Sender ID: по граблям Kerberos
Ktirf // 04.09.04 13:33
На прошлой неделе на NewsForge была опубликована статья, в которой кратко описываются происхождение и принцип действия этой технологии и анализируются возможные трудности, связанные с ее внедрением.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/09/05.html]
Отмечается тот факт, что в условиях, когда выпуск средств борьбы со спамом связан с извлечением выгоды, спамеры помогают зарабатывать деньги антиспамерам (та же проблема, что и с вирусами/антивирусами: антивирусным компаниям невыгодно выпускать стопроцентно надежную систему). Не забыли и про Microsoft, причем в двух отношениях сразу: во-первых, лицензионные ограничения, во-вторых, неочевидная патентная чистота Sender ID (компания Failsafe Designs утверждает, что Sender ID нарушает их права - впрочем, это не касается "классического SPF", который лег в основу Sender ID.
Статья получила большой резонанс, в том числе и от людей, работавших с предметом обсуждения и хорошо знающих его. Один из них - Яков Шафронович, участник IETF и сопредседатель Anti-Spam Research Group в 2003 году - отметил, что в 2003 году ASRG опубликовала описание Lightweight MTA Authentication Protocol (LMAP), от которого Sender ID отличается хранением новых DNS-записей в XML (!) и использованием вместо IP-адреса отправителя некоего Purported Responsible Address (PRA "якобы ответственный адрес"). Алгоритм Sender ID смахивает на вольный пересказ RFC 2822, права на который принадлежат IETF. В общем, все порядком смахивает на историю с Kerberos (Microsoft выпустила свою реализацию, несовместимую с оригинальной, но отказалась раскрыть отличия).
