O Mac Mail transmite a senha de texto sem formatação durante a nova configuração da conta quando o Mail se conecta ao servidor?

Navegue suas respostas
3

Parece que sempre que você configura uma nova conta de e-mail no Mac Mail (ou no iPhone etc.), assim que você digita o servidor e a senha da conta de e-mail, o Mac Mail tenta se conectar ao servidor de e-mail. No entanto, essa conexão ocorre antes que você possa definir a opção SSL. Portanto, parece que a conexão inicial transmite a senha da conta de e-mail como texto simples.

Parece-me que todos os dispositivos da Apple (ou seja, iPhones, iPads, Mac Computers) usam basicamente o mesmo processo e parecem fazer uma conexão inicial com o servidor de e-mail sem usar SSL.

Isso parece uma configuração muito insegura. Se isso está acontecendo, então esta é uma grande falha de segurança. Isso significaria que os usuários dos aplicativos do Mac Mail poderiam facilmente ter suas senhas de e-mail lidas por seus ISPs ou qualquer outra pessoa (???) que tivesse acesso à linha durante essa fase de configuração.

Além de não usar produtos da Apple, há uma maneira de contornar isso, mas acho que 99,9% das pessoas não vão perceber que isso está acontecendo. No OS X, você pode escolher um Mail App diferente, mas não acho que seja uma opção em iPhones, iPads, etc. Portanto, potencialmente isso pode significar que 100 milhões de pessoas que usam e-mail em produtos Apple transmitiram suas senhas de e-mail texto em algum momento.

Qualquer pessoa que esteja executando o Wire Shark ou algo semelhante pode verificar se isso está acontecendo?

    
por user2951545 05.11.2013 / 01:24

1 resposta

0

O IMAP (Internet Message Access Protocol) é provavelmente a conexão que você está usando. O IMAP é um protocolo assíncrono e permite alguma comunicação antes da autenticação, como o CAPABILITY, que pergunta ao servidor que protocolos e métodos de autenticação o servidor suporta; NOOP, que é usado para evitar tempos limite; e LOGOUT, que termina a sessão.

O protocolo IMAP autentica os usuários usando uma troca de Camada simples de autenticação e segurança (SASL) . Esse processo começa com um comando STARTTLS, que inicia uma conexão Transport Layer Security (TLS) , que é um protocolo de criptografia.

Quando a conexão TLS for estabelecida, sua senha poderá ser transmitida usando o comando PLAIN SASL (que é texto sem formatação), mas o comando PLAIN será suportado apenas pelos serviços de e-mail modernos depois que o comando STARTTLS estabelecer uma conexão criptografada. O SASL suporta segurança adicional, como o DIGEST-MD5.

Dito isto, um servidor IMAP pode aceitar um login PLAIN antes que uma conexão TLS seja estabelecida, mas isso não seria uma falha da segurança dos aplicativos Mail para o OS X / iOS.

Portanto, sua senha nunca deve ser enviada de forma clara pelo aplicativo Mail para iOS / OS X para servidores IMAP que utilizam adequadamente o STARTTLS

POP3 é outra história, e alguns ISPs mais antigos podem realmente autenticar usando uma troca de texto simples. Mas, novamente, isso não é uma falha para o Mail for OS X / iOS, apenas a realidade de que alguns protocolos de texto simples ainda estão em uso generalizado.

Leitura adicional:

TechNet Como funciona: IMAP 4

    
por 08.12.2013 / 18:24

Tags

Monitor falso / virtual no Windows 7? Problemas no teclado por algum tempo quando a tecla Ctrl é pressionada