http://jawiki.ru/index.php?action=history&feed=atom&title=Trusted_FederationTrusted Federation - Revision history2026-04-05T22:48:01ZRevision history for this page on the wikiMediaWiki 1.25.1http://jawiki.ru/index.php?title=Trusted_Federation&diff=10198&oldid=prevVindicar: /* Перевод сообщения от StPeter */ интервики2009-08-18T20:59:16Z<p><span dir="auto"><span class="autocomment">Перевод сообщения от <a href="/StPeter" class="mw-redirect" title="StPeter">StPeter</a>: </span> интервики</span></p>
<table class='diff diff-contentalign-left'>
<col class='diff-marker' />
<col class='diff-content' />
<col class='diff-marker' />
<col class='diff-content' />
<tr style='vertical-align: top;'>
<td colspan='2' style="background-color: white; color:black; text-align: center;">← Older revision</td>
<td colspan='2' style="background-color: white; color:black; text-align: center;">Revision as of 20:59, 18 August 2009</td>
</tr><tr><td colspan="2" class="diff-lineno" id="L10" >Line 10:</td>
<td colspan="2" class="diff-lineno">Line 10:</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>представилась бы как whitehouse.gov или paypal.com. Я называю это "неразборчивая федерация". Возможности для спама были неограниченными, и мы бы скатились к той же ситуации, в которой сейчас находится e-mail. Нам нужно было что-то получше.</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>представилась бы как whitehouse.gov или paypal.com. Я называю это "неразборчивая федерация". Возможности для спама были неограниченными, и мы бы скатились к той же ситуации, в которой сейчас находится e-mail. Нам нужно было что-то получше.</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Тогда [[Jer]] придумал "[[Server dialback]]" и выпустил jabberd 1.2. Теперь ваш Jabber-сервер не принял бы подключение, не убедившись что его "собеседник", как минимум, может продемонстрировать стабильную и корректную идентичность, по крайней мере в плане <del class="diffchange diffchange-inline">[[</del>DNS<del class="diffchange diffchange-inline">]]</del>. Я называю это "проверенная федерация".</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>Тогда [[Jer]] придумал "[[Server dialback]]" и выпустил jabberd 1.2. Теперь ваш Jabber-сервер не принял бы подключение, не убедившись что его "собеседник", как минимум, может продемонстрировать стабильную и корректную идентичность, по крайней мере в плане <ins class="diffchange diffchange-inline">{{w|</ins>DNS<ins class="diffchange diffchange-inline">}}</ins>. Я называю это "проверенная федерация".</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>В то же время мы определили специальный порт для защищенных SSL подключений [[C2S|"клиент-сервер"]] (5223 вместо 5222). Но мы никогда не определяли такой порт для подключений [[S2S|"сервер-сервер"]] (скажем, 5270 вместо 5269), так что все, что мы могли сделать для s2s - dialback.</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>В то же время мы определили специальный порт для защищенных SSL подключений [[C2S|"клиент-сервер"]] (5223 вместо 5222). Но мы никогда не определяли такой порт для подключений [[S2S|"сервер-сервер"]] (скажем, 5270 вместо 5269), так что все, что мы могли сделать для s2s - dialback.</div></td></tr>
</table>Vindicarhttp://jawiki.ru/index.php?title=Trusted_Federation&diff=10115&oldid=prevVindicar: запилил статью2009-08-12T09:14:59Z<p>запилил статью</p>
<p><b>New page</b></p><div>{{stub}}<br />
Trusted Federation - концепция, выдвинутая [[Совет XMPP|Советом XMPP]] в начале 2008 года.<br />
Вкратце, её суть заключается в свободной выдаче желающим владельцам jabber-серверов [[SSL]]-[[w:Сертификат_(криптография)|сертификатов]], и в рекомендации ограничить [[S2S]]-контакты с серверами, не имеющими сертификата.<br />
<br />
== Перевод сообщения от [[StPeter]] ==<br />
{{todo|улучшить}}<br />
В начале был [[jabberd]] 1.0, и это было хорошо.<br />
<br />
