sollazzo
27-01-2010, 11:26
buon giorno a tutti.
E' il mio primo messaggio, e spero comunque che mi possiate dare una mano, in quanto non ho idea di come affrontare questo problema.
Premetto che non sono un grande esperto di linux, ma lavoro su mac os e quindi un po' di "unix" lo conosco.
Vi spiego brevemente il problema:
sto sviluppando un plugin per thunderbird per effettuare una third party call. Il plugin in questione, permette di selezionare un numero da cui far partire la chiamata (per esempio il mio numero di cellulare), e un destinatario (per esempio il numero di telefono presente all'interno di una mail). Selezionati i numeri di telefono, premo un pulsante e parte la chiamata.
Per effettuare la chiamata, mi servo di un server linux con installato asterisk. In pratica quello che succede è:
- seleziono i numero di telefono e premo invio
- viene spedita una mail (in automatico) ad un indirizzo di posta (per comodità l'indirizzo da ora in avanti lo chiamerò 123@test.it), contenente i due numeri di telefono
- sul server linux, ho configurato fetchmail affinché faccia polling tramite pop3 ogni 5 secondi
- ogni 5 secondi, se ricevo una mail, viene lanciato uno script da me creato che estrae i numeri di telefono dalla mail e crea uno specifico file con estensione .call che asterisk processa per effettuare la chiamata
- viene effettuata la chiamata
Senza entrare nei dettagli del plugin e delle varie configurazioni di asterisk, il problema che devo affrontare è di "sicurezza". Per come è stato sviluppato il tutto, il punto cruciale del sistema è l'invio e la ricezione della mail.
Al momento non viene eseguito nessun controllo sulla mail: di conseguenza, basta che viene spedita una mail all'indirizzo 123@test.it contenente due numeri di telefono, e il server in automatico effettuerà tutte le operazioni descritte sopra.
Di conseguenza, un possibile "malintenzionato" che viene a conoscenza di tutto questo, può effettuare chiamate gratis, semplicemente spedendo una mail a quell'indirizzo contenente due numeri di telefono.
Domanda: com'è possibile fare in modo che il server processi solo determinate mail? Per esempio solo da utenti autorizzati a poter effettuare chiamate?
Sono in alto mare, non so come procedere. Qualsiasi suggerimento o aiuto è ben accetto.
Ho parlato col mio Prof che mi sta seguendo, e mi aveva consigliato di effettuare una qualche autorizzazione utilizzando un sistema di One Time Password, ma sinceramente non ho idea di come poter fare una cosa del genere.
Spero mi possiate dare dei suggerimenti su come ovviare a questo problema di sicurezza, che a questo punto per il lavoro che sto svolgendo diventa cruciale.
Vi auguro una buona giornata.
Alessandro
E' il mio primo messaggio, e spero comunque che mi possiate dare una mano, in quanto non ho idea di come affrontare questo problema.
Premetto che non sono un grande esperto di linux, ma lavoro su mac os e quindi un po' di "unix" lo conosco.
Vi spiego brevemente il problema:
sto sviluppando un plugin per thunderbird per effettuare una third party call. Il plugin in questione, permette di selezionare un numero da cui far partire la chiamata (per esempio il mio numero di cellulare), e un destinatario (per esempio il numero di telefono presente all'interno di una mail). Selezionati i numeri di telefono, premo un pulsante e parte la chiamata.
Per effettuare la chiamata, mi servo di un server linux con installato asterisk. In pratica quello che succede è:
- seleziono i numero di telefono e premo invio
- viene spedita una mail (in automatico) ad un indirizzo di posta (per comodità l'indirizzo da ora in avanti lo chiamerò 123@test.it), contenente i due numeri di telefono
- sul server linux, ho configurato fetchmail affinché faccia polling tramite pop3 ogni 5 secondi
- ogni 5 secondi, se ricevo una mail, viene lanciato uno script da me creato che estrae i numeri di telefono dalla mail e crea uno specifico file con estensione .call che asterisk processa per effettuare la chiamata
- viene effettuata la chiamata
Senza entrare nei dettagli del plugin e delle varie configurazioni di asterisk, il problema che devo affrontare è di "sicurezza". Per come è stato sviluppato il tutto, il punto cruciale del sistema è l'invio e la ricezione della mail.
Al momento non viene eseguito nessun controllo sulla mail: di conseguenza, basta che viene spedita una mail all'indirizzo 123@test.it contenente due numeri di telefono, e il server in automatico effettuerà tutte le operazioni descritte sopra.
Di conseguenza, un possibile "malintenzionato" che viene a conoscenza di tutto questo, può effettuare chiamate gratis, semplicemente spedendo una mail a quell'indirizzo contenente due numeri di telefono.
Domanda: com'è possibile fare in modo che il server processi solo determinate mail? Per esempio solo da utenti autorizzati a poter effettuare chiamate?
Sono in alto mare, non so come procedere. Qualsiasi suggerimento o aiuto è ben accetto.
Ho parlato col mio Prof che mi sta seguendo, e mi aveva consigliato di effettuare una qualche autorizzazione utilizzando un sistema di One Time Password, ma sinceramente non ho idea di come poter fare una cosa del genere.
Spero mi possiate dare dei suggerimenti su come ovviare a questo problema di sicurezza, che a questo punto per il lavoro che sto svolgendo diventa cruciale.
Vi auguro una buona giornata.
Alessandro