Re: programmazione web "sicura"

On Fri, 3 May 2002, Piermaria Maraziti wrote:

> NOTA: il racchiudere ogni utente in una singola dir (non tanto per l'FTP
> delle sue pagine quanto per l'esecuzione degli script stessi) in un
> ambiente condiviso ha un altro problema: io ho degli include globali
> (scambio banner) che risiedono ovviamente su dir che dovrebbero essere
> visibili a tutti. Metterli in include dirs descritte da qualche altra parte
> mi piace poco, magari e' una fisima, ma mi piace di piu' vedere il path
> completo negli include... quindi chiudere l'accesso ad altre dir potrebbe
> essere un problema.

Se il PHP segue i symlinks puoi usare quelli. Tornano sempre molto utili
(insieme ai loro cugini hardlinks) quando si parla di chroot() e
compagnia.

> >Un sistema non crackabile per me non esiste per definizione
>
> Ovvio!

L'One Time Pad puo' essere considerato unbreakable per definizione. Dal
testo cifrato si puo' risalire a potenzialmente infiniti messaggi "in
chiaro" differenti. Certo e' che se vengono meno le premesse fondamentali
(ad esempio la randomicita' del pad - cosa molto difficile da realizzare
in un impiego pratico) puo' diventare vulnerabile. Inoltre e' scomodo da
usare e improponibile nella maggior parte dei casi reali, e presenta
l'incoveniente che la chiave puo' essere desunta XORando il testo in
chiaro con il cifrato.

Resta pero' concettualmente un algoritmo non crackabile per definizione
(ripeto: con le dovute premesse). Questo per dire che le verita' assolute
posso anche esistere, semplicemente sono ardue da realizzare in pratica;)

PS: per chi non sa che cos'e' un OTP: http://pubweb.nfr.net/~mjr/pubs/otpfaq/

Saluti,

:raptor
Antifork Research, Inc.				@ Mediaservice.net
http://www.0xdeadbeef.eu.org			http://www.mediaservice.net



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List