On 11/06/2010 15:49, Dario Fiumicello wrote: > Trusted??? E dove sta scritto? Implicitamente???
Ciao, se ti viene chiesto di inserire un mail address per il recovery della password, presumo che l'indirizzo mail che si inserisca sia considerato "buono" dall'utente. Che poi non sia sicuro o che non sia la soluzione ottimale posso essere concorde, ma sicuramente risolve i problemi ed abbassa i costi di gestione del servizio. > Comunque anche se fosse dichiarato non mi sembra affatto una procedura > corretta, secondo me andrebbe fatto solo il reset della password, mai > fatta viaggiare la password attuale in chiaro su una casella non PEC. > Questo a mio parere invalida tutta la sicurezza della PEC. Concordo con te sulla sicurezza. Non pensavo di scatenare questo thread... Non ho mai scritto che fosse giusto come comportamento, ma che nella visione del gestore questo non รจ un bug (almeno spero che sia una cosa voluta per abbassare i costi). Come ha scritto bene Maddler, questo tipo di comportamento/compromesso, se mi passate il termine, permette, infatti, al gestore, in questo caso Aruba, di abbassare i costi di gestione a scapito della sicurezza. Buona serata, Manfredi ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
