<div dir="auto"><div>The problem with checking the server's caps file is that it (at least partially) defeats the purpose of TLS--an attacker can MITM the caps file and force the connection to plaintext. (Of course, they could also have done the same to the originating menu.)<div dir="auto"><br></div><div dir="auto">Rather than using a specific port, why not use a prefix on the hostname? Something like "TLS+<a href="http://example.com">example.com</a>", which isn't a valid hostname because of the symbol.</div><div dir="auto"><br></div><div dir="auto">This does have historical precedent--when https was introduced, how did they handle backward compatibility? (I'm young enough that I don't remember this.)</div><br><div class="gmail_extra"><br><div class="gmail_quote">On Feb 6, 2017 2:00 AM, "Kim Holviala" <<a href="mailto:kim@holviala.com">kim@holviala.com</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Also, forcing port NNN to be always TLS breaks menu links in old non-TLS browsers. Tha caps.txt method is better in that regard because menus can always point to non-TLS port and the client can then upgrade to TLS if it wants.<font color="#888888"><br><br><br>- Kim</font><div class="m_5604088009697182858quote" style="line-height:1.5"><div class="quoted-text"><br><br>-------- Original Message --------<br>Subject: Re: [gopher] Gophernicus 2.4 "Millennium Edition" released<br></div><div class="quoted-text">From: Kim Holviala <u></u><br>To: Gopher Project Discussion <u></u><br>CC: <br><br><br type="attribution"></div><blockquote class="m_5604088009697182858quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="quoted-text">Ugh.... I hate this mixed top- and bottom-posting.... but this stupid phone won't let me bottom-post.<br><br>Anyway, yes, that is one thing I was thinking of - assume port NNN is always TLS. Problem is, we need a port allocation for that.<br><br>- Kim</div><div class="m_5604088009697182858quote" style="line-height:1.5"><div class="quoted-text"><br><br>-------- Original Message --------<br>Subject: Re: [gopher] Gophernicus 2.4 "Millennium Edition" released<br>From: James Mills <u></u><br>To: Gopher Project Discussion <u></u><br>CC: <br><br><br type="attribution"></div><div class="elided-text"><blockquote class="m_5604088009697182858quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Can we just assume TLS if the destination port in the menu is 73 for example?</div><div class="gmail_extra"><br clear="all"><div><div class="m_5604088009697182858gmail_signature" data-smartmail="gmail_signature"><span style="border-collapse:collapse;color:rgb(136,136,136);font-size:13px"><br><font face="arial, sans-serif">James Mills / prologic</font><br><br><font face="arial, sans-serif"></font><font face="'courier new', monospace">E: <a href="mailto:prologic@shortcircuit.net.au" style="color:rgb(0,0,204)" target="_blank">prologic@shortcircuit.net.<wbr>au</a></font></span><div><span style="font-family:'courier new',monospace;color:rgb(136,136,136);font-size:13px">W: </span><a href="http://prologic.shortcircuit.net.au" style="font-family:'courier new',monospace;font-size:13px;color:rgb(0,0,204)" target="_blank">prologic.shortcircuit.net.<wbr>au</a><br></div></div></div>
<br><div class="gmail_quote">On Sun, Feb 5, 2017 at 2:16 AM, Kim Holviala <span dir="ltr"><<a href="mailto:kim@holviala.com" target="_blank">kim@holviala.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span><br>
> On 04 Feb 2017, at 12:11, Cameron Kaiser <<a href="mailto:spectre@floodgap.com" target="_blank">spectre@floodgap.com</a>> wrote:<br>
><br>
>> The only remaining problem is to figure out a way to tell which connections<br>
>> are TLS and which are plaintext in gopher menus. Alternative is not to<br>
>> change menus at all and require the clients to read caps.txt first to see<br>
>> if there is a non-zero ServerTLSPort available for encrypted connections.<br>
>> That might actually be the most backwards-compatible method.<br>
><br>
> That would certainly seem the most reasonable approach to me.<br>
<br>
</span>I agree. I tried to come up with a way to add some kind of "encrypted or not" flag in the menus... but the existing servers and clients out there are *so* broken that I couldn't come up with a way that would not break things.<br>
<br>
Oh well. Some day I'll try to patch Lynx or something to work with gopher over TLS.<br>
<span class="m_5604088009697182858HOEnZb"><font color="#888888"><br>
<br>
<br>
- Kim<br>
</font></span><div class="m_5604088009697182858HOEnZb"><div class="m_5604088009697182858h5">______________________________<wbr>_________________<br>
Gopher-Project mailing list<br>
<a href="mailto:Gopher-Project@lists.alioth.debian.org" target="_blank">Gopher-Project@lists.alioth.de<wbr>bian.org</a><br>
<a href="http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/gopher-project" rel="noreferrer" target="_blank">http://lists.alioth.debian.org<wbr>/cgi-bin/mailman/listinfo/goph<wbr>er-project</a><br>
</div></div></blockquote></div><br></div>
</blockquote></div></div></blockquote></div><br>______________________________<wbr>_________________<br>
Gopher-Project mailing list<br>
<a href="mailto:Gopher-Project@lists.alioth.debian.org">Gopher-Project@lists.alioth.<wbr>debian.org</a><br>
<a href="http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/gopher-project" rel="noreferrer" target="_blank">http://lists.alioth.debian.<wbr>org/cgi-bin/mailman/listinfo/<wbr>gopher-project</a><br></blockquote></div><br></div></div></div>