03/23/06。 cathayan.org版权所有,保留一切权利。转载请保留此说明。谢绝商业转载。
这里有个照片服务网站,
Zooomr,直接点它的“
登录”,可以看到,它现在支持5种登录方法,其中有一种是Google。在Google认证方法中,输入自己的Google账号,也就是Gmail账号,它会生成一个“临时密码”,这个密码可以发到Gmail信箱或是Gtalk上面,或者两个都发,这只有自己可以取得。再输入这个临时密码,就算是认证成功,可以进入Zooomr了。
之所以看到这个,是因为
BBS上有网友指出Gtalk的官方客户端并不加密,它只是在登录阶段采用HTTPS的安全连接,保证这里输入的账号和密码不会被别人看到,认证结束之后就走普通路了。
我看过点
XMPP的协议,它的要求是必须实现TLS,也就是传输层安全协议,它在TCP之上实现安全的连接,而之后XMPP的通信就全部走这条路,是相当地安全。
在Google到
这篇文章之后,我认为那位网友的说法应该是正确的(修正一下
刚刚的回复吧)。在这里,Gtalk用的是Token令牌的认证方法,认可之后发给你一个令牌,凭这个牌子就可以使用Gtalk的服务了,用客户端也行,在Gmail里也可。Zooomr的Temp Pass就相当是发来的令牌,它只会发到用户自己可以看到的地方。Zooomr不知道你的密码,也得不到这个临时密码,这个工作应该是需要Google配合实现的。
这种服务一直以来是互联网的理想之一,微软有Passport,我记得Adobe在某个地方用了这种服务;Sun的自由联盟(Liberty Alliance Project),没见到应用。还有
OpenID。现在加上Google。其实
Drupal社区也实现了一个类似的东西,可以在自己的Drupal网站上接受统一的Drupal ID认证。
当然,普通的Jabber客户端都不认得token认证方法,它们会再发请求,然后Gtalk服务器会告诉它们Plain的机制,全部走安全的TLS。
对这些东西,我实际上半懂不懂,有说错的地方,
请随时指出。
[update]同一位网友确认官方Win版客户端在认证之后不加密。其他客户端全程加密。https连接下的Gmail界面内的聊天是加密的。
03/23/06 00:08:34,由
cathayan发表。目录:
电脑
5条评论
还没到TLS那一步吧,它先发过来一个Token的加密机制,可能Gtalk一看这个就直接走HTTPS获取Token,之后明文。.be的分析是想说这个https获取的token很有用,可以构建它的统一ID计划。也是在token的获取上同tls不能同时存在?认证之后就干脆直接来了,不再建立tls了?搞不懂!
普通客房端不认这个token机制,就会再发请求要求说明,这回Gtalk server会发正常的东西。
http://blog.cathayan.org/member/1 cathayan 于 03/23/06 19:41:12 发表.
I am watching and will delete all spam.