¿Hay algún problema de seguridad al importar correo a través de POP / IMAP?

Navega tus respuestas
1

Me gustaría diseñar la funcionalidad de importación de correo para un proveedor de correo electrónico. El proceso es: el usuario ingresa el correo electrónico y la contraseña para otro servicio en mi sitio y luego el sitio accede a otro proveedor de correo electrónico y descarga sus mensajes a través de IMAP o POP3 a través de TLS / STARTTLS.

¿Qué problemas de seguridad deben tenerse en cuenta al diseñar dicha funcionalidad? ¿Pueden esos correos electrónicos tener algo que haga que el proceso de importación se detenga? ¿Necesito algo más además de antivirus?

    
pregunta Andrei Botalov 24.07.2012 - 21:32
fuente

1 respuesta

1
  1. Está aceptando la contraseña de usuario para una cuenta para un servicio que no está bajo su control y la está guardando durante algún tiempo (es posible que solo esté en la memoria RAM). Esto también puede estar prohibido para el usuario del otro servicio para entregar su contraseña en TOS o similar.
  2. Los problemas obvios con los ataques TLS MITM, CA rogue ... (vea otras preguntas sobre el intercambio de pilas, el trabajo de Moxie Marlinspike, probablemente no sea fácil de controlar a menos que desee tomarse su tiempo para fijar certificados manualmente en la implementación de su servidor y solo permitir servicios conocidos específicos).
  3. El otro servicio puede hacer cosas como eliminar automáticamente los correos electrónicos a medida que se descargan o algo similar, lo que podría advertir a los usuarios que deben verificar que están de acuerdo antes de continuar.
  4. Los problemas de seguridad habituales con sus propios servicios, desbordamientos de búfer, inyección de SQL, secuencias de comandos entre sitios, falsificación de solicitudes entre sitios ...
respondido por el ewanm89 25.07.2012 - 00:42
fuente

Lea otras preguntas en las etiquetas

¿Es una aplicación web multiusuario basada en Apache Cassandra más resistente frente a los ataques DoS? ¿Hay ataques de Bluetooth en los teléfonos inteligentes que no notifiquen al usuario del ataque?