似乎每当您在 Mac Mail(或 iPhone 等)上设置新邮件帐户时,只要您输入服务器和邮件帐户密码,Mac Mail 就会尝试连接到邮件服务器。但是,此连接发生在您设置 SSL 选项之前。因此,看起来初始连接以纯文本形式传输邮件帐户密码。
在我看来,所有 Apple 设备(即 iPhone、iPad、Mac 电脑)基本上都使用相同的流程,并且似乎在未使用 SSL 的情况下与邮件服务器建立了初始连接。
这似乎是一个非常不安全的配置。如果发生这种情况,那么这是一个相当严重的安全漏洞。这意味着 Mac Mail 应用程序的用户的邮件密码很容易被他们的 ISP 或在该设置阶段有权访问该线路的任何其他人 (???) 读取。
除了不使用 Apple 产品外,还有其他方法可以解决这个问题,但我认为 99.9% 的人不会意识到这种情况正在发生。在 OS X 上,您可以选择不同的邮件应用程序,但我认为在 iPhone、iPad 等上没有这个选项。因此,这可能意味着数亿使用 Apple 产品邮件的人在某个时候以纯文本形式传输了他们的邮件密码。
任何运行 Wire Shark 或类似程序的人都可以验证这种情况是否发生吗?
答案1
您使用的连接很可能是 IMAP(Internet 消息访问协议)。IMAP 是一种异步协议,允许在身份验证之前进行一些通信,例如 CAPABILITY(询问服务器支持哪些协议和身份验证方法)、NOOP(用于防止超时)和 LOGOUT(结束会话)。
IMAP 协议使用简单身份验证和安全层 (SASL)交换。此过程以 STARTTLS 命令开始,该命令启动传输层安全性 (TLS)连接,这是一种加密协议。
一旦建立 TLS 连接,您的密码可能会使用 SASL 命令 PLAIN(即纯文本)传输,但只有在 STARTTLS 命令建立加密连接后,现代邮件服务才支持 PLAIN 命令。SASL 确实支持额外的安全性,例如 DIGEST-MD5。
也就是说,IMAP 服务器可能会在建立 TLS 连接之前接受 PLAIN 登录,但这不会成为 OS X/iOS 邮件应用程序安全性的缺陷。
因此,您的密码绝不会通过 iOS / OS X 的邮件应用程序以明文形式发送到正确使用 STARTTLS 的 IMAP 服务器
POP3 则是另一回事,一些较老的 ISP 确实可能使用纯文本交换进行身份验证。但这并不是 OS X / iOS 版 Mail 的错,只是某些纯文本协议仍在广泛使用这一现实。
补充阅读: