[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp:03265] Re: APOP パスワードの保護について
- Subject: [postfix-jp:03265] Re: APOP パスワードの保護について
- From: TOYODA Jiro <toyoda@xxxxxxxxxxxxxxxxxxxx>
- Date: Sun, 31 Aug 2003 01:23:47 +0900
- Cc: KONNO Yousuke <yousuke@xxxxxxxxxxx>
豊田です。
At 01:08 PM +0800 2003.08.29, KONNO Yousuke wrote:
>こんにちは、今野です。
>
>TOYODA Jiro <toyoda@xxxxxxxxxxxxxxxxxxxx>さんが
>「Fri, 29 Aug 2003 13:22:50 +0900」に
>「[postfix-jp:03252] Re: APOP パスワードの保護について」を書きました。
>> ネットに流れる pop3 の平文パスワードは、ログインパスワードそのもの
>> なのが問題なのです。
>> 「サーバのデータベースを覗かれる」というのはそのサーバーのルートの権
>> 限が奪われるということでしょうから、APOP だけの問題ではありません。
>
>pop3で平文でuser、passwordが流れてそれがどこかで拾われた場合、メイルが勝
>手に覗かれると言う以外の不具合がありますか?
>#popdに致命的なセキュリティーホールがある場合を除く。
メールが勝手に覗かれるのが最大の問題です。
>pop3を設定しているサーバに、同じuserとpasswordで入れるようにしているtelnet、
>SSHなんかが動いているような危ないサーバは、pop3をAPOPにしていようが危険
>なことには変わりないのでは?
pop3 の場合、パスワードは、そのマシンのログインのパスワードが
一般的です。もちろん、telnetd や sshd が動いていれば、ネットに
流れる pop3 のパスワードを盗み見してログインすることも可能です。
一方、APOP では、パスワードは暗号化されて通信しますので、ネッ
トに流れるパスワードを盗み見するのは不可能です。危険性は全く異
なります。
メールサーバーで telnetd や sshd を動かすのがいいかどうかは、
そのサーバーの運営方針次第です。MUA まで指定して決まり切った使い
方しか許さないような運営方針もあるでしょうし、直接メールサーバー
にログインして X-Window用の MUA の利用を許可するような場合もある
でしょう。
>それに、いつも思うのですが「インターネットにuserとpasswordが流れるのが危
>険」と言われている人が多いのですが、実際にはInternetに流れるよりも、社内
>のLANの中を流れる方が数倍危険な気がします。
内部犯行かどうかの違い以上の意味は無いと思います。
- References
-
- [postfix-jp:03248] Re: APOP パスワードの保護について, Tatsuya Ueda
- [postfix-jp:03252] Re: APOP パスワードの保護について, TOYODA Jiro
- [postfix-jp:03254] Re: APOP パスワードの保護について, KONNO Yousuke
[検索ページ]
[Postfix-JP ML Home]