[Mew-dist 16426] Re: S/MIME encryption patch

[Ryutaroh Matsumoto]

From: "YOSHIFUJI Hideaki / 吉藤英明" <yoshfuji at example.com>
Subject: [Mew-dist 16417] Re: S/MIME encryption patch
> コードも見てないし、試していないのでアレなのですが、

いえいえ、コメント助かります。

> もともとの指摘は、たとえば、/ を許したりすると
> セキュリティ的に問題なのでは、ということを
> 指摘したかったのですが('"'はまた別)、

電子署名の検証に成功した場合しか送信者の公開鍵を保存しようと
せず、ルート証明機関(VeriSignなど)の署名が送信者の公開鍵に無い
と電子署名の検証には成功しないはずです。そういう訳でセキュリティ
的に問題があるようなメールアドレス (../bar at example.comなど）が署名の
検証に成功するはずはないのであまりそういう心配はしなくていいのでは
ないかと思っています。

>この解決としては、
> URL-encoding 風に
> encode: s/[^a-zA-Z0-9\.\_\-]/sprintf("%%%02X",ord($1))/egi;
> decode: s/%([0-9A-F][0-9A-F])/pack('C',hex($1))/egi;
> のようなもの(perlでごめんなさい)でよいのではないかと
> 思うんですが、だめでしょうか？

アドレスに/があると公開鍵がセーブされないバグをなんとかしないと
いけないんですが、上のアプローチのほうがよさそうな気がします。

松本　隆太郎