Re: [ml] Post Conclusivo (Xorro Chat)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2006 ml@sikurezza.org
Soggetto: Re: [ml] Post Conclusivo (Xorro Chat)
Mittente: billiejoex
Data: Wed, 25 Jan 2006 14:35:23 +0100 (CET)

E' errato dire "Xorro è una ciofeca" perchè se vai su bugtraq escono
tante di quelle vulnerabilità se scrivi "http server" .... (parimenti
uno potrebbe dire che SSL è stato patchato tante di quelle volte negli
ultimi anni...) Un client Xorro è per così dire un interprete di una
sintassi prestabilita. Il server è un qualsiasi HTTP server che può far
girare dei php.

Personalmente condivido appieno la critica sollevata da Zanero che la scelta di adottare un HTTP server come IMserver per Xorro sia già di partenza errata. Tu stesso hai detto "tutto quello che non c'è non ha BUG", ciò nonostante optate per appoggiarvi ad un qualunque applicativo già esistente e non certo "da poco" come un HTTP server appunto, usandolo semplicemente per scambiarvi una GET e qualche altra stringa col client. E di tutte le altre features che l'HTTP server vi mette a disposizione che ve ne fate? A questo punto non vi conviene scrivere un piccolo server ex novo? Se vi prefiggete di rilasciare un client IM espressamente orientato alla sicurezza è impensabile che per implementarlo vi appoggiate ad un applicativo gia esistente, scritto da altri, e sopratutto di natura estremamente complessa e soggetta a bug quale è un HTTP server, appunto.

Ogni buon protocollo dovrebbe avere una sua porta. (non a caso esiste
un ente che gestisce queste cose).

Infatti HTTP usa la porta 80 e Xorro usa HTTP.

Il problema è che Xorro per fare ciò si appoggia ad un server HTTP quando per fare le medesime cose potrebbe appoggiarsi ad un piccolo demone estremamente più snello e immensamente più facile da tenere sotto controllo a livello di codice.

3) Volevamo procedere nel modo più semplice possibile in primis perchè
parafrasando Ford... "tutto quello che non c'è non ha BUG", e inoltre
perchè siamo ben consci che INVENTARE qualcosa di nuovo è una cosa
estremamente difficile e ci avrebbe preso molto più tempo di quello che
abbiamo deciso di destinare al progetto.

IMHO, scrivere un semplice server proprio da sostituire al server HTTP non è così dispendioso in termini di tempo. Dovrete solamente rinunciare a PHP e implementare il tutto in un altro linguaggio.

in relazione all'ultima email di chi ci "accusa" amichevolemente di
difendere il nostro lavoro a spada tratta... spero che sia chiaro che
TUTTE le critiche sono state ben accette ed infatti sono servite per
farci capire come procedere. Gli "insulti" però oltre ad essere mal
sopportati, provengono spesso anche da gente che non ha il curriculum
del Ing. Zanero. ;-)

Direi che non vi sono stati insulti ne "insulti" di alcun tipo, anzi. Credo che in pochi altri posti avreste potuto ricevere una simile quantità di critiche costruttive, pacate e di alto livello tecnico.

In bocca al lupo!

In risposta a:
- [ml] Post Conclusivo (Xorro Chat), MultiTaskinG

Data:
- precedente: Re: [ml] hard-disk esterno o chiave usb sicura, Enrico Ardizzoni
- successivo: Re: [ml] Attività di scanning sospetta, Paolo Ripamonti
- indice

Argomento:
- precedente: Re: [ml] Post Conclusivo (Xorro Chat), Guido Bolognesi [Zen]
- successivo: [ml] VPN tramite Proxy e HTTP, Felice Gaiba
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005