-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Alessio Cecchi wrote: > Penso che è, quasi, la norma conservare nei propri DB le password in > chiaro specialmente per la posta elettronica, almeno nell'ambito dei > medi/grossi ISP. Non è invece la norma ne tanto meno elegante farlo > sapere in giro.
Ma figuriamoci. Uno dei casi dove di norma non lo fa nessuno è proprio quello della posta elettronica dato che è totalmente inutile. AFAIK nessuno dei grossi mail SP lo fa. > Le password i chiaro sono utili per attività di help-desk, Quali? Non mi sovviene nemmeno un singolo caso in cui sia utile la password in chiaro. > fondamentali in caso di migrazioni Ho fatto decine di migrazioni fra sistemi di posta diversi e non mi è *MAI* servito conoscere le password degli utenti. O sono io un supersistemista (dubito) o non serve a nulla conoscerle. > o altre attività straordinarie. Per esempio? > Però un conto è > mantenerle per solo questo tipo di attività ed n conto è inviarle in > chiaro, specie per la PEC. E' la stessa cosa. Solo uno sviuluppatore cane si sogna di memorizzare password di accesso a servizi in chiaro, perché non servono e perché sono pericolose. > Noi quando installiamo un mail server per questo genere di contesti > facciamo presente al cliente che è possibile mantenere in chiaro una > copia della password, se lui lo ritiene opportuno ci specifica che vuole > avere anche le password in chiaro. Male. State rendendo un sistema vulnerabile e sicuramente siete al di fuori di ogni criterio di gestione della sicurezza. C'è *SOLO* un caso in cui ciò sia utile, ed nel caso in cui si stia facendo il debugging dell'applicazione, in fase di sviluppo. Mai in produzione. > Poi a livello di sistema questa > password in chiaro non è mai utilizzati dai software che fanno sempre > riferimento ad un hash per il confronto delle password fornite > dall'utente, si tratta solo di un campo extra nel DB. Un bellissimo campo extra che in caso di bug di sicurezza, p.es. una bella sql injection, svela all'attaccante TUTTE le password in chiaro e oltre a questo probabilmente anche i criteri di scelta delle password dei vari utenti. > Ritengo opportuno che a livello di contratto ed utilizzo dei nostri dati > sarebbe opportuno che l'ISP specificasse se archivia o meno le nostre > password in chiaro. Non deve farlo e punto. - -- Flavio Visentin GPG Key: http://www.zipman.it/gpgkey.asc There are only 10 types of people in this world: those who understand binary, and those who don't. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkwU1UEACgkQusUmHkh1cno41wCfYalk8lLhaf+RCEIIWlxcrozt xVsAnigDtuUr3lwP7E02amf2JJaIuED4 =v7e1 -----END PGP SIGNATURE-----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
