https://nsoft-s.com/mcserverhelp/index.html?networkoptionsencrypttraffic.htm

После обновления до 8 версии (коммерческая версия) указанной строки вообще нет или вы ее куда то перенесли ?
В итоге клиенты подключаются и с шифрование и без.

[Алексей Пикуров]

Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Team lead
Чат со мной

Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Как то сухенько, Алексей
А где же подробности? Собираетесь ли вернуть в будущем или упраздняете функцию целиком?
Тогда почему в клиенте (Android) до сих пор осталась возможность включить шифрование?

Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Тогда каким образом запретить подключение пользователей без шифрования? Иначе андроид клиент остается бесполезной "мулькой".

[Андрей Раков]

Андроид клиенты подключаются не напрямую к серверу чата на 2004 порт, а к веб-серверу, поэтому, если вы добавили сертификат в настройках веб-сервера — андроид клиенты всегда подключаются с шифрованием.

Live Chat со мной

Если я отключаю проброс 2004 порта то андроид клиент не может подключиться.

[Георгий Лысенко]

Андроид хоть и подключается к веб-серверу, но данные для подключения он спрашивает по 2004 порту. Если он закрыт, приложение считает, что подключиться оно не может.

Именно а 2004 порт хочу шифрую хочу нет. Это неверно в принципе.

Вопрос был таким

Тогда каким образом запретить подключение пользователей без шифрования?

Если оставлять 2004 порт открытым без шифрования любой клиент может подключаться к серверу.
Это неправильно.

[Андрей Раков]

Мы сейчас думаем, как отвязать андроид клиент от "2004" порта, но оставим проверку по нему как резервный механизм.

Live Chat со мной

[Андрей Раков]

Чтобы "любой клиент" не мог подключиться к вашему серверу - просто установите пароль для подключения к серверу.

Live Chat со мной

Чтобы "любой клиент" не мог подключиться к вашему серверу - просто установите пароль для подключения к серверу.

Суть проблемы "на пальцах"

1. пользователь с ноутбуком уехал куда (например отдыхать) ставит обновление или просто переставляет чат вводит пароль не поставив шифрование и тупо все что он пишет (включая логин и пароль) идет через чью то точку доступа вайфай которая в 40% перехватывает весь трафик (ну кого в кафешке интересует сетевая безопасность клиентов).

"Шаблон настроек клиентов" примениться в лучшем случае при следующем подключении.

2. Андроид клиент (учитывая его нестабильность на сегодня (падает регулярно) ) пользователь с завидной регулярностью вводит логин и пароль заново не ставя галку шифровать в итоге то что он шлет по 2004 порту (предполагаю( потому что нигде не написано) логин и пароль)) в открытом виде через ту же взломанную хот спот точку в кафе.

Отсюда вопрос как избежать? Решение было в 7.7 запрет подключения без шифрования. Отвечая на вопросы вы обещали что в 8 версии все будет отлично с шифрованием а в итоге убрали запрет подключения без шифрования. Если это решение проблемы то извините.....

[Алексей Пикуров]

Эта опция на сервере создавала огромные проблемы. Мы от неё отказались. Использовать шифрование или нет — воля пользователя. Научите их этому.

Вопрос закрыт.

Team lead
Чат со мной

Подход мегастранный.

Современные браузеры собираются/уже метят сайты как небезопасные, если нет поддержки SSL по-умолчанию.

По-моему, правильнее было бы вообще ликвидировать возможность нешифрованного трафика в MyChat. На сервере - хоть самоподписанный сертификат, но изволь использовать. Клиент - только TLS, без вариантов.

Начиная с XP SP3 уже есть поддержка SHA2. Поддержка ещё более старых версии ОС не должна убивать смысл утверждения "MyChat — это программа для >>>безопасного<<< корпоративного общения со своим сервером."

[Алексей Пикуров]

Я не очень понимаю суть ваших претензий. У вас работает шифрование. Вы можете его отключить, если оно вам не надо. На клиенте. Не на сервере. Это логично, потому что инициатор соединения всегда клиент.

Современные браузеры собираются/уже метят сайты как небезопасные, если нет поддержки SSL по-умолчанию.

Какая связь между браузерами с сайтами и MyChat?

По-моему, правильнее было бы вообще ликвидировать возможность нешифрованного трафика в MyChat. На сервере - хоть самоподписанный сертификат, но изволь использовать. Клиент - только TLS, без вариантов.

