Server-Technik

Der trashserver.net XMPP-Server wird mit Prosody 0.10 (stable) in der aktuellsten Version betrieben.

Aktivierte XEPs

… u.A.:

Übersicht: Kompatibilität mit Conversations für Android

Verschlüsselung und Sicherheit

Selbst signierte Zertifikate werden aus praktischen Gründen nicht akzeptiert, da der Server die Gültigkeit von fremden Zertifikaten sofort (!) und selbstständig (!) feststellen können muss. Speziell für den jabber.ccc.de Server wurde das CaCert Root-Zertifikat importiert. Ausnahmen für selbst signierte Zertifikate werden nicht gemacht.
Siehe dazu auch: Mehr Sicherheit durch ernst zu nehmende XMPP-Verschlüsselung

Liste der Server, zu denen keine sichere Verbindung hergestellt werden kann: (Laufend aktualisierte Liste) https://xmpp.trashserver.net/insecure-servers

Passwörter werden gehashed in der Datenbank gespeichert. Standardmäßig wird das Authentifizierungsverfahren SCRAM-SHA-1 verwendet. Clients, die dieses Verfahren nicht unterstützen, können sich im Klartext (aber nur über eine verschlüsselte Verbindung!) anmelden.

Die DNS-Einträge für trashserver.net sind DNSSEC-signiert und können verifiziert werden.

Verschlüsselte Verbindungen zum Server können nur noch hergestellt werden, wenn diese über einen Diffie-Hellman Schlüsselaustausch (DH / ECDH) ausgehandelt wurden. So wird Perfect Forward Secrecy erreicht: Ein verschlüsselter Sitzungsmitschnitt kann auch bei Kenntnis des vom Server verwendeten, geheimen Schlüssels nicht im Nachhinein entschlüsselt werden. Vergangene Unterhaltungen sind also auch nach einer eventuellen Kompromittierung des Servers sicher.

Über die veralteten Verschlüsselungsprotokolle SSLv2, SSLv3 und TLSv1 können keine Verbindungen zum Server hergestellt werden.

HTTP-Bind für Webclients

HTTP-Bind-Adresse: https://trashserver.net/http-bind

Zugriff via TOR Hidden Service

Für alle TOR-Fans biete ich einen Hidden Service an, der es erlaubt, Client-to-Server Verbindungen zum XMPP-Server aufzubauen. Die Adresse lautet: m4c722bvc2r7brnn.onion.

Hinweis: Es ist nicht möglich (aber auch nicht notwendig), ein gültiges TLS-Zertifikat für die .onion-Adresse anzubieten. Da der Zugriff via .onion bereits ausreichend gesichert ist, kann eine Überprüfung des angebotenen TLS-Zertifikats entfallen.
Dies gilt jedoch nicht für den Zugriff via TOR und trashserver.net-Adresse (ohne .onion-Link)!

Hinweis: Das http_upload Modul arbeitet auch bei der Nutzung der .onion-Adresse mit dem normalen DNS und klassischen Verbindungen ins Internet. Für seine Funktion muss also eine “normale” Internetverbindung parallel möglich sein.

Limitierungen