Am Montag, 28. März 2005 21:39 schrieb Andreas Loesch:
gmx bietet drei Mechanismen an, PLAIN, LOGIN und CRAM-MD5. Bei den ersten beiden wird das Kennwort im Klartext übertragen, weswegen man dabei dann eine Verschlüsselung der Leitung (TLS/SSL) einschalten sollte. Bei CRAM-MD5 wird kein Kennwort übertragen, deswegen ist das den beiden anderen vorzuziehen.
dafür muss das Passwort bei CRAM-MD5 AFAIk im Klartext auf dem Server liegen :) aber wenn der Server gehackt wird ist auch eine TLS-Verbindung egal....
Der OP wollte sich bei GMX anmelden. Sprich der Server ist GMX, ob da die Kennwörter nun im Klartext gespeichert werden oder nicht, wird $KUNDE wohl kaum entscheiden können. ( Für CRAM-MD5 muss das Kennwort prinzipiell nicht unverschlüsslt auf dem Server liegen, es würde auch reichen, einen vorgefertigten Hash zu speichern. Allerdings funktioniert das mit dem beliebten Cyrus-SASL nicht, wodurch sich dies bereits wieder erledigt hat. ) Auf dem Client liegt das Kennwort eh unverschlüsselt, oder evtl. reversible verschlüsselt.
und den Vorzug sehe ich bei TLS auch nicht unbedingt, da nach der TLS-negotiation ja alles verschlüsselt übertragen wird, siehe RFC 2595
also, wenn TLS, dann ist das Anmeldeverfahren nicht so wichtig :)
Wenn TLS oder SSL möglich ist, sollte man es nutzen, das ist richtig. (Hatten wir den Auszug aus RFC2595 heute nicht schon einmal irgendwo?) -- Andreas