On March 16, 2016 1:19:44 PM GMT+00:00, Marco Ermini <[email protected]> wrote: >Scusa ma la tua indentazione mi fa impazzire...
Sorry, client mail dal telefono :( >La password non deve necessariamente essere cambiata ad intervalli - >può >essere cambiata immediatamente dopo ciascun utilizzo, così che non >possa >essere riusata. Inoltre si possono impostare limitazioni, per esempio >che >venga utilizzata per forza da un certo JDBC driver, proveniente da un >certo >indirizzo IP... e di solito questi software sanno già come >interfacciarsi >con i software più comuni e prevedono i possibili problemi di caching, >load >balancing, sync, eccetera. Non capisco come ciò possa prevenire il fatto che un utente che controlla il PC dove gira il client non possa richiedere un cambio password, avere la nuova password e connettersi al DB. Qual è il vantaggio di farla one-time se bypasso il client connettendomi direttamente al DB? Senza contare che per esempio posso far girare il client in un debugger e hookare ogni chiamata al DB cambiando la query. O patchare il binario del client, o qualsiasi altra cosa ti venga in mente. >Io faccio solo il security manager: per capire nei dettagli come >funziona >un PIAM/PAM, si prega contattare l'account manager del territorio di >competenza per il prodotto di interesse ;-) Bene. -- Sent from my Android device with K-9 Mail. Please excuse my brevity. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
