Journal Discutez avec vos contacts facebook™ via XMMP

Posté par  (site web personnel) .
Étiquettes : aucune
13
11
fév.
2010
Mon lecteur de nouvelle m'en apporte une très bonne, le très bigbrotherien facebook permet officiellement de discuter avec ses contacts via un simple client jabber !

Voici l'article d'où je tiens la nouvelle : [en] [http://blog.caseyho.com/2010/02/how-to-enable-facebook-chat-(...)] qui la tient de [en] [http://developers.facebook.com/news.php?blog=1&story=361] (blog officiel).

Le premier article sus-cité présente la manip sous pidgin, et malgré la langue de Shakespeare, les copies d'écrans sont éloquentes !

Voici rapido les informations à savoir pour adapter à la manip à tout client jabber :

(si votre client est multi protocole, préciser XMMP ou Jabber)
* pour l'identifiant, utiliser l'identifiant court de facebook, pas l'adresse mail, mais l'option assez récente qui permet d'avoir un identifiant plus convivial, voir [http://www.facebook.com/username/].
* Pour le domaine, utiliser chat.facebook.com .
* Pour le mot de passe je vous laisse deviner !

C'est une grande nouvelle pour le protocole jabber, voilà un grand acteur de poid en plus de google !

Comme j'ai plusieurs amis qui sont passés à pidgin pour laisser tomber le client msn, ils pourront très facilement utiliser ce même client pour discuter avec moi, cette fois ci via un protocole ouvert ! Et en plus de ces mêmes personnes, pour ceux que je n'avais que par facebook, ça rajoute autant de monde qui pourra utiliser OTR ([http://www.cypherpunks.ca/otr/], une solution de chiffrement) avec moi ! Cela dit, même si OTR est en option, il vaut mieux ne pas l'oublier avec nos « amis » google et facebook !

Maintenant quelque questions à se poser…

Je ne suis pas un expert XMMP, mais pour que la voix/son fonctionne, c'est uniquement dépendants des clients, ou il faut une quelconque compatibilité du serveur, je pense que non mais si une âme bien intentionnée pouvait me confirmer…  Ça ferait bientôt un nombre impressionnant de personnes qui pourraient visiodiscuter sans skype, sans l'excuse « j'ai peu de contacts qui utilisent ton truc ».

Est ce que le réseau facebook est ouvert au reste du monde comme l'est le réseau google et pas comme meetic, c'est à dire que l'on peut discuter avec un contact facebook si on a un compte jabber autre que facebook, comme jabber.fr, et inversement ?

Question subsidiaire, quels sont vos pronostics à propos de la prochaine explosion de spim [http://fr.wikipedia.org/wiki/Spim] avec une telle plate-forme-à-montrer-son-nombril-au-monde qu'est facebook ?

  • # groupes dans pidgin

    Posté par  (site web personnel) . Évalué à 2.

    J'ajoute que si vous utilisiez déjà le greffon facebookchat de pidgin, les personnes que vous aviez groupées étaient très certainement groupées aussi dans faceboook automatiquement, ainsi en vous connectant à traver jabber et jetant ledit greffon devenu obsolète, vos contacts restent groupés !

    Erratum :
    Dans mon journal j'ai oublié l'adresse du site de pidgin : [http://www.pidgin.im/] !
    et voici ici pour télécharger le plugin pidgin-otr, pour chiffrer en toute simplicité : [http://www.cypherpunks.ca/otr/index.php#downloads].

    ce commentaire est sous licence cc by 4 et précédentes

  • # OTR pwned

    Posté par  . Évalué à 0.

    OTR n'est pas bien résistant, ce n'est pas ça qui empêchera facebook de lire tes messages : http://blog.bepointbe.be/index.php/2007/03/29/20-mod_otr

    • [^] # Re: OTR pwned

      Posté par  (site web personnel) . Évalué à 1.

      Bha OTR si c'est bien implémenté (secret partagé, vérification des clef), ça marche quand même.
      Et même mal implémenté c'est mieux que rien, car une attaque man in the middle ne passe quand même pas inaperçu, et le faire à grande échelle ferai mauvaise pub.

      Par contre, certes, ce n'est pas la solution miracle.

      • [^] # Re: OTR pwned

        Posté par  . Évalué à 1.

        Euh, en quoi FB aurait besoin d'une "attaque" man in the middle si les communications passent déjà par leurs serveurs?

