Пароли Ejabberd хранятся в декодируемом виде

[AoW]

Вообще смущает и сам факт возможности расшифровки, и реализация данной функции -)

[AoW]

Это да, но кто дает гарантии что ключ действительно секьюрен? Ведь на публичных сервисах админы зачастую сидят с админских JID's, вероятность угона которого остается -)

[AoW]

Как вариант, но суровые реалии далеки от всего этого -)

[GreyCat]

Если посмотреть на стандарт XMPP, и при этом не забыть о наличии огромного наследства под названием Jabber, то для написания сервера, который будет это всё поддерживать одновременно, придется хранить пароли в открытом виде. Так делал изначально и jabberd 1 (который сейчас 1.4), так делает и jabberd 2, так делает и ejabberd.

На сайте ejabberd есть даже соответствующий пункт в FAQ.

При всём прочем, стоит напомнить, что никто не мешает использовать в качестве БД пользователей любую существующую БД, в том числе с любым существующим механизмом проверки паролей (в ущерб широты поддержки методов авторизации, конечно). Я более, чем уверен, что ни в Яндексе, ни в Google, ни где либо еще, никто не использует встроенную в ejabberd базу пользователей — ее зацепляют в какую-нибудь БД, LDAP или еще какой-то внешний аутентификатор.

[AoW]

Кстати говоря, пароль в дефолтной бд Ejabberd каким-то образом шифруется. А что касается крупных публичных сервисов, то точно могу сказать что администраторы сервера jabber.ru могут запросить пароль любого пользователя (но у меня нет достоверной информации об используемой на данном сервере бд, к сожалению). Это как пример -)

[Osipov]

В принципе ситуацию желательно исправить. Хотя по большому счету ничего страшного нет даже при взломе админского аккаунта — пароли придется выковыривать вручную, что является очень трудоемким и требующим времени занятием.

[Nikon_NLG]

Если Вы откроете passwd.dcd, то там все пароли лежат почти что в plain text — по крайней мере я читаю их без проблем.
Это несекурно, но иногда полезно.

[mou]

Упомянутый тут Яндекс наврядли хранит пароли на Jabber сервере :) Они используют Single Sign On «Я.Паспорт», поэтому скорее всего Yabberd аутиентифицирует сторонней службой. По крайней мере мне такое кажется логичным

[ChildrenofkoRn]

естественно, аккаунт то по сути один, для почта\jabber\etc

[inkvizitor68sl]

я даже больше скажу — он их хранит в открытом текстовом виде в XML файлике. Только тут есть и плюсы и минусы. Например как писали выше — упрощается переход с сервера на сервер.

[Osipov]

Пароль при переходе не так сложно и сменить, а уровень безопасности повысится несомненно.

[ableev]

То, что он хранится для администратора сервера в открытом виде — не слишком большая потеря.
Выход: использовать свой сервер, что, собственно, и делают те кто боится потерять свой JID, или использовать проверенный сервер, вроде jabber.ru.
От себя добавлю только, что на своем сервере, который работает ejabberd'е, у меня не возникало желания смотреть пароли пользователей :) Это всего лишь JID, и даже не аська, которую все стремятся купить\продать.

[impass]

перенесли бы в блог Jabber

[EKrava]

если бы внимательно читали XEP-0227. который собственно позволяет делать export/import пользователей с сервера на сервер. у вас бы это не вызывало таких вопросов.
OpenFire кстати тоже поддерживает XEP-0227. и пароли там в открытом виде да.

[AlexeyK]

администраторы могут, и могли это очень давно, тут уже сказали про возможность использования сторонних средств хранения данных и способах аутентификации, но дело еще в том, что администратор может и переписку перехватывать и так далее, но это опять же очень просто реализовать, и никому не понадобится логиниться под вашим паролем :-) и еще, почему-то в phpbb хранятся только хеши паролей, однако это не спасало от проблем недавнего прошлого :-)

[inetstar]

В этом посте показан скриншот некого инструмента администрирование ejabberd.
Не подскажите ли, что это за программа?

[Osipov]

Это окно дискаверинга сервисов QIP Infium/Miranda IM. Вообще большинство Jabber-клиентов обладают подобным функционалом.