Fw: programmazione web "sicura" [One Time Pad]

uhm riguardo all'One Time Pad considero abbastanza valida la soluzione
utilizzata
da squirrelmail (http://www.squirrelmail.org/) ... come compromesso tra
semplicità e "sicurezza"...  pero' non lo considero un processo unbreakable
... Due parole su squirrelmail... squirrelmail è un progetto opensource di
un applicativo php
per la gestione della posta elettronica tramite protocollo IMAP (Webmail).
L'autenticazione ad IMAP viene implementata con il metodo onetimepad tramite
generazione di chiave random per criptare la password, quindi il crypting è
legato alla sessione  utente.
Consideriamo ad esempio il problema per architetture distribuite...
Partendo dall'idea del single sign-on per diversi servizi su server diversi,
rimane il problema di passarsi le informazioni di autenticazione tra i vari
servers. In questo caso l'implementazione della sessione utente (in php la
funzione session_register()), dei
cookies e anche del One Time Pad risulta perdere in sicurezza...
Se si devono passare le informazioni per l'autenticazione invece di far
autenticare l'utente ogni volta, le soluzioni risultano molto meno sicure...
(anche se criptate in modo randomico con chiave variabile ...) Questa è la
mia opinione...
Nel caso che tutto rimanga su un'unico server il processo risulta essere
molto sicuro... ma non è detto che sia unbreakable...
A presto

Faust




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List