On 10/06/2010 11:29, Manfredi wrote: > On 09/06/2010 16:55, Dario Fiumicello wrote: >> - Se la password mi arriva in chiaro significa che sui loro DB Ú in >> chiaro, e questo già non Ú bene > > Ciao, > deduzione errata, non Ú detto che se ti "arriva" in chiaro la password, > questa > sia conservata "in chiaro" sul DB.
Potra` anche essere salvata cifrata sul DB, ma per mandartela in chiaro via mail vuol dire che la password di decodifica e` disponibile per il programma che si occupa di inviare le mail di recupero. Il che apre scenari catastrofici. > >> - La password arriva su una casella di posta classica, senza nessuna >> cifratura! > > Anche qui, la password viene inviata ad una casella di recovery, dichiarata al > momento della registrazione, che, quindi, viene implicitamente dichiarata > "trusted". Si`, ma ha la stessa sicurezza di inviare per posta ordinaria le chiavi della porta blindata di casa tua, al tuo indirizzo di casa. Quest'ultima sara` anche sicura, ma chiunque puo` prenderle. Ovviamente tutto cio` permette ad Aruba (in questo caso) di abbattere i costi di gestione. A tutto discapito della robustezza del servizio.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
