[mdk-re] [JT] Netscape Messenger, The Bat & POP3 authentication

Henri Bourbon =?iso-8859-1?q?npecca_=CE=C1_yahoo=2Ecom?=
Пн Авг 27 23:45:30 MSD 2001 

Tue, 21 Aug 2001 17:59:16 +0400, cornet wrote:

!Сначала идет неинтересный спор. О POP3-авторизации и мэйлерах -- ниже. HB!

> > >> А Нетшкафе я никаких гаек не тыкал - все равно криптует :-)
> > 
> > Вот  и плохо. Это в худших традициях MSFT. Я, а не мэйлридер, должен
> > решать, использовать SSL или нет.
> 
> Ну это спорная точка зрения. Если идти по пути Вашей логики, то
> дефалтом и пасворд на логине должен иметь эхоотображение и только
> после соответствующей настройки становиться звездочками или
> вообще не отображжаться...

Гм... гм-гм... Если мои слова вывернуть на изнанку, а затем мелко нарезать,
то их смысл исказится меньше, чем исказили его вы ;-)
Сейчас я объясню, что _на самом деле_ я имел в виду, и уверен, что вы со
мной согласитесь, т. к. нет "моей" и "вашей" логики, есть просто _логика_.
В _правильном_ почтовом клиенте должен быть чекбокс (check box)
"использовать SSL". Он должен __быть__. Какое у него должно быть значение по
умолчанию -- это уже совсем-совсем другой вопрос. Вы согласны со мной? С
первым вопросом решили? Тогда возьмем этот "совсем другой", 2-й вопрос. Да,
конечно, по умолчанию должен использоваться максимально защищенный метод. Но
у меня, пользователя, должен быть выбор, я должен быть способным отключить
ненужную мне "секурность" (у SSL есть свои недостатки, например, лишний
трафик, большее время отклика и доп., пусть даже минимальная, нагрузка на
процессор) в угоду каким-то своим другим интересам.
Мне казалось, все это очевидно, а тут вдруг вы придумываете какую-то жуть с
эхоотображением пароля...

Теперь отставим в сторону этот "Just Talk" и чиста канкретна разберемся с
POP3.

> > > И на POP3 тоже? Интересно, это ж текстовый протокол - если
> > > у вас сервер работает по RFC то он при попытке криптовать
> > > должен вас посылать по идее (я знаю про APOP, etc.).
> > 
> > Михаил,  не  путайте.  POP3  --  протокол  прикладного  (7-го)  уровня. 
> Да,
> > текстовый,  естественно.  Если  я  соединяюсь  с 110-м портом
> POP-сервера, я
> > передаю открытым текстом:
> > 
> > user vasya
> > pass Lyusya-Dura!
> > 
> > Если  же  я  на уровне представления (6-м) подсовываю под POP3 Secure
> Socket
> > Layer,  то я обращаюсь к 995-му порту сервера, и передаю все те же
> текстовые
> > строки (user vasya и pass Lyusya-Dura!), только в шифрованном виде.
> 
> Между прочим _все_ отосланные мной пакеты шли только на 110 порт,
> на 995 не ушло ниодного :-)
> О pop3 сервере который я использовал в эксперименте - это
> mail.zmail.ru так что если Вас интересует как он настроен -
> ткнитесь и посмотрите...

Во-первых, признаюсь, что мое знакомство с POP3 было поверхностным. Но после
изучения матчасти выяснилось, что:

1) POP3 позволяет *множество* методов авторизации, при к-рых пароль
пользователя _не_ передается открытым текстом. Эти методы не имеют
_никакого_ отношения к использованию или не использованию SSL. Безопасная
авторизация и SSL -- это как бы 2 _независимых_ булевых переменных. Т. е.
можно передавать пароль открытым текстом, но при этом шифровать весь трафик
с помощью SSL; либо шифровать пароль средствами POP3, а SSL не пользоваться;
либо и то, и другое; либо ни того, ни другого, т. е. голый plain text и
никаких SSL.

2) Netscape Messenger не умеет использовать SSL. По кр. мере,
соответствующей настройки я нигде в нем не видел. Однако, он сам умеет
определить наиболее безопасный тип POP3-авторизации, к-рый поддерживает
данный конкретный POP3-сервер, после чего он и использует этот тип
авторизации. Что это означает с практической точки зрения? То, что злые дяди
со снифером не "подслушают" ваш пароль, однако спокойно прочтут ту почту,
к-рую будет передавать вам сервер во время вашего сеанса связи, т. к. она
передается в нешифрованном виде. В большинстве случаев это нестрашно, но
далеко не всегда.

3) The Bat имеющейся у меня версии 1.51 также не умеет пользоваться SSL. Я
полагал, что это автоматически приводит к передаче всего, в т. ч. пароля, в
открытом виде. К счастью, я ошибался. The Bat поддерживает 2 безопасных
метода шифрованной передачи пароля, причем, в отличие от Netscape Messenger,
между этими 3-мя (2 безопасных + plain text) методами нужно явно
переключаться, ставя в нужное положение соотв. radio button. Т. е. The Bat
менее "интеллектуален" при выборе метода авторизации, однако предоставляет
право выбора самому пользователю.

4) "Зенон НСП" -- молодцы (у меня тоже ящик у Зенона... более того, даже 3
ящика :)), конкретно POP3-сервер mail.zmail.ru поддерживает все мыслимые и
немыслимые методы POP3-авторизации, в комбинации с SSL и без нее.

Что касается SMTP, то недавно они свернули дебильно-мастдайный метод
авторизации "сначала проверьте почту через POP3, и лишь потом отсылайте" и
включили нормальную SMTP-авторизацию. В отличие от большинства других
почтовых серверов, так что, IMHO, они вдвойне молодцы.

А вот ньюс-сервер их,
за доступ к к-рому я кровно заработанные тугрики платил, самым наглым
образом вставляет в мои постинги заголовок Organization: Zenon blah-blah...,
что я расцениваю как их саморекламу за мой счет. Гады :))

Фух. Ну, в таком духе, в таком разрезе :)

-- 
HB

Подробная информация о списке рассылки community