Carissimo
Ho una casella PEC fornita dall'ordine degli ingegneri della mia città
e gestita da aruba. L'altro giorno volevo entrare ma non ricordavo la
password.
E non sei il primo e solo :-)
Clicco sul link del remainder e mi viene spedita nella mia casella di
posta elettronica NON CERTIFICATA la password per accedere alla PEC IN
CHIARO!
ed è normale.... nella stragrande maggiornaza dei casi.
un poco meno per un sistema "certificato"..
Personalmente mi sembra una grossa falla di sicurezza considerando che
la PEC ha valore legale e che:
- Se la password mi arriva in chiaro significa che sui loro DB è in
chiaro, e questo già non è bene
- La password arriva su una casella di posta classica, senza nessuna
cifratura!
.. il fatto che sia in chiaro sui "db" implica un'eventuale falla sui
sistemi del provider certificato. Ma del resto quanti sistemi di posta
in uso hanno le passwd cifrate ?
Che ne pensate?
C'è stato da poco un lungo thread in lista in merito alla protezione
dei dati e certezza della ricezione.
Ad oggi quanto dici aggiunge vulnerabilità (sempre che la pwd sia
settata con "criterio") ma da quanto già risposto da altri il criterio
di "auto reset" presente in migliaia di altri esempi di web mailer,
evidentemente, è stato considerato troppo oneroso.
PS: se la casella "trusted" di recovery è in possesso ad un probabile
attaccante anche questo ultimo sistema... fa acqua in quanto a
sicurezza
a voi le ulteriori considerazioni.
Stefano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
