Регистрация...

Eserv Forum / E4 / Mail / Зашифрованный пароль при аутентификации

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
При автоматической настройке подключения в Mozilla Thunderbird параметр Метод аутентификации выставляет значение Обычный пароль. Если в ручную изменить на Зашифрованный пароль возникают проблемы с подключением! Поддерживает Eserv передачу пароля в зашифрованном виде?
Чем работа, через SSL-порт IMAP отличается от зачищенного соединения через STARTTLS?
P.s зашита соединения установлена STARTTLS, сертификат установлен.
 
Комментарии к этой версии (08.09.2010 08:09) [~dima-irk38] 876a6cde
АвторДатаТекстtags
pig08.09.2010 13:47
dima-irk38 пишет: Поддерживает Eserv передачу пароля в зашифрованном виде?

Нет.

dima-irk38 пишет: Чем работа, через SSL-порт IMAP отличается от зачищенного соединения через STARTTLS?

Почти ничем. Через STARTTLS используется изначально незащищённое подключение на порт 25, а команда STARTTLS включает на этом соединении шифрование.
wikipost
dima-irk3809.09.2010 04:42
Если соединения шифруется посредством STARTTLS, значит обмен спец. сообщениями между почтовым сервером и почтовым клиентом зашифрован, пароль передается в спец. сообщении и также шифруется, или я что-то не понимаю? Для работы через защищенный SSL-порт работа осуществляется, через само подписывающийся сертификат полученный при начальной установке Eserv?
wikipost
pig09.09.2010 05:56
Шифрование соединения и метод аутентификации в протокольной команде AUTH — разные вещи, одно с другим не связано.
Да, для SSL используется специальный PEM-сертификат. Тот, что в дистрибутиве — это демо, вам нужно собственный получить. Если для публичных целей, то лучше не самоподписанный, а у доверенного центра выдачи сертификатов.
wikipost
ac09.09.2010 07:25
dima-irk38 пишет: Для работы через защищенный SSL-порт работа осуществляется, через само подписывающийся сертификат полученный при начальной установке Eserv?

Да. Этот сертификат и закрытый ключ лежат в cert\server.pem. Можно заменить его на чужеподписанный, если нужно.

dima-irk38 пишет: Если соединения шифруется посредством STARTTLS, значит обмен спец. сообщениями между почтовым сервером и почтовым клиентом зашифрован, пароль передается в спец. сообщении и также шифруется, или я что-то не понимаю?

Всё правильно. Если используется STARTTLS или SSL порт, то пароль никто не прослушает, т.к. он идёт в защищенном канале.

Но под "зашифрованным паролем" Thunderbird имеет в виду другое — отдельное шифрование пароля с передачей по нешифрованному каналу. Точнее там вообще не шифрование пароля, а обмен дайджестами, подтверждающими, что на сервере и клиенте один и тот же пароль. При наличии описанного выше TLS/SSL этот способ "шифрования пароля" можно считать устаревшим и ненужным, поэтому в Eserv его и нет. Впрочем, сделать поддержку (чтобы было ) не долго, я для XMPP делал, можно готовый компонент подключить...
wikipost
dima-irk3810.09.2010 05:08
Работа через Веб-интерфейс не поддерживает шифрования? Как я заметил нет работы по протоколу HTTPS и сертификаты не копируются в доверительные центры сертификации...Тогда обращение к acWeb (из интернета) не защищено. В итоге если требуется защищать соединение разумнее использовать почтовую клиентскую программу?
wikipost
pig10.09.2010 06:08
dima-irk38 пишет: нет работы по протоколу HTTPS

А вы настроили работу веб-сервера по HTTPS? Порт 443 вообще сервером слушается? Если да — должно всё работать.

dima-irk38 пишет: сертификаты не копируются в доверительные центры сертификации

А это про что? Кто и какие сертификаты должен копировать? Тут либо пользователь руками, либо браузер с разрешения пользователя.
wikipost
ac10.09.2010 06:25
E4 при установке спрашивает номер порта для HTTPS, вот там надо было указать 443. По умолчанию, чтобы не конфликтовать с уже установленными у пользователей IIS и т.п. E4 скромно садится на порт 50080 для HTTP, а HTTPS вообще не включает. Это в любой момент можно изменить, нажав в настройках на "Web сервер" и указав "Номер SSL-порта веб-сервера=443" (потом перезапустить acWEB).
wikipost
ac10.09.2010 12:21
ac пишет: сделать поддержку (чтобы было ) не долго

Ой, это я не подумав сказал... Сделать-то не долго, но тут математическая преграда. Для CRAM-MD5 ("зашифрованная" авторизация в IMAP/POP) и для APOP (аналогично в POP) требуется хранение пароля в открытом виде (используется в вычислении этих дайджестов), а у нас-то сервер паролей не хранит, а хранит их хэши (чтобы тот, кто стащит с сервера файл со списком пользователей, все равно не мог по нему авторизоваться на этом сервере). Так что не получится, увы Упомянутая поддержка в XMPP сделана в чат-клиентах (eChat'е и в новом ВКонтакт'овом) — там пароль известен, т.к. запрашивается у пользователя для входа на сервер.
wikipost
dima-irk3810.09.2010 14:23
Хм не учел про отдельный SSL-порт для AcWeb все работает .
wikipost
Работает на Eserv/5.05555 (05.06.2016)