|
はじめまして POP3 クライアントを作ってみよう(3) のページにて > APOP はその原理上、必ずサーバ側に生パスワードを保存しておく必要があります。... > CRAM-MD5 や CRAM-SHA などの認証方法がありますが、サーバ側に生パスワードを保存しておく必要はありません。 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ とありますが、CRAM-MD5 (や DIGEST-MD5) は生パスワードを サーバ側が保持していなければならないと理解しておりましたが如何でしょうか? サーバーは,認証の際に 「クライアントから受信した文字列(暗号化済み)」と, 「送信したChallengeコードと(サーバー側の)『ユーザのパスワード』をMD5で暗号化したもの」を 比較する必要がありますので...。 |
|
ご指摘ありがとうございます。勘違いしていたようです。 以下のように修正いたしました。 http://x68000.q-e-d.net/~68user/net/pop3-3.html - 一方 IMAP というプロトコルには APOP と似た認証の仕組みとして、 - CRAM-MD5 や CRAM-SHA などの認証方法がありますが、サーバ側に - 生パスワードを保存しておく必要はありません。 + SMTP や IMAP には APOP と似た認証の仕組みとして、CRAM-MD5 や、 + それを改善した DIGEST-MD5 などの認証方法がありますが、こちらも + 同様にサーバ側に生パスワードを保存する必要があります。 |