        Et comment tu vas vérifier qu'ils ne lisent pas les messages pour pouvoir faire un tollé?
        C'est ce que j'aime dans l'idée d'avoir de "petites" structures associatives pour gérer ton compte: ils ont bien autre chose à foutre et peu d'intérêt à t'espionner, sans parler du fait que sans jouer les bisounours, la plupart des fournisseurs de service actuels sont des bénévoles qui font ça par passion avec un sens des valeurs du libre.

        • [^] # Re: OTR pwned

          Posté par  (site web personnel) . Évalué à 4.

          Manifestement, tu ne sais pas ce qu'est le chiffrement de bout en bout : tu partages un secret avec ton correspondant, secret qui est utilisé pour chiffrer le message (et non pas la communication, comme avec SSL) avant de l'envoyer à Facebook, qui ne fait que transmettre un blop inintelligible à ton correspondant, qui le déchiffrera grâce au secret.

          Le principe de mod_otr ci-dessus (et de tout man-in-the-middle), c'est que si tu ne partages pas de secret a priori, alors un secret est négocié entre les deux clients, et Facebook au milieu peu imposer son propre secret à chaque bout, sans que tu saches si tu chiffres pour Facebook ou pour ton correspondant. C'est pour ça qu'il faut avoir un secret partagé par un autre canal avant de commencer la communication.

          • [^] # Re: OTR pwned

            Posté par  . Évalué à 2.

            Si, j'avais bien compris le principe du chiffrement bout-à-bout.
            Mais je persiste dans ma question: à moins que tu aies comme tu dis déjà partagé le secret par un autre canal, FB peut simplement intercepter les clés échangées.
            Si le secret a déjà été échangé, FB ne pourra rien faire. Si le secret n'a pas été échangé, leur attaque n'en sera pas vraiment une puisqu'ils étaient "déjà là", ils se contenteront d'intercepter les échanges de clés publiques, et donc ce sera difficilement détectable à moins encore une fois de confirmer ces clés par un autre canal (ce qui, je pense, est un peu tordu: tu parles à un contact, mais avec plusieurs comptes distincts sur plusieurs serveurs ; quels utilisateurs lambda vont faire ça dans la vraie vie?).

            Donc en quoi est-ce qu'ils ne pourraient pas essayer sans que personne ne s'en rende compte? Au pire tu as déjà échangé les clés et ils ne peuvent rien faire. Sinon ce sera la fête à la maison et tu ne le sauras toujours pas.

            • [^] # Re: OTR pwned

              Posté par  . Évalué à 4.

              C'est la même chose pour toute transaction SSL, c'est pour cela qu'il y a les autorités de certification.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: OTR pwned

              Posté par  (site web personnel) . Évalué à 2.

              De toute façon, même sans preuve qu'il n'y a pas d'homme au milieu, chiffrer est mieux que de transmettre en clair. En effet, en chiffrant, on s'assure que seul un (ou plusieurs) homme au milieu peu lire les données transmise, et on empêche :
              – l'introduction d'un nouvel homme au milieu ;
              – la lecture des données par un simple observateur.

    • [^] # Re: OTR pwned

      Posté par  . Évalué à 0.

      OTR n'est pas bien résistant... pour ceux qui ne savent pas faire la différence entre cryptage et authentification. OTR permet les deux, suffit de l'utiliser correctement.

      • [^] # Re: OTR pwned

        Posté par  (site web personnel) . Évalué à 10.

        Ceux qui savent faire la différence parlent en général de... chiffrement, et non pas de cryptage ;-)

        • [^] # Re: OTR pwned

          Posté par  . Évalué à 2.

          Ah flute, je me suis fait lapiner! ;)

    • [^] # Re: OTR pwned

      Posté par  . Évalué à 4.

      Je n'ai jamais compris l'intérêt de réinventer GPG en moins propre et moins complet.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: OTR pwned

        Posté par  . Évalué à 2.

        The primary motivation behind the protocol was providing deniability for the conversation participants while keeping conversations confidential, like a private conversation in real life, or off the record in journalism sourcing. This is in contrast with the majority of cryptography tools which resemble more a signed writing on paper, which can be later used as a record to demonstrate the communication event, the participants, and the topic of communication. In most cases people using ordinary cryptography software are not aware of this and might be better served by OTR tools instead. The initial introductory paper was named "Off-the-Record Communication, or, Why Not To Use PGP".
        -- en:Off-the-Record_Messaging

        OTR a un but précis, l'utiliser pour protéger sa conversation facebook n'est pas adapté :
        - soit on n'a pas d'autorité d'annuaires de clefs publiques, et FB peut faire du MITM
        - soit on utilise un annuaire, et on va à l'encontre de pourquoi OTR a été créé

    • [^] # Re: OTR pwned

      Posté par  (site web personnel) . Évalué à 1.

      Cela dit, avec pidgin je peux associer plusieurs identifiants de protocoles différents à un unique contact, si en passant par facebook j'ai une clé différente qu'en passant par gtalk, ça serait pas discret !
      Exemple tout simple, mais il n'est techniquement possible que de faire un man in the middle, une fois ou deux, dans des cas précis, en sachant si je n'ai pas mon correspondant sur un autre réseau, bref une attaque très ciblée. S'ils généralisaient la chose ça serait très vite grillé, avec les plusieurs centaines de contacts qu'on a facilement sur leur plate-forme, ils ne peuvent pas généraliser la chose sans se planter.

      Pour facebook, c'est risqué, et pour tout les autres, ça marche. On pourrait vouloir mieux, mais en attendant d'avoir mieux, autant ne pas s'en priver !

      Cela dit facebook pourrait tout à fait faire un simple grep -v '^?OTR:' , qui ne serai pas discret, mais qui pourrait être rendu indénonçable par une simple clause du contrat d'utilisation (genre je m'engage à pas chiffrer).

      ce commentaire est sous licence cc by 4 et précédentes

  • # empathy ?

    Posté par  . Évalué à 1.

    Bizarre ca ne marche pas avec empathy, quel que soit l'option de chiffrement utilisée ou pas.

    • [^] # Re: empathy ?

      Posté par  . Évalué à 2.

      oups si ça marche, tout en clair par contre.

  • # Connexion au réseau Jabber

    Posté par  (site web personnel) . Évalué à 5.

    C'est du XMPP, mais déconnecté du réseau Jabber :
    % telnet chat.facebook.com xmpp-server
    Trying 69.63.181.104...

    [NaDa]

    (non, ils n'ont pas d'enregistrements SRV, ni pour le service client Jabber ni pour le service inter-serveurs : chat.facebook.com est résolu directement en adresse IPv4)

    • [^] # Re: Connexion au réseau Jabber

      Posté par  (site web personnel) . Évalué à 4.

      Mes réflexions à ce sujet, d'ailleurs :
      – on a ici un exemple de la différence entre XMPP et Jabber : eux, ils utilisent du XMMP, mais ce n'est pas Jabber, pas plus qu'un portail interne d'entreprise ne fait partie du Web ;
      – évitons de trop nous exciter sur cette nouvelle : ils fournissent un nouvel accès à un service entouré de barbelés, ce n'est pas fantastique ;
      – des fois qu'il y ait ici des utilisateurs de Facebook, écrivez aux responsables pour demander une ouverture au réseau Jabber.

  • # 400 millions d'utilisateurs de Jabber !

    Posté par  (site web personnel) . Évalué à 1.

    C'est ce qu'évalue le blog officiel [en] [http://blog.xmpp.org/index.php/2010/02/welcome-facebook/], avec ce nouvel arrivant, difficile maintenant de ne pas considérer Jabber comme un protocol sérieux.

    Peut-être que les projets de clients vont s'améliorer par l'intérêt qu'ils susciteront !
    Tout comme plein de personnes préféraient développer des clients pour des protocoles fermés qu'ils utilisaient déjà, peut-être de nombreuses personnes se mettront à développer un meilleur support de jabber, pas forcément pour jabber lui-même, mais pour le support d'un fournisseur jabber, le facebook qu'ils utilisent déjà… par exemple développer le support audio/vidéo en utilisant des specs déjà existantes, pour l'utiliser avec un compte déjà existant, et un carnet d'adresse déjà existant !

    Cela devient tout de suite plus intéressant…

    ce commentaire est sous licence cc by 4 et précédentes

  • # Kopete...

    Posté par  . Évalué à -1.

    ...ne permet pas que l'on utilise un identifiant jabber sans arobase, et facebook ne permet pas d'utiliser un identifiant avec une arbobase...



    Bon ben je retourne me mordre la queue, ca a l'air a la mode... (!)

  • # Le son et la voix...

    Posté par  (site web personnel) . Évalué à 4.

    Le son et la voix ne dépende pas d'un composant serveur, même si certains proxys ( stun etc ) peuvent aider.

    J'ai fait des démos lors des JDLLs 2009 basé sur un serveur local installé à l'arrache par mon co-standiste, admin du serveur jabber de l'apinc. C'était un bête ejabberd sur son portable en debian testing.

  • # OAuth

    Posté par  . Évalué à 5.

    Ca n'a pas de rapport immédiat avec le tchat, mais Fessebouc va également implémenter OAuth, une solution standardisée d'échange de crédits d'authentication entre sites sociaux :

    http://developers.facebook.com/news.php?blog=1&story=350

    Moi ça me fait plaisir de voir des mastodontes de l'internet s'engager du côté des standards ouverts.

    • [^] # Re: OAuth

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Non c'est pas pour facebook c'est pour friendfeed et c'est pas OAuth c'est OAuth WRAP qui semble plutôt une mauvaise chose :

      « To be clear, WRAP cannot be considered a profile of OAuth no matter how hard one tries. WRAP is closer to proprietary protocols from Microsoft, Google, and Yahoo! than it is to OAuth. On top of that, existing OAuth libraries are completely useless for implementing WRAP. It is a different protocol, not a profile. In addition, the last remaining artifact of the OAuth community, the Google group, was never included in the discussions or decisions around WRAP, only informed of it. »

      http://hueniverse.com/2009/11/wrap-and-the-demise-of-the-oau(...)

      Pire ça pourrait freiner l'adoption de OAuth : « In practice, companies deploying WRAP in a large scale now are not likely to deploy OAuth 2.0 for at least another year, and it might take another year for their developer to show interest in migrating to another protocol without additional value (being a standard typically isn’t one). »

      Enfin Facebook n'a pas l'intention de déployer OAuth : "OAuth is more complex and less performant than our own native authentication mechanism" (facebook @ identity workshop).

      Dommage.

      « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

  • # Service unavailable

    Posté par  . Évalué à 2.

    Après configuration de pidgin, et authentification (en clair, mais qui semble t'il se passe bien) le serveur me répond 503 (service non disponible).

    Les serveurs XMPP de facebook auraient-ils été mouledottés ?

    • [^] # Re: Service unavailable

      Posté par  . Évalué à 2.

      Pour l'authentification en clair, apparemment c'est du DIGEST-MD5, donc moins pire quand même.

    • [^] # Re: Service unavailable

      Posté par  . Évalué à 1.

      J'ai les même symptomes avec pidgin/finch/libpurple, freetalk, MAIS climm marche à moitié (je dois juste whois pour savoir qui est u5798736832168)

    • [^] # Re: Service unavailable

      Posté par  . Évalué à 1.

      As tu essayé d'installer le paquet cyrus-sasl-plugins ?

      Source: http://permalink.gmane.org/gmane.network.jabber.devel/31961

    • [^] # Re: Service unavailable

      Posté par  (site web personnel) . Évalué à 1.

      Même problème ici, mais solution trouvée.
      Il me manquait la ressource (Pidgin) et le serveur de connexion (chat.facebook.com).

      Pour le détail, sur la FAQ du site de développement de Pidgin :
      http://developer.pidgin.im/wiki/Protocol%20Specific%20Questi(...)
      ils expliquent comment procéder.
      Voici les informations fournies par Facebook :

      1.
      * Ouvrez le menu Comptes, puis sélectionnez Gérer les comptes.
      2.
      * Dans l’onglet Essentiel, ajoutez les infos suivantes :
      * Protocole : XMPP
      *
      Nom d’utilisateur : <votre surnom Facebook>
      * Domaine : chat.facebook.com
      * Ressource : Pidgin
      * Mot de passe : <votre mot de passe Facebook>
      * Alias local : <votre nom complet Facebook>
      3.
      * Cliquez sur l’onglet Avancé, puis ajoutez les infos suivantes :
      * Port de connexion : 5222
      * Serveur de connexion : chat.facebook.com
      * (désactiver l’option Nécessite SSL/TLS)

  • # buzz

    Posté par  (Mastodon) . Évalué à 7.

    ça c'est du buzz \o/

    okok je ->[]

  • # Le lien officiellement officiel

    Posté par  . Évalué à 3.

    http://www.facebook.com/sitetour/chat.php

    Tout y est expliqué avec la configuration des principaux clients

  • # Passage très important dans ce journal

    Posté par  . Évalué à 2.

    Pour moi le passage le plus important de ce journal est :

    > Est ce que le réseau facebook est ouvert au reste du monde comme l'est le réseau google et pas comme meetic, c'est à dire que l'on peut discuter avec un contact facebook si on a un compte jabber autre que facebook, comme jabber.fr, et inversement ?

    N'ayant ni un compte facebook, ni un compte MSN, vous vous doutez bien que si facebook s'ouvre cela va améliorer le nombre de contacts dans mon roster Gajim :) .

    Knowing the syntax of Java does not make someone a software engineer.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.