|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Solar Designer 2:5020/400 22 Mar 2001 05:51:19
To : All
Subject : Re: POP3 - Подтверждение пароля через SPA
--------------------------------------------------------------------------------
Vladimir Butenko <butenko@stalker.com> wrote:
> Igor Nikolaev <Igor.Nikolaev@f266.n5030.z2.fidonet.org> wrote in message
>> Плохо - apop требует открытого пароля на сервере :-(
> Кто сказал? Он требует раскодируемого пароля на сервере - это да. Как и
> CRAM-MD5. Hу так
> это тоже, кстати, поправимо - но никому особо не надо (предвычесленные
> хэши).
Которые plaintext equivalent. Hе поправимо.
"We stress that the stored intermediate values need to be treated and
protected the same as secret keys." (RFC 2104)
Кстати, это не обязательное свойство C/R схем, использующих лишь хеши,
что на сервере хранятся plaintext equivalent данные. Это просто RFC у
нас такие необдуманные.
В случае APOP, например, достаточно было бы чтобы сервер мог знать
username до того как он вынужден выдать challenge и в рамках того
же протокола (прозрачно для клиента) оказалась бы реализуема схема не
требующая хранения plaintext equivalent. Hо, правда, зато требующая
read/write доступ к базе у POP3 сервера. Чуть сильнее отличающиеся
от определенных в RFC схемы могут жить и с read-only. Могу запостить
парочку (r/o и r/w) не имеющих недостатка APOP/CRAM-MD5.
Hо это мечты. Протокол определен так как определен.
--
/sd
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: POP3 - Подтверждение пароля через SPA 
