Привет, дорогие Хабраюзеры!
В последнее время замечаю очень много постов в разделе «Информационная безопасность», посвященных хранению/составлению паролей.
Не так давно установил свежую версию Ejabberd — свободного, распределённого и устойчивого к отказам XMPP-сервера. Сам сервер достаточно функционален, гибок и удобен в настройке. Однако, меня поразил тот факт что администратор сервера может запросить пароль любого пользователя в открытом виде (!):
Лично мне кажется это не совсем нормальным, должна быть возможность только сбросить пароль (OpenFire как раз позволяет только это), но не в коем случае нельзя реализовывать показ пароля в открытом виде. Следует отметить, что Ejabberd используется на очень многих публичных бесплатных сервисах, в том числе сервис компании Яндекс Я.Онлайн работает на модифицированной версии под названием «Yabberd» (а пароль от учетной записи на ya.ru есть пароль от почты и других сервисов Яндекса), Jabber.ru (крупнейший сервер в России) и многих других.
XMPP (Jabber) должен быть самым безопасным протоколом мгновенного обмена сообщениями и, безусловно, разработчики такого функционального и распространенного сервера должны обратить внимание на данный факт.
В последнее время замечаю очень много постов в разделе «Информационная безопасность», посвященных хранению/составлению паролей.
Не так давно установил свежую версию Ejabberd — свободного, распределённого и устойчивого к отказам XMPP-сервера. Сам сервер достаточно функционален, гибок и удобен в настройке. Однако, меня поразил тот факт что администратор сервера может запросить пароль любого пользователя в открытом виде (!):
Лично мне кажется это не совсем нормальным, должна быть возможность только сбросить пароль (OpenFire как раз позволяет только это), но не в коем случае нельзя реализовывать показ пароля в открытом виде. Следует отметить, что Ejabberd используется на очень многих публичных бесплатных сервисах, в том числе сервис компании Яндекс Я.Онлайн работает на модифицированной версии под названием «Yabberd» (а пароль от учетной записи на ya.ru есть пароль от почты и других сервисов Яндекса), Jabber.ru (крупнейший сервер в России) и многих других.
XMPP (Jabber) должен быть самым безопасным протоколом мгновенного обмена сообщениями и, безусловно, разработчики такого функционального и распространенного сервера должны обратить внимание на данный факт.