home *** CD-ROM | disk | FTP | other *** search
/ SGI Developer Toolbox 6.1 / SGI Developer Toolbox 6.1 - Disc 4.iso / documents / RFC / rfc1194.txt < prev    next >
Text File  |  1994-08-01  |  24KB  |  675 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                       D. Zimmerman
  8. Request for Comments: 1194           Center for Discrete Mathematics and
  9. Obsoletes: RFC 742                          Theoretical Computer Science
  10.                                                            November 1990
  11.  
  12.  
  13.                   The Finger User Information Protocol
  14.  
  15. Status of this Memo
  16.  
  17.    This memo defines a protocol for the exchange of user information.
  18.    This RFC specifies an IAB standards track protocol for the Internet
  19.    community, and requests discussion and suggestions for improvements.
  20.    Please refer to the current edition of the "IAB Official Protocol
  21.    Standards" for the standardization state and status of this protocol.
  22.    Distribution of this memo is unlimited.
  23.  
  24. Abstract
  25.  
  26.    This memo describes the Finger User Information Protocol.  This is a
  27.    simple protocol which provides an interface to a remote user
  28.    information program.
  29.  
  30.    Based on RFC 742, a description of the original Finger protocol, this
  31.    memo attempts to clarify the expected communication between the two
  32.    ends of a Finger connection.  It also tries not to invalidate the
  33.    many existing implementations or add unnecessary restrictions to the
  34.    original protocol definition.
  35.  
  36. Table of Contents
  37.  
  38. 1.      Introduction  ...........................................   2
  39.   1.1.    Intent  ...............................................   2
  40.   1.2.    History  ..............................................   3
  41.   1.3.    Requirements  .........................................   3
  42. 2.      Use of the protocol  ....................................   3
  43.   2.1.    Flow of events  .......................................   3
  44.   2.2.    Data format  ..........................................   4
  45.   2.3.    Query specifications  .................................   4
  46.   2.4.    RUIP {Q2} behavior  ...................................   4
  47.   2.5.    Expected RUIP response  ...............................   5
  48.     2.5.1.  {C} query  ..........................................   5
  49.     2.5.2.  {U}{C} query  .......................................   6
  50.     2.5.3.  {U} ambiguity  ......................................   6
  51.     2.5.4.  /W query token  .....................................   6
  52.     2.5.5.  Vending machines  ...................................   7
  53. 3.      Security  ...............................................   7
  54.   3.1.    Implementation security  ..............................   7
  55.  
  56.  
  57.  
  58. Zimmerman                                                       [Page 1]
  59.  
  60. RFC 1194                         Finger                    November 1990
  61.  
  62.  
  63.   3.2.    RUIP security  ........................................   7
  64.     3.2.1.  {Q2} refusal  .......................................   7
  65.     3.2.2.  {C} refusal  ........................................   8
  66.     3.2.3.  Atomic discharge  ...................................   8
  67.     3.2.4.  User information files  .............................   8
  68.     3.2.5.  Execution of user programs  .........................   9
  69.     3.2.6.  {U} ambiguity  ......................................   9
  70.     3.2.7.  Audit trails  .......................................   9
  71.   3.3.    Client security  ......................................   9
  72. 4.      Examples  ...............................................  10
  73.   4.1.    Example with a null command line ({C})  ...............  10
  74.   4.2.    Example with name specified ({U}{C})  .................  10
  75.   4.3.    Example with ambiguous name specified ({U}{C})  .......  11
  76.   4.4.    Example of query type {Q2} ({U}{H}{H}{C})  ............  11
  77. 5.      Acknowledgments  ........................................  12
  78. 6.      Security Consierations  .................................  12
  79. 7.      Author's Address  .......................................  12
  80.  
  81. 1.  Introduction
  82.  
  83. 1.1.  Intent
  84.  
  85.    This memo describes the Finger User Information Protocol.  This is a
  86.    simple protocol which provides an interface to a remote user
  87.    information program (RUIP).
  88.  
  89.    Based on RFC 742, a description of the original Finger protocol, this
  90.    memo attempts to clarify the expected communication between the two
  91.    ends of a Finger connection.  It also tries not to invalidate the
  92.    many current implementations or add unnecessary restrictions to the
  93.    original protocol definition.
  94.  
  95.    The most prevalent implementations of Finger today seem to be
  96.    primarily derived from the BSD UNIX work at the University of
  97.    California, Berkeley.  Thus, this memo is based around the BSD
  98.    version's behavior.
