Openfire : Openfire 서버에 익명으로 SASL 사용자를 생성하십시오.

Question

예 : http://groups.google.com/group/strophe/browse_thread/thread/a0e15ae226b91a3a?fwc=1과 같이 Strophe.js를 사용하여 익명 사용자를 사용하여 새로운 사용자 (대역 내 등록)를 만들 수 있습니다. 나는 기존 사용자 계정으로 만 새 사용자를 등록 할 수있었습니다 (정상적인 "관리자가 아닌 사용자"로). 그게 화제가되고있는 보안 문제입니까?

connection.connect("server.local", null, onConnect); 

서버 반환 :

<iq xmlns="" type="error" id="reg2" to="7711fc7f@server.local/7711fc7f"> 
    <query xmlns="jabber:iq:register"> 
     <username>user</username> 
     <password>abc</password> 
    </query> 
    <error code="400" type="modify"> 
     <bad-request xmlns="urn:ietf:params:xml:ns:xmpp-stanzas"/> 
    </error> 
</iq> 

I가 등록 된 사용자와 연결하면 잘 작동하고 나는 다른 사용자를 생성 할 수 있습니다 내가 사용하여 익명으로 연결되어 있습니다. 전용 사용자 계정에서 register@server.local (관리자 권한 없음)이라는 등록을 허용하는 것이 안전하지 않습니까?

Answer 1

나는 기존 계정으로 만 신규 사용자를 등록 할 수있었습니다 ( 정상 "비 관리자"사용자). 그게 화제가되고있는 보안 문제입니까?

이것은 사용자의 관점에 따라 다릅니다. 원하는 경우 보안 문제가 아닙니다. 배포에서 계정 생성을 관리자로 제한하려면 예입니다. Openfire에는 누가 계정을 만들 수 있는지 제어 할 수있는 구성 매개 변수가 있어야합니다. (일부 버전에서는 이러한 컨트롤이 작동하지 않습니다. 은으로 보안 문제가 있습니다!).

공개 등록이있는 서버의 계정을 적극적으로 검색하고 등록하는 알려진 스크립트가 있습니다. 일부 사람들 (특히 jabber.org와 같은 대규모 대상)은 대역 내 등록을 완전히 비활성화하는 반면 다른 사람들은 IP 당 속도 제한 제한을 적용하기 만합니다. 대역 내 등록을 위해 클라이언트에 전송할 CAPTCHAs에 대한 사양 (XEP-0158)도 있지만이 문제에 대한 지원은 아직 보편적입니다.

서버 반환 : 당신이 준

오류 스탠자 내 눈을 의심 xmlns=""을 가지고 있습니다. 그것은 "재버 : 클라이언트"이어야하지만, Openfire는 어쨌든 그것을 이해하는 것 같습니다.

등록하려는 호스트의 '받는 사람'주소 (예 : 'user@example.com'등록시 to='example.com')를 설정할 수도 있습니다. 이미 '에'설정하고 있다면 그것을하지 않고 시도하십시오. 이 시점에서 스펙에 대한 다른 해석을 보았습니다.