But it seems as if WordPress tries to hide the button from all visitors.
Well, have a look here: http://flattr.com/thing/2922/Just-another-Jabber-Server-jabber-ccc-de
But it seems as if WordPress tries to hide the button from all visitors.
Well, have a look here: http://flattr.com/thing/2922/Just-another-Jabber-Server-jabber-ccc-de
Please note: jabber.ccc.de is an open-for-all XMPP / jabber server that is run by the CCC as part of our free communications infrastructure support project. Anyone can create accounts on this server without any form of registration or information required. You just say “new account” in your preferred XMPP client. The server does not keep logfiles of any sort (besides rosters and offline messages, as both are needed for proper use of a xmpp server _and_ both is controllable by you, the user).
So while the server is run by the CCC (like we run multiple Tor servers), a jabber.ccc.de address does not mean any form of affiliation with the CCC.
Wie hier unter der Überschrift “Software-Upgrade und Sicherheits-Downgrade” zu sehen ist, gehen die Betreiber eines anderen Servers (am ähnlichen Standort wie dieser Server hier; keine 50m Luftlinie von einander entfernt) ein wenig forscher mit TLS um.
TLS zwischen verschiedenen Servern hat bei XMPP eine ähnliche Bedeutung wie bei SMTP: Es verschlüsselt die Verbindung, aber die Zertifikate selbst prüft eigentlich keiner. Je nach Serversoftware wird mal schärfer, mal gar nicht geprüft. Der auf ogn. Server eingespielte Patch für jabberd14 scheint recht weitgehend eingehende Verbindungen und Nachrichten unter vorgetäuschten Servernamen zuzulassen. Antworten an einen Rogue-Host bekommt man natürlich nicht zugestellt, aber vergleichbar mit IP-Spoofing ist’s halt doch.
Möglichkeiten, diese Lücke auszunutzen gibt’s natürlich einige. Nennen möchte ich hier keine. Die einzige Frage die hier auftaucht, ist folgende: Sollte man unter den oben genannten Gesichtspunkten erstmal Verbindungen zu und von jabber.ulm.ccc.de blockieren?
Ein Update: Nach Gesprächen mit mehreren Personen möchte ich mich wie folgt dazu äußern:
Baut auf Ende-zu-Ende Verschlüsselung. Nur dann seid ihr auch sicher, daß ihr mit den richtigen Personen sprecht. Die Benutzer von jabber.ccc.de selbst sind soweit auch sicher.
Wenn Eure Kontakte auf jabber.ulm.ccc.de aber behaupten, ihr würdet komische (lies: anders komisch als sonst) Nachrichten senden, ist das ein Problem auf deren Seite: Dort können weiterhin Nachrichten von gefakten jabber.ccc.de-Usern empfangen werden.
Kurz: Alles bleibt, wie es ist. Gesperrt wird nix.
Und wieder ein IM-Dienst, der sich (zumindest so ein bisschen) in Richtung XMPP auf den Weg macht: AIM. Alles weitere dazu gibts hier.
Aus wie üblich gut unterrichteten Quellen wurde mir zugesteckt, daß es zur Zeit Probleme mit bitlbee (hauptsächlich in archlinux) und jabber.ccc.de gibt. Die dazu eingereichten Bugreports finden sich hier und hier.
Zusammenfassung: Das Problem ist irgendwo in GnuTLS (ab Version 2.12.2) vergraben, NSS scheint aber auch noch eine Rolle zu spielen.
Update: Jetzt auch mit eigenem Bug gegen GnuTLS: https://savannah.gnu.org/support/index.php?107660
Am Dienstag Abend (auf jeden Fall vor 20:00 Uhr) wird jabber.ccc.de noch ein wenig Arbeitsspeicher erhalten, daher wird der Server für einige Minuten nicht zur Verfügung stehen. So sieht der Verbrauch momentan aus:

Es ist nicht zwingend nötig, RAM nachzulegen – aber es gibt da die eine oder andere Race Condition von ejabberd, die zu akutem Mehrverbrauch führen kann.
Um die Kombination softraid+crypto+xfs als Fehlerquelle auszuschliessen, bitte wir für kommenden Samstag (19.03.2011) um Euer Verständnis:
Ab 18:00 Uhr wird der Server für ca. 2 Stunden nicht zur Verfügung stehen. So lange wird es in etwa dauern, das xfs zu einem ext4 “umzubauen”.
Update: Vermutlich werden wir auch den Kernel erneuern. Der Grund dafür steht auf http://lists.debian.org/debian-backports/2011/01/msg00037.html
Der Server ist gecrasht, jetzt läuft gerade ein memtest86.
Bitte bewahren Sie Ruhe.
Update: Ist durchgelaufen, hat leider nichts ergeben. Über weitere Schritte werden wir hier informieren.
Vielen Dank für das Beachten aller Sicherheitsmaßnahmen.
Vor einigen Minuten wurde bei unserem Provider ein neuer Uplink in Betrieb genommen. Das hat vielleicht zum einen oder anderen Reconnect geführt und “spricht sich gerade rum”.
Update 14:50: Ich bin dran. Danke, im Moment brauch ich nicht noch 30 weitere Traceroutes.