[Linuxtrent] Re: Riflessione su bug openssl e open source
- From: "Roberto A. Foglietta" <roberto.foglietta@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Sat, 12 Apr 2014 15:12:34 +0200
Variazioni a piacere sul tema: il server non conosce la password ma vuole
verificarla.
Server: non ha password ma x
Server: dove x=hash(password)
Server: invia challenge z
Client: y=hash(z,hash(password))
Client: invia y
Server: y ?= hash(z, x)
Obiezione: se rubo x dal server é lo stesso. Si, per quanto riguarda
l'autenticazione su quel server. Ma non conosci la vera password e se la
stessa password é usata altrove probabilmente non funziona perché la coppia
di funzioni hash é qualcosa tipo hash1, hash2 e al loro volta hash1, 2 sono
hash che differiscono per algoritmo e seme iniziale.
Quindi la password in chiaro potrebbe non essere mai stata presente sul
server ma l'accesso possibile in caso x sia violato.
Il 12/apr/2014 13:11 "Roberto Resoli" <roberto@xxxxxxxxxxxxxx> ha scritto:
> Il 12/04/2014 12:32, Roberto Resoli ha scritto:
>
>> Il 12/04/2014 12:23, Maurizio Napolitano ha scritto:
>>
>>> http://www.keinpfusch.net/2014/04/il-cuore-che-sanguina.html?m=1
>>>
>>
>> Spiacente Napo, ma le stronzate mi sa tanto che le scriva il signore in
>> questione: la prima
>>
>> "La ragione e' semplice: le password non sono quasi mai salvate in
>> chiaro, e anche se venissero copiate in memoria non lo sarebbero in
>> maniera decrittata".
>>
>> Che cretinata, le password hanno già attraversato il layer ssl, e
>> appaiono in bella mostra sulla memoria sul server.
>>
>
> E ovviamente (si spera) non sono salvate in chiaro (su filesystem, db o
> altro), ma in memoria, devono per forza essere presenti in chiaro. Come si
> controllano altrimenti?
>
> Il resto non l'ho letto perchè non mi sembra ne valga la pena.
>>
>> rob
>>
>
> --
> Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
> "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
>
>
>
Other related posts:
