• APOP終焉

実際には今に始まったことではなくMD5が弱くなったのでMan-In-The-Middleに弱い応用システムについて注意喚起ってことだそうだが。

POP3にCRAM-MD5認証を用意しているISPもあるのだが、 そういうところにとって一番お手軽なフォローは、 CRAM-SHA256の提供だったりするかも。

なんか簡単にover SSLとか言う人がいるけど、 100万人収容の設備にCPU(いやアクセラレータでもいいけど)を使う 投資って重いじゃん? あと証明書屋への上納金がぐっと増えるのも原価を押し上げるよね。

そう思ってちょろっと検索してみたら、 Courier-IMAPとかでAUTH=CRAM-SHA256とかいう文字列がひっかかるんだが、 一方で、IANAレジストリのSASLメカニズムのところにそんな文字列は登録されてないのな。

誰か登録しろよ、と思うのだが、実は登録フォームのPublished Specificationがネックと見た。 OptionalだけどRecommendedってね。 実質的には、登録したければそのメカニズムのインターネットドラフトを書けと。 そりゃ確かに重たい。