  99.  
  100.    However, the BSD version provides few options to tailor the Finger
  101.    RUIP for a particular site's security policy, or to protect the user
  102.    from dangerous data.  Furthermore, there are MANY potential security
  103.    holes that implementors and administrators need to be aware of,
  104.    particularly since the purpose of this protocol is to return
  105.    information about a system's users, a sensitive issue at best.
  106.    Therefore, this memo makes a number of important security comments
  107.    and recommendations.
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114. Zimmerman                                                       [Page 2]
  115.  
  116. RFC 1194                         Finger                    November 1990
  117.  
  118.  
  119. 1.2.  History
  120.  
  121.    The FINGER program at SAIL, written by Les Earnest, was the
  122.    inspiration for the NAME program on ITS.  Earl Killian at MIT and
  123.    Brian Harvey at SAIL were jointly responsible for implementing the
  124.    original protocol.
  125.  
  126.    Ken Harrenstien is the author of RFC 742, "Name/Finger", which this
  127.    memo began life as.
  128.  
  129. 1.3.  Requirements
  130.  
  131.    In this document, the words that are used to define the significance
  132.    of each particular requirement are capitalized.  These words are:
  133.  
  134.    * "MUST"
  135.  
  136.       This word or the adjective "REQUIRED" means that the item is an
  137.       absolute requirement of the specification.
  138.  
  139.    * "SHOULD"
  140.  
  141.       This word or the adjective "RECOMMENDED" means that there may
  142.       exist valid reasons in particular circumstances to ignore this
  143.       item, but the full implications should be understood and the case
  144.       carefully weighed before choosing a different course.
  145.  
  146.    * "MAY"
  147.  
  148.       This word or the adjective "OPTIONAL" means that this item is
  149.       truly optional.  One vendor may choose to include the item because
  150.       a particular marketplace requires it or because it enhances the
  151.       product, for example; another vendor may omit the same item.
  152.  
  153.    An implementation is not compliant if it fails to satisfy one or more
  154.    of the MUST requirements.  An implementation that satisfies all the
  155.    MUST and all the SHOULD requirements is said to be "unconditionally
  156.    compliant"; one that satisfies all the MUST requirements but not all
  157.    the SHOULD requirements is said to be "conditionally compliant".
  158.  
  159. 2.  Use of the protocol
  160.  
  161. 2.1.  Flow of events
  162.  
  163.    Finger is based on the Transmission Control Protocol, using TCP port
  164.    79 decimal (117 octal).  A TCP connection is opened to a remote host
  165.    on the Finger port.  An RUIP becomes available on the remote end of
  166.    the connection to process the request.  The RUIP is sent a one line
  167.  
  168.  
  169.  
  170. Zimmerman                                                       [Page 3]
  171.  
  172. RFC 1194                         Finger                    November 1990
  173.  
  174.  
  175.    query based upon the Finger query specification.  The RUIP processes
  176.    the query, returns an answer, then closes the connection normally.
  177.  
  178. 2.2.  Data format
  179.  
  180.    Any data transferred MUST be in ASCII format, with no parity, and
  181.    with lines ending in CRLF.  This excludes other character formats
  182.    such as EBCDIC, etc.  This also means that any characters between
  183.    ASCII 128 and ASCII 255 should truly be international data, not
  184.    USASCII with the parity bit set.
  185.  
  186. 2.3.  Query specifications
  187.  
  188.    An RUIP MUST accept the entire Finger query specification.
  189.  
  190.    The Finger query specification is defined:
  191.  
  192.         {Q1}    ::= [{U}] [/W] {C}
  193.  
  194.         {Q2}    ::= [{U}]{H} [/W] {C}
  195.  
  196.         {U}     ::= username
  197.  
  198.         {H}     ::= @hostname | @hostname{H}
  199.  
  200.         {C}     ::= <CRLF>
  201.  
  202.    {H}, being recursive, means that there is no arbitrary limit on the
  203.    number of @hostname tokens in the query.  In examples of the {Q2}
  204.    request specification, the number of @hostname tokens is limited to
  205.    two, simply for brevity.
  206.  
  207.    Be aware that {Q1} and {Q2} do not refer to a user typing "finger
  208.    user@host" from an operating system prompt.  It refers to the line
  209.    that an RUIP actually receives.  So, if a user types "finger
  210.    user@host<CRLF>", the RUIP on the remote host receives "user<CRLF>",
  211.    which corresponds to {Q1}.
