Variazioni a piacere sul tema: il server non conosce la password ma vuole verificarla. Server: non ha password ma x Server: dove x=hash(password) Server: invia challenge z Client: y=hash(z,hash(password)) Client: invia y Server: y ?= hash(z, x) Obiezione: se rubo x dal server é lo stesso. Si, per quanto riguarda l'autenticazione su quel server. Ma non conosci la vera password e se la stessa password é usata altrove probabilmente non funziona perché la coppia di funzioni hash é qualcosa tipo hash1, hash2 e al loro volta hash1, 2 sono hash che differiscono per algoritmo e seme iniziale. Quindi la password in chiaro potrebbe non essere mai stata presente sul server ma l'accesso possibile in caso x sia violato. Il 12/apr/2014 13:11 "Roberto Resoli" <roberto@xxxxxxxxxxxxxx> ha scritto: > Il 12/04/2014 12:32, Roberto Resoli ha scritto: > >> Il 12/04/2014 12:23, Maurizio Napolitano ha scritto: >> >>> http://www.keinpfusch.net/2014/04/il-cuore-che-sanguina.html?m=1 >>> >> >> Spiacente Napo, ma le stronzate mi sa tanto che le scriva il signore in >> questione: la prima >> >> "La ragione e' semplice: le password non sono quasi mai salvate in >> chiaro, e anche se venissero copiate in memoria non lo sarebbero in >> maniera decrittata". >> >> Che cretinata, le password hanno già attraversato il layer ssl, e >> appaiono in bella mostra sulla memoria sul server. >> > > E ovviamente (si spera) non sono salvate in chiaro (su filesystem, db o > altro), ma in memoria, devono per forza essere presenti in chiaro. Come si > controllano altrimenti? > > Il resto non l'ho letto perchè non mi sembra ne valga la pena. >> >> rob >> > > -- > Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO > "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx > > >