google已经成为互联网上的一面旗帜，无论有什么举动都会引人注目。最近几天大家都在讨论google talk，我今天才装上，已经算是慢一拍了。

装上之后才发现，安装目录下居然只有两个文件，一个是googletalk.exe，一个是uninstall.exe。google一贯的简洁风格在这里就体现出来了。

google talk用了标准的jabber协议，所以兼容很多其它的IM软件。google做了一个页面，专门告诉你哪些别的软件可以用google talk服务，并且很详细地教你设置。这份大家风范令我肃然起敬，又不禁想起来微软那个教你如何在防火墙上封掉MSN的KB。气度这种东西，不是有钱没钱的问题，也不是一天两天能学会的。

san对google talk的通信抓了包，发现会话数据都是不加密的，也就是说，控制网络的人，就能控制你的对话。

我觉得有些奇怪，jabber协议本身是可以选择加密的，而google为gmail提供了256位的加密，没道理这个就不加密。

于是我用Gaim连接google talk服务，并且在连接选项中要求加密。这时候再抓包就可以看到，所有通信都是加密的。

也就是说，google talk服务器支持加密，但是目前测试版的官方客户端还不支持。未来也许会改变吧。

PS：我估计对google talk用stunnel应该是可以的，不过没有测试。google talk连接的服务器是硬编码在程序内部的，如果想用stunnel，要么修改程序，要么修改host文件，把talk服务器指向跑stunnel的机器。有兴趣的可以试一下。

晚上吃饭的时候，我想应该找一个既能用标准客户端，又能加密通信，还要简便易行，老少皆宜的法子出来。要不然总觉得有点对不起观众。

我对jabber协议一无所知，也不打算花时间去看文档，索性就硬上。先抓gaim的加密通信包和官方客户端的非加密包看看再说。

官方客户端的身份认证是通过gmail.com来做的，这个过程基于HTTPS，是加密的；聊天数据通过talk.google.com，不加密。

Gaim的认证和聊天都通过talk.google.com，而且必须选择加密。talk.google.com不支持非加密的身份认证过程。

奇怪的是，无论是加密还是不加密，聊天数据都是通过talk.google.com的5222端口。根据抓包看到的数据，和对5222手工SSL协商失败这个结果来看。jabber所支持的加密方式和HTTPS、POPS等是不完全一样的。也就是说，不能简单的通过stunnel来建立加密隧道。

事情就这样结束了么？当然不会，否则我现在一定正在郁闷，而不是写这篇文档。

像我这种人，看到一个5222端口，就不可能不去看看有没有5221、5223、5224……这是多少年养成的习惯。我发现talk.google.com上就有5223和5224端口。简单测试了一下，发现这两个端口都支持标准SSL协商。那么这能用否这两个端口进行通信呢？

我做了下面这几件事：

1、在机器上的%SyetemRoot%/system32/drivers/etc/hosts中加了这一行：

127.0.0.1 talk.google.com

2、在stunnel.conf中加了这些：

[Google Talk]
accept = 127.0.0.1:5222
connect = talk.google.com:5223

然后重新启动Stunnel，再运行google talk。

OK，现在google talk完全可以正常使用，并且这时所有来往的数据都是经过加密的。

看我blog的朋友不一定都搞技术，所以这里科普一下：上面做的第一件事是让google talk客户端认为我本机就是聊天服务器talk.google.com；第二件事是在本机建立了一个加密隧道，google talk用非加密数据和本机的Stunnel通信，Stunnel把数据加密后传递给能接收标准SSL加密的talk.google.com:5223，并把服务器的加密数据解密后交给google talk客户端。

打个比方，google talk是一个只会说汉语的人，Gaim懂意大利语，Stunnel既懂汉语又懂阿拉伯语，talk.google.com:5222懂意大利语和汉语，talk.google.com:5223只懂阿拉伯语。

现在我们要和talk.google.com说话。虽然google talk和talk.google.com:5222可以直接用汉语沟通，但是这样会被偷听。所以我们让google talk先把要说的话用汉语告诉Stunnel（这个过程是在自己家完成的，不会被偷听），然后Stunnel用阿拉伯语对talk.google.com:5223转述。或者，用Gaim和talk.google.com:5222说意大利语也是一个选择。

PS：又看了一下google的文档，这个5223是为了兼容某些jabber客户端而留的。可能目前就是有两种jabber加密方式并存，不同客户端用了不同方式。
文档里面没有提5224，以我恶毒的心来揣测，估计是因为加密对系统负担比较大，google的人特意开了这个口给熟人用的，这个没什么人用的端口速度应该比较快——哈哈哈哈，纯属玩笑。