脆弱性関連情報取扱い：APOP方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について：IPA 独立行政法人 情報処理推進機構

独立行政法人 情報処理推進機構（略称：IPA、理事長：藤原武平太）は、メールの受信に利用される認証方式の一つであるAPOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）に関する注意喚起を2007年4月19日に公表しました。 具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに利用される可能性があります。 プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。 電子メ

[deep_one]

APOPにプロトコル上の脆弱性がある…というのなら、POP3には「プロトコル上の致命的な脆弱性がある」といわなければならない。つまり、POP3よりAPOPがましなのは変わらない（笑）　だが新規にシステム追加するならPOPS。

[webmarksjp]

メール

[horisanu]

APOP方式にはセキュリティ上の脆弱性があるらしい。(後で読む)

[takado]

「このAPOP方式の問題はMD5ハッシュ方式の問題がもととなっており、今回の問題が発見されたことは暗号学の国際会議で既に発表されているため、研究者の間で問題点の所在は周知のものと

[YasSo]

「プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。」

[iga_k]

今ってAPOPってどれくらい使われてるんだろ？APOPってパスワードだけ暗号化で本文は平文だよね？

[kagawa3]

プロトコル上の弱点

[kimimasa]

「脆弱性][IPA]APOP方式におけるセキュリティ上の弱点（脆弱性）

[TAKESAKO]

http://fse2007.uni.lu/slides/rump/apop.pdf > このAPOP方式の問題はMD5ハッシュ方式の問題が元となっており、暗号学の国際会議で概要が発表されているため

[KoshianX]

これはわかりやすい

[tyki]

MD5の脆弱性、というわけではなく、チャレンジ・レスポンス双方の文字列を盗聴される可能性があるから（後はローカルでも総当りで試せる）危険ってことか