익명 로그인을 사용하는 xmpp 서버를 사용하고 있습니다.XMPP의 익명 로그인이 보안 위반입니까
감사합니다.
"보안 위반"을 정의하는 방법에 따라 다릅니다. 첫째,이 토론에서는 개방형 등록과 익명 로그인이 가능한 XMPP 서비스간에 차이가 없습니다. 잠재적 인 악의적 인 사용자에게 XMPP 서비스를 독점하여 서비스 품질을 떨어 뜨릴 수있는 기회를 제공합니다 (또는 다른 사용자가 서비스를 사용할 수없는 경우). 그러한 시도에 대응하고, 누군가가 XMPP 서비스를 스탠자 (stanza)로 "범람"하더라도 신뢰할 수있는 서비스를 제공하는 것은 서버 구현에 달려 있습니다.
서비스에 자유롭게 액세스 할 수 있는지, 즉 모든 사용자가 해당 서비스에 자유롭게 액세스 할 수 있는지 또는 서비스가 선택한 그룹의 사용자 만 사용할 수 있는지 구분할 수 있습니다. 기업 네트워크 내에서.
보안 자체가 익명 로그인이 아닌가요? 침입자가 서버에 액세스 할 수 없다는 것은 불가능합니다.
Answer to your both questions 1 and 2. 아니요, 위반 사항이 아닙니다. 익명 성은 사이버 세상에서 사용자 개인 정보 보호의 훌륭한 선택 서비스 중 하나입니다. 시스템에 잘못된 일을 한 익명의 나쁜 사용자를 추적하여 처벌 할 수 없다면 보안에 위배되지 않습니다. 당신은 그 일에 책임을지지 않습니다. 익명 성은 공격자가 denial-of-service 또는 서버에 대한 다른 공격을 수행하도록 권한을 부여하지 않습니다. 어쨌든 공격자는 똑똑한 방법으로 공격하여 자신을 익명으로 만듭니다. you must not use this as an excuse to incur a cost on all users by taking away the chance of anonymity. 따라서 첫 번째 질문에 대한 대답은 익명 성 제공이 서비스에 전혀 부정적인 영향을 미치지 않는다는 것입니다.
인스턴트 메신저 애플리케이션을 선택해야하는 경우 익명으로 채팅 할 수 있으며 관리자 (정부)가 내 개인 메시지을 읽을 수 없다는 점에서 개인적으로 채팅 할 수 있습니다. 인스턴트 메시징 응용 프로그램의 경우 사용자의 개인 정보 보호 문제와 요구 사항을 이해해야합니다. 당신은 XMPP 작업 할
, 그것은 XMPP와 함께 완벽하게 작동 this awesome Off-the-Record messsaging (OTR) 프로토콜에서 살펴 본다 가치가있다, 그리고 할 수 있습니다 사용자 (그리고 당신이 관리자로) 더 서로를 인증하고 메시지를 보낼 수 있도록 개인적으로 당신이 관리자로서 읽을 수 없도록하십시오. 워털루 대학교 (University of Waterloo) 연구 그룹이 개발 한이 암호 확장에는 많은 아름다움이 있습니다. 좋은 점은 XMPP 서버 공급자가 OTR을 지원하기 위해 아무 것도 할 필요가 없다는 것입니다. 이미 많은 플랫폼에서 사용할 수 있습니다. OTR은 모든 XMPP 노드와 서버를 통해 자연스럽게 작동합니다. This은 OTR을 통합 한 샘플 프로젝트 인 android XMPP 클라이언트 앱입니다. OpenFire은 모르게 OTR 확장 작업을 허용하는 샘플 XMPP IM 서버입니다. 모든 IM 서버는 OTR 메시지를 허용해야합니다.
또한 제안 : 개인 정보 보호 놀 장난감이 아니다. Google 개발자는 개인 정보 보호에 적합한 솔루션을 제공해야합니다.우리는 율리안 어쌔지가 지금 고통 받고있는 이유를 알아야합니다. Cypherpunks 움직임이 무엇입니까? TOR network, IM 응용 프로그램 용 OTR 및 기타 진행중인 많은 프로젝트가 있습니다. - 인스턴트 메시지를 읽을 수있는 다른 아무도
암호화 :
다음은 XMPP에 OTR 가능한이 제공하는 보안 서비스입니다.
인증 - 귀하는 자신이 누구인지 확신 할 수 있습니다.
deniability - 보내는 메시지에 제 3자가 확인할 수있는 디지털 서명이 없습니다. 누구나 대화 후 메시지를 위조하여 자신이 보낸 것처럼 보이게 할 수 있습니다. 그러나 대화하는 동안 상대방은 본격적인 메시지와 수정되지 않은 메시지를 보냅니다.
완벽한 전달 비밀 - 개인 키를 제어 할 수 없으면 이전 대화가 손상되지 않습니다. 및 많은 다른 멋진 프로젝트가 잠깐의 가치가 있습니다. 그들은 시민들이 사적인 데이터 통신을 할 수 있어야한다는 생각을 옹호합니다. - 인스턴트 메시지를 읽을 수있는 다른 아무도
암호화 :
다음은 XMPP에 OTR 가능한이 제공하는 보안 서비스입니다.
인증 - 귀하는 자신이 누구인지 확신 할 수 있습니다.
deniability - 보내는 메시지에 제 3자가 확인할 수있는 디지털 서명이 없습니다. 누구나 대화 후 메시지를 위조하여 자신이 보낸 것처럼 보이게 할 수 있습니다. 그러나 대화하는 동안 상대방은 본격적인 메시지와 수정되지 않은 메시지를 보냅니다.
완벽한 전달 비밀 - 개인 키를 제어 할 수 없으면 이전 대화가 손상되지 않습니다.
감사합니다. 인증 단계를 추가하고 아래 옵션을 고려할 계획입니다 .1 익명 로그인 중에 인증 단계를 추가하십시오. 그러나 이것은 내 서버가 순수한 xmpp 표준을 구현하지 않을 것임을 의미합니다. 2 쿠키 검사를 추가하지만 비 웹 클라이언트에는 사용할 수 없습니다. 이것들은 좋은 접근법처럼 보입니까? – Chinta