[MontelLUG] [OT] this mailing list

Daneel Olivaw daneel.olivaw.r a gmail.com
Mar 1 Lug 2014 10:47:07 CEST


Il 01 luglio 2014 10:27, Walter Barbagallo
<turbometalskater a gmail.com> ha scritto:
> giusto un dubbio, stanotte mi è arrivato il promemoria di GNU mailman
> (non l'ho mai usato).

Benvenuto nel magico mondo delle mailing list su mailman :-)

> Ho notato che mi viene inviata la pwd in chiaro. non è poco sicuro?
> di solito lato server viene memorizzato un hash della pwd in modo che
> all'autenticazione si fa un confronto tra hash;
> in caso di violazione del server un malintenzionato con solo gli hash
> non se ne fa molto.
>
> PS non che io abbia dati sensibili associati alla mailing list :P è solo
> così, per curiosità!

Alur, vediamo se riesco a non dire boiate.
Se ti sei iscritto tu stesso alla mailing list (qualunque essa sia,
parliamo in generale), sì, sarebbe corretto NON inviare nessun
promemoria, perché DEVI ricordarti le password.
Però potresti anche essere stato iscritto da qualcun altro (sto
parlando di casi autorizzati e leciti, tipo per i soci del MontelLUG
che dopo qualche giorno aver aderito al gruppo si ritrovano a far
parte di una mailing list interna) e in questo caso se vuoi gestire il
tuo account l'unico sistema veloce e a prova di utonto (forse...) è
inviare un promemoria con la password in chiaro.

Per quanto riguarda la gestione delle password, ho dato un'occhiata
veloce e da me NON usa mysql o altro, probabilmente ha un suo database
in file dentro le sue configurazioni, ora però non ho tempo di cercare
dov'è e guardare come sono le password.

Tornando all'invio del promemoria, si tratta di un comportamento di
default di Mailman che è possibile disattivare e che spesso comunque
ho visto tenuto attivo: evidentemente considerando l'enorme diffusione
del sistema (e quindi la sua esposizione) finora non ci sono stati
grossi problemi di sicurezza che consiglino un cambio di politica a
riguardo.
In ogni caso se ne può sempre parlare :-)

A presto.

Daneel Olivaw

-- 
"Chi è pronto a rinunciare alle proprie libertà fondamentali per
comprarsi briciole di temporanea sicurezza non merita né la libertà né
la sicurezza" - Benjamin Franklin


More information about the montellug mailing list