初探TheBat!权限管理及密码安全

12/3/2006来源:其它邮件服务器软件人气:7720

首先,先来看看The Bat!的密码安全性。

我们知道,默认状态下,当我们在The Bat!中建立好一个帐号后,The Bat!会记住你
的邮件帐号的密码,并在属性窗口中以“*”号显示出来。于是时间久了,我们可能会忘
了自己的密码,怎么办呢?这时就可以利用“*”号密码查看软件到The Bat!中查看到
密码。试验证明,在The Bat!中很容易做到,可见The Bat!对此并没有做特别处理,
也就是说,The Bat!的思维就是防君子不防小人。

其次,The Bat!中似乎没有启动时需要密码的选项,而实际上,我们仍然是能够实现这
一点的。在默认状态下,我们建立的每个帐号在The Bat!中都是具有管理员身份的,如
果你没给任何帐号设置密码,那么启动的时候就是不需要密码。但是,如果你给任何一
个帐号加上了密码保护,启动的时候就需要密码了。如果你用加了口令的帐号登陆,必
须输入相应的密码,如果你用任意一个没有设置密码的帐号登陆,则口令为空即可。但
是如果你要在这种状态下访问设置了密码的帐号,则仍然需要相应的密码。(注意,这
里所说的帐号是指在TB中具有的帐号,而不是说你的email帐号)

上面提到了帐号在The Bat!中具有身份权限。具体细节就在“选项”中的“网络和管
理”,在这里不仅有计算机的工作方式设定,还有“权限”和“用户组”。在“权限”
中,如果你当前的身份是管理员,你可以对任何已有的帐号修改其访问权限为管理员,
或者是用户。对于用户身份的帐号,除了其本身默认的权限限制之外,这里还提供了一
些其它可选的禁用动作。这样,对于多人在同一台机器上使用The Bat!来说,你可以轻
松的对其加以限制,防止对方乱操作。

在“用户组”中,你可以设置一个或者几个用户组,然后设置该组包含的用户,这样就
更方便于管理了。要注意的是,这里所出现的用户,是你在“权限”中已经设置身份为
“用户”的用户,而管理员身份的帐号是不会在这里出现的。对于一个用户组来说,你
可以为这个用户组设置一个密码,这样,当你用这个用户组的名称、密码登陆之后,你
就可以看到这个组内的所有用户了,但是,如果你登陆的时候是使用某个单独的用户帐
号登陆,则只能看到这个用户帐号。而看不到其它的帐号,即使是属于同一个组。

稍有遗憾的是,The Bat!没有提供注销功能。这就是说,如果你需要在多帐号之间进行
切换,只能是关闭The Bat!再重新启动。

使用中发现一个全局性的影响,就是即使我是以某个用户身份登陆,更改了语言设定之
后,则所有的帐号,包括管理员帐号的软件界面也都会随之而更改。

需要提到的是,如果你是以某个组的名称和密码登陆,而这个组中的成员却具有不同的
权限,这时你所具有的当前权限是以该组中权限最低的用户为准的。就是说,只要这个
组中有一个用户被禁用了某个权限,则你当前的权限中就没有这个权限了。当然,如果
你是以单独用户帐号登陆,则没有这个限制。同时呢,在以用户组身份登陆的时候,你
可以对该组中的成员设置口令,这个口令直接影响到该帐号本身。

还有,如果你对某个帐号设置了口令,那么即使你是用这个帐号登陆的,一旦这个帐号
被“折叠”了,你要再次“展开”的话,仍然需要相应的口令。同时,即便你是以管理
员身份登陆,如果你要打开一个加了密码保护的“用户”帐号,仍然需要这个用户的口
令,就是说,即便是管理员也不能为所欲为。

最后,再次回到关于密码的安全性问题上,经过测试发现,和Foxmail类似,对The
Bat!帐号密码,仍然有一个“必杀”绝技:找到相应帐号的邮件存储目录,删除
account.cfg文件。再次进入The Bat!,发现什么了?呵呵,这个帐号的登陆及使用不
再需要密码了,而且,不论其原来是什么身份,瞬间升级为管理员。

必杀计之二:查看其它帐号的信件
以任一帐号登陆,使用导入邮件功能,选择导入.TBB文件,你可以导入任意帐号的邮件
了,只要你能找到他的邮件存放目录。
可见,还是那句话,防君子不防小人啊。

应对方法:
对于“*”号密码查看软件,可以通过帐号属性中的“传送”中“接收邮件”部分的“验
证”选项中选择“不保 存密码”,但这样多的代价是每次收取信件,都需要输入一遍密
码。
更为安全的加密方式,使用ritlab公司的同类产品:SecureBat! 功能上和The Bat!基本
完全相同,但是安全保护功能很强,甚至于启动程序的主密码一旦设定将无法更改。

题外话,试用过程中一个有趣的发现:同一帐号可以有不同的名称。就是说对于一个已
有的帐号,我们还可以为它建立另外一个“别名”。方法是:创建新帐号,在帐号名称
上,输入一个不存在的名称,然后在主目录上选择浏览,指定要你所要“共享”的帐号
目录,这个时候如果那个帐号设置了密码,会要求你输入密码,输入正确的密码,然后
你就会发现,所有的设置信息都和那个帐号的设置一样,只要一路next下去就可以了。
这样,在帐号列表里,两个帐号都存在,而这两个帐号除了名称之外,所有设置都是一
模一样的,如同一个人用了两个名字一样,一个小马甲,呵呵。
如果说有不一样的地方,那就是删除其中一个帐号,并选择“删除帐号文件”,这样删
除之后。另一个帐号不会随同消失,但是重新进入之后你就会发现,那个帐号里面会显
示为空,没有邮件了。

欢迎指正。