Il 13/06/2010 14:55, Flavio Visentin ha scritto:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Alessio Cecchi wrote:
Penso che è, quasi, la norma conservare nei propri DB le password in
chiaro specialmente per la posta elettronica, almeno nell'ambito dei
medi/grossi ISP. Non è invece la norma ne tanto meno elegante farlo
sapere in giro.
Ma figuriamoci. Uno dei casi dove di norma non lo fa nessuno è proprio
quello della posta elettronica dato che è totalmente inutile. AFAIK nessuno
dei grossi mail SP lo fa.
Questa discussione dimostra che viene fatto ed anche da un grosso ISP.
Poi magari non viene fatto sapere in giro ma so per certo che è prassi
comune. Poi quanto sia diffuso non saprai ma viene fatto.
Le password i chiaro sono utili per attività di help-desk,
Quali? Non mi sovviene nemmeno un singolo caso in cui sia utile la password
in chiaro.
fondamentali in caso di migrazioni
Ho fatto decine di migrazioni fra sistemi di posta diversi e non mi è *MAI*
servito conoscere le password degli utenti. O sono io un supersistemista
(dubito) o non serve a nulla conoscerle.
Ok, mi rimangio il fondamentale, diciamo che è utile, soprattutto
passando fra sistemi in cui gli hash di codifica delle password sono
diversi e non compatibili fra di loro.
o altre attività straordinarie.
Per esempio?
Però un conto è
mantenerle per solo questo tipo di attività ed n conto è inviarle in
chiaro, specie per la PEC.
E' la stessa cosa. Solo uno sviuluppatore cane si sogna di memorizzare
password di accesso a servizi in chiaro, perché non servono e perché sono
pericolose.
Come dici dopo lo sviluppatore in fase di debug può ritenere utile
questa funzione e magari, invece di metterla e muoverla ogni volta la
rende attivabile mediante un opzione.
Noi quando installiamo un mail server per questo genere di contesti
facciamo presente al cliente che è possibile mantenere in chiaro una
copia della password, se lui lo ritiene opportuno ci specifica che vuole
avere anche le password in chiaro.
Male. State rendendo un sistema vulnerabile e sicuramente siete al di fuori
di ogni criterio di gestione della sicurezza. C'è *SOLO* un caso in cui ciò
sia utile, ed nel caso in cui si stia facendo il debugging
dell'applicazione, in fase di sviluppo. Mai in produzione.
E' la stessa coda che noi diciamo al cliente per disincentivare questa
pratica. Molti chiedono questa possibilità, molto rinunciano, qualcuno
la vuole ugualmente.
Poi a livello di sistema questa
password in chiaro non è mai utilizzati dai software che fanno sempre
riferimento ad un hash per il confronto delle password fornite
dall'utente, si tratta solo di un campo extra nel DB.
Un bellissimo campo extra che in caso di bug di sicurezza, p.es. una bella
sql injection, svela all'attaccante TUTTE le password in chiaro e oltre a
questo probabilmente anche i criteri di scelta delle password dei vari utenti.
Giusto, si potrebbe mettere in un DB separato con privilegi diversi,
grazie per il suggerimento.
Ritengo opportuno che a livello di contratto ed utilizzo dei nostri dati
sarebbe opportuno che l'ISP specificasse se archivia o meno le nostre
password in chiaro.
Non deve farlo e punto.
Mi ma di fatto accade.
Ciao
--
Alessio Cecchi is:
@ ILS -> http://www.linux.it/~alessice/
on LinkedIn -> http://www.linkedin.com/in/alessice
Assistenza Sistemi GNU/Linux -> http://www.cecchi.biz/
@ PLUG -> ex-Presidente, adesso senatore a vita, http://www.prato.linux.it
@ LOLUG -> Socio http://www.lolug.net
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
