On 12 aprile 2014 14:30:05 CEST, Guido Brugnara <gdo@xxxxxxxxx> wrote: >Il 12/04/2014 13:10, Roberto Resoli ha scritto: >> Il 12/04/2014 12:32, Roberto Resoli ha scritto: >>> Il 12/04/2014 12:23, Maurizio Napolitano ha scritto: >>>> http://www.keinpfusch.net/2014/04/il-cuore-che-sanguina.html?m=1 >>> >>> Spiacente Napo, ma le stronzate mi sa tanto che le scriva il signore >in >>> questione: la prima >>> >>> "La ragione e' semplice: le password non sono quasi mai salvate in >>> chiaro, e anche se venissero copiate in memoria non lo sarebbero in >>> maniera decrittata". >>> >>> Che cretinata, le password hanno già attraversato il layer ssl, e >>> appaiono in bella mostra sulla memoria sul server. >> >> E ovviamente (si spera) non sono salvate in chiaro (su filesystem, db > >> o altro), ma in memoria, devono per forza essere presenti in chiaro. >> Come si controllano altrimenti? > >La password se inviata in chiaro attraverso SSL andrebbe almeno >convertita prima possibile nella hash che va confrontata con la hash >conservata nel DB per poi essere sovrascritta. A che pro conservarla in > >memoria un solo istante in più e tanto meno in chiaro? Certo, ma qui si parla molto in generale, e le richieste http non mi risulta vengano sempre sovrascritte, semplicemente si libera la memoria e amen. Ma il dato è ancora lì, anche se non è referenziato. rob -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx