On Fri, Apr 11, 2014 at 09:28:25PM +0200, Niko Usai wrote: > Forse un po off-topic, ma una riflessione del genere va condivisa... > > http://www.keinpfusch.net/2014/04/il-cuore-che-sanguina.html
<moderatore + administrivia> Ero seriamente tentato di cassare questo messaggio, per evitare di introdurre ulteriore confusione in questo thread, vista l'affermazione palesemente sbagliata proprio in cima al ragionamento[1], senza contare che il resto del post - condiviso o meno - sia piu' da bar sport (o da bar open source) che da bar security.. e gia' la seconda cosa e' poco tollerata in lista.. figuriamoci la prima. Chi segue la lista da anni probabilmente se lo ricorda; una volta le politiche di moderazione erano piu' stringenti, poi per questioni di tempo, voglia e altro forse ci siamo un po' rammolliti <g> ma vi pregherei di ricordare che questa e' una lista tecnica e non un social network o un bar security. Per favore: fatti (sost. pl.), non pugnette </moderatore + administrivia> [1]: "La ragione e' semplice: le password non sono quasi mai salvate in chiaro, e anche se venissero copiate in memoria non lo sarebbero in maniera decrittata. I siti di cui parlate eseguono una antenticazione usando digest e hash delle chiavi, hash che sono generati al momento , per sessione." Il buon kein pfush sto giro ha preso una cantonata, qui non si parla di come vengono salvate le password sul db del back-end, ma delle password (in chiaro) nei campi dei POST di altri utenti disclosurati dalla memoria del webserver, come gia' dimostrato su yahoo. Gia' che ci sono, oltre all'ottimo link di cloudflare postato prima da skull, aggiungerei anche: https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013 http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ Dopodiche', "bona le'", ulteriori messaggi in questo thread, come gia' preannunciato, verranno fatti passare solo se particolarmente rilevanti/interessanti. bye K.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
