APOPの脆弱性が。。。
2007年04月20日
先日APOP(メールサーバーのログオン)の脆弱性があると発表されました。
私は何でこれを騒ぐのか不思議です。 確かに安全といわれていましたが、そうではなかった。 問題といえば問題です。しかし、 多くの人は(多くのプロバイダは)、まだ平文パスワードのPOPを使っているんですよね。 であれば、 それより安全なAPOPを使うべきだと私は思う。
少なくともいま多くの人が使っている、平文パスワードでログインするPOPよりは安全。 だから、 脆弱性は見つかったけどAPOPを使いましょう。というのが今の状況だと思う。
「POPoverSSLを使うのがベスト、それがなければAPOP、POPでの接続やめましょう」
また、例えばケーブルテレビのインターネットとかの場合、プロバイダの専用の線でサービスしているところの場合、 APOPの盗み方はありえないんですよ。それは、家からメールサーバーまでプロバイダの管理下のネットワークだから、 嘘のDNSサーバーやPOPサーバーを作ったら、監視センターですぐにわかっちゃうのだ。 それが分かれば、 監視センター側からモデムのIP接続を遮断する事も可能。ケーブルテレビのモデムの場合、 ユーザーが使うグローバルなIPアドレスと管理用のローカルのIPアドレス両方を持つんです。 管理センターはそのローカルIPにメッセージを送り、グローバル側のIPアドレスを止めることも可能なのだ。
だから、家からケーブルTVとかのネットでメールを受信する分には、APOPでパスワードが盗まれる事は無いよね。
それよりも考えなければいけないことは、メールの本文だね。
メールの本文はSMTPリレーといって郵便配達のお兄さんが数名で送信先のメールボックスに受け渡していくんだ。現実の世界に例えると、
封書じゃなくて葉書なの。だから、途中途中の配達人が文章を読めるんだよ。 eメールというがeポストカードなんだ。 だから、
メールに口座名とかを書くことはとても危険なことなのだ。もし、どうしてもメールで送るなら、テキストファイルとかに書いて、
それをパスワード付きのZIPファイルとかにして添付して送るといい。これでも完全じゃないんだけど、メールの本文に書くよりましです。
でもパスワードを本文に書いたら意味無いよ。