68user's page 掲示板: 過去ログ

68user's page 掲示板

Prev< No. 4051～4056> Next [最新発言に戻る] [過去ログ一覧]

No. 4051 # 68user 2004/11/15 (月) 20:21:20

>>4049 has
その文章を書いたのは 5～6年前なのでもう忘れてしまいましたが、
改めて考えてみました。

まず、
    - ファイルに生パスワードを保存しておくのはよいことではない
というのは納得していただけるかと思われます。

もちろん、デメリットを上回るメリットがあれば生パスワードを保存
してもよいのでしょうが、APOP については特にメリットらしきものは
見当たりません。

また、管理面からいっても、UNIX のシャドウパスワードと別管理でも
よい場合もあるでしょうし、別管理になっても構わない場合もあるでしょう。
しかし、APOP では別管理にせざるをえません (選択の余地がない)。

> それではどんな方法だと納得できそうですか？
APOP はサーバがクライアントにタイムスタンプを通知する際、サーバが
保持しているパスワードが
    - 生パスワード
    - パスワードの MD5 値
    - パスワードの SHA-* 値
のいずれであるかを通知する、というのがわたしの考えです。

そうすれば、クライアント側はそれに応じて入力されたパスワードをそのまま
送るか、MD5 値を送るかを決定できます。また、サーバ管理者の方針により、
生パスワードで管理することもできるし、シャドウパスワードと共用にする
こともできます。

なお、この部分はどうも叩かれ所のようで、この APOP 批判の文章を読んで
「こいつはわかってない」と評価している人を掲示板などで見かけます
(わたしは何がどうわかってないのかが理解できないので、何ともいえない
のですが)。

>>4050 上田
> 実は『シグナルハンドラを戻すなどの対処』部分がよく分かりませんでした。
> もしよろしければこの部分のコードを教えていただけないでしょうか？
$SIG{CHLD} = 'DEFAULT';
です。

No. 4052 # has 2004/11/16 (火) 23:49:40

>>4051 68user
> 管理面からいっても、UNIX のシャドウパスワードと別管理でも
> よい場合もあるでしょうし、別管理になっても構わない場合もあるでしょう。
> しかし、APOP では別管理にせざるをえません (選択の余地がない)。
そうですね。使う側がやりたいように出来るよう、自由度を持たせておくという
考え方のツールは多い気がしますし。

> サーバが保持しているパスワードが
> - 生パスワード
> - パスワードの MD5 値
> - パスワードの SHA-* 値
> のいずれであるかを通知する
同感です。

> なお、この部分はどうも叩かれ所のようで、この APOP 批判の文章を読んで
> 「こいつはわかってない」と評価している人を掲示板などで見かけます
そうなんですか。私にもよくわかっていないようなので誰かに教えて欲しいです。

RFC2195とかにはchallenge-response authentication protocolを使うと
サーバにパスワードを*平文で保存せずに済む*とあるようです。
ひょっとしてパスワードとは別の、もっと重要なことが理解できてない
ということなのかもしれないですね…。

No. 4053 # 68user 2004/11/17 (水) 14:33:25

>>4052 has
> RFC2195とかにはchallenge-response authentication protocolを使うと
> サーバにパスワードを*平文で保存せずに済む*とあるようです。
なるほど。

    http://www.lins.jp/~obata/imap/rfc/rfc2195ja.html
        鍵付き MD5 ダイジェストを利用し、サーバ上に平文で秘密鍵が保管
        される必要はないので、RFC 1734 で規定される POP3 の使用のための
        APOP より改善されたものからなるともいえる。

ということで、APOP はイマイチと自信を持っていえるようになりました。
該当ページもそのうち加筆・修正しておきます。

ところで RFC 2195 は IMAP と POP に CRAM を導入しよう、というものですが、
IMAP では CRAM-MD5 や CRAM-SHA に対応した実装がいろいろありますけど、
POP の方は普及してるんですかねぇ。

http://risky.cs.inf.shizuoka.ac.jp/~ynoguchi/index.php?POP%20(%20courier-pop%20)
には
      (courier-pop は) courier-imap と同様，CRAM-MD5, CRAM-SHA に対応可能
      だが，結局，そのプロトコルに対応するクライアントがない
とありますし。

No. 4054 # 68user 2004/11/17 (水) 20:04:11

>>4053 68user
更新しました。
http://x68000.q-e-d.net/~68user/net/pop3-3.html

「シャドウパスワードと共通化できない」という批判は、CRAM-MD5 でも
共通化できないような気がしたので (crypt には salt があるけど、
CRAM-MD5 にはないし、CRAM-MD5 には ipad とか opad とかがあるけど、
crypt にはないから)、とりあえず削除してあります。

No. 4055 # やまさん 2004/11/18 (木) 22:50:36

>>4047 やまさん
68userさんお返事遅くなりました。四苦八苦しましたけど
ヒントいただいた通りプログラムを組みなおしたところ、
無事ログインできました。ありがとうございました。

No. 4056 # 68user 2004/11/20 (土) 04:12:12

なんとなくアンケートをとってみることにしました。
http://X68000.q-e-d.net/~68user/tmp/questionnaire.cgi

Prev< No. 4051～4056> Next [最新発言に戻る] [過去ログ一覧]