Skype просматривает содержимое ссылок отправленных в чате

    image

    Вернее обходит все HTTPS ссылки отправленные в чате HEAD-запросом.

    Шаги для воспроизведения:

    1. Отправляем в чате ссылку с https которая ранее через Skype не отправлялась

    2. Через 10-40 минут наблюдаем HEAD запрос в access логе из сети 65.52.0.0/14 принадлежащей Microsoft. Запрос приходит без User-Agent.

    Выдержка из пользовательского соглашения гласит:

    «Skype may use automated scanning within Instant Messages and SMS to (a) identify suspected spam and/or (b) identify URLs that have been previously flagged as spam, fraud, or phishing links.»


    На основании этого, я думаю, нельзя утверждать, что скайп более не использует шифрование точка-точка между клиентами. Вполне возможно, что новые версии клиента сами отправляют ссылки.



    Более подробные материалы по теме:

    lists.randombit.net/pipermail/cryptography/2013-May/004224.html
    www.h-online.com/security/news/item/Skype-with-care-Microsoft-is-reading-everything-you-write-1862870.html
    www.h-online.com/security/features/Skype-s-ominous-link-checking-facts-and-speculation-1865629.html
    news.ycombinator.com/item?id=5728294
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 71

      +52
      Картинка шикарна.
      А по теме — как HEAD-запрос может выявить спам?
        +3
        Например отслеживать редиректы через заголовки.
          +1
          Может еще SSL-сертификаты собирают, потому что по обычному http не ходят.
            –14
            Собирают сертификаты чтобы потом фишинг-сайты пилить или трафик слушать?
              +10
              Это публичные сертификаты, с ними не получится слушать чужой трафик.
              0
              по обычному HTTP тоже ходят, на себе проверил
              65.52.100.214 — - [15/May/2013:02:51:37 +0400] «HEAD /somethingsomething/sdfsdf HTTP/1.1» 500 0 "-" "-"
              запрос пришел почти через три часа после отправки в скайп
            +15
            Картинка больше соответствует заголовку «skype sources leaked»,
            но да, зачётно, кто будет искать исходный img тот потом не заснет :)
              +30
              О нет… Снова эта картинка… А я так надеялся забыть этот ужас…
              +12
              ах он сволочь такой
                +3
                Путин следит за тобой %username%!
                  +8
                  Позвони ему.
                    +13
                    Звонил, ФСО всегда правильно угадывает мое ФИО и адрес.
                    +9
                    Ты просто оставил это здесь, хабрачеловек?
                      –2
                      Специально для вас: www.youtube.com/watch?v=dQw4w9WgXcQ
                        +6
                        Это неловкое чувство, когда ссылка выделена как просмотренная…
                          0
                          Угадал ролик по url. Надо в конце добавлять мусор разный типа ?=djtRe4, что б не подсвечивало.
                      +38
                      Ну почему же не использует. Использует. Просто параллельно с зашифрованным сообщением отправляет еще и открытое :/

                      И юзеры довольны, что шифрование не взломать и спецслужбам удобно.
                        –2
                        Интересно, гугл ничем подобным не балуется? Надо будет попробовать
                          +2
                          На память сразу приходит контекстная реклама в gmail.
                            +2
                            Гугл только недавно анонсировал удаление поддержки XMPP у себя на серверах, ранее анонсировав убийство собственного RSS-ридера — двух массовых сервисов, которыми люди реально пользовались. Своим отношением они уже показали свою недостаточную надежность, я скажу.
                              +4
                              XMPP — чем он вам так сдался? Если нужен просто джабб ер, есть куча других, именно джаббер сервисов, а gtalk изначально не позиционировался как некая своя болталка, по стечению обстоятельств использовавшая xmpp
                                +6
                                Я с гугловского аккаунта много лет общался с другими джабберовскими. Завтра вот начну «спамить» контакт-лист, что теперь на яндекс переезжаю. Главное чтобы они не отключили без анонса.
                                  +2
                                  Почему на Яндекс, а не тот же например jabber.ru?
                                    +1
                                    Свой домен?
                                      0
                                      А разница? Всё равно условия «AS IS».
                                        0
                                        Для Яндекса это непрофильный сервис, у них, как уже писали, интереса особенного в XMPP нет. Ну а jabber.ru мало того, что создан силой комьюнити, так именно как XMPP-сервер и ничто иное.
                                          0
                                          как XMPP-сервер и ничто иное.

