スラッシュドットにも出ています。
APOPというのは、私の理解では次のようにメールの
パスワードを暗号化してチェックする方法だとおもいます。
まずサーバがチャレンジ文字列を送ります。
で、PCではそれをパスワードと組み合わせたものに対して
MD5というハッシュをかけた数値を求め、その数値を
サーバに送り返します。
サーバは同じ数値を求めてみて、数値があっていれば
パスワードOKとします。
今回の話はたぶん、悪意を持った人が小細工をすれば
パスワード(の一部?)がわかる、ということだとおもいます。
もっとも、いまだに暗号化なしのPOP3を
使っている人も多いわけです。
APOP以前に、こういったノーガード戦法のほうが
問題な気がするんですが。。
【関連する記事】