예 : http://groups.google.com/group/strophe/browse_thread/thread/a0e15ae226b91a3a?fwc=1과 같이 Strophe.js를 사용하여 익명 사용자를 사용하여 새로운 사용자 (대역 내 등록)를 만들 수 있습니다. 나는 기존 사용자 계정으로 만 새 사용자를 등록 할 수있었습니다 (정상적인 "관리자가 아닌 사용자"로). 그게 화제가되고있는 보안 문제입니까?Openfire : Openfire 서버에 익명으로 SASL 사용자를 생성하십시오.
connection.connect("server.local", null, onConnect);
서버 반환 :
<iq xmlns="" type="error" id="reg2" to="[email protected]/7711fc7f">
<query xmlns="jabber:iq:register">
<username>user</username>
<password>abc</password>
</query>
<error code="400" type="modify">
<bad-request xmlns="urn:ietf:params:xml:ns:xmpp-stanzas"/>
</error>
</iq>
I가 등록 된 사용자와 연결하면 잘 작동하고 나는 다른 사용자를 생성 할 수 있습니다 내가 사용하여 익명으로 연결되어 있습니다. 전용 사용자 계정에서 [email protected] (관리자 권한 없음)이라는 등록을 허용하는 것이 안전하지 않습니까?