Ero sivun ”Irc” versioiden välillä
| Rivi 1: | Rivi 1: | ||
'''IRC''' (''Internet Relay Chat'') on vanhin sosiaalisen median muoto NNTP-keskusteluryhmien lisäksi ja se on yhä suosittu niin kuluttajien kuin erialojen parissa. Europpassa ja USA:ssa on omia verkkoja, joiden palvelimiin voi toki liittyä koko maailmasta. | '''IRC''' (''Internet Relay Chat'') on vanhin sosiaalisen median muoto NNTP-keskusteluryhmien lisäksi ja se on yhä suosittu niin kuluttajien kuin erialojen parissa. Europpassa ja USA:ssa on omia verkkoja, joiden palvelimiin voi toki liittyä koko maailmasta. | ||
| − | IRCissä tapahtuu häirintää (spämmäämistä, Nickin varastamista, jne) ja siksi sen eri verkoissa on käytössä sovellustason tunnistautumisjärjestelmiä, kuten rekisteröitymistä roolitunnuksille (''nickserv''). Toinen tapa olisi sallia vain salattu TCP-yhteys (SSL tai TLS tilassa) ja vaatia tunnistautuminen jo yhteyden muodostamisvaiheessa asiakaspään varmenteella ja käyttää yhteydestä saatuja tietoja sovellustasolla. Kolmas tapa olisi vaatia luomaan käyttäjätili eri kanavassa, esim Web-sivulla ja vaatia sieltä saatua käyttäjätunnusta ja sen salasanaa yhteyden muodostamisvaiheessa. | + | IRCissä tapahtuu häirintää (spämmäämistä, Nickin varastamista, jne) ja siksi sen eri verkoissa on käytössä sovellustason tunnistautumisjärjestelmiä, kuten |
| + | * rekisteröitymistä roolitunnuksille (''nickserv''). | ||
| + | * Toinen tapa olisi sallia vain salattu TCP-yhteys (SSL tai TLS tilassa) ja vaatia tunnistautuminen jo yhteyden muodostamisvaiheessa asiakaspään varmenteella ja käyttää yhteydestä saatuja tietoja sovellustasolla. | ||
| + | * Kolmas tapa olisi vaatia luomaan käyttäjätili eri kanavassa, esim Web-sivulla ja vaatia sieltä saatua käyttäjätunnusta ja sen salasanaa yhteyden muodostamisvaiheessa. | ||
| + | TCP-yhteyden asiakaspään varmenteen vaatimisen probleema on tyypillinen käyttö jossa usein kanava jätetään auki ja käyttäjä poistuu terminaalinsa ääreltä ottaen varmentensa mukaan (yksi vahvan varmenteen etu, sitä ei jätetä kuleksimaan). Tällöin TCP-yhteys todennäköisesti katkeaa. Tämä käyttötapa puoltaisi pehmeämpien mekanismien käyttöä vaikkakin tunniste on se sama vahva henkilövarmenne. Keskusteluverkon saavuttama häiriökäyttäytymisen esto olisi joka tapauksessa saavutettu. | ||
Työaseman komennot kun henkilökortti on lukijassa, luetaan varmenteen ID ja käytetään sitä argumenttina ensimmäisen varmenteen lukemiseen: | Työaseman komennot kun henkilökortti on lukijassa, luetaan varmenteen ID ja käytetään sitä argumenttina ensimmäisen varmenteen lukemiseen: | ||
| Rivi 28: | Rivi 32: | ||
* [https://freenode.net/kb/answer/certfp freenode.net - CertFP (certificate fingerprint)] ohjeita eri asiakasohjelmien käyttöön | * [https://freenode.net/kb/answer/certfp freenode.net - CertFP (certificate fingerprint)] ohjeita eri asiakasohjelmien käyttöön | ||
| + | * [https://github.com/atheme/atheme github.com - atheme] Freenoden käyttämä Nickserv palveluprosessi | ||
== Asiakasohjelmat == | == Asiakasohjelmat == | ||
Versio 13. helmikuuta 2019 kello 13.53
IRC (Internet Relay Chat) on vanhin sosiaalisen median muoto NNTP-keskusteluryhmien lisäksi ja se on yhä suosittu niin kuluttajien kuin erialojen parissa. Europpassa ja USA:ssa on omia verkkoja, joiden palvelimiin voi toki liittyä koko maailmasta.
