Bezpecnost protokolu POP3 (Was: Re: passwd HTML interface pre POP3 clientov

Dan Ohnesorg, admin on power Dan na feld.cvut.cz
Středa Červenec 8 12:42:27 CEST 1998 

On 8 Jul 98, at 12:26, Oto Buchta wrote:

> > Zanedbavam moznost odposlechu telefonniho spojeni, ale kdo potrebuje takovou
> > miru bezpecnosti, jiste nepouziva maily posilane jako cisty text.
> 
> Tak toto je v dobe MS absolutni ulet. Clovek klepne ve Wordu na tlacitko
> odeslat dokument
> a vsechno bezi jako cisty Word. O nejakem sifrovani nemuze byt ani rec.
> Vetsina lidi ani
> nevi, co to sifrovani je.

Tady se ale dostavame nekam uplne jinem, to neni vina providera. Otazka byla jak 
provider zajisti rozumnou miru bezpecnosti protokolu POP3, resp. proc nepouziva 
neco bezpecnejsiho. A ja rikam, neni to zas tak nebezpecne. 
Co se tyce meho uletu, vsechno je otazka konfigurace, ja pokud kliknu ve wordu 
odeslat, tak pomoci pegasus mailu klidne dokument pred nacpanim do dratu prozenu 
PGP. To ze ne kazdy ma pocitac takle nastaven muze byt vina providera nebo toho 
cloveka, protoze kdyz to neumi, ma si zaplatit odbornika. A provider by ho as mel 
varovat, bacha, nepis co nechces aby nekdo cetl.
Ono je dost absurdni zabetonovat POP3 a nechat postu litat SMTP protokolem. 
Takovemu postupu rikam plakat na cizim hrobe.

> 
> > A velci zakaznici maji jiste pevne linky.
> 
> Vetsine i vetsich zakazniku se vyplati modemit komutovane a udelat na
> pracovisti
> poradnou restrikci. Navic cena za SPT neni zas takova jako cena vetsiny
> pevnych linek.
To je vec nazoru, nikdo nezaruci na dialupu dostatecnou plynulost sluzeb, treba listservru 
a podobne. WWW hosting je pomerne rozsireny, ale cokoliv dalsiho musite mit na 
vlastni siti.

> 
> > O postu nejakeho privata se nikdo nezajima, co by se z ni
> > dozvedel? Ze ma babicka nove zuby... no to by si pomoh.
> 
> No ja nevim, ale i male firmy, ktere maji zaplacen treba jen email, si
> posilaji veledulezita data. Uz se mi do ruky jako rootovy dostalo heslo
> ke kontu v komercni bance.
> Clovek mel zkratka pretecenou qotu...
> A to nejsou vyjimecne pripady.

Samozrejme postmaster se dozvi ledacos a mlcenlivost je zakladnim kvalifikacnim 
predpokladem, odborne znalosti jsou az na druhem miste. Ovsem provider nemuze 
resit to, ze nejaky id*ot posila hesla mailem. Ja jsem mel za to, ze diskuse je spise o 
utajeni hesla k mailboxu, nez obsahu dopisu jako takoveho. Pak bych se spise ptal, 
providere, mas server bezpecny proti w0rmu? aby nahodou nesla posta nekam 
jinam..... A to je mnohem vetsi nebezpeci, nez to, ze mi nekdo odposlechne heslo k 
mailboxu a nejsem si uplne jisty, ze by z takoveho pozadavku vysel kazdy uplne 
cisty.


zdravim
dan
                    ________________________________________
DDDDDD             
DD   DD                Dan Ohnesorg, supervisor on POWER     
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CVUT FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________
Nekdy je rozumne o krok ustoupit, aby se prodlouzil rozbeh.

Další informace o konferenci Linux