On Tue, 24 Sep 2013 14:43:42 +0200, leonardo <m...@leonardo.ma> wrote:
On 09/20/2013 07:13 PM, Nemesis wrote:
Mi sembra alquanto limitante per un software che mira ad essere
flessibilee configurabile ed utilizzato da molte realtà. Io ad
esempio
lo sto già utilizzando a lavoro per alcune coseche non c'entrano
nulla
con ninux e questo mi da la possibilità di lavorarci di più.
Se sviluppi cercando di mantere un occhio di riguardo per la
sicurezza,
ti devi sempre immaginare gli scenari problematici. Ad esempio, se te
salvi le credenziali in chiaro e qualcuno entra nel tuo server (o
trova
una vulnerabilità nella tua applicazione) ha in mano tutte le
password
di tutti gli utenti che l'hanno salvata. Considerando che spesso la
gente ri-usa le password, rischi di essere un single point of failure
che può portare molti danni e molti utenti incazzati.
* poter disabilitare lo storage delle credenziali da
configurazione
* cifrare le pwd con un algoritmo asimmetrico e rendere
impossibile la
decrittazione via interfaccia web
Se chi ti attacca ha accesso al server non serve, la chiave privata
deve
stare sul server, altrimenti non la puoi utilizzare. L'attaccante si
prende la chiave e decifra le password. Se salvi le password altrove
devi comunque avere un modo per richiederle quando servono, e lo può
fare anche l'attaccante.
Quindi, qualsiasi cosa tu voglia fare, è insicuro salvare le password
in chiaro, o cifrate. Al limite hashate (con salt), ma cosi' non le
puoi
utilizzare come vuoi te.
* inseriresolo credenziali readonly
* usare SNMP, MUNIN, oppure un API HTTP readonly
* far salvare la chiave SSH del server dentro al device, così come
fa
AirControl ad esempio
Io non vedo una soluzione pulita che non coinvolga un po' di
configurazione sui nodi. Se puoi fare qualche assunzione su cosa è
installato sui nodi, è tutto più facile (a partire da quelle
soluzioni
che hai citato).
C'è una lista di classi "puller" disponibili che si possono scegliere,
bisogna scrivere delle classi AdHoc per ogni metodo/firmware che si
vuole adottare es: (SNMP per AirOS, SSH per OpenWRT, Munin per OpenWRT
ecc).
Soluzioni facili non ce ne sono, però con un pò di iterazioni e lavoro
si può arrivare a qualcosa di usabile e soddisfacente. Sicuramente
meglio che inserire tutto a mano, che comunque sarà possibile per chi lo
vorrà!
Ti vengono in mente altre idee?
Federico
_______________________________________________
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless
