パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

APOPにパスワード漏洩の脆弱性」記事へのコメント

  • by Anonymous Coward
    > 根本的な解決にはMD5の代わりにSHA-256を使うなどの方法があるのでは無いかと思います。

    代わりに使うべきなのは、ハッシュ関数そのままじゃなくてHMACとかじゃないの?
    • Re:HMAC (スコア:2, すばらしい洞察)

      根本的な解決は、パスワードしか暗号化しないAPOPを使うことを止めることでは?

      記事中にもPOP over SSLが例示されているけど。 僕は、POP over SSHを使ってます。某駅前のホテルサンルートのLANサービスではではSSHポートが閉められていて、泣きました。

      • Re:HMAC (スコア:2, すばらしい洞察)

        by kayakiss (20105) on 2007年04月19日 12時42分 (#1145011)
        >根本的な解決は、パスワードしか暗号化しないAPOPを使うことを止めることでは?
        私もそう思ったのですが、メールボックスから自分のクライアントマシンの間だけメールコンテンツを暗号化しても、そのメールボックスに届くまでの間は暗号化されてないですよね。

        そう考えると、APOPのようにパスワードのみ暗号化するというアプローチは、パスワードを守るという点において、十分な解決方法だったと思います。もちろんPOP over SSLでもPOP over SSHでも十分でしょう。

        ただ、メールコンテンツを守りたい場合は、メールそのものをS/MIMEやPGPで暗号化する必要があって、SMTP over SSLやPOP over SSLでは限られた範囲でしか効果がないです。
        親コメント
        • by Stealth (5277) on 2007年04月19日 18時18分 (#1145219)

          SMTP over TLS にしたら、SMTP サーバの双方が対応していれば SMTP セッションは暗号化されますよ。

          SMTP over TLS で送信者 MUA →メールサーバ (Submission)、SMTP over TLS でメールサーバ→メールサーバ (SMTP)、POP3/IMAP4 over TLS でメールサーバ→受信者 MUA (POP3 or IMAP4) は可能です。

          もちろん非対応サーバ間ではダメなので、当然ながらコンテンツ自体をしっかり保護したい場合には S/MIME なり PGP なりの対処は必要ですが、ヘッダはそのままですしねぇ……。

          親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...