Der Martin: Unmö*g*lichkeit des Tages

Beitrag lesen

Hallo,

Die Authentifizierung findet doch am Server statt - nicht beim Client (Outlook)

ja, natürlich.

Wird das Passwort nicht erst als Klartext -> danach wie alles SSL verschlüsselt zum Server gesendet?

Von verschlüsselter Übermittlung (SSL) ist im Microsoft-Artikel keine Rede, aber ich gehe davon aus, dass die auch meist verwendet wird. Das hat aber mit dem beschriebenen Passwort-Problem AFAIS nichts zu tun.

In dem Fall ist deine Annahme aber möglicherweise falsch. Denn bei verschlüsselten Verbindungen zum Mailserver gibt es zwei verschiedene Verfahren.

Entweder wird erst eine verschlüsselte Verbindung (SSL/TLS) aufgebaut, und zwar wie beim Web-Browser anonym, also ohne Benutzernamen und Kennwort. Und dann erst sprechen Client (Outlook) und Server über diese Verbindung IMAP. In diesem Fall werden also auch die Anmeldedaten schon verschlüsselt übertragen.

Oder die Anmeldung beim Mailserver geschieht zunächst offen, also unverschlüsselt, und danach erst gibt der Client das Kommando STARTTLS, worauf beide (Client und Server) zu verschlüsselter Übertragung wechseln. In dem Fall sind Benutzername und Passwort im Klartext sichtbar, nur der eigentliche Postfach-Zugriff ist verschlüsselt.

Demnach kann es doch dem Client egal sein, was er für Zeichen sendet?

Ja, ist es auch. Es muss nur auf dieselbe Art codiert sein, wie es auch der Server beim Festlegen des Passworts macht.

So long,
 Martin

--
Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
- Douglas Adams, The Hitchhiker's Guide To The Galaxy