供稿种子正面全裸的Gtalk 1.0.0.105,慎用!
相比起某些公认的不靠谱即时通讯工具,Google出品的Gtalk多少还是让人有那么一丁点安全感的,虽然这种安全感也很有限。不过事实上,号称不作恶的Google为了入某乡随某俗也做了不少悄悄地改变,比如对Gtalk的一点小改动。
经评论中的est朋友指点,实际上其他非英语语种的gtalk也有不加密的问题,这样可以说明gtalk 1.0.0.105并非因为兲朝而自宫… ╮( ̄▽ ̄”)╭ 但它确实是自宫了…
其他语言版本的Google Talk 1.0.0.105也是不加密的,包括德语版啊法语版。只有英文版才是 1.0.0.104,加密的
早期全球 google talk都升级到了1.0.0.105,但是去掉了传文件、语音等功能,用户抱怨比较多,所以英文版降级到1.0.0.4,但是softpedia上依然能够下载到英文版的1.0.0.105。英文版的 1.0.0.105 也没有加密
其实我一直感觉Gtalk处于Google比较边缘化的状态,没想到这产品还挺注重本地化的嘛。在世界人民还在用Gtalk 1.0.0.104的时候,简体中文和繁体中文版却升级到了1.0.0.105,这说明Google是多么重视使用中文的群体啊~这个奇怪的1.0.0.105版本的Gtalk也出现挺长时间的了,估计现在应该有很多人在用吧。曾经有消息说都Gtalk都升级到了105,但至少今天(2010年1月7日),我从Google.COM的Gtalk简体中文下载页面下载到的是1.0.0.105,但英文下载页面下载到的仍然是1.0.0.104,而不是105。
不过这个难得领先全球的版本升级了点什么呢…貌似唯一的升级就是,取消了Google Talk原有的从客户端到服务器端的加密,变成了一个完全明文传输的小喇叭型通讯工具。这…你说是一项改进呢还是为了那个啥的一项那个啥呢…
据说在Gtalk的早期版本,只在登录阶段进行加密,但是在后来就更改为全程加密了。关于Gtalk的加密与否,Google官方的答复是这样的:
Please note that the connection between the Google Talk client and the Google Talk server is encrypted. This prevents others from seeing your mail notifications, Friends list, and other personal settings. The encryption also prevents others from seeing messages between your
desktop and Google’s servers. However, encryption is not end-to-end, so there is no guarantee that the messages are encrypted when sent to another user. IMs will not be encrypted in these scenarios:
- Sender/recipient is using Gmail’s chat features over HTTP
- Sender/recipient is on a federated network that doesn’t support
encryption
- Sender/recipient is behind IMLogic or another similar proxy (来源)
也就是说,正常情况下,理论情况下,没什么特殊情况下,Google Talk和Google Talk的服务器之间的连接是加密的(采用TLS方式加密)。所以正常情况下,其他人通过各种OOXX方式是无法看到你的邮件提示,好友列表,你发送和接收的信息,或者其他个人设置的。但在下列情况中不会加密:
发送者/接受者在通过HTTP方式下的Gmail聊天功能聊天(所以,请使用HTTPS)
发送者/接受者在不支持加密的网络环境中
发送者/接受者在IMLogic或者类似的代理服务之后
所以如果俩人都用Gtalk,都是正常的网络,应该至少大概约摸着收发信息的整个过程都应该是加密的。
那GTalk 1.0.0.105是否也具有这种特性呢?
