パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に」記事へのコメント

  • おうちサーバのメールをGMailからPOP3s取得させてるみたいな、「ユーザは自分だけ」の場合でも
    認証機関が署名したSSL証明書を入手(業者から買ったり無料でもらったり)しないといけない、と
    いうことですか
    # ただのPOP3にするってのはできればナシの方向で。

    • # ただのPOP3にするってのはできればナシの方向で。

      APOPで十分じゃない? どうせ、SMTPの段階では、一部を除いて暗号化されてないんだし。

      おうちサーバのメールをGMailからPOP3s取得させてるみたいな

      POP/STARTTLSはサポートしてるのかな?

      • by Anonymous Coward on 2012年12月19日 23時05分 (#2293341)

        APOP はなりすましのサーバに接続してしまうとパスワードを見破られる脆弱性があるのでダメです。接続しているサーバが本物であることをSSLで確認すればいいのですが、いずれにしてもオレオレ証明書を使っているサーバに接続するのは危険という結論になります。

        参考資料: 脆弱性を報じる記事 [impress.co.jp]

        親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...