Здесь вы можете задать любые вопросы по MyChat, по работе программы, её настройке, лицензированию и т.д.
Аватара пользователя
AlexaS
https://nsoft-s.com/mcserverhelp/index.html?networkoptionsencrypttraffic.htm


После обновления до 8 версии (коммерческая версия) указанной строки вообще нет или вы ее куда то перенесли ?
В итоге клиенты подключаются и с шифрование и без.
Аватара пользователя
Алексей Пикуров
Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.
Аватара пользователя
CyberDynamic
Алексей Пикуров писал(а):Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Как то сухенько, Алексей :)
А где же подробности? Собираетесь ли вернуть в будущем или упраздняете функцию целиком?
Тогда почему в клиенте (Android) до сих пор осталась возможность включить шифрование?
Аватара пользователя
AlexaS
Мы убрали эту настройку с сервера, это не ошибка. Переношу тему в раздел вопросов.

Тогда каким образом запретить подключение пользователей без шифрования? Иначе андроид клиент остается бесполезной "мулькой".
Аватара пользователя
Андрей Раков
Андроид клиенты подключаются не напрямую к серверу чата на 2004 порт, а к веб-серверу, поэтому, если вы добавили сертификат в настройках веб-сервера — андроид клиенты всегда подключаются с шифрованием.
Аватара пользователя
AlexaS
Если я отключаю проброс 2004 порта то андроид клиент не может подключиться.
Аватара пользователя
Георгий Лысенко
Андроид хоть и подключается к веб-серверу, но данные для подключения он спрашивает по 2004 порту. Если он закрыт, приложение считает, что подключиться оно не может.
Аватара пользователя
AlexaS
Именно а 2004 порт хочу шифрую хочу нет. Это неверно в принципе.
Аватара пользователя
AlexaS
Вопрос был таким
Тогда каким образом запретить подключение пользователей без шифрования?


Если оставлять 2004 порт открытым без шифрования любой клиент может подключаться к серверу.
Это неправильно.
Аватара пользователя
Андрей Раков
Мы сейчас думаем, как отвязать андроид клиент от "2004" порта, но оставим проверку по нему как резервный механизм.
Аватара пользователя
Андрей Раков
Чтобы "любой клиент" не мог подключиться к вашему серверу - просто установите пароль для подключения к серверу.
Аватара пользователя
AlexaS
Чтобы "любой клиент" не мог подключиться к вашему серверу - просто установите пароль для подключения к серверу.

Суть проблемы "на пальцах"

1. пользователь с ноутбуком уехал куда (например отдыхать) ставит обновление или просто переставляет чат вводит пароль не поставив шифрование и тупо все что он пишет (включая логин и пароль) идет через чью то точку доступа вайфай которая в 40% перехватывает весь трафик (ну кого в кафешке интересует сетевая безопасность клиентов).

"Шаблон настроек клиентов" примениться в лучшем случае при следующем подключении.

2. Андроид клиент (учитывая его нестабильность на сегодня (падает регулярно) ) пользователь с завидной регулярностью вводит логин и пароль заново не ставя галку шифровать в итоге то что он шлет по 2004 порту (предполагаю( потому что нигде не написано) логин и пароль)) в открытом виде через ту же взломанную хот спот точку в кафе.

Отсюда вопрос как избежать? Решение было в 7.7 запрет подключения без шифрования. Отвечая на вопросы вы обещали что в 8 версии все будет отлично с шифрованием а в итоге убрали запрет подключения без шифрования. Если это решение проблемы то извините.....
Аватара пользователя
Алексей Пикуров
Эта опция на сервере создавала огромные проблемы. Мы от неё отказались. Использовать шифрование или нет — воля пользователя. Научите их этому.

Вопрос закрыт.
Аватара пользователя
GPP
Подход мегастранный.

Современные браузеры собираются/уже метят сайты как небезопасные, если нет поддержки SSL по-умолчанию.

По-моему, правильнее было бы вообще ликвидировать возможность нешифрованного трафика в MyChat. На сервере - хоть самоподписанный сертификат, но изволь использовать. Клиент - только TLS, без вариантов.

Начиная с XP SP3 уже есть поддержка SHA2. Поддержка ещё более старых версии ОС не должна убивать смысл утверждения "MyChat — это программа для >>>безопасного<<< корпоративного общения со своим сервером."
Аватара пользователя
Алексей Пикуров
Я не очень понимаю суть ваших претензий. У вас работает шифрование. Вы можете его отключить, если оно вам не надо. На клиенте. Не на сервере. Это логично, потому что инициатор соединения всегда клиент.

Современные браузеры собираются/уже метят сайты как небезопасные, если нет поддержки SSL по-умолчанию.

Какая связь между браузерами с сайтами и MyChat?

По-моему, правильнее было бы вообще ликвидировать возможность нешифрованного трафика в MyChat. На сервере - хоть самоподписанный сертификат, но изволь использовать. Клиент - только TLS, без вариантов.

А по нашему - нет. В бесплатной версии шифрования не будет. Вы смешиваете в кучу https и шифрование в MyChat. win32 приложение не использует сертификаты на сервере.

Начиная с XP SP3 уже есть поддержка SHA2. Поддержка ещё более старых версии ОС не должна убивать смысл утверждения "MyChat — это программа для >>>безопасного<<< корпоративного общения со своим сервером."

Ок, и при чем тут SHA? SHA - это алгоритм расчёта хешей. К чему вы о нём написали и при чём тут то, что в Windows XP есть API для работы с ним?
Аватара пользователя
Алексей Пикуров
1. пользователь с ноутбуком уехал куда (например отдыхать) ставит обновление или просто переставляет чат вводит пароль не поставив шифрование и тупо все что он пишет (включая логин и пароль) идет через чью то точку доступа вайфай которая в 40% перехватывает весь трафик (ну кого в кафешке интересует сетевая безопасность клиентов).

Плохой пример. Если ставит обновление - шифрование уже включено. Убрать не сможет, если он дурак - то вы запретили правами менять настройки.

"Шаблон настроек клиентов" примениться в лучшем случае при следующем подключении.

Неверно. Шаблон настроек примениться сразу же после успешного соединения.

2. Андроид клиент (учитывая его нестабильность на сегодня (падает регулярно) ) пользователь с завидной регулярностью вводит логин и пароль заново не ставя галку шифровать в итоге то что он шлет по 2004 порту (предполагаю( потому что нигде не написано) логин и пароль)) в открытом виде через ту же взломанную хот спот точку в кафе.

Снова мимо. Андроид клиент работает через вебсокеты, и подключается к веб серверу, через https.
Аватара пользователя
AlexaS
Неверно. Шаблон настроек примениться сразу же после успешного соединения.


Шаблон может и применяется но не работает до переподключения. При первом подключении и до переподключения клиент отстается БЕЗ ШИФРОВАНИЯ игнорирую настройки и только при следующем подключении шифрование через шаблон начинает работать.
ниже скриншоты выслал почтой.

Может для вас шаблон применяется это когда он загрузился и принят но пока он не заработал клиент работает БЕЗ шифрования. Это не решает проблемы.
Аватара пользователя
AlexaS
Плохой пример. Если ставит обновление - шифрование уже включено. Убрать не сможет, если он дурак - то вы запретили правами менять настройки.


Я написал обновляет или переставляет. Увы открытый чат при аварийном выключении компа крашится иногда необратимо. Аварийное отключение ноутбука в длительной поездке увы бывает и пользователь просто скачает с вашего сайта и установит программу а она не предложит включить шифрование а шаблон применяется только при втором запуске.
Аватара пользователя
AlexaS
Андроид клиент работает через вебсокеты, и подключается к веб серверу, через https.

Спасибо за разьяснение ибо в админке я вижу шифрования нет. Некрасиво как минимум.
Естественно порт с шифрованием, а не 80 умолчальный на сервере.
Вложения
андроид в админке.jpg
андроид в админке.jpg (14.05 КБ) Просмотров: 1518
Аватара пользователя
Георгий Лысенко
Внесли изменения в отображение шифрования в админке. Теперь если вы подключаетесь к https будет показано, что шифрование работает.
Аватара пользователя
Алексей Пикуров
Шаблон может и применяется но не работает до переподключения. При первом подключении и до переподключения клиент отстается БЕЗ ШИФРОВАНИЯ игнорирую настройки и только при следующем подключении шифрование через шаблон начинает работать.
ниже скриншоты выслал почтой.

Применяется и работает. Сразу же. Но если соединение активно, не будет же клиент его разрывать, из-за того, что приехала настройка, в которой написано, что надо или не надо использовать шифрование. Конкретно эта настройка будет использоваться после реконнекта.
Я написал обновляет или переставляет. Увы открытый чат при аварийном выключении компа крашится иногда необратимо.

Формально это может случиться, согласен. Мы максимально защищаемся от этого, база данных настроена на защиту от сбоев и количество bug reports про сломанную базу данных клиента у нас уменьшилось почти до нуля. Сколько раз у вас случалась такая проблема?
пользователь просто скачает с вашего сайта и установит программу а она не предложит включить шифрование а шаблон применяется только при втором запуске.

Мы не включаем шифрование по умолчанию не потому что мы такие вредные. А потому что OpenSSL на некоторых системах глючит. И лучше пусть работает хоть как-нибудь, чем не работает вообще. Надо шифрование — включите его.

Когда перейдём на другую версию OpenSSL, возможно, эта проблема исчезнет. Но пока будет только так.
Аватара пользователя
AlexaS
не будет же клиент его разрывать, из-за того, что приехала настройка, в которой написано, что надо или не надо использовать шифрование.


А зачем тогда шаблон если он не применяется сразу пусть переподключается. Или сделайте отдельный пункт (подпункт) в админке "переподключение клиента" с соответствующим функционалом если вам это проще чем вернуть галку запрет подключения без шифрования. Вам виднее как вам проще нам нужен результат подключений БЕЗ шифрования быть не должно от слова СОВСЕМ.
Аватара пользователя
Алексей Пикуров
Мы этого не будем делать, из-за проблем с OpenSSL, я вам уже пояснил, почему.

Идеальное решение для вас — MyChat Distrib Maker.

Настроили, включили шифрование, навернули адрес сервера и вообще, всё, что вам нужно, максимально кастомный вариант.
Аватара пользователя
Алексей Пикуров
Что насчёт моего вопроса про сбои базы данных клиента?
Аватара пользователя
AlexaS
Идеальное решение для вас — MyChat Distrib Maker.

пользователь на linux чем мне поможет Distrib Maker - ничем.

Конфиг файл по почте разумному пользователю заменяет ваше предложение на 99%.
А неразумный скачает с вашего сайта дистриб установит его и будет не выключая ноутбук писать всем пока в консоли его не заметишь и не "кикнешь" или до конца командировки.
Это не позволяет шире использовать ваш продукт в текущей версии. Для нас это критично.
Аватара пользователя
GPP
>Какая связь между браузерами с сайтами и MyChat?
Это к тому, насколько серьезно относятся к безопасности данных. Если конкретно про мессенджеры - на сегодня все они, и платные и бесплатные, шифруют данные в канале.

>win32 приложение не использует сертификаты на сервере.
Это новость, если честно. Создайте, пожалуйста, страничку на сайте, посвященную защите данных. Как какой тип данных и трафика шифруется, какие стандарты используются. Локальная база, переписка, аудио/видео, веб, фтп. При наличии сертификата и без. На сегодня получается, что MC - кот в мешке.

>Ок, и при чем тут SHA
Про SHA2 написал потому, что подписи в современных сертификатах успользут его (вместо/вместе с SHA1). Windows до XP3 сама по себе о SHA2 не знала.