• ベストアンサー
  • 困ってます

POP3 over SSL と APOPを併用した方がよいか

お世話になります。 APOPの脆弱性は、MD5やSHA-1のハッシュの問題と合わせて色々と難しい理屈のようですが、私の場合はPOP3S(POP3 over SSL)でメールサーバーと通信しているため、IDとパスワードは暗号化されています。 そこで思ったのですが、この暗号化はそれなりに強力な物だとは思っていますが、このSSL接続の中でさらにAPOPを使った方がすこしは安全性がマシになる、といった事はあるのでしょうか。 普通はPOP3を使用すると思いますが、もしSSL接続の中身が見られたとき、APOPならさらにこれを解読(?)する必要がありますよね。 しかし、一般のSSLを破るほどならAPOPなんて数秒で解読できる意味のない物なのでしょうか。 メーラーでかんたんに選べる設定だけに、無意味に悩んでいます。 平文で送るのとAPOPで送るのと (どちらも、それをさらにSSLで送るわけですが)どちらがよいのでしょうか? もちろんメール本文はどちらにしろサーバーの先で平文になりますよね、それは分かっています。 理解が間違っていたらご指摘ください。

noname#114962
noname#114962

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数607
  • ありがとう数1

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • Wr5
  • ベストアンサー率53% (2177/4070)

どちらもさほど変わらない…かと思われます。 まずSSLでの暗号化が破られないことには…ということになりますし。 SSLで接続している相手が確実に目的のサーバである。という前提はありますが。 間に入るPOP3-Proxyの場合はどうにもならないでしょう。 その辺りはSSL通信時の証明書を確認するしかないかと。 なおAPOPの場合、サーバ側に暗号化されていない生パスワードが保存されている必要があります。 クラックされたら元も子もないです。 # まぁ、クラックされたらどっちにしろ問題有りなのは変わりませんが。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

なるほど。たしかにAPOP非対応だったらサーバー側にパスワード自体はいりませんね。 やはりどっちでもよさそうですね、そういうことで自分を納得させます(汗) ありがとうございました。

関連するQ&A

  • SMTP over SSL/POP3 over SSL について

    SMTP over SSL/POP3 over SSL について SMTP over SSL/POP3 over SSLでメールの送受信を行うと、メーラとメールサーバ間の通信経路が暗号化されるとのことですが、メールの送受信先(アドレス)も含め、全てが傍受不可なのですか。アドレスの流出が起こりうるかどうかが心配です。

  • SSLとMD5について

    今、ログイン周りを勉強しているのですが、 MD5でハッシュ化すればO.K.と思ってたら、 本の下の方に、 「いくらサーバー側で暗号化しても、パスワードは裸の状態で経路のネットワークを流れてくるわけですから気休めですけどね」 って書いてました。 MD5ってのは、平文で流れる場合、一応やった方がいい、ぐらいの感じなのでしょうか? ・平文で送らないためには、SSLにするしかないのでしょうか? ・SSLにしたら、MD5にしなくてもよいのでしょうか? ・チャレンジ/レスポンス認証というのは、どうやってやるんでしょうか? 「ここら辺の関連性」、「何が違うのか」、「注意したらいい点」、「それぞれのメリット・デメリット」等、教えてください。

    • ベストアンサー
    • PHP
  • httpとhttpsとSSLの違い

    http は通信内容が平文でネットワークを流れる。 https は通信内容がWEBサーバとPCのブラウザ間で暗号化される。ブラウザのキャッシュが効かない。 SSL は通信内容がWEBサーバとPCのブラウザ間でSSL証明書をもって暗号化できる。httpsに追加して使える(2重に暗号化?)。httpには使えない。通信を要求するサーバが信頼できることを証明する。 と理解していますが、たぶんどれか間違っていると思います。 上記3個の違いを簡潔に教えてください。 よろしくお願いします。

  • ヤフーメールと POP/SMTP

    ヤフーメールを、POP/SMTPで扱えることを知りました。 さらに、SSL(TLS)での接続にして、通信経路での暗号化もできるようです。 openssl を使えば、そんなに苦労しなくてもなんとかなると思いますが、 ヤフーメールを暗号化(サーバー管理者にも解けない暗号化)して扱うというときに、 POP3S にする意味は有りますか? POP3 で十分ですか? サーバー管理者にも解けない暗号化 については、AES や カメリア を考えています。 アドバイスよろしくお願いいたします。 たとえば、近い将来 POP3S だけになるとか。。

  • 無線LANやSSL VPNは政府に解読されてる?

    米英政府はインターネットの暗号化通信を解読可能、米英紙が報じる http://itpro.nikkeibp.co.jp/article/NEWS/20130906/502762/ この記事なんですが、家庭用の無線LANの暗号化通信は関係ありますか? また、httpsやSSLを使ってるVPNなども解読されてると解釈可能な記事でしょうか? 教えてください。

  • SSLについて

    初歩的な質問ですみません。 当方、現在ある自宅サーバーをメールサーバー+FTPサーバーとして使おうと思っているのですが、SSLの必要性で気になることがあります。 メールサーバーを立ち上げて、ポートを開放しOutlook Expressなどで外部と通信した場合、その通信の内容の中にID・パスワードなどがそのままの状態でやり取りされるのでしょうか?その場合は盗聴の可能性はあるんでしょうか。 例ですが、Yahoo!メールでOutlook Expressなどに設定して通信した場合SSL等の暗号化はされているのでしょうか。 もし自宅サーバーでSSLを使うならOpenSSLで自分で発行するんでしょうけど、その前に気になったので質問しました。 詳しい方、よろしければ教えてください。

  • 無線LANのWEP脆弱性にhttpsやsslは?

    当方初心者ですが、よろしくお願いします。 WEPの脆弱性により、無線通信を傍受される危険性が騒がれていますが、 httpsやsslで通信を行えば内容そのものは解読できない云々の話があります。 実際問題、解読できるんでしょうか。できないんでしょうか。 (たとえば、Gmailなどで「常にhttpsを使用する」設定をしたにも関わらず、 無線LAN周辺の第三者にメール本文を盗み見られることがあるのか)

  • SSL/https接続は公衆無線LANでも大丈夫?

    ネット銀行、gmailなどSSL/https接続しているようですが、fonなど暗号化(wepなど)していない公衆無線LANでもセキュリティ大丈夫なのでしょうか?

  • 無効なSSLサーバ証明書

    有効期限が切れたなどの理由で無効になってしまっているSSLサーバ証明書のサイトにhttpsで接続しようとすると、「このサーバ証明書は無効です」というような警告がでます。 これにOKしてhttpsで接続する場合、サーバの正当性が証明されないだけで通信の暗号化はされているのでしょうか? よろしくお願いします。

  • SSL での 公開鍵、秘密鍵

    Gメールで、POP接続してメールを取り出すときは、 SSL(TLS)での接続となります。 ここで、RSA暗号を使う場合の、公開鍵を秘密鍵のセットは 接続した瞬間に作成されるのでしょうか? それとも、既に作ってある公開鍵と秘密鍵のセットが選ばれるのでしょうか? もし、既に作ってあるセットの中から選ぶ場合には、 鍵のセットはサーバーの中に何セットくらい用意されているのでしょうか? WireShark で、SSL の暗号化を解読してパケットの中を見る方法があるとのことで、 すこし、気になっています。 お分かりの方よろしくお願いいたします。   参考: https://www.softbanktech.jp/yko/2010/07/001129.html

専門家に質問してみよう