<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-7" http-equiv="Content-Type">

  <title></title>

</head>

<body bgcolor="#ffffff" text="#000000">

Pavlos Parissis wrote:

<blockquote cite="mid20051223201256.2f66aa12.p_pavlos@freemail.gr"

 type="cite">

  <pre wrap="">On Fri, 23 Dec 2005 17:36:29 +0200

"Nick Demou (enLogic)" <a class="moz-txt-link-rfc2396E" href="mailto:ndemou@enlogic.gr">&lt;ndemou@enlogic.gr&gt;</a> wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap="">Giannis Papaioannou wrote:

    </pre>

  </blockquote>

  <pre wrap=""><!---->...snip...

  </pre>

  <blockquote type="cite">

    <blockquote type="cite">

      <pre wrap="">den einai akribws 8ema security, alla den 8a htan kalyterh praktikh

anti na termatizei na emfanizei ena sxetiko mhnyma la8ous?

      </pre>

    </blockquote>

    <pre wrap=""> &gt;

όχι αλίμονο, φυσικά και δεν βλάπτει σε τίποτα - όταν κάνω ένα γενικό 

συγύρισμα του κώδικα πιθανότατα θα το θυμηθώ και θα το κάνω έτσι

ακριβώς αλλά περισσότερο για να κρατήσω ένα καλό στυλ προγραμματισμού

παρά για να προστατευτώ από κάποια πιθανό security weakness.

    </pre>

  </blockquote>

  <pre wrap=""><!---->

Με συγχωρείς αλλά ποίος σου είπε ότι δεν είναι security weakness να δίνεις πληροφορίες που δεν θα έπρεπε να δίνεις?

Για έναν που ξέρει, μόνο και μόνο [το] ότι έμαθε [πως:]

α) το κέλυφος του χρήστη δεν είναι ένα τυπικό κέλυφος

β) είναι ένα python script

μπορεί να είναι αρκετά.

  </pre>

</blockquote>

χμμ... δεν έχεις άδικο (ειδικά για το β): Δεδομένου ότι είναι πολύ απλό

να περιβάλω όλο τον κώδικα σε έναν error handler είναι χαζομάρα να μη

το κάνω.<br>

<blockquote cite="mid20051223201256.2f66aa12.p_pavlos@freemail.gr"

 type="cite">

  <pre wrap="">

Αλλά Νίκο πιστεύω ότι, το πιο βασικό security weakness της υπόθεσης είναι ότι τα password είναι μέσα

σε ένα clear text file.

  </pre>

</blockquote>

Όντως αλλά  για την ώρα δεν έχω βρει κάποια λύση η οποία να μην ζητάει

δυο φορές δύο διαφορετικά passwords από τον χρήστη (ένα για login και

ένα για decryption των passwords). Κάτι τέτοιο θα ήταν καταστροφικό

γιατί έτσι θα αρχίσουν οι τεχνικοί να γκρινιάζουν και αν αρχίσουν να

γκρινιάζουν έχω αποτύχει (βλέπε αυτές τις κλασικές περιπτώσεις που

αναγκάζεις τους χρήστες να έχουν strong, frequently changing passwords

και αυτοί τα γράφουν σε Post-it στην οθόνη τους). <br>

<br>

ουπς! ουρανοκατέβατη ιδέα: θα μπορούσα να κάνω encrypt/decrypt το

*κλειδί* για το decryption του password text-file με το *hash* του

password του χρήστη. Όταν ο χρήστης αλλάζει password θα κάνω decrypt -

change password - encrypt with the new one... μοιάζει εφικτό!<br>

<br>

</body>

</html>