タグ

関連タグで絞り込む (6)

タグの絞り込みを解除

securityに関するshino-sunのブックマーク (8)

  • いまどきAPOPなんですか? - 精々日誌

    回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。 メールの「APOP」脆弱性のアナウンス。 APOP は、メールサーバからメールを受信する POP3 プロトコルで使用される認証方式の一つ。 驚いたのは結構反応している人が多いこと。 POP3なんてそんなに使ってるんですか? APOPなんか怖くて使えない 何に反応してるんでしょう? メール文がみられちゃうこと?APOPを利用しているなら、POP3な訳でメール文は暗号化されません。ネットワーク上を行き交うのでパケットを見られれば、内容は盗み見られます。 簡単にプロトコル・認証でのセキュリティレベルを整理すると下記のようになります。 pop3 ・・・ アカウント

    いまどきAPOPなんですか? - 精々日誌

  • 2007-04-20

    回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。 メールの「APOP」脆弱性のアナウンス。 APOP は、メールサーバからメールを受信する POP3 プロトコルで使用される認証方式の一つ。 驚いたのは結構反応している人が多いこと。 POP3なんてそんなに使ってるんですか? APOPなんか怖くて使えない 何に反応してるんでしょう? メール文がみられちゃうこと?APOPを利用しているなら、POP3な訳でメール文は暗号化されません。ネットワーク上を行き交うのでパケットを見られれば、内容は盗み見られます。 簡単にプロトコル・認証でのセキュリティレベルを整理すると下記のようになります。 pop3 ・・・ アカウント

    2007-04-20

  • 脆弱性関連情報取扱い:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について:IPA 独立行政法人 情報処理推進機構

    独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年4月19日に公表しました。 具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに利用される可能性があります。 プロトコル(通信手順)上の問題であり、現時点で根的な対策方法はありません。 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。 電子メ

    脆弱性関連情報取扱い:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について:IPA 独立行政法人 情報処理推進機構

  • APOPにパスワードが漏れる脆弱性

    独立行政法人の情報処理推進機構(IPA)は4月19日、メール受信の認証法式の1つ「APOP」に、パスワードが漏えいする脆弱性があるとして注意を呼び掛けた。プロトコル上の問題であり、現時点では「根的な対策方法はない」といい、SSLを使う回避方法を推奨している。 APOPはパスワード漏えいを防止するために考案されたメール受信用プロトコル。だが、APOPが使っているハッシュ関数「MD5」の問題が元となり、APOPにもパスワードが漏えいする弱点が見つかったという。 メール受信用パスワードをSSHやWebサイトのログインにも利用している場合、この弱点からパスワードが漏えいすると不正ログインに悪用される可能性もある。 現時点での回避方法として、POP over SSLやWebメールを使うなど、SSLによる暗号化通信を利用することを挙げている。またこうした回避方法がとれない場合は、メールパスワードを他

    APOPにパスワードが漏れる脆弱性

  • 高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に

    ■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ

  • https://www.ipa.go.jp/security/enc/CRYPTREC/fy15/doc/139_ipa-hash2.pdf

  • http://homepage3.nifty.com/iandt/s-h-p.htm

  • http://www.ciojp.com/contents/?id=00001497;t=24

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.