Пароли Ejabberd хранятся в декодируемом виде

    Привет, дорогие Хабраюзеры!
    В последнее время замечаю очень много постов в разделе «Информационная безопасность», посвященных хранению/составлению паролей.
    Не так давно установил свежую версию Ejabberd — свободного, распределённого и устойчивого к отказам XMPP-сервера. Сам сервер достаточно функционален, гибок и удобен в настройке. Однако, меня поразил тот факт что администратор сервера может запросить пароль любого пользователя в открытом виде (!):
    image
    Лично мне кажется это не совсем нормальным, должна быть возможность только сбросить пароль (OpenFire как раз позволяет только это), но не в коем случае нельзя реализовывать показ пароля в открытом виде. Следует отметить, что Ejabberd используется на очень многих публичных бесплатных сервисах, в том числе сервис компании Яндекс Я.Онлайн работает на модифицированной версии под названием «Yabberd» (а пароль от учетной записи на ya.ru есть пароль от почты и других сервисов Яндекса), Jabber.ru (крупнейший сервер в России) и многих других.
    XMPP (Jabber) должен быть самым безопасным протоколом мгновенного обмена сообщениями и, безусловно, разработчики такого функционального и распространенного сервера должны обратить внимание на данный факт.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 20

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        Вообще смущает и сам факт возможности расшифровки, и реализация данной функции -)
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            Это да, но кто дает гарантии что ключ действительно секьюрен? Ведь на публичных сервисах админы зачастую сидят с админских JID's, вероятность угона которого остается -)
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                Как вариант, но суровые реалии далеки от всего этого -)
          +7
          Если посмотреть на стандарт XMPP, и при этом не забыть о наличии огромного наследства под названием Jabber, то для написания сервера, который будет это всё поддерживать одновременно, придется хранить пароли в открытом виде. Так делал изначально и jabberd 1 (который сейчас 1.4), так делает и jabberd 2, так делает и ejabberd.

          На сайте ejabberd есть даже соответствующий пункт в FAQ.

          При всём прочем, стоит напомнить, что никто не мешает использовать в качестве БД пользователей любую существующую БД, в том числе с любым существующим механизмом проверки паролей (в ущерб широты поддержки методов авторизации, конечно). Я более, чем уверен, что ни в Яндексе, ни в Google, ни где либо еще, никто не использует встроенную в ejabberd базу пользователей — ее зацепляют в какую-нибудь БД, LDAP или еще какой-то внешний аутентификатор.
            0
            Кстати говоря, пароль в дефолтной бд Ejabberd каким-то образом шифруется. А что касается крупных публичных сервисов, то точно могу сказать что администраторы сервера jabber.ru могут запросить пароль любого пользователя (но у меня нет достоверной информации об используемой на данном сервере бд, к сожалению). Это как пример -)
            0
            В принципе ситуацию желательно исправить. Хотя по большому счету ничего страшного нет даже при взломе админского аккаунта — пароли придется выковыривать вручную, что является очень трудоемким и требующим времени занятием.
              0
              Если Вы откроете passwd.dcd, то там все пароли лежат почти что в plain text — по крайней мере я читаю их без проблем.
              Это несекурно, но иногда полезно.
                0
                Упомянутый тут Яндекс наврядли хранит пароли на Jabber сервере :) Они используют Single Sign On «Я.Паспорт», поэтому скорее всего Yabberd аутиентифицирует сторонней службой. По крайней мере мне такое кажется логичным
                  +1
                  естественно, аккаунт то по сути один, для почта\jabber\etc
                  0
                  я даже больше скажу — он их хранит в открытом текстовом виде в XML файлике. Только тут есть и плюсы и минусы. Например как писали выше — упрощается переход с сервера на сервер.
                    0
                    Пароль при переходе не так сложно и сменить, а уровень безопасности повысится несомненно.
                    +1
                    То, что он хранится для администратора сервера в открытом виде — не слишком большая потеря.
                    Выход: использовать свой сервер, что, собственно, и делают те кто боится потерять свой JID, или использовать проверенный сервер, вроде jabber.ru.
                    От себя добавлю только, что на своем сервере, который работает ejabberd'е, у меня не возникало желания смотреть пароли пользователей :) Это всего лишь JID, и даже не аська, которую все стремятся купить\продать.
                      0
                      перенесли бы в блог Jabber
                        0
                        если бы внимательно читали XEP-0227. который собственно позволяет делать export/import пользователей с сервера на сервер. у вас бы это не вызывало таких вопросов.
                        OpenFire кстати тоже поддерживает XEP-0227. и пароли там в открытом виде да.
                          0
                          администраторы могут, и могли это очень давно, тут уже сказали про возможность использования сторонних средств хранения данных и способах аутентификации, но дело еще в том, что администратор может и переписку перехватывать и так далее, но это опять же очень просто реализовать, и никому не понадобится логиниться под вашим паролем :-) и еще, почему-то в phpbb хранятся только хеши паролей, однако это не спасало от проблем недавнего прошлого :-)
                            0
                            В этом посте показан скриншот некого инструмента администрирование ejabberd.
                            Не подскажите ли, что это за программа?
                              0
                              Это окно дискаверинга сервисов QIP Infium/Miranda IM. Вообще большинство Jabber-клиентов обладают подобным функционалом.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое