SSLまたはTLS経由でメールサーバに接続していますが、PLAIN認証を使用している場合は安全ですか?SSL/TLSによるPLAIN認証
1
A
答えて
11
SSL/TLS接続はすでに暗号化されているため、パスワードをプレーンテキストとして送信しても何も問題はありません。あなたは同様にパスワードを暗号化することができますが、あなたはそれを二重に暗号化しています。ほとんどの場合、私はそれが余分だと考えます。
私は、パスワードの代わりに証明書を使って認証することを選択した場合、PLAIN over SSL/TLS以外の場所を使用すると思います。そうでなければ、私はそれをPLAINのままにしておきます。
2
Ryanは、SSLなしでアプリケーションを使用することが決してないと確信しているのなら、絶対に正しいです。 SSLはプレゼンテーション層にあり、ソケット接続が確立されるたびに、ホストの検証、セッションキーの交換、安全なトランスポート層の作成を含むSSLハンドシェイクが最初に行われます。この安全なチャネルが確立され、交換されるデータがセッション鍵を使用して暗号化されると、アプリケーション層での通信が行われるため、通信は安全です。
ただし、アプリケーションにSSLを使用する/使用しないオプションがある場合は、パスワードを別々に暗号化する必要があります。 SSLを介して作業している間、これは冗長ですが、それ以外の場合は必要です。
関連する問題
- 1. Spring 3.0セキュリティ - 認証による認証
- 2. OpenIddict - マイクロサービスによる認証と認証
- 3. Google認証者による2FA認証
- 4. Azure AD認証によるカスタム認証
- 5. plain JavaScript/AJAXを使用してクライアント側のトークンベース認証を実装する
- 6. 証明書によるKubernetes認証
- 7. 証明書による認証
- 8. VB.NETによるLDAP認証
- 9. HttpWebRequestによるダイジェスト認証
- 10. タッチスクリーンによるデスクトップユーザー認証
- 11. _sessionによる認証
- 12. Spring、データベースによる認証
- 13. AjaxによるPhoneGap認証
- 14. pam_execによるAzure認証
- 15. dotCMISチケットによる認証
- 16. HTTPによるNTLM認証
- 17. OwinによるImageresizer認証
- 18. ケルベロスによるファブリック認証
- 19. MVC3 SSRSによる認証
- 20. CodeIgniter APIによる認証
- 21. devise認証によるパフォーマンステスト
- 22. REST APIによる認証
- 23. Akka-Httpによる認証
- 24. EclipseによるWindows認証
- 25. AWSによる認証シークレット
- 26. Bcryptによるユーザ認証
- 27. JNDIによるLDAP認証
- 28. htaccessによる認証
- 29. LDAPによる認証
- 30. グループメンバーシップによるLDAP認証
誰かがこの質問をServer Faultに移行していたはずです。私は考えています... –
スーパーユーザーに移行するようにフラグが設定されています。 –