Discussion:
[Gnus] imap ssl
(too old to reply)
Vidar Gundersen
2006-04-10 13:46:16 UTC
Permalink
når jeg setter opp for SSL pålogging mot IMAP-serveren,
hvor kan jeg lagre brukernavn/passord? hvorfor leses ikke
opplysningene ut av .authinfo fila slik som ved normal
ukryptert oppkobling?

(setq gnus-secondary-select-methods
'((nnimap "server"
(nnimap-stream ssl)
Erik Naggum
2006-04-10 22:01:10 UTC
Permalink
[N]år jeg setter opp for SSL pålogging mot IMAP-serveren, hvor kan
jeg lagre brukernavn/passord? [H]vorfor leses ikke opplysningene ut
av .authinfo fila slik som ved normal ukryptert oppkobling?
Det er to forskjellige måter å bruke SSL på. Den ene identifiserer bare
din motpart for deg, slik at du oppdager spoofing, dvs, server
certificates. Den andre identifiserer begge parter overfor hverandre,
slik at din identitet er etablert straks forbindelsen er oppe, dvs,
client + server certificates. Det er strengt tatt unødvendig å bruke
brukernavn/passord i det siste tilfellet. Om dette ikke gjelder deg og
du bare forholder deg til et server certificate uten noe client
certificate, kan du ignorere dette bidraget til din viten.

Erik Naggum
--
Member of: AAAS ACM AMS APS ASA EMS IEEE IMS MAA NYAS NBF NFF NMF
What do I read? See http://erik.naggum.no/sources-and-resources/
12 blasphemous Muhammad drawings scaled to match relevance ::::::
ID: 2006-100-79051 Nullius in verba. Lectitare humanum est.
Vidar Gundersen
2006-04-11 12:51:21 UTC
Permalink
Post by Erik Naggum
brukernavn/passord i det siste tilfellet. Om dette ikke gjelder deg og
du bare forholder deg til et server certificate uten noe client
certificate, kan du ignorere dette bidraget til din viten.
nei, jeg må lese mer om eposttilbyderen tilbyr
løsningen med klientsertifikat, uansett må vel Gnus
konfigureres for dette også?
Erik Naggum
2006-04-12 09:14:17 UTC
Permalink
[N]ei, jeg må lese mer om eposttilbyderen tilbyr løsningen med
klientsertifikat[.] [U]ansett må vel Gnus konfigureres for dette
også?
Det er vanlig at programmene/pakkene som snakker SSL/TLS vet hvordan de
skal sende klient-sertifikater og har sin egen (ofte godt sikrede)
stabel med klient-sertifikater. I oppstart-fasen ber en server som vil
ha klientens sertifikat om dette på en måte som gjør det lett å velge
blant alle de sertifikatene som klienten måtte ha. Hvis du ikke vet om
at du har gjort noe for å installere klient-sertifikater, har du trolig
ikke dette, men det er i mine øyne bare tull å sende brukernavn/passord
over SSL/TLS ettersom man har en mye sikrere og sterkere autentisering
gjennom den avanserte matematikken som er tilgjengelig i disse
protokollene enn brukernavn/passord noensinne kan nære seg. Likevel er
det mange som bare implementerer server-sertifikat fordi de ikke forstår
hva de gjør. Noen tror også at brukeren føler seg litt bedre av å sende
brukernavn/passord fremfor en bekreftet identitet til sin motpart, og at
det er mulig for andre å snappe opp hemmelig informasjon dersom de lar
programmer/pakker sende fra seg klient-sertifikater, men det er ofte
slik i sikkerhetssammenhenger at folks intuisjon er helt feil. (En
sikker løsning ville kreve et godt /lokalt/ passord for å åpne den
sikrede stabelen med klient-sertifikater, om nødvendig hver gang det
trengtes.)

Erik Naggum
--
Member of: AAAS ACM AMS APS ASA EMS IEEE IMS MAA NYAS NBF NFF NMF
What do I read? See http://erik.naggum.no/sources-and-resources/
12 blasphemous Muhammad drawings scaled to match relevance ::::::
ID: 2006-102-32685 Nullius in verba. Lectitare humanum est.
Loading...