|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : 3APA3A 2:5020/400 20 May 2003 19:34:14
To : SҐrgҐy ’®mil®v
Subject : Re: POP/SMTP защищенная аутентификация
--------------------------------------------------------------------------------
Hello, Sеrgеy!
You wrote to All on Mon, 19 May 2003 23:37:14 +0400:
SТ> Ищется бесплатный почтовый сервер, где помощи почтового клиента
SТ> можно забирать/принимать почту, но так, чтобы процесс аутентификации
SТ> был защищен от снифаков. Hужно, чтобы пароль не передавался
SТ> плэйнтекстом. Hа mail.ru работает
SТ> MD5 APOP RFC-1939 но только с POP сервером, с SMTP как я понял
SТ> защищенной аутентификации нет :( Да и еще, мне сказали, что когда
В SMTP по-умолчанию используется CRAM-MD5 авторизация, там пароли в голом
виде не летают.
SТ> используется MD5 APOP
SТ> RFC-1939, то поснифав хеш злоумышленник вместо пароля может втупую
SТ> подставлять этот хеш и тем самым не зная непосредственно пароля
SТ> юзать мой ящик. Если это так, подскажите наиболее эхотажный вариант
Чушь. В APOP в качестве challenge используется баннер сервера:
-bash-2.05b$ telnet pop.sandy.ru 110
Trying 195.122.226.5...
Connected to pent.sci-nnov.ru.
Escape character is '^]'.
+OK POP3-SANDY/3APA3A-2.0-RADIUS-RC1 <9182.1053444479@pent.sci-nnov.ru>
В качестве challenge будет <9182.1053444479@pent.sci-nnov.ru>, по RFC он
должен содержать временную метку и уникальный идентификатор. Ответ клиента
это MD5(challenge + password), т.е. он будет каждый раз новый, использовать
Replay-атаки не получится.
CRAM-MD5 немного надежней чем APOP, но реально большой разницы нет.
/3APA3A
http://www.security.nnov.ru
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
