パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

APOPにパスワード漏洩の脆弱性」記事へのコメント

  • そもそもAPOPって (スコア:3, すばらしい洞察)

    by Anonymous Coward
    今回の件とは関係ないけど

    POP over SSL なら
     平文パスワードを(SSLで暗号化して)送って
     サーバでハッシュ値に変換して
     サーバが持っているハッシュ値と比較
    だから サーバはパスワードのハッシュ値しか持ってないわけだけど

    APOP の場合は
     (サーバから種をもらって)
     平文パスワード+種をクライアントでハッシュ値に変換して送って
     サーバも平文パスワード+同じ種をハッシュ値に変換して比較
    という方法をとるわけだから
    サーバに「復号可能な形式のパスワード」が置いてあるわけで

    本質的に平文パスワード漏洩の可能性は高いよなぁ と思います

    PPP の CHAP とか http の digest 認証とかもそう?
    • 同意です。
      APOPはパスワードをサーバ側で平文でしか管理できないのが嫌なところですよね。

      なのでそもそも個人的にAPOPを提供しようと思ったこと自体が無いです。
      それ(パスの平文管理)だけを理由にしてでも POP/IMAP/WebMail over TLS を使う方が良い。

      更にAPOPってパスワードこそハッシュ化されて盗聴から保護されてますが、
      その後のメール本文が平文でだだ漏れなんだし片手落ちにも程があります(^^;

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...