовать шифрование или нет — воля пользователя. Научите их этому.

Вопрос закрыт.

Подход мегастранный.

Современные браузеры собираются/уже метят сайты как небезопасные, если нет поддержки SSL по-умолчанию.

По-моему, правильнее было бы вообще ликвидировать возможность нешифрованного трафика в MyChat. На сервере - хоть самоподписанный сертификат, но изволь использовать. Клиент - только TLS, без вариантов.

Начиная с XP SP3 уже есть поддержка SHA2. Поддержка ещё более старых версии ОС не должна убивать смысл утверждения "MyChat — это программа для >>>безопасного<<< корпоративного общения со своим сервером."

Я не очень понимаю суть ваших претензий. У вас работает шифрование. Вы можете его отключить, если оно вам не надо. На клиенте. Не на сервере. Это логично, потому что инициатор соединения всегда клиент.

Современные браузеры собираются/уже метят сайты как небезопасные, если нет поддержки SSL по-умолчанию.

Какая связь между браузерами с сайтами и MyChat?

По-моему, правильнее было бы вообще ликвидировать возможность нешифрованного трафика в MyChat. На сервере - хоть самоподписанный сертификат, но изволь использовать. Клиент - только TLS, без вариантов.

А по нашему - нет. В бесплатной версии шифрования не будет. Вы смешиваете в кучу https и шифрование в MyChat. win32 приложение не использует сертификаты на сервере.

Начиная с XP SP3 уже есть поддержка SHA2. Поддержка ещё более старых версии ОС не должна убивать смысл утверждения "MyChat — это программа для >>>безопасного<<< корпоративного общения со своим сервером."

Ок, и при чем тут SHA? SHA - это алгоритм расчёта хешей. К чему вы о нём написали и при чём тут то, что в Windows XP есть API для работы с ним?

1. пользователь с ноутбуком уехал куда (например отдыхать) ставит обновление или просто переставляет чат вводит пароль не поставив шифрование и тупо все что он пишет (включая логин и пароль) идет через чью то точку доступа вайфай которая в 40% перехватывает весь трафик (ну кого в кафешке интересует сетевая безопасность клиентов).

Плохой пример. Если ставит обновление - шифрование уже включено. Убрать не сможет, если он дурак - то вы запретили правами менять настройки.

"Шаблон настроек клиентов" примениться в лучшем случае при следующем подключении.

Неверно. Шаблон настроек примениться сразу же после успешного соединения.

2. Андроид клиент (учитывая его нестабильность на сегодня (падает регулярно) ) пользователь с завидной регулярностью вводит логин и пароль заново не ставя галку шифровать в итоге то что он шлет по 2004 порту (предполагаю( потому что нигде не написано) логин и пароль)) в открытом виде через ту же взломанную хот спот точку в кафе.

Снова мимо. Андроид клиент работает через вебсокеты, и подключается к веб серверу, через https.

Неверно. Шаблон настроек примениться сразу же после успешного соединения.

Шаблон может и применяется но не работает до переподключения. При первом подключении и до переподключения клиент отстается БЕЗ ШИФРОВАНИЯ игнорирую настройки и только при следующем подключении шифрование через шаблон начинает работать.
ниже скриншоты выслал почтой.

Может для вас шаблон применяется это когда он загрузился и принят но пока он не заработал клиент работает БЕЗ шифрования. Это не решает проблемы.

Плохой пример. Если ставит обновление - шифрование уже включено. Убрать не сможет, если он дурак - то вы запретили правами менять настройки.

Я написал обновляет или переставляет. Увы открытый чат при аварийном выключении компа крашится иногда необратимо. Аварийное отключение ноутбука в длительной поездке увы бывает и пользователь просто скачает с вашего сайта и установит программу а она не предложит включить шифрование а шаблон применяется только при втором запуске.

Андроид клиент работает через вебсокеты, и подключается к веб серверу, через https.

Спасибо за разьяснение ибо в админке я вижу шифрования нет. Некрасиво как минимум.
Естественно порт с шифрованием, а не 80 умолчальный на сервере.

Внесли изменения в отображение шифрования в админке. Теперь если вы подключаетесь к https будет показано, что шифрование работает.

Шаблон может и применяется но не работает до переподключения. При первом подключении и до переподключения клиент отстается БЕЗ ШИФРОВАНИЯ игнорирую настройки и только при следующем подключении шифрование через шаблон начинает работать.
ниже скриншоты выслал почтой.

Применяется и работает. Сразу же. Но если соединение активно, не будет же клиент его разрывать, из-за того, что приехала настройка, в которой написано, что надо или не надо использовать шифрование. Конкретно эта настройка будет использоваться после реконнекта.

Я написал обновляет или переставляет. Увы открытый чат при аварийном выключении компа крашится иногда необратимо.

Формально это может случиться, согласен. Мы максимально защищаемся от этого, база данных настроена на защиту от сбоев и количество bug reports про сломанную базу данных клиента у нас уменьшилось почти до нуля. Сколько раз у вас случалась такая проблема?

пользователь просто скачает с вашего сайта и установит программу а она не предложит включить шифрование а шаблон применяется только при втором запуске.

Мы не включаем шифрование по умолчанию не потому что мы такие вредные. А потому что OpenSSL на некоторых системах глючит. И лучше пусть работает хоть как-нибудь, чем не работает вообще. Надо шифрование — включите его.

Когда перейдём на другую версию OpenSSL, возможно, эта проблема исчезнет. Но пока будет только так.

не будет же клиент его разрывать, из-за того, что приехала настройка, в которой написано, что надо или не надо использовать шифрование.

А зачем тогда шаблон если он не применяется сразу пусть переподключается. Или сделайте отдельный пункт (подпункт) в админке "переподключение клиента" с соответствующим функционалом если вам это проще чем вернуть галку запрет подключения без шифрования. Вам виднее как вам проще нам нужен результат подключений БЕЗ шифрования быть не должно от слова СОВСЕМ.

Мы этого не будем делать, из-за проблем с OpenSSL, я вам уже пояснил, почему.

Идеальное решение для вас — MyChat Distrib Maker.

Настроили, включили шифрование, навернули адрес сервера и вообще, всё, что вам нужно, максимально кастомный вариант.

Что насчёт моего вопроса про сбои базы данных клиента?

Идеальное решение для вас — MyChat Distrib Maker.

пользователь на linux чем мне поможет Distrib Maker - ничем.

Конфиг файл по почте разумному пользователю заменяет ваше предложение на 99%.
А неразумный скачает с вашего сайта дистриб установит его и будет не выключая ноутбук писать всем пока в консоли его не заметишь и не "кикнешь" или до конца командировки.
Это не позволяет шире использовать ваш продукт в текущей версии. Для нас это критично.

>Какая связь между браузерами с сайтами и MyChat?
Это к тому, насколько серьезно относятся к безопасности данных. Если конкретно про мессенджеры - на сегодня все они, и платные и бесплатные, шифруют данные в канале.

>win32 приложение не использует сертификаты на сервере.
Это новость, если честно. Создайте, пожалуйста, страничку на сайте, посвященную защите данных. Как какой тип данных и трафика шифруется, какие стандарты используются. Локальная база, переписка, аудио/видео, веб, фтп. При наличии сертификата и без. На сегодня получается, что MC - кот в мешке.

>Ок, и при чем тут SHA
Про SHA2 написал потому, что подписи в современных сертификатах успользут его (вместо/вместе с SHA1). Windows до XP3 сама по себе о SHA2 не знала.