Bezpecnost protokolu POP3 (Was: Re: passwd HTML interface pre POP3 clientov
Dan Ohnesorg, admin on power
Dan na feld.cvut.cz
Středa Červenec 8 12:42:27 CEST 1998
On 8 Jul 98, at 12:26, Oto Buchta wrote:
> > Zanedbavam moznost odposlechu telefonniho spojeni, ale kdo potrebuje takovou
> > miru bezpecnosti, jiste nepouziva maily posilane jako cisty text.
>
> Tak toto je v dobe MS absolutni ulet. Clovek klepne ve Wordu na tlacitko
> odeslat dokument
> a vsechno bezi jako cisty Word. O nejakem sifrovani nemuze byt ani rec.
> Vetsina lidi ani
> nevi, co to sifrovani je.
Tady se ale dostavame nekam uplne jinem, to neni vina providera. Otazka byla jak
provider zajisti rozumnou miru bezpecnosti protokolu POP3, resp. proc nepouziva
neco bezpecnejsiho. A ja rikam, neni to zas tak nebezpecne.
Co se tyce meho uletu, vsechno je otazka konfigurace, ja pokud kliknu ve wordu
odeslat, tak pomoci pegasus mailu klidne dokument pred nacpanim do dratu prozenu
PGP. To ze ne kazdy ma pocitac takle nastaven muze byt vina providera nebo toho
cloveka, protoze kdyz to neumi, ma si zaplatit odbornika. A provider by ho as mel
varovat, bacha, nepis co nechces aby nekdo cetl.
Ono je dost absurdni zabetonovat POP3 a nechat postu litat SMTP protokolem.
Takovemu postupu rikam plakat na cizim hrobe.
>
> > A velci zakaznici maji jiste pevne linky.
>
> Vetsine i vetsich zakazniku se vyplati modemit komutovane a udelat na
> pracovisti
> poradnou restrikci. Navic cena za SPT neni zas takova jako cena vetsiny
> pevnych linek.
To je vec nazoru, nikdo nezaruci na dialupu dostatecnou plynulost sluzeb, treba listservru
a podobne. WWW hosting je pomerne rozsireny, ale cokoliv dalsiho musite mit na
vlastni siti.
>
> > O postu nejakeho privata se nikdo nezajima, co by se z ni
> > dozvedel? Ze ma babicka nove zuby... no to by si pomoh.
>
> No ja nevim, ale i male firmy, ktere maji zaplacen treba jen email, si
> posilaji veledulezita data. Uz se mi do ruky jako rootovy dostalo heslo
> ke kontu v komercni bance.
> Clovek mel zkratka pretecenou qotu...
> A to nejsou vyjimecne pripady.
Samozrejme postmaster se dozvi ledacos a mlcenlivost je zakladnim kvalifikacnim
predpokladem, odborne znalosti jsou az na druhem miste. Ovsem provider nemuze
resit to, ze nejaky id*ot posila hesla mailem. Ja jsem mel za to, ze diskuse je spise o
utajeni hesla k mailboxu, nez obsahu dopisu jako takoveho. Pak bych se spise ptal,
providere, mas server bezpecny proti w0rmu? aby nahodou nesla posta nekam
jinam..... A to je mnohem vetsi nebezpeci, nez to, ze mi nekdo odposlechne heslo k
mailboxu a nejsem si uplne jisty, ze by z takoveho pozadavku vysel kazdy uplne
cisty.
zdravim
dan
________________________________________
DDDDDD
DD DD Dan Ohnesorg, supervisor on POWER
DD OOOO Dan na feld.cvut.cz
DD OODDOO Dep. of Power Engineering
DDDDDD OO CVUT FEL Prague, Bohemia
OO OO work: +420 2 24352785;+420 2 24972109
OOOO home: +420 311 679679;+420 311 679311
________________________________________
Nekdy je rozumne o krok ustoupit, aby se prodlouzil rozbeh.
Další informace o konferenci Linux