Ejabberd

Ejabberd:使用者可以看到其他(外國)聊天內容

  • April 20, 2020

A 已經在我的 Archlinux 機器上測試了 ejabberd 20.03 幾個星期,作為家庭中可能的 WhatsApp 替代品。我為我的使用者數據庫使用 postgresql 後端。直到今天一切順利:我為姐姐創建了第三個帳戶。登錄沒問題,我們可以互相聊天。問題來了:她可以看到我和這裡兒子的聊天記錄,這是/是第一個非管理員使用者!他的聊天記錄是明文,而我的不可讀。

我沒有創建一個聊天室,幾乎所有的東西(除了使用者認證的東西)都是預設的。我們都在 Android 上使用目前的對話。我不知道這裡發生了什麼…

模組部分:

modules:
 mod_adhoc: {}
 mod_admin_extra: {}
 mod_announce:
   access: announce
 mod_avatar: {}
 mod_blocking: {}
 mod_bosh: {}
 mod_caps: {}
 mod_carboncopy: {}
 mod_client_state: {}
 mod_configure: {}
 mod_disco: {}
 mod_fail2ban: {}
 mod_http_api: {}
 mod_http_upload:
   put_url: https://@HOST@:5443/upload
 mod_last: {}
 mod_mam:
   ## Mnesia is limited to 2GB, better to use an SQL backend
   ## For small servers SQLite is a good fit and is very easy
   ## to configure. Uncomment this when you have SQL configured:
   db_type: sql
   assume_mam_usage: true
   default: always
 mod_mqtt: {}
 mod_muc:
   access:
     - allow
   access_admin:
     - allow: admin
   access_create: muc_create
   access_persistent: muc_create
   access_mam:
     - allow
   default_room_options:
     mam: true
 mod_muc_admin: {}
 mod_offline:
   access_max_user_messages: max_user_offline_messages
 mod_ping: {}
 mod_privacy: {}
 mod_private: {}
 mod_proxy65:
   access: local
   max_connections: 5
 mod_pubsub:
   access_createnode: pubsub_createnode
   plugins:
     - flat
     - pep
   force_node_config:
     ## Avoid buggy clients to make their bookmarks public
     storage:bookmarks:
       access_model: whitelist
 mod_push: {}
 mod_push_keepalive: {}
 mod_register:
   ## Only accept registration requests from the "trusted"
   ## network (see access_rules section above).
   ## Think twice before enabling registration from any
   ## address. See the Jabber SPAM Manifesto for details:
   ## https://github.com/ge0rg/jabber-spam-fighting-manifesto
   ip_access: trusted_network
 mod_roster:
   versioning: true
#  mod_s2s_dialback: {}
 mod_shared_roster: {}
 mod_stream_mgmt:
   resend_on_timeout: if_offline
 mod_vcard: {}
 mod_vcard_xupdate: {}
 mod_version:
   show_os: false

顯然,這裡還有一些你沒有註意到也沒有提到的事情。

也許 mod_mam 已啟用,並配置為預設存檔所有對話。但是還有其他必要的事情發生,也許您的客戶正在重複使用帳戶,因此不同的人可以訪問相同的帳戶……

引用自:https://serverfault.com/questions/1012971