Но затем возникла проблема: он был принял подключение даже если другая сторона сообщила бы ложную информацию о себе, например, <br />
представилась бы как whitehouse.gov или paypal.com. Я называю это "неразборчивая федерация". Возможности для спама были неограниченными, и мы бы скатились к той же ситуации, в которой сейчас находится e-mail. Нам нужно было что-то получше.<br />
<br />
Тогда [[Jer]] придумал "[[Server dialback]]" и выпустил jabberd 1.2. Теперь ваш Jabber-сервер не принял бы подключение, не убедившись что его "собеседник", как минимум, может продемонстрировать стабильную и корректную идентичность, по крайней мере в плане [[DNS]]. Я называю это "проверенная федерация".<br />
<br />
В то же время мы определили специальный порт для защищенных SSL подключений [[C2S|"клиент-сервер"]] (5223 вместо 5222). Но мы никогда не определяли такой порт для подключений [[S2S|"сервер-сервер"]] (скажем, 5270 вместо 5269), так что все, что мы могли сделать для s2s - dialback.<br />
<br />
Затем мы отправили ключевые технологии Jabber в {{w|IETF}} для формализации, включая оценку безопасности. В результате мы добавили поддержку [[TLS]] в [[XML-поток|XML-потоки]], или, точнее, [[STARTTLS]] (позволяющий вам "улучшить" c2s или s2s подключение с нешифрованного до шифрованного). Это дало нам возможность созать "безопасную федерацию": соединения "сервер-сервер", зашифрованные с помощью цифровых сертификатов.<br />
<br />
Обычно администраторы генерировали так называемые самоподписанные сертификаты. Другими словами, делали их из ничего. Это как если бы я сам выдал себе водительские права. Может, это и выглядит красиво, но нет никаких оснований для доверия.<br />
<br />
Таким образом, за "проверенной федерацией" и "безопасной федерацией" следует то, что я называю "доверенной федерацией": соединения "сервер-сервер", зашифрованные с помощью цифровых сертификатов, исходящих из доверенного источника.<br />
<br />
Но где администраторы возьмут эти сертификаты? В старые недобрые времена вам бы пришлось выложить круглую сумму за сертификат, подписанный {{w|VeriSign}}. <br />
<!--Enter the XMPP ICA, powered by the StartCom Root CA and funded by the XMPP Standards Foundation.--><br />
С декабря 2006 года, [[XMPP ICA]] выдает бесплатные сертификаты администраторам Jabber/XMPP серверов, и темпы выдачи все нарастают. Это позволяет нам представить тот день, когда ваш IM-сервис будет принимать соединения только от тех серверов, которые имеют правильные цифровые сертификаты. В тот день возникнет "доверенная федерация".<br />
<br />
В какие сроки будет реально переключить всю Jabber-сеть на строго безопасные соединения? Я не уверен. Сейчас в сети около 100 000 серверов, а XMPP ICA выдало менее 1000 сертификатов. Покрытие составляет менее 1% (хотя администраторы могут получить сертификаты и из других источников, так что реальное покрытие может быть немного выше). Но процесс получения сертификата сравнительно прост, да и цена по карману любому(бесплатно). Так что нет никаких серьезных препятствий перед получением настоящего цифрового сертификата для вашего XMPP сервера.<br />
<br />
Идея: почему бы не превратить сеть Jabber в "доверенную федерацию" к десятой годовщине создания технологий Jabber? Поскольку Jer выпустил первый код Jabber 4 января 1999, мы собираемся произвести перевод к 4 января 2009. Сначала нам следует обучить администраторов серверов, подтолкнуть выдачу сертификатов на xmpp.net, убедиться что все существующие реализации серверов правильно обрабатывают сертификаты, и так далее. Но я считаю это возможным.<br />
<br />
В конце концов, в тот день мы могли бы переключить несколько главных XMPP сервисов (вроде Jabber.org) на строго безопасные подключения и посмотреть как другие админы будут в спешке производить апгрейд! :)<br />
<br />
Источник: https://stpeter.im/?p=2136<br />
<br />
== Текущее состояние ==<br />
{{todo|написать}}<br />
<br />
== См. также ==<br />
* [[SSL]]/[[TLS]]<br />
* [[S2S]]<br />
* [[SPIM]]<br />
<br />
[[Category:Термины]]</div>Vindicar