Интересно, зная jid, можно ли в псто писать от имени другого пользователя.
можно. Но я не скажу как
значит нельзя
умница
Чисто теоретически можно, на практике это могут делать только боги пстача :3
тогда что дополнительно идентифицирует клиента?
Ну и те, кто имеет доступ к жабер-аккаунту с которого пишут :)
в жаббере — жид в базе данных. В вебе — логин-пароль
везде жыды
Ну и пошлю я xml где скажу, что я верихуйман@совойсервер.
Ясно, что пользователя жабира перед жабирсервером идентифицирует логин-пароль. А вот что пользователя одного жида перед другим...
айлолд. Тебя зарежет ещё твой же жаббер-сервер
а если не зарежет? ты што, pingflood никогда не делал?
werehuman at jabber.ru. Валяй от моего имени постить.
мог бы просто сказать, что ты хуй и не знаешь.
я знаю точно, что зарежет
охохо, съеби уж отсюда наконец.
нет не съебу. Ну попробуй хоть какую-нибудь станзу от моего имени отправить.
Для этого надо поднять свой жабир-сервер и модифицировать код, чтобы не проверял жид. Вопрос в том, не отправит ли аутентификационный ответ реципиент на отреверсенный днс, и не пошлет ли его настоящий сервер.
то есть ты думаешь, что за 16 лет существования xmpp никто и подумать не мог о существовании подобной дыры?
ты не ответил на вопрос.
да и там тебя зарежут. Везде твою инъекцию порежут.
это не иньекция
И тебя пошлют, ибо SSL и dialback.
а без сосла?
Сервера
Тогда просто на Dialback напорешься.
можно. Но я не скажу как
значит нельзя
умница
Чисто теоретически можно, на практике это могут делать только боги пстача :3
тогда что дополнительно идентифицирует клиента?
Ну и те, кто имеет доступ к жабер-аккаунту с которого пишут :)
в жаббере — жид в базе данных. В вебе — логин-пароль
везде жыды
Ну и пошлю я xml где скажу, что я верихуйман@совойсервер.
Ясно, что пользователя жабира перед жабирсервером идентифицирует логин-пароль. А вот что пользователя одного жида перед другим...
айлолд. Тебя зарежет ещё твой же жаббер-сервер
а если не зарежет? ты што, pingflood никогда не делал?
werehuman at jabber.ru. Валяй от моего имени постить.
мог бы просто сказать, что ты хуй и не знаешь.
я знаю точно, что зарежет
охохо, съеби уж отсюда наконец.
нет не съебу. Ну попробуй хоть какую-нибудь станзу от моего имени отправить.
Для этого надо поднять свой жабир-сервер и модифицировать код, чтобы не проверял жид. Вопрос в том, не отправит ли аутентификационный ответ реципиент на отреверсенный днс, и не пошлет ли его настоящий сервер.
то есть ты думаешь, что за 16 лет существования xmpp никто и подумать не мог о существовании подобной дыры?
ты не ответил на вопрос.
да и там тебя зарежут. Везде твою инъекцию порежут.
это не иньекция
И тебя пошлют, ибо SSL и dialback.
а без сосла?
Сервера
Тогда просто на Dialback напорешься.