  212.  
  213.    As with anything in the IP protocol suite, "be liberal in what you
  214.    accept".
  215.  
  216. 2.4.  RUIP {Q2} behavior
  217.  
  218.    A query of {Q2} is a request to forward a query to another RUIP.  An
  219.    RUIP MUST either provide or actively refuse this forwarding service
  220.    (see section 3.2.1).  If an RUIP provides this service, it MUST
  221.    conform to the following behavior:
  222.  
  223.  
  224.  
  225.  
  226. Zimmerman                                                       [Page 4]
  227.  
  228. RFC 1194                         Finger                    November 1990
  229.  
  230.  
  231.    Given that:
  232.  
  233.          Host <H1> opens a Finger connection <F1-2> to an RUIP on host
  234.          <H2>.
  235.  
  236.          <H1> gives the <H2> RUIP a query <Q1-2> of type {Q2}
  237.          (e.g., FOO@HOST1@HOST2).
  238.  
  239.    It should be derived that:
  240.  
  241.          Host <H3> is the right-most host in <Q1-2> (i.e., HOST2)
  242.  
  243.          Query <Q2-3> is the remainder of <Q1-2> after removing the
  244.          right-most "@hostname" token in the query (i.e., FOO@HOST1)
  245.  
  246.    And so:
  247.  
  248.          The <H2> RUIP then must itself open a Finger connection <F2-3>
  249.          to <H3>, using <Q2-3>.
  250.  
  251.          The <H2> RUIP must return any information received from <F2-3>
  252.          to <H1> via <F1-2>.
  253.  
  254.          The <H2> RUIP must close <F1-2> in normal circumstances only
  255.          when the <H3> RUIP closes <F2-3>.
  256.  
  257. 2.5.  Expected RUIP response
  258.  
  259.    For the most part, the output of an RUIP doesn't follow a strict
  260.    specification, since it is designed to be read by people instead of
  261.    programs.  It should mainly strive to be informative.
  262.  
  263.    Output of ANY query is subject to the discussion in the security
  264.    section.
  265.  
  266. 2.5.1.  {C} query
  267.  
  268.    A query of {C} is a request for a list of all online users.  An RUIP
  269.    MUST either answer or actively refuse (see section 3.2.2).  If it
  270.    answers, then it MUST provide at least the user's full name.  The
  271.    system administrator SHOULD be allowed to include other useful
  272.    information (per section 3.2.3), such as:
  273.  
  274.       -    terminal location
  275.       -    office location
  276.       -    office phone number
  277.       -    job name
  278.       -    idle time (number of minutes since last typed input, or
  279.  
  280.  
  281.  
  282. Zimmerman                                                       [Page 5]
  283.  
  284. RFC 1194                         Finger                    November 1990
  285.  
  286.  
  287.            since last job activity).
  288.  
  289. 2.5.2.  {U}{C} query
  290.  
  291.    A query of {U}{C} is a request for in-depth status of a specified
  292.    user {U}.  If you really want to refuse this service, you probably
  293.    don't want to be running Finger in the first place.
  294.  
  295.    An answer MUST include at least the full name of the user.  If the
  296.    user is logged in, at least the same amount of information returned
  297.    by {C} for that user MUST also be returned by {U}{C}.
  298.  
  299.    Since this is a query for information on a specific user, the system
  300.    administrator SHOULD be allowed to choose to return additional useful
  301.    information (per section 3.2.3), such as:
  302.  
  303.       -    office location
  304.       -    office phone number
  305.       -    home phone number
  306.       -    status of login (not logged in, logout time, etc)
  307.       -    user information file
  308.  
  309.    A user information file is a feature wherein a user may leave a short
  310.    message that will be included in the response to Finger requests.
  311.    (This is sometimes called a "plan" file.)  This is easily implemented
  312.    by (for example) having the program look for a specially named text
  313.    file in the user's home directory or some common area; the exact
  314.    method is left to the implementor.  The system administrator SHOULD
  315.    be allowed to specifically turn this feature on and off.  See section
  316.    3.2.4 for caveats.
  317.  
  318.    There MAY be a way for the user to run a program in response to a
  319.    Finger query.  If this feature exists, the system administrator
  320.    SHOULD be allowed to specifically turn it on and off.  See section
  321.    3.2.5 for caveats.
  322.  
  323. 2.5.3.  {U} ambiguity
  324.  
  325.    Allowable "names" in the command line MUST include "user names" or
  326.    "login names" as defined by the system.  If a name is ambiguous, the
  327.    system administrator SHOULD be allowed to choose whether or not all
  328.    possible derivations should be returned in some fashion (per section
  329.    3.2.6).
  330.  
  331. 2.5.4.  /W query token
  332.  
  333.    The token /W in the {Q1} or {Q2} query types SHOULD at best be
  334.    interpreted at the last RUIP to signify a higher level of verbosity
  335.  
  336.  
  337.  
  338. Zimmerman                                                       [Page 6]
  339.  
  340. RFC 1194                         Finger                    November 1990
  341.  
  342.  
  343.    in the user information output, or at worst be ignored.
  344.  
  345. 2.5.5.  Vending machines
  346.  
  347.    Vending machines SHOULD respond to a {C} request with a list of all
  348.    items currently available for purchase and possible consumption.
  349.    Vending machines SHOULD respond to a {U}{C} request with a detailed
  350.    count or list of the particular product or product slot.  Vending
  351.    machines should NEVER NEVER EVER eat requests.  Or money.
  352.  
  353. 3.  Security
  354.  
  355. 3.1.  Implementation security
  356.  
  357.    Sound implementation of Finger is of the utmost importance.
  358.    Implementations should be tested against various forms of attack.  In
  359.    particular, an RUIP SHOULD protect itself against malformed inputs.
  360.    Vendors providing Finger with the operating system or network
  361.    software should subject their implementations to penetration testing.
  362.  
  363.    Finger is one of the avenues for direct penetration, as the Morris
  364.    worm pointed out quite vividly.  Like Telnet, FTP and SMTP, Finger is
  365.    one of the protocols at the security perimeter of a host.
  366.    Accordingly, the soundness of the implementation is paramount.  The
  367.    implementation should receive just as much security scrutiny during
  368.    design, implementation, and testing as Telnet, FTP, or SMTP.
  369.  
  370. 3.2.  RUIP security
  371.  
  372.    Warning!!  Finger discloses information about users; moreover, such
  373.    information may be considered sensitive.  Security administrators
  374.    should make explicit decisions about whether to run Finger and what
  375.    information should be provided in responses.  One existing
  376.    implementation provides the time the user last logged in, the time he
  377.    last read mail, whether unread mail was waiting for him, and who the
  378.    most recent unread mail was from!  This makes it possible to track
  379.    conversations in progress and see where someone's attention was
  380.    focused.  Sites that are information-security conscious should not
  381.    run Finger without an explicit understanding of how much information
  382.    it is giving away.
  383.  
  384. 3.2.1.  {Q2} refusal
  385.  
  386.    For individual site security concerns, the system administrator
  387.    SHOULD be given an option to individually turn on or off RUIP
  388.    processing of {Q2}.  If RUIP processing of {Q2} is turned off, the
  389.    RUIP MUST return a service refusal message of some sort.  "Finger
  390.    forwarding service denied" is adequate.  The purpose of this is to
  391.  
  392.  
  393.  
  394. Zimmerman                                                       [Page 7]
  395.  
  396. RFC 1194                         Finger                    November 1990
  397.  
  398.  
  399.    allow individual hosts to choose to not forward Finger requests, but
  400.    if they do choose to, to do so consistently.
  401.  
  402.    Overall, there are few cases which would warrant processing of {Q2}
  403.    at all, and they are far outweighed by the number of cases for
  404.    refusing to process {Q2}.  In particular, be aware that if a machine
  405.    is part of security perimeter (that is, it is a gateway from the
  406.    outside world to some set of interior machines), then turning {Q2} on
  407.    provides a path through that security perimeter.  Therefore, it is
  408.    RECOMMENDED that the default of the {Q2} processing option be to
  409.    refuse processing.  It certainly should not be enabled in gateway
  410.    machines without careful consideration of the security implications.
  411.  
  412. 3.2.2.  {C} refusal
  413.  
  414.    For individual site security concerns, the system administrator
  415.    SHOULD be given an option to individually turn on or off RUIP
  416.    acceptance of {C}.  If RUIP processing of {C} is turned off, the RUIP
  417.    MUST return a service refusal message of some sort.  "Finger online
  418.    user list denied" is adequate.  The purpose of this is to allow
  419.    individual hosts to choose to not list the users currently online.
  420.  
  421. 3.2.3.  Atomic discharge
  422.  
