In che modo i client di posta elettronica Web memorizzano le mie password da altri provider?

2

La situazione si riduce a questo:

  • Quando accedo a hotmail, recupera i miei messaggi connettendosi ad altri provider: possono farlo solo utilizzando la mia email e la password.
  • Da quando mi sono registrato un paio di giorni fa, non ho più bisogno di rimettere la mia email / password: hotmail non sa qualsiasi segreto su di me / questa sessione specifica .

Da questi punti, posso solo dedurre:

  • Memorizzano una password principale derivata dalla mia password originale nei miei cookies. Quindi, quando I ritorna, lo usano per decrittografare le email.
  • Lo hanno archiviato utilizzando una password principale, per sito.

Tuttavia, entrambe le soluzioni sembrano davvero deboli. Qualche idea su come implementare una connessione sicura, persistente con i cookie e la crittografia delle password?

Nota: leggi questa domanda da me sul motivo per cui sto dicendo codifica e non le password hash .

    
posta Francisco Presencia 15.07.2014 - 18:31
fonte

3 risposte

1

Sembra che tu parli di due cose diverse: recuperare la posta e crittografare la posta. Dalla lettura della domanda penso che la crittografia non sia ciò di cui si tratta. Quindi per ora me ne dimentico.

Quando accedi a Hotmail o Gmail tramite il tuo browser, usi il tuo login. Sembra che tu abbia più indirizzi email e possibilmente popbox. Ora dipende da come hai impostato quegli altri indirizzi.

Esempio

L'alias inoltra la posta inviata automaticamente all'indirizzo di inoltro. Questo può essere il popbox dello stesso provider o qualsiasi altro indirizzo come il tuo hotmail. Il popbox ora ha un brutto nome. Potrebbe avere anche un nome carino, o lo stesso nome dell'alias, nel qual caso l'alias non esisterebbe.

Situazioni

  1. L'alias inoltra direttamente a Hotmail - nessun accesso richiesto da Hotmail.
  2. L'alias inoltra al popbox, che inoltra a Hotmail - nessun accesso richiesto da Hotmail.
  3. L'alias inoltra al popbox e Hotmail recupera la posta dal popbox da pop3. Hotmail richiede l'accesso a popbox, che si inserisce una sola volta e lo memorizza permanentemente sui propri server. Niente è memorizzato in un cookie sul tuo computer. Puoi verificarlo effettuando l'accesso a Hotmail su un altro computer in cui non hai mai usato le credenziali popbox.
risposta data 15.10.2014 - 15:32
fonte
0

Quando accedi a Hotmail tramite un browser web, recupera qualsiasi email associata a quella casella di posta. Anche se hai impostato in modo specifico l'inoltro di e-mail, l'alias o l'integrazione della casella di posta, significa che si connette e si autentica solo su un server e su una casella di posta.

Quando si collega specificamente la casella di posta con un'altra casella postale (o indirizzo in caso di aliasing), servizi come Hotmail utilizzati per abilitare le identità di più account che consentono di passare o raccogliere e-mail dalla posta differente -boxes. (Da allora hanno smesso di farlo perché si trattava di un problema di sicurezza minore.)

Non sono sicuro della validità delle caselle postali cross-service (ad esempio un account Hotmail integrato con una casella di posta Gmail.) Non mi sembra possibile (senza configurare l'inoltro della posta o l'autenticazione coerente) dal client o dal fornitore di servizi host. Microsoft in questo caso, dovrà convalidare la connessione a Gmail ogni volta che desidera recuperare la posta e dovrebbe farlo con una password in testo semplice.)

Tuttavia, se si dispone di un'applicazione di posta indipendente e si è configurata l'integrazione della casella di posta tra i servizi, fornendo l'autenticazione per tutti, allora questo semplicemente utilizza le informazioni di autenticazione per ciascun servizio quando si recupera la posta.

    
risposta data 17.07.2014 - 11:45
fonte
0

Stai chiedendo in che modo un fornitore di servizi di posta elettronica può raccogliere e cosolidare la posta da altri servizi in un'unica casella di posta? Beh, più o meno nello stesso modo in cui tu stesso accedi alla maggior parte dei servizi: no, non memorizzano la tua password alla fine o nei cookie. Memorizzano invece l'ID di sessione o altro token di sicurezza.

Proprio come il tuo browser ottiene tale token al login e lo rimanda al sito per permetterti di accedere il giorno successivo senza digitare il tuo nome e password, il servizio di raccolta può utilizzare tale token per inviare comandi ad altri provider di posta elettronica per tuo conto dopo l'autenticazione solo una volta.

    
risposta data 04.02.2016 - 13:10
fonte

Leggi altre domande sui tag