[technique] Serveur de messagerie instantanée Jabber opérationnel !

Baptiste Jonglez baptiste at bitsofnetworks.org
Jeu 5 Fév 15:00:57 CET 2015


On Thu, Feb 05, 2015 at 02:46:17PM +0100, Emmanuel Thierry wrote:
> 
> Le 5 févr. 2015 à 12:42, Baptiste Jonglez a écrit :
> 
> > Salut,
> > 
> > On Thu, Feb 05, 2015 at 12:01:57PM +0100, Ludovic Pouzenc wrote:
> >> Laurent Guerby m'a suggéré l'utilité potentielle d'un serveur jabber pour
> >> l'asso et bref, il est né et est éventuellement bien configuré
> >> <https://xmpp.net/result.php?domain=tetaneutral.net&type=client>. Il faut
> >> savoir qd même que les passwd sont stockés en clair sur le serveur. C'est
> >> pas le seul choix, mais ça permet de gérer les différents modes de chalenge
> >> / response pour l'authentification.
> > 
> > Bonne idée :)  Il y a eu des étapes difficiles, que tu as documenté
> > quelque part ?  Il paraît que c'est relativement simple à mettre en place
> > et on trouve de la doc un peu partout, mais on ne sait jamais.
> > 
> > En revanche, stocker les mots de passe en clair, c'est pas génial.  Tu as
> > une idée de la proportion des clients qui ne supportent pas encore SCRAM ?
> > Quelques références :
> > 
> >  http://prosody.im/doc/plain_or_hashed
> >  http://wiki.xmpp.org/web/Plain_Stupid
> >  http://mail.jabber.org/pipermail/operators//2014-April/002273.html
> > 
> > Par contre, je n'ai pas trouvé de comparatif des clients avec les méthodes
> > d'authentification qu'ils supportent, ce serait intéressant à avoir.
> 
> Le mieux pour l'authentification, quel que soit le service, reste l'authentification PLAIN over TLS.

Il y a bien mieux : les méthodes à base de challenge-response, où le mot
de passe ne circule pas en clair, et où l'opérateur du serveur n'a pas à
stocker le mot de passe en clair.  Ça s'appelle SCRAM :

  http://en.wikipedia.org/wiki/Salted_Challenge_Response_Authentication_Mechanism

Faire du PLAIN over TLS, c'est s'exposer à un man-in-the-middle, à qui le
client donnerait son mot de passe en clair.

> Ce qui permet de stocker les mots de passe sous le format qui te plaît (en particulier Salted SHA) tout en protégeant leur confidentialité.
> Ne vous compliquez pas la vie, faites du TLS, même si cela impose que les utilisateurs ajoutent une nouvelle AC chez eux...

Quoi qu'il arrive, il *faut* faire du TLS pour XMPP, ça apporte au moins
la confidentialité des communications.  Pour l'authentification, vu ça se
base sur le mécanisme de CA, c'est plus difficile de faire confiance au
système...

> Cordialement
> Emmanuel Thierry
> 
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 819 octets
Desc: non disponible
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20150205/946cee30/attachment.sig>


Plus d'informations sur la liste de diffusion technique