Fabio Pietrosanti (naif) wrote: > Che non esiste un meccanismo tecnologico che permetta di validare che > il codice javascript caricato sia esente da backdoor o che questa > possa essere introdotta dinamicamente su richiesta da parte di "terzi". Per quanto ho potuto notare tutto il sistema di cifratura/decifratura in javascript viene consegnato al client sotto connessione SSL. Il certificato SSL non potrebbe fungere come una specie di validazione nell'ipotesi di fidarsi del sistema (il cui codice è tra l'altro disponibile)? Mi pare di capire che ci vorrebbe una specie di firma digitale come avviene per gli applet java?
> Che le mie password non mi sognerei mai di salvarle su di un database > diverso dal file cifrato che tengo sul mio computer. Su questo concordo con te: infatti su clipperz ho salvato solo credenziali «low risk» come quelle di alcuni forum per beneficiare del direct login. Il resto lo tengo sotto chiave utilizzando keepassx (linux). A proposito conoscete alternative migliori? > Esporre *tutte* le proprie credenziali di accesso a distanza di "una > password" non lo considero un rischio accettabile, sopratutto quando > una vulnerabilità potenziale semplice come un XSS le metterebbe a > rischio di disclosure. Come sopra :-P Grazie per le risposte. Noiano
signature.asc
Description: OpenPGP digital signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
