我是 Bitlbee 的新手,使用它和 libpurple 来聚合我的所有消息。它非常酷,但我有一些安全方面的顾虑,我想澄清一下。
当从 IRC 客户端(我在 emacs 上使用 weechat.el)连接到本地 Bitlbee 网关时,由于 Bitlbee 不支持客户端 SSL,我似乎无法保持信息端到端加密?
这意味着信息以明文形式传输:
weechat.el——SSL--> WeeChat(中继)--清楚的--> 比特比 --SSL--> |防火墙| --> Skype/Facebook
我能找到的唯一建议是使用 stunnel 保护来自外部网络的连接。虽然是个好建议,但这在本地没有用,因为 stunnel 最终仍会通过不安全的连接与 bitlbee 通信,所以使用本地 stunnel 肯定是浪费时间?
我理解,拥有不安全的本地主机连接的风险相对较低,但是这是否意味着,具有服务器 root 访问权限的人可以从技术上通过 lo 接口嗅探到客户端上的用户身份和发送的任何消息?
在理想世界中,这些信息永远不会以明文形式出现在任何连接中。
我有几个问题
是否可以提供从客户端到 Bitlbee 的端到端 SSL 加密?
如果没有,除了将客户端和服务器放在同一台服务器上(或使用 stunnel)之外,还建议采取哪些步骤?显然,我可以阻止端口 6667 上的所有传入流量,但还有其他方法吗?
有人可以澄清本地主机连接上数据包嗅探的实际风险吗?
答案1
是否可以提供从客户端到 Bitlbee 的端到端 SSL 加密?
不,Bitlbee 没有服务器 SSL/TLS 支持。
虽然这是个好建议,但这在本地没有用,因为 stunnel 最终仍会通过不安全的连接与 bitlbee 通信,所以拥有本地 stunnel 肯定是浪费时间?
这个想法是 stunnel 会运行与 Bitlbee 在同一主机上,不与您的客户端位于同一主机上。
有人可以澄清本地主机连接上数据包嗅探的实际风险吗?
在 Linux 和大多数其他类 Unix 操作系统上,这仅适用于根即服务器的管理员。如果你不信任 root,你就不能信任服务器。