[转载]SYS和AUTH POP响应码
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])摘要
本文推荐两个响应码:SYS和AUTH,它们可以使用户非匿名对一个认证失败作出响应。同时本文还定义了AUTH-RESP-CODE
1. 介绍
POP3扩展定义了POP3扩展的响应码,这使得客户可以获得更多的关于错误的信息,这样一来客户就可以作出更为合适的响应。另外,两种起始响应码IN-USE和LOGIN-DELAY也被引入,这两个代码主要用于认定认证失败主要是由于用户身份的问题呢还是其它错误。在实际应用中,这两个新引入的响应码是起到一定作用,可是仍然显得作用不足。本文主要提出两个新的认证码SYS和AUTH用于认证错误时向客户提供信息。
2. 背景
POP3扩展一文引入了两个扩展码IN-USE和LOGIN-DELAY,让用户可以决定失败是由于什么样的潜在原因发生的。例如:用户需要知道是不是需要提供新的证书,或只是因为连接链路上的问题,再试一次可以就没有问题了。IN-USE代表用户的邮箱无法获得一个排它锁,这或许是因为另一个POP3进程正在使用此邮箱。LOGIN-DELAY表示客户等待时间不够,如果需要认证则需要再进行一次尝试。但是,也有一些错误情况它们要求新的证书,而且其中的一些错误情况应该引起客户的注意。虽然有了IN-USE和LOGIN-DELAY响应,可是用户仍然不能确定是不是需要新的证书。
3. SYS响应码
SYS响应码表示错误是由于系统产生的,而不是由于用户的证书或什么外在情况而产生的。在这种情况下会产生两个二级代码:TEMP和 PERM,前者表示问题是暂时性的,不需要提醒用户,除非错误一直存在。例如:某此资源在此刻正在被使用,而没有空闲;不足的内存空间等。而后者SYS/PERM由用于表示不介入则无法解决的错误,这时就要求提醒用户找管理员了。SYS响应与-ERR响应命令在一起始终是有效的。
4. AUTH响应码
AUTH响应码则表示此问题是由于用户的证书有问题而导致的。可能是不正确的口令,无效的用户名,无效的帐户,与策略不符的访问等。AUTH与-ERR响应,USER,PASS或APOP在一起总是有效的。如果服务器实现AUTH代码,它必须也支持CAPA命令,并且要在CAPA命令中包括AUTH-RESP-CODE的能力,这种能力能够仅在用户的证书出现问题时才产生AUTH错误代码。使用USER命令后有些服务器会发出AUTH命令要求认证,这就默认了此用户是存在的,这种实现应该尽量避免。
5. AUTH-RESP-CODE的能力
CAPA标记:
AUTH-RESP-CODE
参数:无
附加命令:无
所影响的标准命令:无
响应状态/可能的偏差 both / 无
有效状态:n/a
说明:AUTH-RESP-CODE能力表示如果服务器因此用户证书有问题,则一定会返回AUTH代码。
6. 安全因素
使用USER命令后有些服务器会发出AUTH命令要求认证,这就默认了此用户是存在的,这种实现应该尽量避免。
页:
[1]