?

Log in

No account? Create an account
Jabber/XMPP по-русски
Проверка на невидимость в джаббере? 
14-01-08 17:22
g
Кто что думает по этому поводу?
http://antonm.livejournal.com/327262.html

UPD: По ходу действительно боян, но боян малоизвестный.
Security Considerations

For security concerns related to privacy lists, refer to RFC 3921. Care must be taken regarding privacy lists, especially so that visibility/invisibility rules do not overwrite existing rules the user has set for the sake of security and privacy; for details, see the Implementation Notes section of this document.

It is important to recognize that invisibility can be defeated without more advanced privacy lists than those defined above and an awareness of context on the part of a client. For example, if a user usually logs in as the same resource (e.g., "Home"), a contact can send an IQ request to that resource's full JID using Last Activity [3], Service Discovery [4], Entity Time [5], or Software Version [6] and receive a reply, thus providing information that reveals the user's availability. In addition, Last Activity requests sent by a subscribed contact to the user's bare JID will normally reveal the user's availability as well. To help ensure that the user's invisibility cannot be defeated in this way, the user's client SHOULD add IQ blocking to the relevant privacy list. Finally, the user's client SHOULD NOT return "is-composing" events as defined in Message Events [7] or Chat State Notifications [8].
Comments 
14-01-08 15:44
Элементарно, боян. Просто этот человек реализовал.
14-01-08 15:55
что именно он реализовал и как это работает?
14-01-08 16:38
Ну посылают один iq запрос не на jid, а на jid/resource. Если клиент отвечает, то значит онлайн.
14-01-08 15:56
То есть, никакой невидимости в джаббере нет, как и в ацке?
14-01-08 16:38
Ну сделай себе ресурс рандомный, и никто тебя не увидит.
14-01-08 18:07
в том же гмыле после ресурса рандомное число ставится
14-01-08 15:56
я сейчас бегло просмотрел спеки и так с ходу не нашёл, как там можно подкопаться, при условии, что и сервак, и клиент не дырявые.

а вообще, как мне кажется, следовало бы не только делать эксплоит, но и сообщить, в чём собственно проблема протокола, и как от неё избавиться (при условии, что проблема действительно есть)
(Удалённый комментарий)
14-01-08 16:31 - Re: фуфло
Но ведь палево же!..
14-01-08 16:36 - Re: фуфло
А как ты узнаешь ресурс пользователя не имея его в ростере?
14-01-08 16:45 - Re: фуфло
Как это "не имея в ростере"? Речь ведь идет о проверке инвизибла, что подразумевает, что пользователь в ростере есть.
14-01-08 16:36 - фуфел
ха-ха. лажа полная, простой iq запрос, но статус твой никто не узнает. просто зная ресурс юзера, всегда можно узнать версию его клиента или тот же пинг. так вот оно и реализовано. если ответ от клиента не поступает, то значит юзер в оффлайне,а если поступает, значит в онлайне(инвизибле).
Берём того же sulci и пишем version или ping user@jabber.org/resource.
14-01-08 17:09
Во-первых, presence probes вообще в стандарте описаны, во-вторых, действительно отдельного состояния «invisible» в RFC не описывается - но есть privacy lists, которые за это отвечают.

Могут ли работать privacy lists в условиях отдельно взятого ресурса - не уточнял.
14-01-08 17:14
Уточнил - в пределах сессии можно устанавливать отдельные списки, т.е. умеют.
14-01-08 17:22
То есть, после ухода в инвизибл надобно еще дополнительно ставить privacy list, в котором будут запрещены iq запросы?
This page was loaded май 27 2019, 2:21 pm GMT.