Andrea Campi wrote: > Se l'applicazione usa la password in piu' di una manciata di posti, > allora direi che l'applicazione e' un disastro in attesa di accadere. > Le best practice, nonche' la logica, suggeriscono di controllare la > password una volta, poi usare la miriade di metodi esistenti per > mantenere una sessione permanente (e verificare che sia ancora > valida), e poi *accuratamente azzerare la memoria* che conteneva la > password.
Verissimo, ma il fatto che questo dato sia utilizzato come dici tu solo in una manciata di posti non riduce il vantaggio che ottengo evitando in partenza che questo dato sia potenzialmente pericoloso. Mi spiego con un esempio: caso 1: password di almeno 8 caratteri, charset di 90 caratteri (4.3E+15 password di lunghezza minima possibili), e "una manciata di posti" in cui fare molta attenzione a come ognuno dei caratteri non alfanumerici possa essere potenzialmente dannoso caso 2: password di almeno 9 caratteri solo alfanumerici (26*2+10 = 62 caratteri possibili, per un totale di 1.35E+16 password possibili, ci guadagno pure qualcosa), e _nessun_ carattere potenzialmente pericoloso con cui fare i conti. Tu che approccio sceglieresti ? :) -- ice ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
