Ci sono problemi di sicurezza con l'importazione della posta tramite POP / IMAP?

1

Vorrei progettare funzionalità di importazione della posta per un provider di posta elettronica. Il processo è: l'utente inserisce email e password per un altro servizio sul mio sito e poi il sito accede a un altro provider di posta elettronica e scarica i messaggi da esso tramite IMAP o POP3 su TLS / STARTTLS.

Quali problemi di sicurezza dovrebbero essere presi in considerazione durante la progettazione di tale funzionalità? Quelle e-mail possono avere qualcosa che renderà il processo di importazione bloccato? Ho bisogno di qualcos'altro oltre all'antivirus?

    
posta Andrei Botalov 24.07.2012 - 21:32
fonte

1 risposta

1
  1. Accetti la password degli utenti per un account per un servizio non di tuo controllo e lo memorizzi per un po 'di tempo (potrebbe essere solo in RAM) ciò può anche essere vietato per l'utente dell'altro servizio di fornire la propria password in TOS o simili.
  2. I problemi ovvi con gli attacchi TLS MITM, CA canaglia ... (vedi altre domande sullo scambio di stack, lavoro di Moxie Marlinspike, probabilmente non facilmente controllabile a meno che tu non voglia prendi il tuo tempo per bloccare i certificati manualmente nell'implementazione del tuo server e solo consentire specifici servizi noti).
  3. L'altro servizio può fare cose come eliminare automaticamente le e-mail mentre vengono scaricate o simili che potrebbero avvisare gli utenti di verificare che siano a posto prima di procedere.
  4. I soliti problemi di sicurezza con i tuoi servizi, buffer overflow, sql injection, cross-site scripting, cross site request falso ...
risposta data 25.07.2012 - 00:42
fonte

Leggi altre domande sui tag