Re: APOP vs. ssl [was: fetchmail SMTP Fehler 553]
Am 05.04.2005 um 22:31 Uhr schrieb Peter Wiersig <peter@friesenpeter.de>:
> On Tue, Apr 05, 2005 at 09:57:50PM +0200, Sebastian Niehaus wrote:
> > Peter Wiersig <peter@friesenpeter.de> writes:
> >
> > Ja? Inwiefern ist APOP "besser"? Weniger Overhead - meinetwegen.
>
> Du weisst auf Grund vom Timing, in welchem SSL-verschluesselten
> Paket das Klartextpasswort uebertragen wird.
>
> Die Woerterbuchgroesse fuer APOP schreint mir relativ gross zu
> sein - je nachdem welches Schluesselverfahren bei SSL ausgehandelt
> wurde, kann diese Menge kleiner sein.
>
> Ausserdem musst du bei APOP das Passwort ermitteln, eine Kollision
> reicht dir nicht, da ja beim naechsten Login vor dem Passwort ein
> neuer serverseitig vergebener String hinzugefuegt wird.
>
> Ausserdem hab ich eh nur kurz ueber die RFC geschaut, ehe ich
> meine Antwort geschrieben habe. Ob ich richtig liege weiss ich
> noch nicht.
>
> > > Fuer deine Privatsphaere - SSL.
> >
> > Wobei die Mail damit auch nur auf der allerletzten Strecke nicht
> > abhörbar wird --
>
> Haengt davon ab, wie du deine smtp-Server konfigurierst.
>
> > das Passwort wird auch bei APOP verschlüsselt.
>
> Nein, das Passwort wird bei APOP nicht verschluesselt.
Was wird denn sonst bei APOP verschlüsselt?
IMHO wird bei APOP _nur_ das Kennwort verschlüsselt übertragen...
Oder täusche ich mich?
> Peter
Gruß,
Thilo
--
Registered Linux user #348074 with the Linux counter
http://counter.li.org
Reply to: