XEP-0280

Отслеживать

oleo

CD-диск
Пользователь
Регистрация
26.08.2019
Сообщения
14
Реакции
1
Здравствуйте.
Внесу предложение по подключению модуля XEP-0280 (Carbons) на сервер thesecure.at
Полезная штука при работе с нескольких девайсов, даже при отсутствии логов.
На экспе есть, но хотелось бы иметь резервные жабы на тех ресурсах, которым доверяешь.
 
Привет.
В качестве инфо для всех. XEP-0280 - это message carbons или же в случае ejabberd'a - модуль mod_carboncopy, сорц модуля. Message Carbons отправляет сообщение на несколько подключенных устройств. Если вы в одну и ту же жабу зашли с компа, с дедика и с телефона, при включенном Message Carbons он отправит сообщения на все 3 устройства. Если же Message Carbons выключен, сообщение уйдет только на одно устройство, первое и с наибольшим выставленным приоритетом.
Почему я выключил XEP-0280. Там есть узкие места в плане возможности логгирования сообщения. И особенно в плане безопасности. Если жабу угоняют/снифают пароль/что угодно, атакующий будет получать полный дубль происходящего, а реальный владелец жабы даже не будет знать об этом.
 
admin сказал(а):
Привет.
В качестве инфо для всех. XEP-0280 - это message carbons или же в случае ejabberd'a - модуль mod_carboncopy, сорц модуля. Message Carbons отправляет сообщение на несколько подключенных устройств. Если вы в одну и ту же жабу зашли с компа, с дедика и с телефона, при включенном Message Carbons он отправит сообщения на все 3 устройства. Если же Message Carbons выключен, сообщение уйдет только на одно устройство, первое и с наибольшим выставленным приоритетом.
Почему я выключил XEP-0280. Там есть узкие места в плане возможности логгирования сообщения. И особенно в плане безопасности. Если жабу угоняют/снифают пароль/что угодно, атакующий будет получать полный дубль происходящего, а реальный владелец жабы даже не будет знать об этом.
Соглашусь. Это если не использовать шифрование. При омемо / pgp этот вопрос решается методом шифрования.
По-поводу снифа пароля - разве он возможен при использовании SSL? Если только MITM атакой, но нужно куда-то встраиваться между клиентом и сервером.

Хотя в целом - без использования шифрования этот модуль опасен, если жаба угнана.
Хотя если жаба угнана, думаю опасно может быть все что угодно.

Практика показывает, что все, кто заботится о безопасности - используют шифрование. А те, кому насрать, используют ТГ в своей работе. Ну или xmpp.jp или jabber.ru без привнота. Поэтому карбонс для таких товарищей не проблема безопасности)
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх