[Linuxtrent] Re: Riflessione su bug openssl e open source
- From: Roberto Resoli <roberto@xxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx,Guido Brugnara <gdo@xxxxxxxxx>
- Date: Sat, 12 Apr 2014 18:52:17 +0200
On 12 aprile 2014 14:30:05 CEST, Guido Brugnara <gdo@xxxxxxxxx> wrote:
>Il 12/04/2014 13:10, Roberto Resoli ha scritto:
>> Il 12/04/2014 12:32, Roberto Resoli ha scritto:
>>> Il 12/04/2014 12:23, Maurizio Napolitano ha scritto:
>>>> http://www.keinpfusch.net/2014/04/il-cuore-che-sanguina.html?m=1
>>>
>>> Spiacente Napo, ma le stronzate mi sa tanto che le scriva il signore
>in
>>> questione: la prima
>>>
>>> "La ragione e' semplice: le password non sono quasi mai salvate in
>>> chiaro, e anche se venissero copiate in memoria non lo sarebbero in
>>> maniera decrittata".
>>>
>>> Che cretinata, le password hanno già attraversato il layer ssl, e
>>> appaiono in bella mostra sulla memoria sul server.
>>
>> E ovviamente (si spera) non sono salvate in chiaro (su filesystem, db
>
>> o altro), ma in memoria, devono per forza essere presenti in chiaro.
>> Come si controllano altrimenti?
>
>La password se inviata in chiaro attraverso SSL andrebbe almeno
>convertita prima possibile nella hash che va confrontata con la hash
>conservata nel DB per poi essere sovrascritta. A che pro conservarla in
>
>memoria un solo istante in più e tanto meno in chiaro?
Certo, ma qui si parla molto in generale, e le richieste http non mi risulta
vengano sempre
sovrascritte, semplicemente si libera la memoria e amen. Ma il dato è ancora lì,
anche se non è referenziato.
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
