On 22 April 2013 04:53, Purvesh Sahoo <span dir="ltr"><<a href="mailto:jimpu2@gmail.com" target="_blank">jimpu2@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div dir="ltr"><div>I implemented support for this, so I thought I'd share what I had till now. I've attached a patch for this. </div></div></blockquote><div> </div><div><br></div><div>The XEP says ( <a href="http://xmpp.org/extensions/xep-0045.html#kick">http://xmpp.org/extensions/xep-0045.html#kick</a> )</div>

<div>> The service MUST remove the kicked occupant by sending a presence stanza of type "unavailable" to each kicked occupant, including [...] the roomnick or bare JID of the user who initiated the kick.</div>

<div><br></div><div>but your code sends the full JID, not the roomnick or bare JID:</div><div>    <item affiliation='none'</div><div><span class="Apple-tab-span" style="white-space:pre">       </span>role='none'></div>

<div>      <actor jid='user1admin@localhost/tkabber-home'/></div><div>    </item></div><div><br></div><div>That example room was configured to display occupant full JIDs only to room admins, but the kicked occupant got the admin full JID without being admin at all. In conclusion, that patch introduces a way to leak information.</div>

<div><br></div><div>Can you take a look if it's simple to update your code to provide only the kicker room nick, instead of its full JID?</div><br><div class="gmail_quote"><div><br></div><div>--</div><div>Badlop</div>

<div>ProcessOne </div></div>