[e-privacy] CS: Server sicuri
Emanuele Olivetti
olivetti at itc.it
Sat Jul 9 22:12:43 CEST 2005
On Sat, Jul 09, 2005 at 12:00:37PM +0200, Gianni Bianchini wrote:
> Secondo me il problema di realizzare praticamente questo approccio e'
> secondario (un hash di variabili per cosi' dire "non tempo varianti"
> puoi pure provare a farlo).
Questa e' una buona notizia :)
> Il punto e', e credo lo si possa dimostrare
> con tutto rigore, che non puoi assumere a priori che qualcuno, con
> accesso fisico al server, non possa ricreare in A1 esattamente le stesse
> condizioni che B si aspetta, se questo prescinde dal fornire credenziali
> crittografiche da parte di un utente legittimo.
Su questo punto non sono d'accordo, o almeno non vedo l'evidente motivo
per sostenere la tua tesi. Dammi qualche dettaglio in piu'.
> E' fondamentalmente un
> approccio "security through obscurity". Puo' essere efficace contro un
> modello di minaccia di basso livello ma non in assoluto.
E dov'e' esattamente l'obscurity? Nel fatto che non riesci (o non
riesci facilmente) a monitorare cosa passa per la ram di un sistema
in esecuzione senza alterarlo?
Dimmi di piu', ci terrei. Non ti chiedo comunque la dimostrazione
rigorosa ;)
Pensi quindi che il problema sia insolubile?
Emanuele
More information about the E-privacy
mailing list