  423.    All implementations of Finger SHOULD allow individual system
  424.    administrators to tailor what atoms of information are returned to a
  425.    query.  For example:
  426.  
  427.       -    Administrator A should be allowed to specifically choose to
  428.            return office location, office phone number, home phone
  429.            number, and logged in/logout time.
  430.  
  431.       -    Administrator B should be allowed to specifically choose to
  432.            return only office location, and office phone number.
  433.  
  434.       -    Administrator C should be allowed to specifically choose to
  435.            return the minimum amount of required information, which is
  436.            the person's full name.
  437.  
  438. 3.2.4.  User information files
  439.  
  440.    Allowing an RUIP to return information out of a user-modifiable file
  441.    should be seen as equivalent to allowing any information about your
  442.    system to be freely distributed.  That is, it is potentially the same
  443.    as turning on all specifiable options.  This information security
  444.    breach can be done in a number of ways, some cleverly, others
  445.    straightforwardly.  This should disturb the sleep of system
  446.    administrators who wish to control the returned information.
  447.  
  448.  
  449.  
  450. Zimmerman                                                       [Page 8]
  451.  
  452. RFC 1194                         Finger                    November 1990
  453.  
  454.  
  455. 3.2.5.  Execution of user programs
  456.  
  457.    Allowing an RUIP to run a user program in response to a Finger query
  458.    is potentially dangerous.  BE CAREFUL!! -- the RUIP MUST NOT allow
  459.    system security to be compromised by that program.  Implementing this
  460.    feature may be more trouble than it is worth, since there are always
  461.    bugs in operating systems, which could be exploited via this type of
  462.    mechanism.
  463.  
  464. 3.2.6.  {U} ambiguity
  465.  
  466.    Be aware that a malicious user's clever and/or persistent use of this
  467.    feature can result in a list of most of the usernames on a system.
  468.    Refusal of {U} ambiguity should be considered in the same vein as
  469.    refusal of {C} requests (see section 3.2.2).
  470.  
  471. 3.2.7.  Audit trails
  472.  
  473.    Implementations SHOULD allow system administrators to log Finger
  474.    queries.
  475.  
  476. 3.3.  Client security
  477.  
  478.    It is expected that there will normally be some client program that
  479.    the user runs to query the initial RUIP.  By default, this program
  480.    SHOULD filter any unprintable data, leaving only the USASCII
  481.    characters and CRLF.  This is to protect against people playing with
  482.    VT100 escape codes and changing other peoples' X window names, or
  483.    committing other dastardly deeds.  Two separate user options SHOULD
  484.    be considered to modify this behavior, so that users may choose to
  485.    view international data or control characters:
  486.  
  487.       -    one to allow characters less than ASCII 32
  488.  
  489.       -    another to allow characters greater than ASCII 126
  490.  
  491.    For environments that live and breathe international data, the system
  492.    administrator SHOULD be given a mechanism to enable these options by
  493.    default for all users on a particular system.  This can be done via a
  494.    global environment variable or similar mechanism.
  495.  
  496.  
  497.  
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506. Zimmerman                                                       [Page 9]
  507.  
  508. RFC 1194                         Finger                    November 1990
  509.  
  510.  
  511. 4.  Examples
  512.  
  513. 4.1.  Example with a null command line ({C})
  514.  
  515. Site: elbereth.rutgers.edu
  516. Command line: <CRLF>
  517.  
  518. Login       Name               TTY Idle    When            Office
  519. rinehart Mark J. Rinehart      p0  1:11 Mon 12:15  019 Hill       x3166
  520. greenfie Stephen J. Greenfiel  p1       Mon 15:46  542 Hill       x3074
  521. rapatel  Rocky - Rakesh Patel  p3    4d Thu 00:58  028 Hill       x2287
  522. pleasant Mel Pleasant          p4    3d Thu 21:32  019 Hill    908-932-
  523. dphillip Dave Phillips         p5  021: Sun 18:24  265 Hill       x3792
  524. dmk      David Katinsky        p6    2d Thu 14:11  028 Hill       x2492
  525. cherniss Cary Cherniss         p7    5  Mon 15:42  127 Psychol    x2008
  526. harnaga  Doug Harnaga          p8  2:01 Mon 10:15  055 Hill       x2351
  527. brisco   Thomas P. Brisco      pe  2:09 Mon 13:37  h055           x2351
  528. laidlaw  Angus Laidlaw         q0  1:55 Mon 11:26  E313C       648-5592
  529. cje      Chris Jarocha-Ernst   q1    8  Mon 13:43  259 Hill       x2413
  530.  
  531. 4.2.  Example with name specified ({U}{C})
  532.  
  533. Site: dimacs.rutgers.edu
  534. Command line: pirmann<CRLF>
  535.  
  536. Login name: pirmann                     In real life: David Pirmann
  537. Office: 016 Hill, x2443                 Home phone: 989-8482
  538. Directory: /dimacs/u1/pirmann           Shell: /bin/tcsh
  539. Last login Sat Jun 23 10:47 on ttyp0 from romulus.rutgers.
  540. No unread mail
  541. Project:
  542. Plan:
  543.                       Work Schedule, Summer 1990
  544.                  Rutgers LCSR Operations, 908-932-2443
  545.  
  546.                         Monday       5pm - 12am
  547.                         Tuesday      5pm - 12am
  548.                         Wednesday    9am -  5pm
  549.                         Thursday     9am -  5pm
  550.                         Saturday     9am -  5pm
  551.  
  552.                            larf larf hoo hoo
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562. Zimmerman                                                      [Page 10]
  563.  
  564. RFC 1194                         Finger                    November 1990
  565.  
  566.  
  567. 4.3.  Example with ambiguous name specified ({U}{C})
  568.  
  569. Site: elbereth.rutgers.edu
  570. Command line: ron<CRLF>
  571. Login name: spinner                     In real life: Ron Spinner
  572. Office: Ops Cubby,    x2443             Home phone: 463-7358
  573. Directory: /u1/spinner                  Shell: /bin/tcsh
  574. Last login Mon May  7 16:38 on ttyq7
  575. Plan:
  576.             ught i
  577.           ca      n
  578.         m           a
  579.        '      ...     t
  580.       I      .   .     i
  581.              !         m
  582.       !       !       e
  583.        p       !pool
  584.         l
  585.          e
  586.           H
  587.  
  588.  
  589. Login name: surak                       In real life: Ron Surak
  590. Office: 000 OMB Dou,    x9256
  591. Directory: /u2/surak                    Shell: /bin/tcsh
  592. Last login Fri Jul 27 09:55 on ttyq3
  593. No Plan.
  594.  
  595. Login name: etter                       In real life: Ron Etter
  596. Directory: /u2/etter                    Shell: /bin/tcsh
  597. Never logged in.
  598. No Plan.
  599.  
  600. 4.4.  Example of query type {Q2} ({U}{H}{H}{C})
  601.  
  602. Site: dimacs.rutgers.edu
  603. Command line: hedrick@math.rutgers.edu@pilot.njin.net<CRLF>
  604.  
  605. [pilot.njin.net]
  606. [math.rutgers.edu]
  607. Login name: hedrick                     In real life: Charles Hedrick
  608. Office: 484 Hill, x3088
  609. Directory: /math/u2/hedrick             Shell: /bin/tcsh
  610. Last login Sun Jun 24 00:08 on ttyp1 from monster-gw.rutge
  611. No unread mail
  612. No Plan.
  613.  
  614.  
  615.  
  616.  
  617.  
  618. Zimmerman                                                      [Page 11]
  619.  
  620. RFC 1194                         Finger                    November 1990
  621.  
  622.  
  623. 5.  Acknowledgments
  624.  
  625.    Thanks to everyone in the Internet Engineering Task Force for their
  626.    comments.  Special thanks to Steve Crocker for his security
  627.    recommendations and prose.
  628.  
  629. 6.  Security Considerations
  630.  
  631.    Security issues are discussed in Section 3.
  632.  
  633. 7.  Author's Address
  634.  
  635.    David Paul Zimmerman
  636.    Center for Discrete Mathematics and
  637.    Theoretical Computer Science
  638.    Rutgers University
  639.    P.O. Box 1179
  640.    Piscataway, NJ 08855-1179
  641.  
  642.    Phone: (908)932-4592
  643.  
  644.    EMail: dpz@dimacs.rutgers.edu
  645.  
  646.  
  647.  
  648.  
  649.  
  650.  
  651.  
  652.  
  653.  
  654.  
  655.  
  656.  
  657.  
  658.  
  659.  
  660.  
  661.  
  662.  
  663.  
  664.  
  665.  
  666.  
  667.  
  668.  
  669.  
  670.  
  671.  
  672.  
  673.  
  674. Zimmerman                                                      [Page 12]
  675.