freenet stellt POP3 wegen sicherheitsmängel ein ?

Stephan Seitz stse+postfixbuch at rootsland.net
Fr Aug 7 14:59:14 CEST 2020


On Do, Aug 06, 2020 at 22:51:19 +0200, Uwe Drießen wrote:
>Öhm ja da war was ich erinnere mich dunkel. Bei verschlüsselten PW in 
>der Datenbase müssen die PW  cleartext übermittelt werden damit der 
>vergleich mit dem "gehäschten" PW wert in der database funzenuckelt.
>Oder so ähnlich aber das ist bei IMAP ebenfalls so.

Ja, das gilt für beide Protokolle, bzw. auch damals für PPP mit der 
Unterscheidung PAP oder CHAP.
Entweder das Paßwort ist auf dem Server verschlüsselt gespeichert, dann 
muß es im Klartext übertragen werden, oder es kann sicher übertragen 
werden, dann muß es auf dem Server im Klartext stehen.

Letzteres stammt eigentlich noch aus der Zeit, als es kein SSL/TLS gab, 
und jeder die Leitung abschnüffeln konnte.

Ich weiß jetzt nicht, ob Freenet alles auf 2-Faktor-Authentifizierung 
umstellen will, aber ich hätte jetzt gedacht, daß die Unterscheidung zw.  
POP und IMAP da keine Rolle spielt. Die meiste Serversoftware wie Dovecot 
oder Cyrus kann doch eh beide Protokolle.

Shade and sweet water!

	Stephan

-- 
|    If your life was a horse, you'd have to shoot it.    |


Mehr Informationen über die Mailingliste Postfixbuch-users