“在2009年8月26日左右發現,Google提供給中國大陸的Google Talk 1.0.0.105版本,其透過網路傳輸的聊天內容是未經加密的。而為其他國家提供的最新版本為1.0.0.104,是使用TLS加密的。”
感兴趣的朋友可以看看维基百科条目中的引用部分。
不过没有自己调查就没有发言权,到底此时此刻Gtalk是否区别对待不同用户,今天我自己测试了一下1.0.0.104和1.0.0.105两个版本的加密情况。同样按照上面提到的站点中的办法,利用WireShark进行抓包。
首先我使用Gtalk 1.0.0.105测试,感谢流星做麻豆,他使用1.0.0.104英文版:
从图中可以看到,1.0.0.105的信息收发完全是明文传输,而且,相当详细。从收发双方的Gmail地址到信息内容到其他细节,一应俱全。使用这样的聊天工具在网上畅聊,基本上跟用那个不靠谱的聊天工具也差不到哪儿去了。看不看你的聊天内容纯属别人愿意不愿意的问题,你没得选择。
另外,从中还可以看到一个问题,由于Gtalk不是端对端加密,换句话说就算是用1.0.0.104,你也只能保证你发出的信息到Google Talk的服务器这段是加密的,但是从服务器再到收信息那个人那儿的安全就无法保证了。比如如上例,尽管流星使用的是1.0.0.104,但是那只能保证他的信息到服务器是加密的,但是传到我这里的过程就又是明文的了。
下面换用GTalk 1.0.0.104继续抓包:
不管怎么说,我是没从这图里面看到什么我认识的信息,不管是email地址,还是信息本身…而且1.0.0.104也没什么需要设置的,直接就是现在这个样子了。
你说这两个版本哪个更安全?如果你非要用中文版,那当我没说。如果你不在乎隐私或者“我也没说什么大不了的事情,爱看不看”,那也当我没说…不过要我自己推荐的话,当然还是用英文的1.0.0.104了,并且是最好大家都用,这样才能达到Gtalk原本设计的加密效果。
不知道这不是一个规律,很多东西的“中文版”都会有额外的功能或者阉割的功能,哦对了,这也要那个啥特色。
如果你在用第三方客户端,比如Miranda IM或者Pidgin,找找你的Gtalk账户里的选项,应该有一项是TLS加密,勾选它也可以达到客户端到服务器的加密效果。如果你要更安全,那么你需要一些特别的东西了。
最简单最易用的端对端加密是什么呢?别用Gtalk了,换Skype吧,并且还不能是那个XXX Skype,得是原装的…如果你非要用Gtalk,那么Miranda IM是个理想的选择。
曾经我写过一篇如果用另一款多协议集成类IM Pidgin加密Gtalk/MSN/QQ的文章,但是遗憾的是由于用于加密的Pidgin Encryption插件很久没有更新了,无法在最新版的Pidgin中使用,所以这个办法只能放弃。不过还好,Miranda IM也有非常丰富的插件,同样可以实现非常安全的端对端加密。
实现Miranda IM的端对端加密也很简单,需要两个两个插件: SecureIM和Crypto++。前者是加密插件,后者是插件所需的库。然后呢既然是端对端那么准备聊天的两个人都需要安装这两个插件。启用,设置,俩人配对,搞定。通过它们可以实现AES192或者PGP/GPG加密,想偷看?难度比较大…端对端加密的意义还在于,通过识别密钥,你还能够确定你和对方是否都在加密状态下,并且和你聊天的是不是真正你想聊得那个人…
如何用Miranda IM实现端对端加密不是这篇文章的主要内容,这篇文章想告诉你的是,如果你在用GTalk 1.0.0.105,如果你对安全和隐私比较在意,请换成更安全的1.0.0.104版本,并且告诉你的朋友也更换。我觉得所有的聊天信息都是明文在网上飞一点也不好玩…
对此感兴趣的朋友,也可以自己下载两个版本进行对比测试,WireShark也是免费软件,使用很方便。
再次祝大家新年快乐!
本人严正声明:Cuptool分类/WordPress分类/COMODO分类文章均为原创,在全世界只有一个作者。本人是该分类文章的唯一合法代表。自古以来本人一直对该分类文章行使主权。该分类文章的标题出处是文章正文不可分割的一部分,任何企图转载此分类文章不留出处,或恶意采集修改该分类文章的行为,都必将遭到包括中国人民在内的全世界人民的反对!各族人民反对文章标题出处与正文分裂、维护原文统一、维护原文稳定的决心是坚定不移的,任何破坏原文完整性、恶意采集转载的图谋都是不得人心的,是注定要失败的。
如需转载请按照 署名-非商业性使用-禁止演绎方式,并请注明: 转载自作甚@ZUOSHEN.COM
本文链接地址: 正面全裸的Gtalk 1.0.0.105,慎用!
| 
恩,沙发!Miranda IM是个好东西,最好全世界可能是全中国都不用垃圾QQ,一个聊天软件内存占用咋那么大,我靠!
aunsen´s last blog ..集团电话 对《坚持与倔强》的评论
嗯,我几乎不用QQ,那玩意太可怕了…最近又爆出扫描用户文件的神奇问题…比杀毒软件还忙碌的软件啊。
果然很可怕。![[cusFace:14]](http://zuoshen.com/wordpress/wp-includes/images/smilies/26.gif)
Google又在做恶了
嗯…估计也许没准也是被迫的…
哦,我改成英文1.0.0.104,是因为英文版可以传文件,中文版没这个功能。
流星天空´s last blog ..万恶的铁道部
嗯,我是一直都在用第三方,不管是pidgin还是miranda im~
昨天刚下了105版。。。
马上删掉换104
Siris L´s last blog ..ds_ai: RT @aHexie: RT @rtmeme: RT @chrissc921 RT @banzige: RT @yegle: RT @yangzhe1990: 转自校内:上海自来水来自海上 哥曾信佛但佛信曾哥
嗯…这种偷偷摸摸的不靠谱升级真是让人对Google的信任度大打折扣…
从来不用gtalk客户端
小骆驼商队´s last blog ..The Sting (骗中骗)
呃…Betty姐姐不用Gtalk的么…
用gmail里面的啊
小骆驼商队´s last blog ..The Day After Tomorrow (后天)
国外大站纷纷屈服于防火长城脚下,哈哈
嗯…满世界都是敏感词… 欢迎常来啊第三眼~
Sivan´s last blog ..打造最强Firefox(1)——外观篇
嗯,快换吧,而且最好大家都换,不然你这边加密了对面那段还是全裸,哈哈。
原来是介个样子地,我用Gmail里的那个网页的也有影响吧?
Rockoy´s last blog ..狗人
如果你用https的gmail里面的聊天,那么就是加密的…http的没有加密 :)
被曝光了。。。![[cusFace:13]](http://zuoshen.com/wordpress/wp-includes/images/smilies/7.gif)
![[cusFace:13]](http://zuoshen.com/wordpress/wp-includes/images/smilies/7.gif)
![[cusFace:13]](http://zuoshen.com/wordpress/wp-includes/images/smilies/7.gif)
嗯,这个不靠谱的Gtalk,X~
那没辙了
额?我看到一半就看不下去了~~!因为太高深了!我真不懂!
星网´s last blog ..现代诗一首—梦
要想在天朝活下去,就得多少被切一点儿。
Eden´s last blog ..Eden 关于 10款创意烤面包机 的评论
刚开始就是英文版的1嚄 后来不知道怎么自动升级到105了 然后自己重新把105卸载了之后再安装104 现在基本一天都挂着gtalk 反正不占什么内存 还可以及时收gmail
stonehoo´s last blog ..视频歌曲一枚:全世界都在笑中国傻
一直都是用英文版本的,外语还是很重要。有时候关系到安全,咿呀。
没错,就是这么个事儿…主要是中文版总是一些奇怪的修改版…
请问下我用了一个lab版的gtalk功能多很多 不知道加密没
你用什么软件抓包看加密的 能不能具体说下
用WireShark就行,把里面的过滤器选择为Jabber。 嗯,Lab版的情况就不清楚了…
我用wireshark设为jabber抓包只能抓到几个包 而且都是一样的内容只有5、6行的长度….
有点意思!
jianwei_info´s last blog ..专家畅谈ASP.NET与PHP的未来
[...] 说到Gtalk客户端不得不提到这篇文章,<正面全裸的Gtalk 1.0.0.105,慎用!>,文中指出了中国版的Gtalk是明文传送的没有任何加密。基本上就是任意让人监听,用个抓包软件就可以把局域网里所有用Gtalk 105版的信息抓取了。而其他地方还是使用的Gtalk 104版。 [...]
究竟有几个地球人还在用GTALK?算我一个,屈指可数。求爷爷告奶奶+了10来个人,结果90%长期不在线,在线也沉默。
如果说靠谱的问题,请先了解GOOGLE的背景再谈靠谱不靠谱吧,人家都准备用裸体检测仪了,你还觉得M国出来的东西靠谱?
嗯。毕竟大家的朋友圈不同,用的场合也不一样,呵呵。我这篇文章主要是提醒已经在用Gtalk简体中文“特别版”的用户而已。 至于说靠谱的问题,一人一种看法吧。
[...] 不过这不影响使用,举一个很简单的例子您就会明白,假设GV的号码是A,那么您需要做的就是在另外一个美国的虚拟号码网站上注册一个免费的虚拟号B,并且将其指向Gtalk(plus:据说中文版的Gtalk不太安全,别说我没提醒你哦),然后再GV后台设置指向号码B,这样,你就可以把自己的GV号当成一个实际存在美国号码使用了。当有人拨打号码A时,这个号码就被转到了B,然后自动转到Gtalk上,这个时候,你只需要一个麦克风和一个耳塞就可以实现通话了。打电话给别人也是如此,你只需在GV上输入你要拨打的号码,这个时候Gtalk会响,点接受以后,就可以呼叫别人了。这一点和飞信的方式有些类似。 [...]
难道 这就是妥协 或者交易?
楼下est的评论中提到其他非英语版本也有不加密的问题,所以可能不是我想的那么杯具
额滴神呀。。。Gtalk多少年不更新一下就算了,还把加密给去掉了,真是杯具……![[cusFace:12]](http://zuoshen.com/wordpress/wp-includes/images/smilies/4.gif)
![[cusFace:13]](http://zuoshen.com/wordpress/wp-includes/images/smilies/7.gif)
![[cusFace:14]](http://zuoshen.com/wordpress/wp-includes/images/smilies/26.gif)
![[cusFace:31]](http://zuoshen.com/wordpress/wp-includes/images/smilies/36.gif)
留言框下边居然自动出现了博客文章的链接,好高级呀
这套表情很不错……
嗯,我一直觉得这套表情很销魂![[cusFace:10]](http://zuoshen.com/wordpress/wp-includes/images/smilies/29.gif)
我用英文版是对的!
JasonChao´s last blog ..时光机
学习了,好文,我很早就用英文版了,话说。:)![[cusFace:44]](http://zuoshen.com/wordpress/wp-includes/images/smilies/32.gif)
嗯,我后来改用miranda了,反正都是英文,那就换个别的用用![[cusFace:48]](http://zuoshen.com/wordpress/wp-includes/images/smilies/13.gif)
欢迎常来~
昨天换上了英文版~
林木木´s last blog ..[笔记软件] BooguNote
嗯,记得留意版本号,104是能加密的版本![[cusFace:22]](http://zuoshen.com/wordpress/wp-includes/images/smilies/5.gif)
Gg 的加密端口经常被封 所以很难说是主动还是被动
xslidian´s last blog ..+S 扩展:让 Chrome 一键切换到 https 连接
是啊,Google的服务在中国一直都很挣扎…![[cusFace:3]](http://zuoshen.com/wordpress/wp-includes/images/smilies/37.gif)
LZ得出 作恶 的结论太轻率了一点。
其他语言版本的Google Talk 1.0.0.5也是不加密的,包括德语版啊法语版。只有英文版才是 1.0.0.4,加密的
早期全球 google talk都升级到了1.0.0.5,但是去掉了传文件、语音等功能,用户抱怨比较多,所以英文版降级到1.0.0.4,但是softpedia上依然能够下载到英文版的1.0.0.5。英文版的 1.0.0.5 也没有加密
综上,和中国“特殊政策”无关,也和“作恶”无关。
est´s last blog ..8位计算器
这么说来Google的思想觉悟还是没有提高到我担心的高度,真是太好了
我用digsby。。找了下没发现加密的选项。。囧。。pidgin下输入法的候选框会跳。。而且qq插件老是需要去激活,mim从来就有qq版本过低的问题。。最新版的qq插件也一样。。悲剧。。所以现在还在用威雅的tm。。
