パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

APOPにパスワード漏洩の脆弱性」記事へのコメント

  • そもそもAPOPって (スコア:3, すばらしい洞察)

    by Anonymous Coward
    今回の件とは関係ないけど

    POP over SSL なら
     平文パスワードを(SSLで暗号化して)送って
     サーバでハッシュ値に変換して
     サーバが持っているハッシュ値と比較
    だから サーバはパスワードのハッシュ値しか持ってないわけだけど

    APOP の場合は
     (サーバから種をもらって)
     平文パスワード+種をクライアントでハッシュ値に変換して送って
     サーバも平文パスワード+同じ種をハッシュ値に変換して比較
    という方法をとるわけだから
    サーバに「復号可能な形式のパスワード」が置いてあるわけで

    本質的に平文パスワード漏洩の可能性は高いよなぁ と思います

    PPP の CHAP とか http の digest 認証とかもそう?
    • by kawaz (15398) on 2007年04月19日 12時30分 (#1144998) ホームページ
      同意です。
      APOPはパスワードをサーバ側で平文でしか管理できないのが嫌なところですよね。

      なのでそもそも個人的にAPOPを提供しようと思ったこと自体が無いです。
      それ(パスの平文管理)だけを理由にしてでも POP/IMAP/WebMail over TLS を使う方が良い。

      更にAPOPってパスワードこそハッシュ化されて盗聴から保護されてますが、
      その後のメール本文が平文でだだ漏れなんだし片手落ちにも程があります(^^;
      親コメント
      • TLSを使って回避するというのでは、オレオレ証明書の普及に一役かうのが嫌ですね。APOPの時もMan In the Middle攻撃には脆弱だったわけですが、TLSにしてもオレオレ証明書では同じですね。CAに御布施をすれば良いのですが、最安値はこれですかね?
        http://www.onlinessl.jp/product/rapidssl.html [onlinessl.jp]

        親コメント
      • Re:そもそもAPOPって (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2007年04月19日 17時13分 (#1145181)
        > それ(パスの平文管理)だけを理由にしてでも POP/IMAP/WebMail over TLS を使う方が良い。
        > 更にAPOPってパスワードこそハッシュ化されて盗聴から保護されてますが、
        > その後のメール本文が平文でだだ漏れなんだし片手落ちにも程があります(^^;

        あのねぇ、over TLSがよい、とかわざわざ言わんでも・・・

        歴史的経緯を考えたらわかると思うけど、昔はCPUパワーが充分じゃなく通信路全ての暗号化にまでパワーを使っていい状況じゃなかったです。そういう状況で、サーバー側に平文を置くデメリットもあれども、暗号化されていない通信路でパスワードだけを秘匿する技術がAPOPだったわけです。

        これって時代の中で「これは我慢するからせめてこれを実現して」という要求の中でできたものであるわけで、その前提条件が崩れた(容易にTLS化できる)なかで、「こっちのほうが良い」とか「片手落ち」なんだって、すき放題いうなぁとあきれてます。

        当時POP3がパスワード平文で困る、という問題に対して「(コストかかり過ぎなのに)通信路暗号化で全て解決だよ」、「APOPはサーバにパスワード平文で置くから嫌」なんていってるよりも、導入して受けたメリットも大きかったはずで、今になってウダウダ欠点を責め立てるより「ご苦労さん」といえる度量をもつほうがいいんじゃないの? 今あがってる「欠点」全て当初からわかっていたものであることですし。
        親コメント
        • by Anonymous Coward
          > その前提条件が崩れた(容易にTLS化できる)なかで、「こっちのほうが良い」とか「片手落ち」なんだって、すき放題いうなぁとあきれてます。

          前提条件が崩れたなら現在の正しい情報によって
          「こっちのほうが良い」「片手落ち」と啓蒙するのは重要なことでは?

          「昔は telnet プロトコルで平文パスワード垂れ流しは仕方なかったけど
           いまは ssh で暗号化は当然ですよ
           telnet プロトコルに(現在は)欠点があるから ssh にしようね」
          と説明しているそばで
          「いまさらそんなこといったって telnet プロトコルがかわいそうだよ
           telnet もいろいろ役に立つし 当
          • by Anonymous Coward
            > っていうのはちょっと空気読んでくださいよという感じ^^;

            「telnetプロトコルに(現在は)欠点がある」なんて言い方も気色悪いよ。その「telnetプロトコルの欠点」は昔からあるわけで。

            私が言いたかったのは、技術者的視点として「制約がある中でトレードオフを図りつつ実現した技術」を「根本的に解決した技術」と比べて劣るといったとしても今更感が残るだけですよ、という程度で、「空気を読めない発言」のような書かれ方をされるのは心外でした。

            > でも APOP はユーザの認識に浸透してしまっているので
            > telnet と違って駆逐されるのは相当先でしょう

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...