Re: [ml] Clipperz, che ne pensate

Fabio Pietrosanti (naif) wrote:
> Che non esiste un meccanismo tecnologico che permetta di validare che
> il codice javascript caricato sia esente da backdoor o che questa
> possa essere introdotta dinamicamente su richiesta da parte di "terzi".
Per quanto ho potuto notare tutto il sistema di cifratura/decifratura in
javascript viene consegnato al client sotto connessione SSL. Il
certificato SSL non potrebbe fungere come una specie di validazione
nell'ipotesi di fidarsi del sistema (il cui codice è tra l'altro
disponibile)? Mi pare di capire che ci vorrebbe una specie di firma
digitale come avviene per gli applet java?

> Che le mie password non mi sognerei mai di salvarle su di un database
> diverso dal file cifrato che tengo sul mio computer.

Su questo concordo con te: infatti su clipperz ho salvato solo
credenziali «low risk» come quelle di alcuni forum per beneficiare del
direct login. Il resto lo tengo sotto chiave utilizzando keepassx
(linux). A proposito conoscete alternative migliori?

> Esporre *tutte* le proprie credenziali di accesso a distanza di "una
> password" non lo considero un rischio accettabile, sopratutto quando
> una vulnerabilità potenziale semplice come un XSS le metterebbe a
> rischio di disclosure.

Come sopra :-P

Grazie per le risposte.

Noiano

Attachment: signature.asc
Description: OpenPGP digital signature