rapture 01.08.2011 15:03 unknown

Интересно, зная jid, можно ли в псто писать от имени другого пользователя.

#gshon
re 26 comments !recommend ~bookmark Ssubscribe
1. werehuman 01.08.2011 15:03 Psi+

можно. Но я не скажу как

#gshon/1
rereply
2. rapturewerehuman /1 01.08.2011 15:03 unknown

значит нельзя

#gshon/2
rereply
3. werehumanrapture /2 01.08.2011 15:04 Psi+

умница

#gshon/3
rereply
4. utros 01.08.2011 15:04 Adium

Чисто теоретически можно, на практике это могут делать только боги пстача :3

#gshon/4
rereply
5. rapturewerehuman /3 01.08.2011 15:04 unknown

тогда что дополнительно идентифицирует клиента?

#gshon/5
rereply
6. utrosutros /4 01.08.2011 15:05 Adium

Ну и те, кто имеет доступ к жабер-аккаунту с которого пишут :)

#gshon/6
rereply
7. werehumanrapture /5 01.08.2011 15:05 Psi+

в жаббере — жид в базе данных. В вебе — логин-пароль

#gshon/7
rereply
8. rapturewerehuman /7 01.08.2011 15:06 unknown

везде жыды

#gshon/8
rereply
9. rapturewerehuman /7 01.08.2011 15:06 unknown

Ну и пошлю я xml где скажу, что я верихуйман@совойсервер.

#gshon/9
rereply
10. raptureutros /6 01.08.2011 15:08 unknown

Ясно, что пользователя жабира перед жабирсервером идентифицирует логин-пароль. А вот что пользователя одного жида перед другим...

#gshon/10
rereply
11. werehumanrapture /9 01.08.2011 15:08 Psi+

айлолд. Тебя зарежет ещё твой же жаббер-сервер

#gshon/11
rereply
12. rapturewerehuman /11 01.08.2011 15:09 unknown

а если не зарежет? ты што, pingflood никогда не делал?

#gshon/12
rereply
13. werehumanrapture /12 01.08.2011 15:09 Psi+

werehuman at jabber.ru. Валяй от моего имени постить.

#gshon/13
rereply
14. rapturewerehuman /13 01.08.2011 15:10 unknown

мог бы просто сказать, что ты хуй и не знаешь.

#gshon/14
rereply
15. werehumanrapture /14 01.08.2011 15:10 Psi+

я знаю точно, что зарежет

#gshon/15
rereply
16. rapturewerehuman /15 01.08.2011 15:11 unknown

охохо, съеби уж отсюда наконец.

#gshon/16
rereply
17. werehumanrapture /16 01.08.2011 15:11 Psi+

нет не съебу. Ну попробуй хоть какую-нибудь станзу от моего имени отправить.

#gshon/17
rereply
18. rapturewerehuman /17 01.08.2011 15:14 unknown

Для этого надо поднять свой жабир-сервер и модифицировать код, чтобы не проверял жид. Вопрос в том, не отправит ли аутентификационный ответ реципиент на отреверсенный днс, и не пошлет ли его настоящий сервер.

#gshon/18
rereply
19. werehumanrapture /18 01.08.2011 15:14 Psi+

то есть ты думаешь, что за 16 лет существования xmpp никто и подумать не мог о существовании подобной дыры?

#gshon/19
rereply
20. rapturewerehuman /19 01.08.2011 15:18 unknown

ты не ответил на вопрос.

#gshon/20
rereply
21. werehumanrapture /20 01.08.2011 15:19 Psi+

да и там тебя зарежут. Везде твою инъекцию порежут.

#gshon/21
rereply
22. rapturewerehuman /21 01.08.2011 15:20 unknown

это не иньекция

#gshon/22
rereply
23. utrosrapture /9 01.08.2011 15:27 Adium

И тебя пошлют, ибо SSL и dialback.

#gshon/23
rereply
24. raptureutros /23 01.08.2011 15:28 unknown

а без сосла?

#gshon/24
rereply
25. utrosrapture /10 01.08.2011 15:28 Adium

Сервера

#gshon/25
rereply
26. utrosrapture /24 01.08.2011 15:32 Adium

Тогда просто на Dialback напорешься.

#gshon/26
rereply
Do you really want to delete ?