Sabimaru Tree BBS
過去の投稿記事表示
[インデックスに戻る]
メールの仕掛け -Hoppie 12/9 7:54(#24)86
└◎Re:メールの仕掛け -えのやん 12/9 17:33(#25)84
 ├◎Re:メールの仕掛け -Hoppie 12/9 23:36(#26)83
 │└◎Re:メールの仕掛け -えのやん 12/10 15:44(#27)82
 │ └◎Re:メールの仕掛け -Hoppie 12/11 8:27(#28)78
 │  └◇Re:メールの仕掛け -えのやん 12/11 10:13(#29)79
 └◎Re:メールの仕掛け -えのやん 12/11 18:41(#30)76
  └◎Re:メールの仕掛け -Hoppie 12/11 21:38(#31)79
   └◎uidl -Hoppie 12/14 15:22(#32)68
    └◎Re: UIDL -えのやん 12/15 13:02(#33)64
     └◇Re: UIDL -Hoppie 12/16 5:24(#34)65
トップに戻る
24 メールの仕掛け Hoppie E-Mail
1998/12/9 7:54 ホーム
ウチの会社はLANが2系統あって、私の管轄下のサーバのメールアカウントを別のLANのユーザ
に貸出ししていたんですが、そっちのサーバが最近プロキシ化されてしまって、しかも(な
ぜか)POP3の穴が開いていないもんで、メールアカウントを貸し出していた人たちはウチの
サーバにメールを読みに来られなくなっちゃったんですね。(POP3は開いてないくせになぜ
かftpとtelnetがあいている。なんのためのプロキシだかサッパリ分からん…(^^;)

 で、CGIを使ってWebブラウザでとりあえずメールを読むだけの仕掛けを用意しようと思っ
たんですが、これってPOP3に比べて特に危険ってことはないですよねぇ?(POP3です、APOP
じゃなくて)パスワードはどっちも生で流れるし。(Webブラウザの場合はMIMEエンコードさ
れるんだっけ。ナマでないだけ「ほんのちょびっと」マシかな? あれ、POP3ってパスワー
ドナマで流れるんだっけ?と、いまやってみたらナマでした)それより、ユーザ認証をどう
やってやるかだな…。以前買った分厚い本を今こそ役立てるときか?(なんだ最後の「か?
」は。東スポみたい)

トップに戻る
25 Re:メールの仕掛け えのやん E-Mail
1998/12/9 17:33 ホーム
(記事番号24へのコメント)
Hoppieさんは No.24「メールの仕掛け」で書きました。
 > で、CGIを使ってWebブラウザでとりあえずメールを読むだけの仕掛け

まだ、α版にもならないテスト用ですが、

  http://asagiiro.net/pop/

にサンプルを設置しました。

 >これってPOP3に比べて特に危険ってことはないですよねぇ?

httpサーバーのセキュリティーが充分確保されていれば、
特に危険と言うことは無いと思います。

敵は同じサーバー内に同居している他のユーザーでしょうね。

サンプルを使ってもらえば判りますが、popで読んだメールの
httpサーバー上への置き方と、その消し方が重要なポイントに
なると思います。

トップに戻る
26 Re:メールの仕掛け Hoppie E-Mail
1998/12/9 23:36 ホーム
(記事番号25へのコメント)
>まだ、α版にもならないテスト用ですが、
 >  http://asagiiro.net/pop/
 >にサンプルを設置しました。

 おお。素早い反応っ! form だけじゃなくてCGIもあり?まだ試してないんだけど
(そちらのサーバにメールアカウント持ってないし)あとでちょっと試してみます。

 一番ひっかかってるのが、CGI側で UNIX のユーザアカウント(すなわちメールア
カウント)認証をさせる方法がよく分からないってあたりでして。ジョーシキ的なや
り方があるとにらんでるんだけど不慣れなんで分からんのですね。で、参考文献をあ
たろう、と思いつつまだやってないという。

 >敵は同じサーバー内に同居している他のユーザーでしょうね。
 >サンプルを使ってもらえば判りますが、popで読んだメールの
 >httpサーバー上への置き方と、その消し方が重要なポイントに
 >なると思います。

 一時ファイルへの(一時ファイルを作るとしたら)パーミッションの与え方でしょ
うかね。サーバに忍び込んで、タイミングを見計らって他人のメールを盗み読みそう
なユーザはとりあえずいそうにないので(シスアド…?(^^; あっ引かないで…(^^;
)あんまし心配はしてないですが…。

メール読み書き用のCGIって、フリーのやつがあるんですね。プレンディスホールの
CGIの本(「CGI入門」そのまんまや)にサンプルとして載ってました。(拾ってみて
はいないけど)そっちもあとで読んでみます。今週中に手をつけられるだろうか?(
それより先に sendmail をなんとかせい、って話もあるけど。あ、あとドメイン名変
更申請も早いところしないといけないんだった…忘れてたけど)

