开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > WEB邮件程序 > 查看源码
SECURITY
资源名称:sqwebmail-0.37a.38pre2.tar.gz [点击查看]
上传用户:s81996212
上传日期:2007-01-04
资源大小:722k
文件大小:11k
源码类别:

WEB邮件程序

开发平台:

C/C++

SECURITY:源码内容
  2.                               SqWebMail security
  3.                                        
  4.    This document discloses security-oriented issues regarding the
  5.    SqWebMail CGI application.
  6.    
  7.    In this document:
  8.      * User IDs and Passwords
  9.      * Mailbox IDs
  10.      * Authentication
  11.      * Browser Security - History
  12.      * Browser Security - Caching
  13.      * Browser Security - HTML
  14.      * Browser Security - Referer: Tags
  15.      * Sending Mail
  16.      * Setuid Root
  17.        
  18. User IDs and Passwords
  20.    SqWebMail's security scheme requires a valid userid/password to access
  21.    an account. The actual method for validating the userid and password
  22.    is a black-box module that can be easily replaced. The example
  23.    black-box implementation uses the PAM library, if available, or with
  24.    the /etc/passwd, /etc/shadow and the crypt() function.
  25.    
  26.    It is possible to configure SqWebMail to transmit the userid and
  27.    password via secure HTTP. If secure HTTP is not available, the userid
  28.    and password is transmitted over the network in the clear, which can
  29.    be picked up by a sniffer. SqWebMail supports an alternate password
  30.    which is stored in a file in the Maildir directory. The file has read
  31.    and write permissions to the user only. If the alternate password is
  32.    compromised, only SqWebMail recognizes it, and only access to the
  33.    private mail will be available. Access to the main account will not be
  34.    compromised, if the account password is different.
  35.    
  36. Mailbox IDs
  38.    After a userid and password is authenticated, the authentication
  39.    module returns a 'mailboxid'. The mailboxid is used as a handle for
  40.    the mailbox. A mailboxid may not necessarily be the same as the
  41.    userid, but the sample authentication modules make them the same.
  42.    
  43.    Technically, the mailboxid that's generated by recent versions of
  44.    sqwebmail are of the form "userid.method", where method represents the
  45.    authentication module that was used.
  46.    
  47.    A mailboxid is sent with every HTTP request, in the request itself.
  48.    Note that the mailboxid is transmitted over the network in the clear.
  49.    It is also possible to use secure HTTP for the every HTTP request, not
  50.    just initial authentication, but this has not been tested.
  51.    
  52.    Unless the mailboxid is the same as a userid, there aren't many
  53.    security considerations in having the mailboxid broadcasted over the
  54.    network. That's because the mailboxid in the HTTP request is usually
  55.    validated based on a time-limited IP address (see "Authentication").
  56.    Note that there certain other potential ways - in addition to network
  57.    traffic sniffing - for an unauthorized party to attempt to grab
  58.    mailboxids. See "Browser Security - HTML", and "Browser Security -
  59.    Referrer: Tags".
  60.    
  61. Authentication
  63.    Once the user ID and password are authenticated, authentication for
  64.    subsequent HTTP requests is based on a combination of an IP address,
  65.    plus a 128-bit random number that was generated during the login.
  66.    
  67.    By default, SqWebMail permits access to the mailbox only from the same
  68.    IP address as the one where the user ID and password was authenticated
  69.    from. This can be selectively turned off at login time, in cases where
  70.    the client is behind a load-balancing firewall that uses multiple IP
  71.    addresses. In all cases, a 128-bit random number must be transmitted
  72.    with every HTTP request, and it must match the number generated during
  73.    the login, which is saved in the Maildir directory.
  74.    
  75.    The Maildir directory must therefore have any group or world access
  76.    rights disabled. Additionally, every page served by SqWebMail includes
  77.    HTTP headers containing instructions to proxies and browsers that
  78.    prohibit this page from being cached. There are some buggy web
  79.    browsers out there - most of them originating in Redmond,WA - that
  80.    ignore these caching directives, and they end up saving the 128-bit
  81.    random number in the local cache. Unless access to the physical
  82.    machine is secured, the local cache can be trawled to obtain the
  83.    128-bit authentication token.
  84.    
  85.    However, access to the mailbox is allowed only for a maximum period of
  86.    time after the initial authentication. Access is allowed only if the
  87.    HTTP requests come within a different, shorter period of time. If no
  88.    access requests have been made for a certain period of time, access
  89.    will no longer be available even if it comes from the right IP
  90.    address, with the right authentication token.
  91.    
  92.    The IP address of the initial authentication, the dates and times
  93.    involved, are all stored in files in the maildir directory, with group
  94.    and world permissions turned off.
  95.    
  96. Browser Security - History
  98.    In certain situations a mailboxid is a part of the actual URL
  99.    requested. A browser may maintain a history file of visited URLs.
  100.    
  101.    SqWebMail uses a frame window in an attempt to keep the browser from
  102.    recording visited URLs. This approach works for most popular web
  103.    browsers that support frames - these browsers do not maintain history
  104.    for individual frames. Note that frames are not required to access the
  105.    full SqWebMail functionality.
  106.    
  107. Browser Security - Caching
  109.    SqWebMail sets the expiration header on every HTTP page it serves.
  110.    Individual pages contain URLs and hidden fields with mailboxids. The
  111.    expiration header should keep the web pages from being saved in the
  112.    browser cache.
  113.    
  114. Browser Security - HTML
  116.    SqWebMail has the ability to display HTML E-mail, which leads to
  117.    several complicated situations regarding embedded Javascript or Java
  118.    applets that try to grab the mailboxid of the recipient (amongst other
  119.    things). SqWebMail attempts to remove all forms of scripting from HTML
  120.    E-mail as follows:
  121.      * The following HTML tags are removed: <SCRIPT>, </SCRIPT>, <APP>,
  122.        </APP>, <APPLET>, </APPLET>, <SERVER>, </SERVER>, <OBJECT>,
  123.        </OBJECT>, <HTML>, </HTML>, <HEAD>, </HEAD>, <BODY>, </BODY>,
  124.        <META>, <TITLE>, </TITLE>, <FRAME>, </FRAME>, <LINK>, <IFRAME> and
  125.        </IFRAME>.
  126.      * The following HTML attributes are stripped from every tag:
  127.        ONLOAD=, ONMOUSEOVER=, and all ON*= attributes; TARGET=, CODE=,
  128.        CODETYPE=, and LANGUAGE= are removed; TARGET=_blank is added to
  129.        all <A> tags.
  130.      * The HREF and SRC attributes are stripped, unless the URL starts
  131.        with one of the following: http:, https:, ftp:, gopher:, wais:, or
  132.        telnet, and cid:.
  133.      * The HREF and SRC attribute values are prefixed with a URL that
  134.        will resolve to SqWebMail, and with an additional TARGET="_blank"
  135.        attribute. A request to that resulting URL will result in a blank
  136.        page with a 0-second refresh to the original URL. This method
  137.        strips mailbox IDs from Referer: tags sent to external web site.
  138.        If the HREF attribute starts with a cid:, it is replaced by an
  139.        http: reference to SqWebMail that will return the specified MIME
  140.        part.
  141.      * IMG tags are removed and replaced with an A tag, in order to keep
  142.        the HTTP client from automatically loading any images from
  143.        external web sites, upon opening a given message.
  144.        
  145. Browser Security - Referer: Tags
  147.    See the previous section regarding how SqWebMail attempts to remove
  148.    mailbox IDs from Referer: tags.
  149.    
  150. Sending Mail
  152.    SqWebMail includes the ability to send mail. Issues regarding
  153.    transmitting E-mail from the HTTP client to the server are obvious.
  154.    SqWebMail runs a wrapper shell script in order to send the E-mail
  155.    message. The wrapper shell script normally runs qmail-inject,
  156.    sendmail, or something else, immediately. SqWebMail prepares a
  157.    complete E-mail message.
  158.    
  159.    SqWebMail depends on the mail server to read the headers for
  160.    recipients and to strip out the Bcc: header. SqWebMail uses the
  161.    black-box authentication module to set the contents of the From:
  162.    header and provide the envelope return address.
  163.    
  164.    The IP address of the HTTP client is not inserted into the headers,
  165.    however the wrapper and the mail server are invoked under the userid
  166.    of an authenticated user. The wrapper shell script can be modified to
  167.    insert the IP address, if so desired. The wrapper shell script has
  168.    access to the CGI REMOTE_ADDR environment variable.
  169.    
  170. Setuid Root
  172.    SqWebMail is invoked by the web server to handle each HTTP request.
  173.    SqWebMail must assume permissions of the mail client in order to be
  174.    able to access its mailbox. Additionally, SqWebMail must be able to
  175.    authenticate access passwords. For both of these reasons SqWebMail has
  176.    to be installed as a setuid root program.
  177.    
  178.    When virtual mailboxes are being used, it is possible to install
  179.    SqWebMail setuided to the virtual userid, instead of root. For that to
  180.    work, each account's Maildir must be created with the account password
  181.    already saved in Maildir/sqwebmail-webpass file, or a virtual domain
  182.    mechanism like vchkpw must be used.
  183.    
  184.    On some platforms this may not work without some additional tweaking.
  185.    If authenticating with sqwebmail setuided to the virtual userid
  186.    doesn't work:
  187.      * Verify that the password has been correctly set.
  188.      * Remove the source file authlib/changeuidgid.c. Replace everything
  189.        in that file with the following three lines of code, exactly as
  190.        shown:
  191. void authchangegroup() {}
  192. void authchangeuidgid() {}
  193. void authchangeusername() {}
  195.      * Recompile and reinstall.
  196.        
  197.    Immediately upon starting, SqWebMail's activity as root is as follows:
  198.      * Determine if the HTTP request is a request from a client that's
  199.        already logged in. The other possibilities are the login request
  200.        itself, or a couple of requests which are used to show the initial
  201.        login screen. This is determined by the presence of the extra path
  202.        in the HTTP request. This approach avoids the need to parse HTTP
  203.        arguments. If the extra path containing the login ID is present,
  204.        the login ID is extracted, SqWebMail changes to the account's
  205.        Maildir directory, and gives up root. The CGI environment is read,
  206.        and the request is authenticated (see Authentication, above).
  207.      * If it's a login screen, the appropriate forms are generated.
  208.      * If it's a login request, SqWebMail makes sure that the request
  209.        format is NOT a multipart/formdata POST, which takes the most
  210.        amount of code to interpret. Additionally, requests indicating
  211.        more than 128 bytes of posted data are rejected prior to even
  212.        parsing them. Barring all that, the userid/password is fetched
  213.        from the request, and processed. The multipart/formdata check
  214.        shouldn't be necessary given a 64 byte upper limit on
  215.        unauthenticated requests, but it can't hurt.