分享
 
 
 

匿名SASL机制

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

本备忘录的状态

本文档描述了一个应用于Internet团体的Internet标准跟踪协议,并且希望大家对其进

一步完善进行讨论和建议。此协议的标准规定和状况请参阅“Internet正式协议标准”,此

备忘录的发布没有任何限制。

版权声明

Copyright(C)TheInternetSociety(1997).AllRightsReserved.

摘要

按照一般的惯例,在Internet中答应用户匿名使用某些服务。传统上,匿名服务使用无

格式密码机制,把"anonymous"作为用户名和可选择的踪迹信息,如电子邮件地址及密码。

明文登录命令在新的IETF协议中是不答应的,在SASL框架中前后文联系中需要用到新的匿

名登录的方法。

目录

1.本文档中的约定 2

2.匿名SASL机制 2

3.例子 3

4.安全考虑 3

5.参考文献 4

6.作者地址 5

7.全部版权声明 5

1.本文档中的约定

本文档中将要解释的要害词,如“必须”、“不必”、“应当”、“不应当”和“可以”等词将

会在“简要说明RFC需求水平所用的要害词”[KEYWordS]中定义。

2.匿名SASL机制

此机制的名称与匿名访问的联系是“ANONYMOUS”(匿名的)。此机制由从客户到服务器的

简单消息组成。客户发送的人们易懂的字符表格中的任意踪迹信息。这一踪迹信息将会何占

用三个表格:一个Internet电子邮件地址、不包含"@"字符并且能被客户域的系统治理员解

释的不透明的字符串、或空。由于隐私原因,只有得到用户的答应,其电子邮件地址才会被

使用。

答应进行匿名访问的服务器将会声称支持ANONYMOUS机制,并且答应任何人登录和使用这

一机制,通常对于受限访问。

客户端信息使用的扩展的BNF[ABNF]正式语法如下:

message=[email/token]

TCHAR=%x20-3F/%x41-7E

;;anyprintableUS-ASCIIcharacterexcept'@'

email=addr-spec

;;asdefinedin[IMAIL],exceptwithnofree

;;insertionoflinear-white-space,andthe

;;local-partMUSTeitherbeentirelyenclosedin

;;quotesorentirelyunquoted

token=1*255TCHAR

3.例子

这儿有一个IMAP客户匿名登录到服务器上的例子。在这个例子中,“C:”和“S:”指标行

分别是由客户和服务器发送的。假如换行的那些行中没有新的“C:”或“S:”,那么这个换行

处不是命令的一部分,而是为了使其编辑更清楚些。

注重这个例子是使用的是SASL的IMAP轮廓[IMAP4]。富于挑战性的基于64位编码和响应,

前面所述的带“+”号的响应,也是IMAP4轮廓的一部分,而不是SASL自身的一部分。新的

SASL轮廓将会包含带有ANTHENTICATE命令自身的客户消息,因此如下面所示(服务器响应

带一个空的“+”),附加的消息往返就可以消除了。

在这个例子中,用户的不透明验证标记是“sirhc”。

S:*OKIMAP4serverready

C:A001CAPABILITY

S:*CAPABILITYIMAP4IMAP4rev1AUTH=CRAM-MD5AUTH=ANONYMOUS

S:A001OKdone

C:A002AUTHENTICATEANONYMOUS

S:+

C:c2lyaGM=

S:A003OKWelcome,traceinformationhasbeenlogged.

