On 06/11/2010 06:09 PM, Manfredi wrote: > On 11/06/2010 14:29, Marco Ermini wrote: >> Anche se non è conservata "in chiaro" vuol dire che è stata "criptata" >> con un algoritmo reversibile, e quindi è un bug grave in ogni caso. >> Forse un pochino meno grave, ma poco :-) > > Se viene cifrata volutamente con un algoritmo reversibile, magari per motivi > di > supporto, non vedo dove sia il bug, sempre che per bug si intenda un > comportamento non voluto/pensato del sistema.
Non e` un bug, e` una mancanza. NON deve essere possibile risalire in alcun modo alle password memorizzate nel DB. Proprio perche` la PEC ha valore legale nessun altro se non il legittimo proprietario deve essere in grado di usare/ottenere quella password. In questo caso invece ci sarebbero almeno DUE persone in grado di accedere a quelle password: 1) l'utente 2) il programmatore/sistemista che avesse accesso all'algoritmo di cifra delle password. > >> Peccato che debba passare da per lo meno un paio di mailserver e una >> certa rete chiamata "Internet" che tanto "trusted" non mi pare... non >> so se tui hai la stessa opinione... > > Certo che non è trusted la rete. Sarebbe stato più opportuno che venisse > inviata > una qualche procedura per il reset o il recupero della pwd, magari tramite web > in HTTPS. > Al solito, e mi dispiace doverlo constatare ancora, si deve mediare tra > sicurezza e usabilità/semplicità del sistema, soprattutto quando si deve > lavorare con i "final users". Ribadisco, la PEC ha valore LEGALE. Non e` assolutamente accettabile abbassare a queto livello la sicurezza dell'intero sistema, che gia` di per se e` una patacca. > > Ciao, > Manfredi > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
