0

http://groups.google.com/group/strophe/browse_thread/thread/a0e15ae226b91a3a?fwc=1 . _ 既存のアカウントのみで新しいユーザーを登録することができました(通常の「管理者ではない」ユーザーとして)。それはオープンファイアのセキュリティ問題ですか?以下を使用して匿名で接続しました:

 connection.connect("server.local", null, onConnect);

サーバーは以下を返します。

 <iq xmlns="" type="error" id="reg2" to="7711fc7f@server.local/7711fc7f">
    <query xmlns="jabber:iq:register">
        <username>user</username>
        <password>abc</password>
    </query>
    <error code="400" type="modify">
        <bad-request xmlns="urn:ietf:params:xml:ns:xmpp-stanzas"/>
    </error>
</iq>

登録済みのユーザーと接続すると正常に動作し、他のユーザーを作成できます。register@server.local などの専用ユーザー アカウント (管理者権限なし) からの登録を許可するのは安全ではありませんか?

4

1 に答える 1

2

既存のアカウントのみで新しいユーザーを登録することができました(通常の「管理者ではない」ユーザーとして)。それはオープンファイアのセキュリティ問題ですか?

これはあなたの視点に依存します-それがあなたの望むものなら、いいえ、それはセキュリティ上の問題ではありません. アカウントの作成を展開内の管理者に制限したい場合は、そうです。Openfire には、誰がアカウントを作成できるかを制御する構成パラメーターが必要です (ただし、一部のバージョンでは、これらの制御が単に機能しない場合があります。これはセキュリティ上の問題でした!)

オープン登録を使用して、サーバー上のアカウントをアクティブに検出して登録する既知のスクリプトがあります。一部の人々 (特に jabber.org のような大規模なターゲット) は、インバンド登録を完全に無効にすることを選択しますが、他の人は単純に IP ごとのレート制限を設定します。インバンド登録のためにCAPTCHAをクライアントに送信するための仕様 ( XEP-0158 )もありますが、これに対するサポートはまだ普遍的ではありません。

サーバーは以下を返します。

あなたが与えたエラースタンザにはxmlns=""、私の目には疑わしいものがあります。「jabber:client」のはずですが、Openfire はそれを理解したようです。

登録しようとしているホストへのリクエストの「宛先」アドレスを設定することもできます (たとえばto='example.com'、「user@example.com」を登録する場合)。すでに「to」を設定している場合は、それなしで試してください。この点に関して、仕様の異なる解釈を見てきました。

于 2012-05-02T23:27:22.367 に答える