Re: IMAP über SSL: Passwort trotzdem im Klartext?
Bernhard Schwartz <weichei@email-ausdrucker.de> wrote:
> man ja noch so einiges konfigurieren. Denn für CRAM-MD5 muss Courier ja das
> Klartext-Passwort kennen.
> Jetzt die Fragen: Wird bei SSL/TLS mit IMAP das Passwort im Klartext
> übertragen und nur der Mailtransport selbst verschlüsselt (dann wäre CRAM-MD5
Jein. Das Password *wird* uebertragen, aber ueber die verschluesselte
Verbindung. Bei CRAM-MD5 wird das Password garnicht uebertragen (drum
braucht der Server es da auch im Klartext).
> ja auf jeden Fall noch notwendig), oder kann ich mir das sparen, wenn ich
> SSL/TLS benutze?
Das ist mehr oder weniger Ansichtssache.
Natuerlich birgt es immer Risiken, ein Password zu uebertragen - egal
ob verschluesselt oder nicht. Andererseits birgt es auch Risiken, ein
Password im Klartext auf irgendwelchen Maschinen rumliegen zu haben.
Ich persoenlich fuehle mich halt bei letztem etwas unwohl und nehme
dafuer lieber ersteres in Kauf. Wobei das jedoch m.o.w. irrational ist,
denn wenn jemand den Server hacked, ist es egal, ob mein Password da
im Klartext rumliegt oder der Hacker das uebermittelte Password nach
dem Entschluesseln abfaengt.
regards
Mario
--
The social dynamics of the net are a direct consequence of the fact that
nobody has yet developed a Remote Strangulation Protocol. -- Larry Wall
Reply to: