Abgesehen davon: Ein Trauerspiel, dass Microsoft diese Information nur Browsern mit aktiviertem JS zugänglich machen will.

Drei (3) Trauerspiele. Quasi wie in Bayreuth.

1. Der Anlass der Nachricht.
2. Überschrift und Inhalt der Nachricht.
3. JS als Voraussetzung für die Kenntnissnahme einer sicherheitsrelevante Information. (Verfügbarkeit gehört zur Datensicherheit)

Hallo ralphi,

Wird das Passwort nicht erst als Klartext -> danach wie alles SSL verschlüsselt zum Server gesendet?

Depends. Es gibt verschiedene Authentifizierungsverfahren, aber plain ist in der Tat das am häufigsten verwendete.

Demnach kann es doch dem Client egal sein, was er für Zeichen sendet?

Na, und in welcher Kodierung soll der Client das schicken? ;-) CP850? Windows-1252 oder doch lieber UTF-8/16/32? EBCEDIC?

IMAP4 sieht UTF-8 vor, aber du siehst, hier kann man durchaus was falsch machen.

LG,
CK

Tach!

Verstädnisfrage:

Verstehen kann man das Problem nur, wenn man genau weiß, was da passiert. Ein allgmeines "wie es laufen könnte oder normalerweise läuft" ist da nicht hilfreich. Das Problem liegt wohl bei der Verarbeitung auf dem Server und das ist Closed Source, also kaum bis sehr schwierig nachschaubar. Ich denke nicht, dass es einen großen Erkenntnisgewinn für andere Situationen gibt als: beim Testen auch Extremsituationen mit ungebräuchlichen Zeichen nicht auslassen.

dedlfix.

Ich frag mich, warum die Zeichenkodierung überhaupt eine Rolle spielt.

Weil: Sowohl Übertragung als auch sämtliche Chiffre-Algorithmen arbeiten byte-orientiert.

PS: Ist mir klar, dass Ihr das hier wieder nicht versteht, den Unterschied zwischen byte- und charactersemantic. Ich seh's dann an der Bewertung meiner Beiträge.

Hallo,

Die Authentifizierung findet doch am Server statt - nicht beim Client (Outlook)

ja, natürlich.

Wird das Passwort nicht erst als Klartext -> danach wie alles SSL verschlüsselt zum Server gesendet?

Von verschlüsselter Übermittlung (SSL) ist im Microsoft-Artikel keine Rede, aber ich gehe davon aus, dass die auch meist verwendet wird. Das hat aber mit dem beschriebenen Passwort-Problem AFAIS nichts zu tun.

In dem Fall ist deine Annahme aber möglicherweise falsch. Denn bei verschlüsselten Verbindungen zum Mailserver gibt es zwei verschiedene Verfahren.

Entweder wird erst eine verschlüsselte Verbindung (SSL/TLS) aufgebaut, und zwar wie beim Web-Browser anonym, also ohne Benutzernamen und Kennwort. Und dann erst sprechen Client (Outlook) und Server über diese Verbindung IMAP. In diesem Fall werden also auch die Anmeldedaten schon verschlüsselt übertragen.

Oder die Anmeldung beim Mailserver geschieht zunächst offen, also unverschlüsselt, und danach erst gibt der Client das Kommando STARTTLS, worauf beide (Client und Server) zu verschlüsselter Übertragung wechseln. In dem Fall sind Benutzername und Passwort im Klartext sichtbar, nur der eigentliche Postfach-Zugriff ist verschlüsselt.

Demnach kann es doch dem Client egal sein, was er für Zeichen sendet?

Ja, ist es auch. Es muss nur auf dieselbe Art codiert sein, wie es auch der Server beim Festlegen des Passworts macht.

So long,
 Martin