Inicio

Nuevo ejabberd 1.0.0 - soporte completo de XMPP

Contenido archivado

El contenido de la web se encuentra archivado y no se podrá crear nuevo contenido. Más información.

Enviado por badlop el 16 December, 2005 - 22:38.
Tagged:

Fiel a su periodicidad semestral se ha publicado nueva versión de ejabberd: 1.0.0.

Las nuevas características añadidas desde la versión anterior permiten declarar que ejabberd cumple el protocolo XMPP por completo, tanto XMPP-Core como XMPP-IM. De hecho, ejabberd es el primer servidor Jabber libre con soporte completo de XMPP. Es por esta razón que la nueva versión de ejabberd se numera 1.0.0. Además, el mes pasado se cumplieron tres años desde que Alexey Shchepin escribiera las primeras líneas de código de ejabberd.

Algunos de los cambios:

  • Soporte de cifrado en conexiones servidor-a-servidor: STARTTLS + SASL_EXTERNAL y STARTTLS + Dialback. Esta característica es necesaria para cumplir XMPP. La conectividad con Google Talk probablemente la requiera también.
  • Se pueden definir certificados distintos para cada dominio virtual.
  • Ahora se puede añadir todos los usuarios a un Shared Roster Group.
  • Mejorado el soporte de ODBC.
  • Nueva herramienta para convertir una base de datos Mnesia a ODBC.
  • Soporte nativo de PostgreSQL.
  • La web de administración cumple un poco más del XHTML 1.0 Transitional.
  • La documentación se ha ampliado para cubrir más temas.

Más información:

Comentarios

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.

La conectividad con Google Talk ...

Enviado por Miguel (no verificado) el 20 December, 2005 - 14:56.

> Soporte de cifrado en conexiones servidor-a-servidor: STARTTLS + SASL_EXTERNAL y STARTTLS + Dialback. Esta característica es necesaria para cumplir XMPP. La conectividad con Google Talk probablemente la requiera también.

Eso no sale en el anuncio original ni he leído nada oficial ni extraoficial sobre el tema. ¿En qué te basas para hacer ese comentario? (a parte de que sería recomendable, con lo cual estoy de acuerdo)

> Eso no sale en el anuncio

Enviado por badlop el 20 December, 2005 - 17:04.

> Eso no sale en el anuncio original ni he leído nada oficial ni extraoficial sobre el tema.

En efecto, las dos últimas frases no aparecen en la noticia de prensa, lo he añadido yo para darle un valor adicional a la noticia publicada en Jabberes, aparte de traducirla al castellano. Concretamente la frase sobre los requisitos de Google Talk, puesto que no hay anuncio oficial, no sabemos qué van a requerir. Solo podemos hacer conjeturas. Si te fijas he dicho que probablemente será necesario; basándome solo en el sentido comun, igual que tu.

Ahora mismo ya no recuerdo si lei algo extraoficial en las listas de correo de la JSF cuando surgió Google Talk que me indicara la necesidad de STARTTLS+SASL en S2S para conectarse a Google Talk.

Lo único que he encontrado es esto en referencia a la federación para VoIP: 'We plan to support open server-to-server federation. We do believe, however, that it is important to have the safeguards in place to ensure that we maintain a safe and reliable service that protects user privacy and blocks spam and other abuses.' enlace

Creo que STARTTLS+SASL hace

Enviado por naw el 20 December, 2005 - 17:16.

Creo que STARTTLS+SASL hace falta al menos en los clientes. En el S2S no lo sé, pero aún no debe estar desarrollado.

Y con respecto a la encriptación S2S

Enviado por Miguel (no verificado) el 20 December, 2005 - 15:55.

Ya que nos ponemos a hablar de encriptación S2S he de decir que el contenido de la página sobre encriptación S2S que hay en la página de ejabberd es bastante malinterpretable.

Pese a que es recomendable e incrementa la seguridad, este incremento es muy pequeño por la siguiente razón:

Si alguien puede interceptar una comunicación S2S es en el 99% de los casos o el operador del servidor XMPP o el operador de alguna de las líneas de comunicaciones entre ambos servidores. En el primer caso sigue pudiendo interceptar la comunicación con o sin encriptación S2S.

En el segundo caso, y siendo alguien que controla una línea intermedia la comunicación sigue expuesta a un ataque de "man-in-the-middle" en el caso general de dos servidores entre los que no se haya establecido una autenficicación ad-hoc para usar con SASL (caso general para dos servidores de distintos dominios). Este ataque es incluso aplicable para el caso de autentificación "dialback" en el 99% de los casos en los que el "Authoritative server" es el mismo que el "Originating server" o bien están ambos en la misma red.

Según la rfc de XMPP-Core TLS no se usa para autentificación, solo para encriptación del canal, por lo tanto (salvo que esté implementada la RFC3163 en su SASL) ni siquiera se pueden usar certificados digitales como autentificación (afortunadamente, pues el modelo de PKI es ya un fracaso).

Por lo tanto ese contenido parece más bien publicitario y, quizás inadvertidamente, parece meter miedo a la gente para que se instale ejabberd como solución de encriptación extremo a extremo que no es. En este y otros casos solo la autentificación y encriptación extremo a extremo da ese servicio. Creo que lo prudente y sincero sería reescribir esa página con una explicación más ajustada a la realidad.

Un saludo.

Solo tu puedes mejorarlo

Enviado por badlop el 20 December, 2005 - 18:01.

Entiendo que tu crítica se refiere al primer apartado: 'Why Server-to-server Encryption?'.

Por lo tanto ese contenido parece más bien publicitario

En efecto, el propósito de ese primer apartado es explicar porqué existe el cifrado S2S. Es publicidad de los mecanismos STARTTLS+SASL descritos en el XMPP-Core. Así mismo pretende motivar a los administradores de servidores ejabberd a que activen el cifrado en las conexiones S2S.

quizás inadvertidamente, parece meter miedo a la gente para que se instale ejabberd como solución de encriptación extremo a extremo que no es

Tu interpretación es errónea por varias razones:

  • En ningún momento se dice que ejabberd sea el único servidor que lo soporta. De hecho se indica claramente que los principales servidores libres lo soportan: jabberd, jabberd2, jive (en el CVS) y ejabberd.
  • En ningun momento se dice que el cifrado C2S+cifrado S2S+cifrado C2S sea sustituto del cifrado cliente-cliente (estilo PGP). El administrador del servidor siempre puede leer los mensajes en claro. Esto queda perfectamente claro en el diagrama puesto que se ve como los servidores cifran y descifran los mensajes de los usuarios con sus claves.
  • Por supuesto, una mala instalación del servicio, mala configuración del servidor o demasiada permisividad con los certificados que se aceptan como válidos conlleva un riesgo de seguridad. Pero eso no es culpa de Jabber, ni de ejabberd, ¿verdad?

En este y otros casos solo la autentificación y encriptación extremo a extremo da ese servicio.

Evidentemente. Pero una cosa no excluye la otra.

No puedes usar cifrado PGP con todo el mundo porque no tienes la clave pública de TODO el mundo con el que charlas, ni todo el mundo va a usar PGP necesariamente. Actualmente no hay otro sistema en Jabber para hacer cifrado cliente-cliente aparte de PGP. ¿Qué haces en las salas de charla?

El cifrado S2S es un paso adelante que no excluye el cifrado cliente-cliente cuando éste sea posible.

Si te fijas, tanto el diagrama como el texto está destinado a los administradores de servidores, ya sean ejabberd, cualquier otro Jabber o cualquier otro sistema de mensajería:

  • 'intercept your users' conversations'
  • 'read your users' conversations'
  • en el diagrama se usa el color amarillo entre clientes y servidores, así como entre servidores. Evidentemente, los clientes y los propios servidores pueden leer los mensajes perfectamente.

Por tanto, la posibilidad de que el administrador de tu servidor Jabber te espie no procede mencionarla en una página sobre cifrado servidor-servidor, ya que implícitamente se entiende que es posible. Si no confias en los administradores de tu servidor, deberías usar cifrado cliente-cliente, donde los mensajes vayan cifrados desde el cliente emisor hasta el cliente receptor.

El objetivo del cifrado y autenticación en conexiones S2S supongo que es más bien proteger a los prestadores y a los usuarios de un servidor Jabber del espionaje ilegal efectuado por gobiernos, organizaciones, agencias o malhechores que pretenden violar el secreto de las comunicaciones reconocido en las constituciones de todos los paises democráticos, derecho que recordemos es imprescindible para que estos usuarios tegan libertad de expresión.

Ahora respecto a la interceptación de la línea, digamos por el ISP: como la mayoría de los términos que usas se me escapan, no puedo comentarlos. Supongo que estás en lo cierto. En tal caso, en vez de haber errores en esa página o en ejabberd, hay un error en XMPP. Si este es el caso, deberías dirigirte a los autores del protocolo.

Para concluir: estamos de acuerdo en que la única forma de garantizar la confidencialidad de las comunicaciones al 99.99% es llamar por teléfono a esa persona, que te de la firma de su clave, la instalas, la validas, etc. Pero el cifrado C2S+S2S+C2S evita el espionaje pasivo de tu ISP o malhechores tipo Echelon, ¿o no?

Temas relacionados:

Creo que lo prudente y sincero sería reescribir esa página con una explicación más ajustada a la realidad.

Yo también considero que la explicación dada en esa página es insuficiente e incluso puede inducir a error. Pero yo ya la he mejorado todo lo que he podido, y también aquellos a los que se la he pasado.

Por tanto eres el más indicado para corregir y ampliar esa página. Si me pasas el texto que crees correcto (en ingles si puede ser) lo copio tal cual alli y te menciono como autor del mismo.

Si eres experto en seguridad y estás interesado o preocupado por el tema te invito a que eches un vistazo a las listas de correo de www.jabber.org porque periódicamente se trata este tema, y se ha tratado repetidamente en el pasado.

ejabberd

Enviado por Anónimo el 18 December, 2005 - 15:37.

ejabberd es el primer servidor Jabber libre con soporte completo de XMPP.
no es cierto

¿Puedes dar detalles?

Enviado por badlop el 18 December, 2005 - 16:09.

¿Serías tan amable de proporcionar detalles?

En otro caso el mensaje lo envió un troll y tendrá que ser eliminado.

VoIP

Enviado por Anónimo el 19 December, 2005 - 21:11.

VoIP ?
http://www.jabber.org/press/2005-12-15.shtml
Google si cumple.

Creo que andas un poco despistado

Enviado por badlop el 19 December, 2005 - 22:50.

Me da la impresión de que no sabes de qué estás hablando. El funcionamiento de Jabber está descrito en muchos documentos:

  • los principales son XMPP Core y XMPP IM
  • luego hay muchos JEPs que describen las golosinas que nos gusta tener (transferencia de ficheros, avatares, salas de charla, VoIP...).

ejabberd 1.0.0 soporta XMPP (Core y IM), y algunos JEPs, pero no todos. Google Talk quizá soporte XMPP y otros JEPs.

Además, ejabberd es Software Libre (licencia GPL), mientras que el servidor de Google Talk no está para descargar, no tiene licencia asociada ni por supuesto es Software Libre.

Por último, comentar que el servicio VoIP descrito en el JEP Jingle no depende del servidor Jabber, sino de los clientes. Puesto que ejabberd es un servidor, ni implementa ni deja de implementar Jingle, porque no le atañe.

Con estos datos creo que la noticia es cierta, y que tu comentario fue una metedura de pata. La próxima vez que vayas a decir algo procura explicar a qué te refieres, explicarte un poco. Así no crearás discusiones ni serás acusado de troll.

Hay que tener un poco de

Enviado por Anónimo el 19 December, 2005 - 23:23.

Hay que tener un poco de educación ya que tu no la tienes.
Si estoy equipolado me lo dices y salgo de la duda, creo que para eso esta el apartado de de comentarios y esto no es mas que un comentario.
no es necesario andar con palabras:
acusado de troll (que miedo)
metedura de pata
no sabes de qué estás hablando

Dices ejabberd es el primer

Enviado por naw el 20 December, 2005 - 15:34.

Dices

ejabberd es el primer servidor Jabber libre con soporte completo de XMPP.
no es cierto

Lo dijiste sin proporcionar pruebas y sin más explicaciones. Simplemente dijiste que era falso sin decir porqué o que estaba mal. Es normal que te podamos considerar un provocador que solo quiere armar bulla. En cualquier caso antes de considerarte troll se te dió la oportunidad de explicarte. Y sinceramente, creo que badlop si sabe de lo que habla.

VoIP

Enviado por naw el 19 December, 2005 - 21:27.

VoIP ?
http://www.jabber.org/press/2005-12-15.shtml
Google si cumple.

Estás diciendo que google es más completo porque soporta VoIP? Perdona pero eso no es parte del estandar XMPP y salieron como JEP experimentales desde hace dos dias como quien dice.
El servidor de google está tan limitado que no se interconecta con otros, no soporta mensajes a usuarios desconectados ni muchas cosasque ejabberd si soporta. Además la VoIP seguramente sea cosa de los clientes.

No digo que sea mejor ni

Enviado por Anónimo el 19 December, 2005 - 21:36.

No digo que sea mejor ni peor, si estoy contra jabberes porque para mi es la pagina en Español sobre el tema y me parece un servidor muy estable.
Voy a lo del protocolo XMPP por completo, si en el protocolo XMPP implementa funciones día a día.

A ver que te estas liando.

Enviado por naw el 20 December, 2005 - 15:27.

A ver que te estas liando. El protocolo XMPP no incorpora cosas nuevas desde hace tiempo. Lo que salen son JEPs (Jabber Enhancement Proposals) es decri, propuestas de mejora de Jabber, que por cierto tardan mucho en ser aprovadas para uso normal (jingle, el VoIP de google talk es experimental actualmente)

En cualquier caso la noticia habla sobre clientes libres y el de Google no lo es. La verdad no se hasta que punto implementará los RFCs de XMPP, pero como que no me apetece investigarlo.

me confundi, no estoy contra

Enviado por Anónimo el 19 December, 2005 - 21:37.

me confundi, no estoy contra jabberes