VYRESENO: imap pres ssl
Honza Houstek
houstek-lists na utf.mff.cuni.cz
Pondělí Leden 26 13:17:48 CET 2004
> Spoleham se na ochranu, kterou pred vnejskem poskytuje firewall, kde
> samozrejme port 993 neni otevreny. Profily jednotlivych uzivatelu jsou
> na novellovske siti, kam se kazdy musi prihlasit svym jmenem a heslem,
> takze doufam, ze nemusim byt uplne paranoidni.
To SSL by prave melo umoznit provozovat ruzne sluzby i pres verejne
draty. Vetsina implementaci SSL vam nastesti nedovoli nemit ani na jedne
strane certifikat, takze vzdy budete muset nejaky vyrobit, nejcasteji na
serverove strane. Klientum potom ten certifikat (resp. autoritu, co ho
overila) naimportujete.
Tohle vsechno musite udelat tak jako tak. Pokud k tomu pridate to, ze pri
importu certifikatu overite fingerprint, a ze uzivatele poucite aby
neklikali na kazde OK, ktere vidi na monitoru (ci nejakym jinym zpusobem
znemoznite komunikaci pri neovereni certifikatu), neni moc zpusobu, jak to
na urovni site prolomit.
Bez overeni certifikatu, jak uz ostatne psal Pavel, je komunikace chranena
proti odposlechu, ale nikoliv proti man in the middle. Alespon trochu to
bezpecnost preci jen zvysuje, protoze ne vzdy moznost odposlechu implikuje
moznost MIM.
Jinak ta komunikace s novellovskym serverem, po ktere chodi ke klientum
soubory s ulozenym heslem do IMAPu, je nesifrovana, ze ano?
-- Honza Houstek
Další informace o konferenci Linux