- presentazione del sito
- Registrazione
- Eventi, mostre, convegni ed iniziative segnalate dalle aziende
- Recensioni ed articoli
- Le Mailing Lists
- La rivista Pc Ciechi
- Wiki
- Chi siamo
- Donazioni
- Software Autoprodotto: Wintalbra
- Come navigare in questo sito
- rss
- Bancomat Accessibili sul territorio nazionale
- Contattaci
- I sostenitori di SpazioAusili
E' diatriba tra redmond e Sentrigo sui bags di sqlserver....
art. postato da W. Broccoli su smanettando, 09\09\2009, h. 07.44.
Se in Microsoft Sql Server (versioni 2000, 2005 e 2008) è abilitato il
metodo di autenticazione chiamato mixed mode - il server accetta sia
l'autenticazione
integrata con il sistema che quella gestita da Sql Server - gli
amministratori possono vedere in chiaro le password degli utenti.
È normale che un amministratore possa cambiare le password degli utenti, ma
non che possa vederle: normalmente sono offuscate e non conservate in
chiaro,
in memoria o sul disco, nemmeno temporaneamente.
Sentrigo, una società californiana che si occupa di sicurezza dei database,
ha etichettato questa situazione come vulnerabilità significativa" di Sql
Server. Microsoft ha risposto che non c'è niente di cui preoccuparsi.
"Microsoft ha studiato a fondo le pretese vulnerabilità in Sql Server e ha
stabilito che non si tratta di vulnerabilità del prodotto che richiedano il
rilascio
di un aggiornamento di sicurezza" ha scritto una portavoce in risposta alle
preoccupazioni di Sentrigo, spiegando anche il motivo.
"Un attaccante con diritti amministrativi ha già il controllo completo del
sistema e può installare programmi; vedere, cambiare o cancellare dati;
creare
nuovi account con pieni diritti di utente": per questo è inutile che
Microsoft si metta a tappare una falla che non c'è.
Se da un lato è vero che un amministratore ha già abbastanza poteri per
fare quello che vuole - e che vedere le password degli utenti non aggiunge
nulla
di significativo ai danni che può fare - resta il fatto che conservare da
qualche parte le password in chiaro le espone al rischio di essere sniffate,
cosa che aiuterebbe un eventuale intruso che ancora non sia riuscito a
ottenere l'accesso.
Inoltre, le cattive abitudini degli utenti allargano il campo delle
conseguenze che il comportamento di Sql Server può avere sulla sicurezza in
generale:
dato che molti usano la stessa password un po' per tutto, conoscerla
potrebbe garantire l'accesso anche ad altri sistemi, dalle caselle di posta
al conto online.
Visto che a Redmond sembrano non sentire da quest'orecchio, Sentrigo ha
preferito agire in proprio e ha rilasciato gratuitamente Passwordizer,
un'utilità cancella le password dalla memoria, così che nessuno possa
vederle.
Ed ora, un po' di pubblicità
: