アカウント名:
パスワード:
その特定ユーザにオレオレ CA の証明書を安全に渡すことができるのならば、 オレオレ証明書でも一般的な CA と同等の安全性を確保できます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
そもそもAPOPって (スコア:3, すばらしい洞察)
POP over SSL なら
平文パスワードを(SSLで暗号化して)送って
サーバでハッシュ値に変換して
サーバが持っているハッシュ値と比較
だから サーバはパスワードのハッシュ値しか持ってないわけだけど
APOP の場合は
(サーバから種をもらって)
平文パスワード+種をクライアントでハッシュ値に変換して送って
サーバも平文パスワード+同じ種をハッシュ値に変換して比較
という方法をとるわけだから
サーバに「復号可能な形式のパスワード」が置いてあるわけで
本質的に平文パスワード漏洩の可能性は高いよなぁ と思います
PPP の CHAP とか http の digest 認証とかもそう?
Re:そもそもAPOPって (スコア:0, 余計なもの)
APOPはパスワードをサーバ側で平文でしか管理できないのが嫌なところですよね。
なのでそもそも個人的にAPOPを提供しようと思ったこと自体が無いです。
それ(パスの平文管理)だけを理由にしてでも POP/IMAP/WebMail over TLS を使う方が良い。
更にAPOPってパスワードこそハッシュ化されて盗聴から保護されてますが、
その後のメール本文が平文でだだ漏れなんだし片手落ちにも程があります(^^;
TLSにすれば解決というわけでもないと思うけど... (スコア:3, 参考になる)
http://www.onlinessl.jp/product/rapidssl.html [onlinessl.jp]
Re:TLSにすれば解決というわけでもないと思うけど... (スコア:0)
その特定ユーザにオレオレ CA の証明書を安全に渡すことができるのならば、
オレオレ証明書でも一般的な CA と同等の安全性を確保できます。
Re:TLSにすれば解決というわけでもないと思うけど... (スコア:0)
CAの、CP/CPSはどうしますか?
Re:TLSにすれば解決というわけでもないと思うけど... (スコア:0)
なぜなら、CA秘密鍵の管理にかかっているセキュリティ対策費用が桁違いだから。
Re:そもそもAPOPって (スコア:2, すばらしい洞察)
> 更にAPOPってパスワードこそハッシュ化されて盗聴から保護されてますが、
> その後のメール本文が平文でだだ漏れなんだし片手落ちにも程があります(^^;
あのねぇ、over TLSがよい、とかわざわざ言わんでも・・・
歴史的経緯を考えたらわかると思うけど、昔はCPUパワーが充分じゃなく通信路全ての暗号化にまでパワーを使っていい状況じゃなかったです。そういう状況で、サーバー側に平文を置くデメリットもあれども、暗号化されていない通信路でパスワードだけを秘匿する技術がAPOPだったわけです。
これって時代の中で「これは我慢するからせめてこれを実現して」という要求の中でできたものであるわけで、その前提条件が崩れた(容易にTLS化できる)なかで、「こっちのほうが良い」とか「片手落ち」なんだって、すき放題いうなぁとあきれてます。
当時POP3がパスワード平文で困る、という問題に対して「(コストかかり過ぎなのに)通信路暗号化で全て解決だよ」、「APOPはサーバにパスワード平文で置くから嫌」なんていってるよりも、導入して受けたメリットも大きかったはずで、今になってウダウダ欠点を責め立てるより「ご苦労さん」といえる度量をもつほうがいいんじゃないの? 今あがってる「欠点」全て当初からわかっていたものであることですし。
Re:そもそもAPOPって (スコア:0)
前提条件が崩れたなら現在の正しい情報によって
「こっちのほうが良い」「片手落ち」と啓蒙するのは重要なことでは?
「昔は telnet プロトコルで平文パスワード垂れ流しは仕方なかったけど
いまは ssh で暗号化は当然ですよ
telnet プロトコルに(現在は)欠点があるから ssh にしようね」
と説明しているそばで
「いまさらそんなこといったって telnet プロトコルがかわいそうだよ
telnet もいろいろ役に立つし 当
Re:そもそもAPOPって (スコア:0)
「telnetプロトコルに(現在は)欠点がある」なんて言い方も気色悪いよ。その「telnetプロトコルの欠点」は昔からあるわけで。
私が言いたかったのは、技術者的視点として「制約がある中でトレードオフを図りつつ実現した技術」を「根本的に解決した技術」と比べて劣るといったとしても今更感が残るだけですよ、という程度で、「空気を読めない発言」のような書かれ方をされるのは心外でした。
> でも APOP はユーザの認識に浸透してしまっているので
> telnet と違って駆逐されるのは相当先でしょう