IRCissä tapahtuu häirintää (spämmäämistä, Nickin varastamista, jne) ja siksi sen eri verkoissa on käytössä sovellustason tunnistautumisjärjestelmiä, kuten
- rekisteröitymistä roolitunnuksille (nickserv).
- Toinen tapa olisi sallia vain salattu TCP-yhteys (SSL tai TLS tilassa) ja vaatia tunnistautuminen jo yhteyden muodostamisvaiheessa asiakaspään varmenteella ja käyttää yhteydestä saatuja tietoja sovellustasolla.
- Kolmas tapa olisi vaatia luomaan käyttäjätili eri kanavassa, esim Web-sivulla ja vaatia sieltä saatua käyttäjätunnusta ja sen salasanaa yhteyden muodostamisvaiheessa.
TCP-yhteyden asiakaspään varmenteen vaatimisen probleema on tyypillinen käyttö jossa usein kanava jätetään auki ja käyttäjä poistuu terminaalinsa ääreltä ottaen varmentensa mukaan (yksi vahvan varmenteen etu, sitä ei jätetä kuleksimaan). Tällöin TCP-yhteys todennäköisesti katkeaa. Tämä käyttötapa puoltaisi pehmeämpien mekanismien käyttöä vaikkakin tunniste on se sama vahva henkilövarmenne. Keskusteluverkon saavuttama häiriökäyttäytymisen esto olisi joka tapauksessa saavutettu.
Työaseman komennot kun henkilökortti on lukijassa, luetaan varmenteen ID ja käytetään sitä argumenttina ensimmäisen varmenteen lukemiseen:
$ pkcs15-tool -c $ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout Using reader with a card: Gemalto PC Twin Reader (DF244A22) 00 00 SHA1 Fingerprint=7E:41:61:DF:52:5C:AC:26:0A:34:89:13:52:52:5B:88:B8:ED:CC:DF $ pkcs15-tool -r 01 | openssl x509 -fingerprint -noout | sed -e 's/^.*=//;s/://g;y/ABCDEF/abcdef/' 7e4161df525cac260a34891352525b88b8edccdf
Freenode
Freenode-verkossa on toteutettu eriasteisia rekisteröinti- ja tunnistamisjärjestelmiä, kuten NickServ - nick-palvelu. Freenoden NickServ palvelulle voi todentaa itsensä joko salasanalla tai julkisen avainparin sormenjäljellä (fingerprint) jonka palvelu saa asiakasvarmenteella avatusta SSL-yhteydestä (SASL EXTERNAL).
Freenode IRC-serverin nickserv-palvelun komennot:
/msg nickserv cert add 7e4161df525cac260a34891352525b88b8edccdf -NickServ- Added fingerprint 7e4161df525cac260a34891352525b88b8edccdf to your fingerprint list. /msg nickserv cert list -NickServ- Fingerprint list for Tuju: -NickServ- - 7e4161df525cac260a34891352525b88b8edccdf
Asiakasvarmenteella luodun SSL-yhteyden tunnistamisen onnistumisen voi tarkastaa komennolla:
/msg nickserv status -NickServ- You are logged in as Tuju.
- freenode.net - CertFP (certificate fingerprint) ohjeita eri asiakasohjelmien käyttöön
- github.com - atheme Freenoden käyttämä Nickserv palveluprosessi
Asiakasohjelmat
Salasanatunnistamisen lisäksi IRC-asiakasohjelmien tuki eri tunnistamisjärjestelmille on huono. Yksi tapa yrittää kiertää niiden puutetta on käyttää Stunnel-ohjelmaa.
| ohjelma | SSL-tuki | verkko | toimiiko | muuta |
|---|---|---|---|---|
| Konversation | on | Freenode | ei | Yhteyden muodostamisessa ei ole mahdollista antaa muita SSL-parametreja kuin päälle/pois. Ilmeisesti vaatisi TLS-option. |
| Quassel | ||||
| Hexchat |
