[mew-dist 27644] Re: APOP vulnerability

[Kazu Yamamoto ( 山本和彦 )]

> ところで、これってあくまでAPOPのプロトコル自体の脆弱性であって、

MD5 の脆弱性です。
MD5 を使っているものすべてが同じ脆弱性を持っています。

MD5 が弱いのはすでに知られていることなので、
そんなに影響力はありません。
(ダメなものが、やっぱりダメだと分かっただけ。)
ほとんどのプロトコルのデフォルトは SHA-1 ですし、
SHA-1 も弱いから SHA-2 へ移行するという傾向も見受けられます。

APOP に限っていえば、これまた大した話しではありません。
悪意のあるサーバに誘導できる技術があるなら、
もっと他の(お金の儲かる)攻撃をやれるでしょう。

日本では、大多数のユーザが Outlook Express を使っており、
APOP を使わずに生パスワードを流していますから、
APOP を攻撃する前に単純にパスワードを盗聴すればいいだけです。

実際、Bot の中には、感染した PC の Ehternet を盗聴して、
パスワードを盗むものもいます。

現在では、SMTP/POP/IMAP は、SSL/TLS と共に使うべきです。
SSL/TLS は、普及しているのですから。

> 文字チェックは可能性を低くしているだけ、という理解でよいのでしょうか。

そうです。

--かず