Il 14/06/2010 12:00, Alessio Cecchi scrisse: > > Questa discussione dimostra che viene fatto ed anche da un grosso ISP. > Poi magari non viene fatto sapere in giro ma so per certo che è prassi > comune. Poi quanto sia diffuso non saprai ma viene fatto.
allora se ci dici quale isp così tutti smettiamo di usarlo ci fai un favore... cmq non sappiamo se il fatto che la password sia spedita in chiaro vuol dire che sia conservata in chiaro, sappiamo sicuramente che è possibile estrarla in qualche maniera. questo non vuol dire che vada bene, eh. > Ok, mi rimangio il fondamentale, diciamo che è utile, soprattutto > passando fra sistemi in cui gli hash di codifica delle password sono > diversi e non compatibili fra di loro. non capisco bene: ad esempio? > Come dici dopo lo sviluppatore in fase di debug può ritenere utile > questa funzione e magari, invece di metterla e muoverla ogni volta la > rende attivabile mediante un opzione. anche io quando sviluppo ho un foglio excel da qualche parte dove ci sono tre o quattro utenti con le loro password. questa però è un'altra cosa. > E' la stessa coda che noi diciamo al cliente per disincentivare questa > pratica. Molti chiedono questa possibilità, molto rinunciano, qualcuno > la vuole ugualmente. ma è molto più semplice la questione: la password in chiaro in un db non ci dovrebbe essere, al di là delle richieste del cliente. se gli piace la password in chiaro la può scrivere su un post-it e attaccarla sul monitor. > Giusto, si potrebbe mettere in un DB separato con privilegi diversi, > grazie per il suggerimento. ah, ma quindi siamo AVANTI: le password sono nello stesso db, magari sono anche nella stessa tabella?? ma a che livello siamo? > Mi ma di fatto accade. eh, complimenti :)
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
