<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
  <title></title>
</head>
<body text="#000000" bgcolor="#ffffff">
On 4/26/2013 3:54 PM, Michael Trausch wrote:
<blockquote
 cite="mid:F645ECAF-B92E-4B3A-B92F-857DE93158C9@naunetcorp.com"
 type="cite">
  <meta http-equiv="Content-Type"
 content="text/html; charset=ISO-8859-1">
  <br>
  <div>
  <div>On Apr 26, 2013, at 2:27 PM, "Ron Frazier (ALE)" &lt;<a
 moz-do-not-send="true" href="mailto:atllinuxenthinfo@techstarship.com">atllinuxenthinfo@techstarship.com</a>&gt;
wrote:</div>
  <br class="Apple-interchange-newline">
  <blockquote type="cite"><span
 style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; display: inline ! important; float: none;">For
the pop server on port 995, the authentication options are:</span><br
 style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px;">
    <br
 style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px;">
    <span
 style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; display: inline ! important; float: none;">-
plain (this is selected)</span><br
 style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px;">
    <span
 style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; display: inline ! important; float: none;">-
cram-md5</span><br
 style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px;">
  </blockquote>
  </div>
  <br>
  <div>This is where an understanding of the underlying protocols, and
security in general, would be helpful.</div>
  <div><br>
  </div>
  <div>Services which communicate via SSL do so through a virtualized
network connection, tunneled through the SSL libraries at either end.
&nbsp;The SSL libraries can communicate directly with the operating system
socket implementation, or they can operate using memory buffers; either
way, all plaintext communication enters the tunnel on one side, and is
extracted on the other as plaintext.</div>
  <div><br>
  </div>
  <div>STARTTLS, which is a common extension to plaintext services such
as POP3, SMTP and IMAP running on their standard ports, is a mechanism
that allows servers to negotiate a secure connection, but not open a
connection in a secure mode by default. &nbsp;Often services that are
running on such ports today disallow anything but security negotiation
on that port, and only allow authentication after the connection has
been made secure. &nbsp;This usually involves the client sending a signal to
the server telling it that it wishes to begin secure communications, by
issuing a STARTTLS command, and then the server replies in the
affirmative and both ends switch to communicating through their
respective SSL library interfaces for the duration of the connection.</div>
  <div><br>
  </div>
  <div>"Plain" authentication is very frequently the only option that
SSL-enabled systems provide. &nbsp;In fact, servers that <i>only</i>&nbsp;understand
the plain authentication mechanism will typically disable
authentication entirely over insecure channels as more-or-less
described above, effectively eliminating insecure plaintext
authentication over the public Internet.&nbsp; Other options may be
supported by the server, but that varies on a server-by-server basis.
&nbsp;The <b>only</b>&nbsp;mechanism that is required on both sides is "plain"
authentication, per the standards.</div>
  <div><br>
  </div>
  <div>So, yes, you're sending plaintext authentication credentials <i>to
the server you are talking to</i>, but because SSL provides both
confidentiality and connection integrity, that means that it <i>is not
plaintext when on the wire</i>. &nbsp;And for these purposes, that's the key
distinction.</div>
  <div><br>
  </div>
  <div>Personally, I am a fan of Kerberos, because the password is <i>never</i>&nbsp;revealed
  <b>during authentication</b> over the network. &nbsp;The original password
is sent in an encrypted form over the network exactly <i>once</i>, and
that is during the password change process. &nbsp;After that, the server
keeps a copy of the encrypted password, and the protocol makes it
possible to verify the shared-secret (password/passphrase) credentials
without actually passing them across the network. &nbsp;Now <i>that</i>&nbsp;is
a secure authentication process---even if session communications are
compromised, the user's credentials are not. &nbsp;:-)</div>
  <pre wrap="">
  </pre>
</blockquote>
<br>
Hi Mike T, and all,<br>
<br>
Thanks for the replies on this.&nbsp; This last bit is the key piece of
information I needed.&nbsp; So, the SSL link is brought up first, then my
credentials are sent to the server.&nbsp; The fact that my credentials are
not in plaintext on the wire (or wifi) is exactly the result I was
hoping to hear.&nbsp; You would think it would be that way, but I'd be rich
if I had a dollar for every time a software maker has done something
stupid or tried to do it right and got it wrong.&nbsp; It's good to know
that my email is secure from snoopers (except over my shoulder) whether
I'm running a vpn or not.&nbsp; From an end user point of view, even a
technical user, this stuff can be baffling.&nbsp; And we all know that the
default settings on software are almost always set for convenience and
simplicity.&nbsp; (IE lack of tech support phone calls.)&nbsp; If you want
security and privacy, you have to change them.&nbsp; So, I wanted to make
sure my settings were OK.<br>
<br>
Sincerely,<br>
<br>
Ron<br>
<br>
<br>
<pre class="moz-signature" cols="72">-- 

(PS - If you email me and don't get a quick response, you might want to
call on the phone.  I get about 300 emails per day from alternate energy
mailing lists and such.  I don't always see new email messages very quickly.)

Ron Frazier
770-205-9422 (O)   Leave a message.
linuxdude AT techstarship.com 
Litecoin: LZzAJu9rZEWzALxDhAHnWLRvybVAVgwTh3
Bitcoin: 15s3aLVsxm8EuQvT8gUDw3RWqvuY9hPGUU
</pre>
</body>
</html>