On 06/11/10 18:09, Manfredi wrote: > Se viene cifrata volutamente con un algoritmo reversibile, magari per motivi > di > supporto, non vedo dove sia il bug
Quali motivi di supporto possono rendere necessario conoscere la password di un utente? (hint: inizia per "n" e finisce per "essuno"). > Sarebbe stato più opportuno che venisse inviata > una qualche procedura per il reset o il recupero della pwd, magari tramite web > in HTTPS. Esattamente. > Al solito, e mi dispiace doverlo constatare ancora, si deve mediare tra > sicurezza e usabilità/semplicità del sistema, Dal momento che un reset o il "rimandare la password" richiedono sostanzialmente lo stesso numero di click, non e' una mediazione: e' uno sbaglio e basta. Ne' la procedura con un reset "costa" di piu' (pieno il mondo di codice per realizzarla). Quindi non se ne vede proprio la ragione, se non semplice pressapochismo. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
