アカウント名:
パスワード:
その特定ユーザにオレオレ CA の証明書を安全に渡すことができるのならば、 オレオレ証明書でも一般的な CA と同等の安全性を確保できます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
そもそもAPOPって (スコア:3, すばらしい洞察)
POP over SSL なら
平文パスワードを(SSLで暗号化して)送って
サーバでハッシュ値に変換して
サーバが持っているハッシュ値と比較
だから サーバはパスワードのハッシュ値しか持ってないわけだけど
APOP の場合は
(サーバから種をもらって)
平文パスワード+種をクライアントでハッシュ値に変換して送って
サーバも平文パスワード+同じ種をハッシュ値に変換して比較
という方法をとるわけだから
サーバに「復号可能な形式のパスワード」が置いてあるわけで
本質的に平文パスワード漏洩の可能性は高いよなぁ と思います
PPP の CHAP とか http の digest 認証とかもそう?
Re:そもそもAPOPって (スコア:0, 余計なもの)
APOPはパスワードをサーバ側で平文でしか管理できないのが嫌なところですよね。
なのでそもそも個人的にAPOPを提供しようと思ったこと自体が無いです。
それ(パスの平文管理)だけを理由にしてでも POP/IMAP/WebMail over TLS を使う方が良い。
更にAPOPってパスワードこそハッシュ化されて盗聴から保護されてますが、
その後のメール本文が平文でだだ漏れなんだし片手落ちにも程があります(^^;
TLSにすれば解決というわけでもないと思うけど... (スコア:3, 参考になる)
http://www.onlinessl.jp/product/rapidssl.html [onlinessl.jp]
Re:TLSにすれば解決というわけでもないと思うけど... (スコア:0)
その特定ユーザにオレオレ CA の証明書を安全に渡すことができるのならば、
オレオレ証明書でも一般的な CA と同等の安全性を確保できます。
Re:TLSにすれば解決というわけでもないと思うけど... (スコア:0)
CAの、CP/CPSはどうしますか?
Re:TLSにすれば解決というわけでもないと思うけど... (スコア:0)
なぜなら、CA秘密鍵の管理にかかっているセキュリティ対策費用が桁違いだから。