> У меня OpenFire принудительно TLS шифрует, без него клиент не подключится.Все это замечательно, только вот
1) Когда клиент конектится, может оказаться MITM. И он может подсунуть не твой OpenFire а свой сервер, внезапно. И какие там параметры того сервера - очень отдельный вопрос. Если шифрование опционально - значит опционально. И что будет в этом случае делать клиент - весьма клиентозависимо и настройкозависимо. В хучшем случае может и пароль плейнтекстом послать. На вражеский, заметим, сервер. Потому что то что софт делает с проверкой серверных сертфикатов - тоже отдельный вопрос. Хоть какое-то внимание этому вопросу вроде как только пиджин и уделил. Он по крайней мере вякает если сертификат поменялся. Не очень внятно, но лучше чем никак. А остальные обычно не делают и это. Т.е. реально получилось и весьма навернуто и при том - нифига не гарантировано. Крап!!!
2) Шифрование кончается на сервере. Это FAIL.
Вот смотри. Вася@server1 - крутой джедай и server1 рулится Васей. А Петя - овощ. Ему свой сервак рулить не того. И поэтому Петя@server2 пользуется сервером Коли. И все бы ничего, но когда Вася (ну то-есть, ты с твоим OpenFire) пишет Пете, Коля который тут вообще никаким боком (кроме того что Петя его сервером пользуется) может и читать все сообщения Вася-Петя, и цензурить их по своему усмотрению, и даже вообще заблочить Пете общение с Васей, если ему так захочется, без предупреждений и уведомлений. А то и просто снести server2 по желанию левой пятки. Кстати, кого же мне это напоминает? Уж не гугель ли с фэйсбуком? :) Ну вот там "Коля-админ" тоже за всех хомяков дружно решил что шел бы этот жаббер :D. Ну и ты. Вместе с твоим OpenFire.
> Проверка сертификатов на клиенте так же настраивается, во всяком случаи в miranda-ng
> и vacuum-im, а остальных клиентов можно "рубить" на сервере.
Правда толку с этого ровно буй. Ну то-есть если ты планируешь переписываться сам с собой на своем сервере - это как бы да. А во всех остальных случаях???