Scusa ma la tua indentazione mi fa impazzire...
> On March 15, 2016 11:26:13 AM GMT+00:00, Marco Ermini wrote: > [...] > Ci sono vari modi. Di solito un buon sistema PAM ha delle API, e può fare >> il parsing dei file INI/XML e rimpiazzare periodicamente (e.g. ogni giorno, >> ora, etc.) le password hard-coded, e fare il reload del server. Di solito >> ci sono template già pronti per e.g. WebSphere o JBoss, ma ovviamente sono >> programmabili per qualsiasi applicazione e puoi create i tuoi script >> > 2016-03-16 13:18 GMT+01:00 Federico Scrinzi: > Quello che proponi permette di cambiare la password a intervalli regolari > (senza contare che non è banalissimo fare tutto in sync in modo che non si > spacchi niente). Come aiuta a prevenire il fatto che io intercetti la > password del DB che arriva al programma? Una volta che ho quella non mi > interessa se cambia tra 2 ore, ho abbastanza tempo per fare cose che non > dovrei poter fare sul DB. La password non deve necessariamente essere cambiata ad intervalli - può essere cambiata immediatamente dopo ciascun utilizzo, così che non possa essere riusata. Inoltre si possono impostare limitazioni, per esempio che venga utilizzata per forza da un certo JDBC driver, proveniente da un certo indirizzo IP... e di solito questi software sanno già come interfacciarsi con i software più comuni e prevedono i possibili problemi di caching, load balancing, sync, eccetera. Io faccio solo il security manager: per capire nei dettagli come funziona un PIAM/PAM, si prega contattare l'account manager del territorio di competenza per il prodotto di interesse ;-) Cordiali saluti -- Marco Ermini CISSP, CISA, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini
