パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

APOPにパスワード漏洩の脆弱性」記事へのコメント

  • by Anonymous Coward on 2007年04月19日 11時22分 (#1144938)
    > 根本的な解決にはMD5の代わりにSHA-256を使うなどの方法があるのでは無いかと思います。

    代わりに使うべきなのは、ハッシュ関数そのままじゃなくてHMACとかじゃないの?
    • Re:HMAC (スコア:2, すばらしい洞察)

      by saitoh (10803) on 2007年04月19日 11時34分 (#1144944)
      根本的な解決は、パスワードしか暗号化しないAPOPを使うことを止めることでは?

      記事中にもPOP over SSLが例示されているけど。 僕は、POP over SSHを使ってます。某駅前のホテルサンルートのLANサービスではではSSHポートが閉められていて、泣きました。

      親コメント
      • Re:HMAC (スコア:2, すばらしい洞察)

        by kayakiss (20105) on 2007年04月19日 12時42分 (#1145011)
        >根本的な解決は、パスワードしか暗号化しないAPOPを使うことを止めることでは?
        私もそう思ったのですが、メールボックスから自分のクライアントマシンの間だけメールコンテンツを暗号化しても、そのメールボックスに届くまでの間は暗号化されてないですよね。

        そう考えると、APOPのようにパスワードのみ暗号化するというアプローチは、パスワードを守るという点において、十分な解決方法だったと思います。もちろんPOP over SSLでもPOP over SSHでも十分でしょう。

        ただ、メールコンテンツを守りたい場合は、メールそのものをS/MIMEやPGPで暗号化する必要があって、SMTP over SSLやPOP over SSLでは限られた範囲でしか効果がないです。
        親コメント
        • by Stealth (5277) on 2007年04月19日 18時18分 (#1145219)

          SMTP over TLS にしたら、SMTP サーバの双方が対応していれば SMTP セッションは暗号化されますよ。

          SMTP over TLS で送信者 MUA →メールサーバ (Submission)、SMTP over TLS でメールサーバ→メールサーバ (SMTP)、POP3/IMAP4 over TLS でメールサーバ→受信者 MUA (POP3 or IMAP4) は可能です。

          もちろん非対応サーバ間ではダメなので、当然ながらコンテンツ自体をしっかり保護したい場合には S/MIME なり PGP なりの対処は必要ですが、ヘッダはそのままですしねぇ……。

          親コメント
      • by Anonymous Coward
        port 22が駄目ならport 80があるじゃない :)。

        #さらに極悪なportでSSHd上げているのでAC
        • Re:泣くな:) (スコア:2, 参考になる)

          by saitoh (10803) on 2007年04月19日 23時09分 (#1145378)
          インターネットカフェで一旦自宅マシンにログインして、80番ポートとか21番ポートにsshdを貼り付けて、でホテルに戻って試してみたのですが、それもダメでした。 80以外のポートは軒並み閉めていたみたい。443番は忘れていた。

          次に行くことがあったらは、443番ポートを試してみます。

          親コメント
        • by nox_dot (11614) on 2007年04月19日 16時49分 (#1145169) 日記
          443 だと、httpプロキシが間にいてもなんとかなったりするのでしょうか?

          親コメント
          • by Anonymous Cat (27860) on 2007年04月19日 20時15分 (#1145281)
            大抵は何とかなるんじゃないでしょうか。
            CONNECTメソッドが使えないように設定してあったら無理でしょうけど。

            UTF-8 TeraTermとかputtyは対応しているみたいですし
            OpenSSHやPortForwarderの場合はconnect.c [taiyo.co.jp]を使うといいと思います。

            --
            単なる臆病者の Anonymous Cat です。略してACです。
            親コメント
        • by Anonymous Coward
          > #さらに極悪なportでSSHd上げているのでAC

          53か?

          # #部にツッコミは野暮

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...