トップに戻る
27 Re:メールの仕掛け えのやん E-Mail
1998/12/10 15:44 ホーム
(記事番号26へのコメント)
Hoppieさんは No.26「Re:メールの仕掛け」で書きました。
 > >まだ、α版にもならないテスト用ですが、
 > >  http://asagiiro.net/pop/
 > >にサンプルを設置しました。
 >
 > おお。素早い反応っ! form だけじゃなくてCGIもあり?まだ試してないんだけど
 >(そちらのサーバにメールアカウント持ってないし)あとでちょっと試してみます。

もちろん CGI です。インターネットグローバルな POPサーバなら、
どこでもアクセスできますよ。

 > 一番ひっかかってるのが、CGI側で UNIX のユーザアカウント(すなわちメールア
 >カウント)認証をさせる方法がよく分からないってあたりでして。ジョーシキ的なや
 >り方があるとにらんでるんだけど不慣れなんで分からんのですね。で、参考文献をあ
 >たろう、と思いつつまだやってないという。

  % telnet <popserver> 110

…ってやると、POPサーバーと手動でお話が出来ます。
関連する RFC は、POP だけで
0918,0937,1081,1082,1225,1460,1725,1734,1939,1957,2095,2195,2384
こんなにあるので、とても大変です。

(MIMEとかSMTPとかはまた別に沢山ある。)

 >メール読み書き用のCGIって、フリーのやつがあるんですね。

goo でも同じサービスをやってますが、どーにも重くて実用的では
ないです。

トップに戻る
28 Re:メールの仕掛け Hoppie E-Mail
1998/12/11 8:27 ホーム
(記事番号27へのコメント)
>もちろん CGI です。インターネットグローバルな POPサーバなら、
 >どこでもアクセスできますよ。

 CGIからPOP3をつっつけばカンタンだったわけですな。あとは、メールクライアン
トの備えているMIMEまわりや添付ファイルまわりの実装ができればいいわけか。(っ
ていうか、そっちのことを考えてなかった…(^^;そっちの方が大変そう…(^^;)
 なんか、サーバのスプールを独自に拾って、ユーザ認証はユーザ認証で別にやらな
いといけないように思っていたので…。でもそうだよな。POP3つっつけばいいんだよ
なー。ふむ。(ってすぐにかからないヤツ)

 >  % telnet <popserver> 110
 >…ってやると、POPサーバーと手動でお話が出来ます。

 telnet使うのは最近時々やってます。httpつっついてHEADを表示させて、ふーんこ
のサイトはこのhttpd使ってるのか、とかその辺。(低レベル)

 >関連する RFC は、POP だけで
 >0918,0937,1081,1082,1225,1460,1725,1734,1939,1957,2095,2195,2384
 >こんなにあるので、とても大変です。

 RFC辞典なんか出ちゃうワケですな。(さすがに買ってないけど…)
このへん、マジメにひとつひとつ自力で対応するだけの体力(脳力)がありません。
どうせ汎用に使えるようにする気もないし、なんか、テキトーに手抜きはできないか
、といまその辺を考えてるんですが…(探して、拾ってくるパターンですかね)

 > >メール読み書き用のCGIって、フリーのやつがあるんですね。
 >goo でも同じサービスをやってますが、どーにも重くて実用的では
 >ないです。

 gooのは匿名メールだっけ? そういうのじゃなくて、単にWebブラウザで自分のメ
ール読み書きするための、フリーのCGI「スクリプト」が既存のものがあるんだなァ
、と手元の本を読んで思ったという話でした。

トップに戻る
29 Re:メールの仕掛け えのやん E-Mail
1998/12/11 10:13 ホーム
(記事番号28へのコメント)
Hoppieさんは No.28「Re:メールの仕掛け」で書きました。
 > CGIからPOP3をつっつけばカンタンだったわけですな。あとは、メールクライアン
 >トの備えているMIMEまわりや添付ファイルまわりの実装ができればいいわけか。(っ
 >ていうか、そっちのことを考えてなかった…(^^;そっちの方が大変そう…(^^;)
 > > >メール読み書き用のCGIって、フリーのやつがあるんですね。
 > >goo でも同じサービスをやってますが、どーにも重くて実用的では
 > >ないです。

goo のフリーメールでは、よその POPサーバからメールを取ってくる機能も
提供されているんですよ。大手だけあって、添付ファイルなんかにもちゃんと
対応しているの。

 > RFC辞典なんか出ちゃうワケですな。(さすがに買ってないけど…)

RFC辞典、欲しいっす。会社で買ってくれないかなぁ…。
(きっと自分しか読まないなぁ。)

 > gooのは匿名メールだっけ? そういうのじゃなくて、単にWebブラウザで自分のメ
 >ール読み書きするための、フリーのCGI「スクリプト」が既存のものがあるんだなァ
 >、と手元の本を読んで思ったという話でした。

メールを Web-CGI から書く方法も知ってるし、色々な CGIもキープしてはいるん
だけど、メール爆弾に使われた事例もあって、イマイチ躊躇しています。

なんらかの制限を加えておかないと、結構、怖いです。

トップに戻る
30 Re:メールの仕掛け えのやん E-Mail
1998/12/11 18:41 ホーム
(記事番号25へのコメント)
えのやんさんは No.25「Re:メールの仕掛け」で書きました。
 >まだ、α版にもならないテスト用ですが、
 >
 >  http://asagiiro.net/pop/
 >
 >にサンプルを設置しました。

よりによって最初のお客さんが、UIDL に対応していない古い POP3サーバー
とは…。(^_^;)?

えーと、取りあえず X-UIDLヘッダーが無い時は乱数で生成して付加するように
改良しました。

(QPOPPERはMD5でファイルの指紋を作ってUIDLにしています。)

トップに戻る
31 Re:メールの仕掛け Hoppie E-Mail
1998/12/11 21:38 ホーム
(記事番号30へのコメント)
>よりによって最初のお客さんが、UIDL に対応していない古い POP3サーバー
 >とは…。(^_^;)?

 最初のお客さんとはワシのこと? うちのPOP3は古いっすよ。3年以上前のメーカ
ー製のシロモノだから。(メーカー製のものってそもそも元にしている版が古いんで
すよね)UIDLなんて知らないし。ナニソレ。(^^
(そういう古い有象無象がヤマのように生き残っているから、Internetでの文字コー
ドの扱いとかもウルサく言われるんでしょうな…)

 >えーと、取りあえず X-UIDLヘッダーが無い時は乱数で生成して付加するように
 >改良しました。
 >(QPOPPERはMD5でファイルの指紋を作ってUIDLにしています。)

 ちなみにセキュリティ上の心配は、ウチのメールサーバにアカウント持ってるヒト
しかサービスの対象にしないし(だから認証もサーバ内で独自にやろうと…)、URL
知らせる対象もその範囲(今POPでメールつつけなくなってるプロキシの内側のユー
ザ)に限る予定なので、あんまし心配してないです。(もしもシステム自体のっとら
れたらそもそも全部まとめてイチコロだし。そこまでは考えてないですわ)

トップに戻る
32 uidl Hoppie E-Mail
1998/12/14 15:22 ホーム
(記事番号31へのコメント)
>すよね)UIDLなんて知らないし。ナニソレ。(^^

 と書きましたが、さっきちょっとsyslog見てみたら、POP呼ばれるところでPOPクラ
イアントに UIDL コマンドを投げられるごとに ERROR のログが残っていました。ホ
ホホ。 (unknown command)

で、UIDLってナニ? (^^

(そういえば関係ないけど 米GEOCITIESのftpは、NLST コマンドだとディレクトリ取
れなくって、LISTコマンドを使わないとイケンのですよね。バージョン古いんだろう
ね…たぶん。もっともこっちのクライアントの設定変えたのしばらく前だから、それ
以降ftpが新しくなっている可能性はあるけど)

トップに戻る
33 Re: UIDL えのやん E-Mail
1998/12/15 13:02 ホーム
(記事番号32へのコメント)
Hoppieさんは No.32「uidl」で書きました。
 >で、UIDLってナニ? (^^

   UIDL = Unique IDentifier List

RFC 1725
   The unique-id of a message is an arbitrary server-determined
   string, consisting of characters in the range 0x21 to 0x7E,
   which uniquely identifies a message within a maildrop and
   which persists across sessions. The server should never reuse
   an unique-id in a given maildrop, for as long as the entity
   using the unique-id exists.

http://asagiiro.net/frankly/#981111

トップに戻る
34 Re: UIDL Hoppie E-Mail
1998/12/16 5:24 ホーム
(記事番号33へのコメント)
>  UIDL = Unique IDentifier List
 >
 >RFC 1725
 >  The unique-id of a message is an arbitrary server-determined
 >  string, consisting of characters in the range 0x21 to 0x7E,
 >  which uniquely identifies a message within a maildrop and
 >  which persists across sessions. The server should never reuse
 >  an unique-id in a given maildrop, for as long as the entity
 >  using the unique-id exists.
 >
 >http://asagiiro.net/frankly/#981111

 なるほど。見てみました RFC 1725。1994年ですね。古いと言えば古いな(
Internetの変遷の速さを考えると…)。LASTコマンドとかなくなっちゃってるし。(
いいのか勝手に消して? (^^;)
 で、UIDL はこの時点では optional なんですね。とりあえず、ウチのPOP3サーバ
は「規格外」ではないらしいんでちょっと安心。
でも、オイラだったら optional のコマンドはたぶん使わないように実装してたんじ
ゃないかと思います。X68kの例のフロッピー(毎月発行の奴)作ってたでしょ。必ず
「初代機でメモリも標準の1MBしか積んでない環境も考慮する」方針で作ってたんで
、そのクセが染みついてます。(そのへんのポリシーに関しては例のシャチョーはえ
らかったかも。もっともまだ20代の「正常な」頃に決めたことですが)

 互換性といえばMS製品(特にOffice)の互換性の軽んじ方ってのは開いた口がふさ
がらないモノがありますな。なんにも考えてないね、あれだけ巨大企業で世界的に影
響力持ってるくせに。その点だけで「MSはダメ」です。(個人的評価)もっとも「ダ
メ感」の根源は昔のMS BASICのダメさからきてるんだけど(要するに全く体質変わっ
てないだけか?)

[インデックスに戻る]