А по нашему - нет. В бесплатной версии шифрования не будет. Вы смешиваете в кучу https и шифрование в MyChat. win32 приложение не использует сертификаты на сервере.

Начиная с XP SP3 уже есть поддержка SHA2. Поддержка ещё более старых версии ОС не должна убивать смысл утверждения "MyChat — это программа для >>>безопасного<<< корпоративного общения со своим сервером."

Ок, и при чем тут SHA? SHA - это алгоритм расчёта хешей. К чему вы о нём написали и при чём тут то, что в Windows XP есть API для работы с ним?

Team lead
Чат со мной

[Алексей Пикуров]

1. пользователь с ноутбуком уехал куда (например отдыхать) ставит обновление или просто переставляет чат вводит пароль не поставив шифрование и тупо все что он пишет (включая логин и пароль) идет через чью то точку доступа вайфай которая в 40% перехватывает весь трафик (ну кого в кафешке интересует сетевая безопасность клиентов).

Плохой пример. Если ставит обновление - шифрование уже включено. Убрать не сможет, если он дурак - то вы запретили правами менять настройки.

"Шаблон настроек клиентов" примениться в лучшем случае при следующем подключении.

Неверно. Шаблон настроек примениться сразу же после успешного соединения.

2. Андроид клиент (учитывая его нестабильность на сегодня (падает регулярно) ) пользователь с завидной регулярностью вводит логин и пароль заново не ставя галку шифровать в итоге то что он шлет по 2004 порту (предполагаю( потому что нигде не написано) логин и пароль)) в открытом виде через ту же взломанную хот спот точку в кафе.

Снова мимо. Андроид клиент работает через вебсокеты, и подключается к веб серверу, через https.

Team lead
Чат со мной

Неверно. Шаблон настроек примениться сразу же после успешного соединения.

Шаблон может и применяется но не работает до переподключения. При первом подключении и до переподключения клиент отстается БЕЗ ШИФРОВАНИЯ игнорирую настройки и только при следующем подключении шифрование через шаблон начинает работать.
ниже скриншоты выслал почтой.

Может для вас шаблон применяется это когда он загрузился и принят но пока он не заработал клиент работает БЕЗ шифрования. Это не решает проблемы.

Плохой пример. Если ставит обновление - шифрование уже включено. Убрать не сможет, если он дурак - то вы запретили правами менять настройки.

Я написал обновляет или переставляет. Увы открытый чат при аварийном выключении компа крашится иногда необратимо. Аварийное отключение ноутбука в длительной поездке увы бывает и пользователь просто скачает с вашего сайта и установит программу а она не предложит включить шифрование а шаблон применяется только при втором запуске.

Андроид клиент работает через вебсокеты, и подключается к веб серверу, через https.

Спасибо за разьяснение ибо в админке я вижу шифрования нет. Некрасиво как минимум.
Естественно порт с шифрованием, а не 80 умолчальный на сервере.

У вас нет необходимых прав для просмотра вложений в этом сообщении.

[Георгий Лысенко]

Внесли изменения в отображение шифрования в админке. Теперь если вы подключаетесь к https будет показано, что шифрование работает.

[Алексей Пикуров]

Шаблон может и применяется но не работает до переподключения. При первом подключении и до переподключения клиент отстается БЕЗ ШИФРОВАНИЯ игнорирую настройки и только при следующем подключении шифрование через шаблон начинает работать.
ниже скриншоты выслал почтой.

Применяется и работает. Сразу же. Но если соединение активно, не будет же клиент его разрывать, из-за того, что приехала настройка, в которой написано, что надо или не надо использовать шифрование. Конкретно эта настройка будет использоваться после реконнекта.

Я написал обновляет или переставляет. Увы открытый чат при аварийном выключении компа крашится иногда необратимо.

Формально это может случиться, согласен. Мы максимально защищаемся от этого, база данных настроена на защиту от сбоев и количество bug reports про сломанную базу данных клиента у нас уменьшилось почти до нуля. Сколько раз у вас случалась такая проблема?

пользователь просто скачает с вашего сайта и установит программу а она не предложит включить шифрование а шаблон применяется только при втором запуске.

Мы не включаем шифрование по умолчанию не потому что мы такие вредные. А потому что OpenSSL на некоторых системах глючит. И лучше пусть работает хоть как-нибудь, чем не работает вообще. Надо шифрование — включите его.

