Re: [ml] sshd & strace [was: SSH - The unsecure shell]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Igor Falcomata' wrote:
| Non vedo  come potrebbe essere  altrimenti; strace serve a  tracciare le
| syscall quindi e' piu' che normale che la password venga esposta.

Se non fosse così non vi sarebbe alcuna utilità in strace :-)

| Se  il tuo  problema e'  non  mandare le  password, l'unica  alternativa
| possibile   e'  utilizzare   i  certificati;   c'erano  degli   articoli
| introduttivi al riguardo su securityfocus tempo fa.

Aggiungerei che in ogni caso anche la chiave privata viene mostrata da
strace, come è giusto che sia:

strace -e trace=read -s 5000 ssh user@server 2>&1| grep -E "[RD]SA"

| ----- Forwarded message from Marco Sgarbi <marcosgarbi(at)gmail.com>
- -----
| From: Marco Sgarbi <marcosgarbi(at)gmail.com>
| Subject: SSH - The unsecure shell
|
| Visto che non ci pubblicano n? su BugTraq n? su OpenSSH
| ( forse stanno dormendo )
[SNIP]

... o forse perché non è una vulnerabilità :-)


- --
Flavio Visentin

|                     \|||/
|                    @/0.0\@
|                     \ - /
+------------------oOOo---oOOo------------------

There are only 10 types of people in this world:
those who understand binary, and those who don't.

GPG Key: http://www.zipman.it/gpgkey.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFCY8SuusUmHkh1cnoRAn4GAJ9FQA7vqts2ww36RCwUTSUiwEE91QCeM9xr
LWw8BvJc+lW3c1mIOl9p5tc=
=u/IP
-----END PGP SIGNATURE-----