                                          Хотел такую мысль озвучит ранее, но вспомнил ICQ и Skype. Когда-то они были «ничем иным», но сейчас лишь не очень профильные, можно сказать «брендо-рекламные», активы многопрофильных корпораций, если не де-юре (через «дочек»), то де-факто (кто реально рулит). Причём в случае ICQ я даже не скажу какой. Вроде Mail.Ru Group, но поставлю на это только немного против много :)
                                  –3
                                  Ничего подобного гугл не анонсировал. Единственное, что было сказано, что в Hangouts работают без xmpp и что Hangouts заменяет talks. Всё остальное — это истеричные измышления в интернетах.
                                    0
                                    Ээээ, пруфлинк?
                                  +3
                                  В песочнице статья более подробная ;).
                                    0
                                    404
                                      0
                                      А вот открыли бы на 20 минут раньше, увидели бы.
                                        +44
                                        Сделайте уже кто-нибудь habracache, как я устал от исчезающих статей на хабре…
                                          +2
                                          Есть такой, но, к сожалению, без песочницы :) sic
                                    +1
                                    Более того, в skype и разговоры слушаются, так что шифрование в skype это миф, используйте PGP
                                      0
                                      Кем слушаются?
                                        0
                                        Организациями из трех букв
                                      –1
                                      Небольшая задачка для собеседований: прикинуть, сколько людей нужно нанять организации из трех букв, чтобы слушать разговоры в Скайпе.
                                        –1
                                        <matrixmode> Ни одного. Организаций из трех букв не существует </matrixmode>
                                          0
                                          Три буквы объединились в организацию и терроризируют людей!
                                      +15
                                      Так буквально недавно же была статья где это вскрывалось.
                                      Ребята из какой-то security конторы провели простой эксперимент — отправили друг другу пару ссылок которые не были проиндексированы и были сделаны специально для этой проверки. Спустя пару часов на них зашел бот с пула IP, принадлежащего одной оконной компании. Так что мелкософт в своем стиле — опять подкидывает дерьмеца юзерам.

                                      P.S. с пикчи аж передернуло.
                                        +1
                                        Чет не наблюдаются активность в комментариях правозащитников МС.
                                        +1
                                        Да чем вам пикча то не понравилась?
                                          +2
                                          А чем она должна нравиться?
                                            +31
                                            Видимо, вы счастливый человек, который не знает истории её происхождения.
                                              0
                                              Похоже на то. А можете нам рассказать эту историю?
                                                +7
                                                Подумайте еще раз, хотите ли вы ее знать? Увиденное развидеть не получится :)
                                                +2
                                                тут детей полно, не надо про это забывать.
                                                0
                                                Почему-же, как раз наоборот! Нахлынули старые добрые воспоминания
                                                  +2
                                                  Goatse man
                                                    0
                                                    Меня от одного названия передёргивает…
                                                  0
                                                  Не только https, http тоже проверяет.
                                                    +2
                                                    Уже 4 суток жду бота из microsoft, специально-заготовленный cgi по http не был посещен.
                                                      0
                                                      Ко мне ходил только на https.
                                                    +7
                                                    Давно уже пора понять, что Microsoft, Google, Facebook, Twitter и прочие крупные американские IT организации сливают частную информацию своих пользователей, ну или как минимум имеют специальный интерфейс доступа к любой информации пользователей, для ЦРУ, ФБР и прочих госорганов США.

                                                    Забудьте о тайне частной переписки. Пользуясь их сервисами — вы своими руками шьете на себя дело.
                                                      +2
                                                      > вы своими руками шьете на себя дело
                                                      о боже, мне дадут пожизненное за фотки цветочков на фейсбуке!
                                                      –9
                                                      OH REALLY???
                                                        –8
                                                        дурачки привет
                                                        0
                                                        Поставил себе cryptochat4
                                                          +12
                                                          Предлагаю отдавать этим IP-адресам 402 Payment Required
                                                            +1
                                                            Я, собственно, так и делал, когда держал сайт, который мог не понравится одной американской фирме потому, что использование размещённого контента нарушало ToS, да и его разработка тоже.
                                                            Однажды они пожаловались хостеру и он потёр сайт (всё крутилось на бесплатном хостинге).
                                                            Тогда я взял и прикрутил региональный фильтр (открыл доступ только для россии, украины, беларуси и латвии) + детектирование проксей (довольно примитивное — проходим по списку стандартных портов и пробуем законнектиться, используя в качестве прокси айпишник отправителя), после чего, посмеиваясь, наблюдал следующую картину: «а пачиму у меня пишет payment required», «у меня все нормально, отлично работает, аффтару зачот». Жалобы хостеру прекратились.

                                                            >о боже, мне дадут пожизненное за фотки цветочков на фейсбуке!
                                                            дадут, они нарушают авторские права, так как
                                                            >уже лет пять, как авторские права на все книги навечно переданы Американской Ассоциации

                                                            Теперь идея.
                                                            Возможно написать программу, который будет флудить в скайпе ссылками, например на поиск.
                                                            В результате получается DDoS с серверов МС (у них же наверняка не один сервер для этой цели выделен).
                                                              +3
                                                              И самым популярным советом на форумах вебмастеров в ответ на «Как бороться с DDoS-ом от Microsoft» будет «Отключите SSL, он все равно не нужен никому.».

                                                              Браво.
                                                                0
                                                                DDoS может быть и не получится, а вот SQL-инъекции было бы прикольно выполнять с МСовских айпишников.

                                                            Only users with full accounts can post comments. Log in, please.