我一直在使用使用匿名登录的xmpp服务器。
感谢您的任何帮助。
答案 0 :(得分:0)
取决于您如何定义"违反安全规定"。首先,在此讨论中,开放注册和启用匿名登录的XMPP服务之间没有区别。但为潜在的恶意用户提供垄断XMPP服务的机会,以降低其服务质量(或者根本不为其他用户提供服务)。由服务器实现来对抗这种尝试并提供可靠的服务,例如,即使有人"泛滥"带有节的XMPP服务。
您可能还想区分这样的服务是否可以自由访问,即每个人都可以连接到该服务,或者该服务仅适用于选定的一组人,例如:在企业网络内。
答案 1 :(得分:0)
匿名登录本身是否违反了安全性?攻击者是否有可能获得对服务器的访问权
Answer to your both questions 1 and 2。不,这不是一个漏洞 - 匿名是网络世界中用户隐私的一个很好的可选服务。这不是对安全性的破坏,除非无法追踪并惩罚对您的系统做错事的匿名坏用户;你不会对此负责。匿名不会使攻击者能够对服务器进行denial-of-service或其他攻击。攻击者以聪明的方式进行攻击,无论如何都会使自己匿名,you must not use this as an excuse to incur a cost on all users by taking away the chance of anonymity。因此,您的第一个问题的答案是,提供匿名不会对服务产生负面影响。
如果我必须选择一个IM应用程序,我更喜欢选择允许我匿名的一个,并且能够私下聊天,因为管理员(以及政府)无法读取我的私信。对于Instant Messaging应用程序,您必须真正了解用户的隐私问题和需求。
您希望使用XMPP,值得看一下与XMPP完美配合的 this awesome Off-the-Record messsaging (OTR) 协议,并允许用户(而不是您作为管理员)进一步验证彼此并且能够私下发送消息,以便您作为管理员无法阅读。这个加密扩展由滑铁卢大学的研究小组开发,有很多美。好的是,作为XMPP服务器提供商,您不需要做任何事情来支持OTR;它已经在许多平台上可用。 OTR通过所有XMPP节点和服务器无缝地工作。 This是一个集成了OTR的示例项目android XMPP客户端应用程序。 OpenFire是一个示例XMPP IM服务器,它在不知不觉中允许OTR扩展工作。所有IM服务器都应该允许我认为的OTR消息。
进一步建议:隐私不是玩具。我们的开发人员真正负责提供隐私友好的解决方案。我们必须知道Julian Assange现在正在遭受什么样的痛苦,Cypherpunks运动带来了TOR network,IM申请的OTR以及许多其他正在进行的项目。
这些是OMP在XMPP上提供的安全服务:
加密 - 没有其他人可以阅读您的即时消息。
身份验证 - 您确信通讯员就是您认为的人。
拒绝 - 您发送的邮件没有可由第三方检查的数字签名。任何人都可以在谈话后伪造消息,使他们看起来像是来自你。但是,在对话过程中,您的通讯员可以确信他看到的信息是真实且未经修改的。
完美的前向保密 - 如果您失去对私钥的控制权,以前的会话就不会受到影响。 和许多其他令人敬畏的项目,值得一分钟的沉默。他们主张公民必须能够进行私人数据通信。
这些是OMP在XMPP上提供的安全服务:
加密 - 没有其他人可以阅读您的即时消息。
身份验证 - 您确信通讯员就是您认为的人。
拒绝 - 您发送的邮件没有可由第三方检查的数字签名。任何人都可以在谈话后伪造消息,使他们看起来像是来自你。但是,在对话过程中,您的通讯员可以确信他看到的信息是真实且未经修改的。
完美的前向保密 - 如果您失去对私钥的控制权,以前的会话就不会受到影响。