אימות משתמש מאובטח
הזיהוי הסטנדרטי של המשתמש בפרוטוקול POP על ידי השרת אינו נחשב מאובטח דיו היות שסיסמת המשתמש מועברת ברשת האינטרנט כפשוטה. מצוטטים והאקרים למיניהם עלולים לאתרה ולהשתמש בה באופן זדוני. משום כך נדרשה שיטה חלופית לזיהוי מאובטח של המשתמש. שיטה זו כוללת גם כן את שם המשתמש ואת סיסמתו אך אלו משודרים ברשת באופן שונה. בעת ההתחברות לשרת הדוא"ל מציג כאמור השרת, הודעת פתיחה. הודעה זו כוללת בין השאר חותמת זמן (time-stamp) ייחודית, המשתנה בכל חיבור. על מנת להתחבר משתמש לקוח הדוא"ל בפקודת RPOP בצירוף 2 ארגומנטים הבאים, לפי סדר הופעתם:
· שם המשתמש – באותו אופן בו משתמשים בפקודת ה – USER.
· תמצית הסיסמא וחותמת-הזמן – לקוח הדוא"ל מחשב באמצעות פונקצית ערבול (hash) ערך המהווה תמצית של 2 הארגומנטים הללו, הייחודי לאותו חיבור. הארגומנטים לפונקציה זו, המשתמשת באלגוריתם (Message digest 5) MD5, הינם כאמור סיסמת המשתמש וחותמת-הזמן. הפונקציה מורכבת באופן שאף השינוי הקל ביותר בערכם של 2 ארגומנטים אלו יביא לערך שונה של התמצית.
מסמך RFC 1225, המתאר את פרוטוקול POP, מציג דוגמת שימוש לפקודת RPOP המבהירה היטב את כל מורכבותה.
עם התקבל תוצאת פונקצית הערבול על ידי השרת הוא מחשב את סיסמת המשתמש, ומשווה אותה לסיסמא הרשומה אצלו. חותמת-הזמן, הייחודית כאמור לאותו חיבור, מהווה ארגומנט לחישוב זה. במידה והשוואת הסיסמאות תקפה, מאפשר השרת את חיבור המשתמש. אופן התחברות זה מקשה משמעותית על מצוטטים למיניהם לאתר את סיסמת המשתמש, היות שהיא אינה מועברת ברשת כפשוטה, אלא באופן מוצפן. יחד עם זאת, עם היוודע סיסמת המשתמש לגורם כלשהו, יכול האחרון לגשת באופן חופשי לתיבת-הדואר של המשתמש. לפיכך זוהי אחריות המשתמש לשמור על סיסמתו בחשאי, ולהחליפה מפעם לפעם.
מצג מוקדם של ההודעות
פקודה נוספת של פרוטוקול POP מאפשרת ללקוח הדוא"ל לראות תקציר של ההודעות הממתינות בשרת. שימוש בפקודת TOP מביא להצגת החלק העליון של הודעה מסוימת. המשתמש נדרש לצרף לפקודה 2 ארגומנטים, לפי הסדר הבא:
· מספר ההודעה – יש לוודא כי ההודעה קיימת בשרת, וכי היא אינה מסומנת למחיקה.
· מספר השורות מגוף ההודעה אותם מעוניין המשתמש לראות.
לדוגמא:
TOP 2 2
תגובת השרת לפקודה זו כוללת אישור סטנדרטי (+OK), וכן את כותרת ההודעה בליווי 2 שורות טקסט מגוף ההודעה. כותרת ההודעה והשורות מגוף ההודעה מופרדות בשורה ריקה. במידה וההודעה אינה קיימת בשרת, או שהיא מסומנת למחיקה, תתקבל הודעת השגיאה הבאה:
-ERR no mail, no TOP
פקודת ה – TOP מאפשרת למשתמש להציץ בכותרת ההודעה בלבד על ידי רישום הערך 0 עבור הארגומנט המציין את מספר השורות המיועדות להצגה מגוף ההודעה. יחד עם זאת, אין זה חוקי לרשום ערך שלילי עבור ארגומנט זה.
גולשים מקוונים: 1