c.m.g
29-09-2008, 11:40
lunedė 29 settembre 2008
Roma - Con il sempre maggiore impiego di connessioni wireless, si fa ancora pių pressante l'esigenza di tutelare alcuni dati personali, tra i quali anche quelli di accesso ai propri account di posta. Cosa che parrebbe essere sfuggita ai progettisti di Zimbra (http://www.zimbra.com/) - l'applicazione che svolge per Yahoo! anche il servizio di posta elettronica - che, a quanto sembra (http://www.zimbra.com/forums/general-questions/22736-zimbra-desktop-sends-yahoo-password-clear-not-secure-2.html), invia la password al server in chiaro.
Pur trattandosi di un'applicazione i cui scopi vanno ben oltre (http://www.zimbra.com/products/desktop.html) quello di semplice client di posta, Zimbra ha esibito questa "debolezza" praticamente per caso: nel corso del Hacku Day (http://developer.yahoo.com/hacku/), alcuni hacker hanno analizzato il flusso di dati scambiati tra la workstation e il server IMAP di Yahoo!, utilizzando lo sniffer Wireshark (http://it.wikipedia.org/wiki/Wireshark).
Dall'analisi del log sono emerse utili indicazioni, prima tra tutte il metodo per far sė che il server IMAP di Yahoo! rispondesse alle richieste anche se l'applicativo impiegato fosse diverso da Zimbra (http://www.readwriteweb.com/archives/yahoo_imap_zimbra_desktop.php). Ma nella circostanza č anche emerso (http://blog.holdenkarau.com/2008/09/another-security-devirsion-yahoo-zimbra.html) che la password di connessione veniva inviata senza alcuna codifica.
Immediato il richiamo (http://tech.slashdot.org/article.pl?sid=08/09/27/1425244&from=rss) di alcuni osservatori su circostanze simili, quando la privacy dei nomi degli utenti di Google sembrava (http://punto-informatico.it/2360407/PI/News/google-dirama-invito-nomi-dei-suoi-utenti.aspx) compromessa: nel caso della posta di Yahoo!, quindi, meglio cambiare immediatamente la password e, nell'attesa di chiarimenti ufficiali sulla vicenda, tornare alla pių classica - e sicura - interfaccia Web.
Marco Valerio Principato
Fonte: Punto Informatico (http://punto-informatico.it/2419541/PI/News/zimbra-fa-pasticci-password.aspx)
Roma - Con il sempre maggiore impiego di connessioni wireless, si fa ancora pių pressante l'esigenza di tutelare alcuni dati personali, tra i quali anche quelli di accesso ai propri account di posta. Cosa che parrebbe essere sfuggita ai progettisti di Zimbra (http://www.zimbra.com/) - l'applicazione che svolge per Yahoo! anche il servizio di posta elettronica - che, a quanto sembra (http://www.zimbra.com/forums/general-questions/22736-zimbra-desktop-sends-yahoo-password-clear-not-secure-2.html), invia la password al server in chiaro.
Pur trattandosi di un'applicazione i cui scopi vanno ben oltre (http://www.zimbra.com/products/desktop.html) quello di semplice client di posta, Zimbra ha esibito questa "debolezza" praticamente per caso: nel corso del Hacku Day (http://developer.yahoo.com/hacku/), alcuni hacker hanno analizzato il flusso di dati scambiati tra la workstation e il server IMAP di Yahoo!, utilizzando lo sniffer Wireshark (http://it.wikipedia.org/wiki/Wireshark).
Dall'analisi del log sono emerse utili indicazioni, prima tra tutte il metodo per far sė che il server IMAP di Yahoo! rispondesse alle richieste anche se l'applicativo impiegato fosse diverso da Zimbra (http://www.readwriteweb.com/archives/yahoo_imap_zimbra_desktop.php). Ma nella circostanza č anche emerso (http://blog.holdenkarau.com/2008/09/another-security-devirsion-yahoo-zimbra.html) che la password di connessione veniva inviata senza alcuna codifica.
Immediato il richiamo (http://tech.slashdot.org/article.pl?sid=08/09/27/1425244&from=rss) di alcuni osservatori su circostanze simili, quando la privacy dei nomi degli utenti di Google sembrava (http://punto-informatico.it/2360407/PI/News/google-dirama-invito-nomi-dei-suoi-utenti.aspx) compromessa: nel caso della posta di Yahoo!, quindi, meglio cambiare immediatamente la password e, nell'attesa di chiarimenti ufficiali sulla vicenda, tornare alla pių classica - e sicura - interfaccia Web.
Marco Valerio Principato
Fonte: Punto Informatico (http://punto-informatico.it/2419541/PI/News/zimbra-fa-pasticci-password.aspx)