Il giorno Fri, 11 Jun 2010 14:47:41 +0200 William Maddler <[email protected]> ha scritto:
> On 10/06/2010 11:29, Manfredi wrote: > > On 09/06/2010 16:55, Dario Fiumicello wrote: > >> - Se la password mi arriva in chiaro significa che sui loro DB Ú > >> in chiaro, e questo già non Ú bene > > > > Ciao, > > deduzione errata, non Ú detto che se ti "arriva" in chiaro la > > password, questa sia conservata "in chiaro" sul DB. > > Potra` anche essere salvata cifrata sul DB, ma per mandartela in > chiaro via mail vuol dire che la password di decodifica e` > disponibile per il programma che si occupa di inviare le mail di > recupero. Il che apre scenari catastrofici. > > > > >> - La password arriva su una casella di posta classica, senza > >> nessuna cifratura! > > > > Anche qui, la password viene inviata ad una casella di recovery, > > dichiarata al momento della registrazione, che, quindi, viene > > implicitamente dichiarata "trusted". > > Si`, ma ha la stessa sicurezza di inviare per posta ordinaria le > chiavi della porta blindata di casa tua, al tuo indirizzo di casa. > Quest'ultima sara` anche sicura, ma chiunque puo` prenderle. L'esempio calza perfettamente! > Ovviamente tutto cio` permette ad Aruba (in questo caso) di abbattere > i costi di gestione. A tutto discapito della robustezza del servizio. Ma qui mi domando e chiedo: Una casella PEC che sia "certificata come PEC" dovrà pur avere dei requisiti minimi di sicurezza che saranno scritti da qualche parte (presumo)... Se esistono e se non sono fatti a pene di segugio immagino ci sia anche qualche sezione dedicata alle modalità di storage delle credenziali di accesso alla casella... ... o forse sono troppo ingenuo a crederlo? :) -- Dario Fiumicello
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