嗯,pidgin下有的输入法就会跳,这个问题我也遇到过。谷歌输入法好像不跳。我后来不用pidgin了主要是因为它的端对端加密插件没法用到新版上了。Miranda的端对端加密插件一直在更新,感觉不错。
Digsby我也用了用,不太清楚它用的是什么方式传输的,你可以拿wireshark抓包看看~
我已经放弃在这些通吃流IM上使用QQ了,现在我一般如果必须要用QQ的时候,就用它那个网页版凑合了,反正网页上它也不会扫描我的文件和进程们了,哈哈。![[cusFace:48]](http://zuoshen.com/wordpress/wp-includes/images/smilies/13.gif)
上面版本号最后一位打错了。。加上100。。。汗。。。
est´s last blog ..8位计算器
很久没有用Gtlak了,不知道现在怎么样了
Gonten´s last blog ..百度向站长免费开放“百度搜索框提示”代码
还是那样…gtalk好久都没更新版本了~![[cusFace:36]](http://zuoshen.com/wordpress/wp-includes/images/smilies/10.gif)
gtalk可能只有一些IT圈子里的人在用,我同学貌似没人在用。不过,可能是特例,因为我同学很多都不知道google和twitter的存在。
嗯,是啊。用什么聊天工具很大程度取决于自己的朋友圈和业务圈… 如果用gtalk的人多起来的话,其实对大家都有好处的~
我用psi,发现我的好友里没有105版本的,嘿嘿。![[cusFace:21]](http://zuoshen.com/wordpress/wp-includes/images/smilies/3.gif)
![[cusFace:22]](http://zuoshen.com/wordpress/wp-includes/images/smilies/5.gif)
宅男´s last blog ..加入低碳生活,从DOULEX鼠标灯开始 
博主可否gtalk交流一下,留言的Email就是我gtalk地址。
好啊,已经加你啦~ o(* ̄▽ ̄*)ブ
我写的wiki居然还真有人看了……不过好像引用部分被那些家伙改动的丢掉了
哈哈,那个wiki是你写的啊~真是太有帮助了 o( ̄ˇ ̄)o 谢谢啦~
[...] 正面全裸的Gtalk 1.0.0.105,慎用 号称不作恶的Google为了入某乡随某俗也做了不少悄悄地改变,最新版Gtalk简体中文是1.0.0.105,但英文仍然是1.0.0.104,根据测试,1.0.0.105的信息收发完全是明文传输,属于完全裸奔。 (tags: google) [...]
[...] 正面全裸的Gtalk 1.0.0.105,慎用! Posted on 六月 3, 2010 by xijie 作者:Donald 来源:http://zuoshen.com/2010/01/07/740/ [...]
[...] 作者:Donald 来源:http://zuoshen.com/2010/01/07/740/ [...]
野草用的是Gmail里的Gtalk,没问题吧?
野草博客´s last blog ..野草夫人给儿子起了个英文名字。
嗯,那个是没有问题的~![[cusFace:22]](http://zuoshen.com/wordpress/wp-includes/images/smilies/5.gif)
Gtalk105貌似有英文版
我的截图http://i3.6.cn/cvbnm/60/fb/8c/b8a45853990413538e689954065bc58f.jpg
只是好像没有推送到英文主页上,但是可以在国外的软件下载站下载到。
嗯,楼上est提到了,105有英文版,softpedia上下载的就是,不过官方那儿由于一些问题没有更新。所以还是用104吧…
貌似很恐怖。。。![[cusFace:29]](http://zuoshen.com/wordpress/wp-includes/images/smilies/50.gif)
呵呵!
[...] 正面全裸的Gtalk 1.0.0.105,慎用! [...]
[...] 正面全裸的Gtalk 1.0.0.105,慎用! [...]
[...] 正面全裸的Gtalk 1.0.0.105,慎用! [...]
之前也没注意过Google Talk,但是局域网内,我经常拦截飞鸽的数据包。![[cusFace:22]](http://zuoshen.com/wordpress/wp-includes/images/smilies/5.gif)
基本上都是赤裸裸的泄密。
··
非常感谢LZ的分析,今后要小心这个了。