|
はじめまして POP3 クライアントを作ってみよう(3) のページにて > APOP はその原理上、必ずサーバ側に生パスワードを保存しておく必要があります。... > CRAM-MD5 や CRAM-SHA などの認証方法がありますが、サーバ側に生パスワードを保存しておく必要はありません。 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ とありますが、CRAM-MD5 (や DIGEST-MD5) は生パスワードを サーバ側が保持していなければならないと理解しておりましたが如何でしょうか? サーバーは,認証の際に 「クライアントから受信した文字列(暗号化済み)」と, 「送信したChallengeコードと(サーバー側の)『ユーザのパスワード』をMD5で暗号化したもの」を 比較する必要がありますので...。 |