Когда перейдём на другую версию OpenSSL, возможно, эта проблема исчезнет. Но пока будет только так.

Team lead
Чат со мной

не будет же клиент его разрывать, из-за того, что приехала настройка, в которой написано, что надо или не надо использовать шифрование.

А зачем тогда шаблон если он не применяется сразу пусть переподключается. Или сделайте отдельный пункт (подпункт) в админке "переподключение клиента" с соответствующим функционалом если вам это проще чем вернуть галку запрет подключения без шифрования. Вам виднее как вам проще нам нужен результат подключений БЕЗ шифрования быть не должно от слова СОВСЕМ.

[Алексей Пикуров]

Мы этого не будем делать, из-за проблем с OpenSSL, я вам уже пояснил, почему.

Идеальное решение для вас — MyChat Distrib Maker.

Настроили, включили шифрование, навернули адрес сервера и вообще, всё, что вам нужно, максимально кастомный вариант.

Team lead
Чат со мной

[Алексей Пикуров]

Что насчёт моего вопроса про сбои базы данных клиента?

Team lead
Чат со мной

Идеальное решение для вас — MyChat Distrib Maker.

пользователь на linux чем мне поможет Distrib Maker - ничем.

Конфиг файл по почте разумному пользователю заменяет ваше предложение на 99%.
А неразумный скачает с вашего сайта дистриб установит его и будет не выключая ноутбук писать всем пока в консоли его не заметишь и не "кикнешь" или до конца командировки.
Это не позволяет шире использовать ваш продукт в текущей версии. Для нас это критично.

>Какая связь между браузерами с сайтами и MyChat?
Это к тому, насколько серьезно относятся к безопасности данных. Если конкретно про мессенджеры - на сегодня все они, и платные и бесплатные, шифруют данные в канале.

>win32 приложение не использует сертификаты на сервере.
Это новость, если честно. Создайте, пожалуйста, страничку на сайте, посвященную защите данных. Как какой тип данных и трафика шифруется, какие стандарты используются. Локальная база, переписка, аудио/видео, веб, фтп. При наличии сертификата и без. На сегодня получается, что MC - кот в мешке.

>Ок, и при чем тут SHA
Про SHA2 написал потому, что подписи в современных сертификатах успользут его (вместо/вместе с SHA1). Windows до XP3 сама по себе о SHA2 не знала.

Помню, что включил при первоначальной настройке "запретить без шифрования" и думать про это забыл. А сегодня был неприятно удивлён обнаружив в списке онлайн пользователей экземпляры без шифрования. И только тогда обнаружил и полное отсутствие опции "запретить без шифрования" и следом нашел эту ветку форума поддержки.

Я полностью согласен с топикастером, что это странный поход авторов продукта к решению проблем с бибилиотеками шифрования - взять и разрешить подключаться без шифрования, спрятав от админа возможность запрета.

Что касается заявленного исправления отображения статуса шифрования в админке для андроид клиентов, то оно не соответствует действительности. Для всех андроид-клиентов всё так же в графе шифрование отображается "нет", даже если подключение по HTTPS.
Из 5 онлайн андроид-клиентов на скриншоте двое гарантировано по HTTPS (оба смартфона в моих руках), но тем не менее - "нет".

У вас нет необходимых прав для просмотра вложений в этом сообщении.

[Алексей Пикуров]

Добрый день.

Шифрование для Android/iOS работает и так, если включен https. Тут вы правы, надо в списке это показывать.

Насчёт принудительного запрета подключения без шифрования — я уже когда-то пояснял, почему мы убрали эту опцию. Шифрование есть, включите его на клиенте и работайте.

Я полностью согласен с топикастером, что это странный поход авторов продукта к решению проблем с бибилиотеками шифрования - взять и разрешить подключаться без шифрования, спрятав от админа возможность запрета.

Поясню ещё раз, раз уж вы всё равно настаиваете. Иногда, на некоторых сетапах, библиотеки шифрования глючат и не работают должным образом. Решить эту проблему мы не можем, потому что она редкая и непонятно как воспроизводить.

Соответственно, чтобы всё работало — включать шифрование или нет, указывается на клиенте. А не на сервере, глобально. Это даёт гибкость. И это касается исключительно win32-клиентов.

Всё остальное работает через https, если он у вас настроен.

Team lead
Чат со мной