是否可以使用Strophe使用匿名用户创建新用户(带内注册.js如以下示例所示:http://groups.google.com/group/strophe/browse_thread/thread/a0e15ae226b91a3a?fwc=1 .我设法仅使用现有帐户注册新用户(作为普通的"非管理员"用户(。这是明火安全问题吗?我匿名连接:
connection.connect("server.local", null, onConnect);
服务器返回:
<iq xmlns="" type="error" id="reg2" to="7711fc7f@server.local/7711fc7f">
<query xmlns="jabber:iq:register">
<username>user</username>
<password>abc</password>
</query>
<error code="400" type="modify">
<bad-request xmlns="urn:ietf:params:xml:ns:xmpp-stanzas"/>
</error>
</iq>
如果我与注册用户连接,它可以正常工作,我可以创建其他用户。允许从专用用户帐户(例如register@server.local((没有管理员权限(注册是否不安全?
我设法仅使用现有帐户注册新用户(作为 普通"非管理员"用户(。这是明火安全问题吗?
这取决于你的观点 - 如果这是你想要的,不,这不是安全问题。如果要将帐户创建限制为部署中的管理员,是的。Openfire 应该有配置参数来控制谁可以创建帐户(尽管在某些版本中这些控件根本不起作用 - 这是一个安全问题!
周围有已知的脚本,它们会主动发现并注册具有开放注册的服务器上的帐户。有些人(尤其是像 jabber.org 这样的大型目标(选择完全禁用带内注册,而另一些人只是对它施加每个IP的速率限制。还有一个规范 (XEP-0158( 用于将 CAPTCHA 发送到客户端进行带内注册,但对此的支持还远非普遍。
服务器返回:
你给出的错误节有xmlns="",这对我来说很可疑。它应该是"jabber:client",但似乎Openfire无论如何都理解它。
您也可以尝试将请求的"to"地址设置为您尝试注册的主机(例如 to='example.com'注册"user@example.com"时(。如果您已经将"to"设置为,请尝试不使用它。在这一点上,我看到了对规范的不同解释。