4.安全考虑

匿名机制答应任何人对信息进行访问。因此其默认情况下应设为禁止,治理员可以做出明

确的决定是否将其打开。

假如匿名用户拥有任何写入权力,就可能通过占满全部可用空间发生拒绝式服务攻击。这

可以通过关闭匿名用户的写权限进行预防。

假如匿名用户对同一区域进行了读写访问,那么服务器能够用作无身份的信息交换通讯机

制。接受匿名提交的服务器会实现普通的“下降的盒子”模式,这种模式会禁止匿名读取已

经接受提交匿名信息的区域。

假如匿名用户能够运行许多高级的操作(如IMAPSEARCHBODY命令),也可能会导致拒绝

式服务攻击。建议服务器能限制匿名用户的数量、限制他们的权限或限制他们可以使用的资

假如没有给匿名用户停顿的空闲时间并且也没有限制匿名用户的数量,就可以发生拒绝式

服务攻击。服务器应当答应匿名用名有不进行操作的时间。

踪迹信息不进行验证,因此它有可能会被伪造。这可以用于使其它人陷入访问可疑信息的

麻烦。治理员假如想要研究弊端就应该熟悉到信息是可伪造的。

用客户的真实的Email地址作为踪迹信息而未经明确许可会侵犯用户的隐私权。有关是

对一些敏感主题(如性虐待)的档案进行匿名访问的用户信息是有强烈隐私保密需要的。客

户端没有经用户明确同意,不应发送email地址,并且应该提供可选择的没有踪迹信息代码

的匿名服务—这样就只公开源IP地址和时间。匿名代理服务器应提高其抗干扰性,但也不能

不考虑潜在的可能导致拒绝式服务攻击的因素。

匿名联接轻易受到在中间进行攻击的人的影响,他们可以游览甚至改变所传送的数据。提

倡客户端和服务器支持外部的完整性和使用加密机制。

不能进行外部匿名登录的协议更轻易受到某几种普通的实现技术影响,会被中断插入。特

非凡是Unix服务器提供用户登录—在最初起动时作为root身份,而在明确登录后才被切换

到合适的用户身份。一般情况下,这种服务器在明确登录前拒绝任何数据访问命令并且匿名

用户可以进入一个受限的安全环境中(例如,Unix的chroot函数)。假如匿名用户没有明确

请求访问,假如没有外部保护措施的话,匿名用户又没有明确请求进行访问,那么整个数据

访问机制完全暴露在外部安全攻击之下。

提供受限数据访问的协议不应答应在明确身份登录以前进行匿名数据访问。

5.参考文献

[ABNF]Crocker,D.andP.Overell,"AugmentedBNFforSyntax

Specifications:ABNF",RFC2234,November1997.

[IMAIL]Crocker,D.,"StandardfortheFormatofArpaInternetText

Messages",STD11,RFC822,August1982.

[IMAP4]Crispin,M.,"InternetMessageAccessProtocol-Version

4rev1",RFC2060,December1996.

[KEYWORDS]Bradner,S.,"KeywordsforuseinRFCstoIndicate

RequirementLevels",RFC2119,March1997.

[SASL]Myers,J.,"SimpleAuthenticationandSecurityLayer(SASL)",

RFC2222,October1997.

6.作者地址

ChrisNewman

InnosoftInternational,Inc.

1050LakesDrive

WestCovina,CA91790USA

Email:chris.newman@innosoft.com

7.全部版权声明

Copyright(C)TheInternetSociety(1997).AllRightsReserved.

Thisdocumentandtranslationsofitmaybecopiedandfurnishedto

others,andderivativeworksthatcommentonorotherwiseeXPlainit

orassistinitsimplementationmaybeprepared,copied,published

anddistributed,inwholeorinpart,withoutrestrictionofany

kind,providedthattheabovecopyrightnoticeandthisparagraphare

includedonallsUChcopiesandderivativeworks.However,this

documentitselfmaynotbemodifiedinanyway,suchasbyremoving

thecopyrightnoticeorreferencestotheInternetSocietyorother

Internetorganizations,exceptasneededforthepurposeof

developingInternetstandardsinwhichcasetheproceduresfor

copyrightsdefinedintheInternetStandardsprocessmustbe

followed,orasrequiredtotranslateitintolanguagesotherthan

English.

Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe

revokedbytheInternetSocietyoritssuccessorsorassigns.

Thisdocumentandtheinformationcontainedhereinisprovidedonan

"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING

TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING

BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION

HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF

MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE.

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有