JVN#16445002 APOP におけるパスワード漏えいの脆弱性 - JVN
上野先生の処経由……と思いきや、実は最初に知ったのはYOMIURI Onlineの記事(http://www.yomiuri.co.jp/atmoney/news/20070419i101.htm)だったり(苦笑)。
まぁ、いずれにせよAPOPで暗号化されるのは「認証に掛かる部分だけ(※1)」ですし、ハッシュ関数として使われているMD5も、今やCRYPTRECの電子政府推奨暗号リスト(PDF)から外れちゃっていますしね……いずれにしても破られるのは時間の問題だったのかも……。
個人でメールサーバ立てている方は、POP over SSLなどの方法に変更できるなら、変更した方がベターかも……。
---
(※)当然受信するメールの中身は平文のままなので、APOPでもメールの中身を盗聴されるリスクはあると……。
上野先生の処経由……と思いきや、実は最初に知ったのはYOMIURI Onlineの記事(http://www.yomiuri.co.jp/atmoney/news/20070419i101.htm)だったり(苦笑)。
まぁ、いずれにせよAPOPで暗号化されるのは「認証に掛かる部分だけ(※1)」ですし、ハッシュ関数として使われているMD5も、今やCRYPTRECの電子政府推奨暗号リスト(PDF)から外れちゃっていますしね……いずれにしても破られるのは時間の問題だったのかも……。
個人でメールサーバ立てている方は、POP over SSLなどの方法に変更できるなら、変更した方がベターかも……。
---
(※)当然受信するメールの中身は平文のままなので、APOPでもメールの中身を盗聴されるリスクはあると……。