Re: accesso ftp degli utenti, soluzione sicura

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2003 ml@sikurezza.org
Soggetto: Re: accesso ftp degli utenti, soluzione sicura
Mittente: Igor Falcomata'
Data: 4 Jun 2003 18:31:33 -0000

All'inizio voleva essere un reject, poi ho deciso di inviarlo come commento
"pubblico". [btw, mi scuso per il delay nella moderazione della lista..]

%%% Start comment                                    
mi permetto di risponderti direttamente:             
                                                     
- e' insicuro perche' le credenziali sono in chiaro (anche sistemi di otp   
  sarebbero inutili contro attacchi di hijacking & co)

- e' insicuro perche' i dati sono in chiaro (i tuoi dati potrebbero anche
  essere piu' importanti delle credenziali stesse.. nonche' valuta tutte le 
  problematiche legate alla compromissione di eseguibili e quant'altro).

- e' una rogna perche' con il discorso del doppio canale e' un po' un panico
  sui firewall e quant'altro (vedi anche vulnerabilita' storiche legate
  all'interpretazione dell'ftp attivo)

- numerosi server ftp hanno sofferto 'storicamente' di vulnerabilita' (come 
  per altro numerosi altri software/protocolli citati nel thread)

thnx,
Koba (moderatore)

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense  
 --
free advertising: www.openbsd.org - Multiplatform Ultra-secure OS
%%% End comment

--- Enclosed, please find the posted message.
Date: Thu, 29 May 2003 03:38:20 +0200
From: Guido Serra <zeph<at>mauin.com>

Fallucchi Antonio Giuseppe wrote:
>Ciao, 
>
>io mi sento di consigliarti l'utilizzo di proftpd con supporto "tls", 
>http://www.proftpd.org/
>E' un server con moltissile potenzialità e il modulo tsl supporta sia ssl 
>che
>tsl in base alla configurazione e alla disponibilità del client.. 
>
>Per aumentare la sicurezza utilizzo degli utenti virtuali su mysql con il 
>modulo
> mod_sql..

...io ho realizzato una soluzione simile, avevo in mente di metterla in 
produzione, ma le continue voci/scambi di opinioni mi hanno fatto 
desistere dal farlo.

il protocollo ftp e' insicuro solo per il fatto che fa passare delle 
password in chiaro o ci sono altri motivi... server facilmente 
explitabili e viadicendo?

bye
Zeph

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: seminari a Genova, harlock
- successivo: Re: R: Aspetti TECNICI e legali nella conservazione di dati sensibili, Valerio Bellizzomi
- indice

Argomento:
- precedente: seminari a Genova, harlock
- successivo: Nome utente sconosciuto o password non valida, Cappelletto Gabriele
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005