[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp:03246] Re: APOP パスワードの保護について
- Subject: [postfix-jp:03246] Re: APOP パスワードの保護について
- From: TOYODA Jiro <toyoda@xxxxxxxxxxxxxxxxxxxx>
- Date: Fri, 29 Aug 2003 01:01:53 +0900
はじめまして、豊田です。
At 10:34 PM +0900 2003.08.28, Tatsuya Ueda wrote:
>最近になり時間ができたのでいろいろと調べてみて MySQL で認証ができ
>APOP認証が使用できるPOP3dをいくつか見つけたのですがその時に気づいた点があります。
>
>APOP認証を利用する場合は データベース なり 認証ファイル に平文のパスワードを
>保持していなければいけないという点です。
>
>調べてみたところ http://search.luky.org/linux-users.6/msg08245.html の様な
>投稿も見つけたのですが、やはりAPOPを使用する際は 平文パスワード をサーバ側で
>保持しなければいけないようです。
そうですね。root の権限さえあれば、/etc/pop.auth など、簡単な
perl スクリプト等で読めてしまいます。ユーザーには、ログインパス
ワードと APOP パスワードを同じにしないよう徹底するしかありません。
>個人的に、ネットワークに平文のパスワードが流れるよりはサーバ側で権限がなければ
>見れないところに平文パスワードが保持されている方がましだとは思うのですが、
>みなさんはどうお考えでしょうか?
>(ただ平文でパスワードを管理すると考えるとちょっと怖いような・・)
APOP でない場合は、特別なツールが無くても tcpdump と簡単な
perl スクリプト等で、ネットワークに流れる平文のパスワードも
見ることができてしまいます。どちらが安全かといえばもちろん
APOP です。
>意見を聞かせていただけたらと思います。
APOP では、ネットワークに流れるパスワードの暗号化だけで、メー
ルの内容までは暗号化されません。やはり、TLS/SSL がこれからの主流
でしょう。メールサーバーに TLS/SSL を設定しておけば、TLS/SSL が
設定されているメールサーバー同士の SMTP も暗号化されますので、より
安全です。postfix では、簡単にTLS/SSL が設定できますので、postfix
ユーザーの方は、是非とも TLS/SSL を設定していただきたいものです。
もちろん qpopper も簡単に TLS/SSL を設定できます。
TLS/SSL の問題点は、対応する MUA が必ずしも多くないことで、古く
から定評のあるフリーのメーラーで対応するのが少ないことです。しかし、
これも時間が解決してくれるはずです。
#Mac OS X 版の Eudora 日本語版も早く対応してほしいです。
qpopper などは、TLS/SSL と APOP の両方の設定が可能ですので、
TLS/SSL に対応していないメーラーのユーザーのみ APOP を使ってもら
うのがいいと思います。新規のメールユーザーには、最初から TLS/SSL
対応のメーラーを勧めるのがいいと思います。
Jiro TOYODA <toyoda@xxxxxxxxxxxxxxxxxxxx>
The Museum of Osaka University
Toyonaka, Osaka 560-0043, Japan
Phone +81-6-6850-6713 Fax +81-6-6850-6713
PGP fingerprint(DSS) = B8E6 D5CA 5E73 E7F9 909A 9577 28FE 8446 A123 2929
- Follow-Ups
-
- [postfix-jp:03248] Re: APOP パスワードの保護について, Tatsuya Ueda
- References
-
- [postfix-jp:03241] APOPパス ワードの保護について, Tatsuya Ueda
[検索ページ]
[Postfix-JP ML Home]