PDA

Visualizza la versione completa : i mirabili siti governativi


hfish
25-01-2011, 21:03
ho registrato mia madre sul sito stipendipa.tesoro.it

questa la loro mail di conferma

GENTILE XXX, QUI DI SEGUITO TROVI I DATI DA TE INDICATI CHE TI PERMETTERANNO DI ACCEDERE AI SERVIZI DEL PORTALE.
TI CONSIGLIAMO DI STAMPARE QUESTA PAGINA E DI ARCHIVIARLA PER SICUREZZA.

DOMANDA PER RECUPERARE LA PASSWORD: XXX
RISPOSTA PER RECUPERARE LA PASSWORD: passwordinchiaro
PASSWORD:passwordinchiaro
INDIRIZZO E-MAIL: XXX

A PRESTO
QUESTA MAIL E' STATA GENERATA AUTOMATICAMENTE, SIETE PREGATI DI NON RISPONDERE A QUESTO INDIRIZZO.


questi mandano allegramente le password in chiaro, e a questo punto ho il terrore che le salvino allo stesso modo sul db :dottò: manco un caxxo di md5 :dottò: :dottò:

sito governativo costato come minimo Nmila milioni di euro :dottò:

Cinzia Satana
25-01-2011, 21:07
moltissimi mandano la password in chiaro, non vedo dove sta il problema.

hfish
25-01-2011, 21:08
quelli fatti male mandano le password in chiaro

le mail si intercettano con una facilità disarmante

Domenix
25-01-2011, 21:11
Conosco la società che ha fatto l'applicazione e non mi meraviglio di queste cose.
Io lavoro come consulente in un altro ministero e li le password della posta o del dominio sono tutte criptate.

marcomau
25-01-2011, 21:34
Perchè dovevano mandarti PASSWORD: ******** ? :madai!?:

hfish
25-01-2011, 22:06
no, non dovevano mandarmi la password. o al massimo darmi un token a scadenza ravvicinata con cui guardare al volo la password per conferma (cosa tra l'altro non necessaria)

Ranma2
25-01-2011, 22:14
Normale che il sito lo vedo senza css?

Edit, ora si vede.

Ranma2
25-01-2011, 22:17
Ma la "Carta Nazionale dei servizi", serve solo ad accettare il certificato SSL?

bubi1
25-01-2011, 22:44
Originariamente inviato da hfish
quelli fatti male mandano le password in chiaro

le mail si intercettano con una facilità disarmante
ma oltre ai vari tecnici (dei mailserver implicati nella consegna del messaggio, e quelli del provider) a cui non puo' fregar di meno della tua password, chi altro te la intercetta con la facilita' disarmante? Hai la wireless aperta o temi proprio l'omino cattivo che viene a sniffare gli impulsi sul doppino sotto casa tua?

hfish
25-01-2011, 22:47
la rete che utilizzano a scuola di mia madre è un autentico colabrodo fatto da scimmie urlatrici.

e cmq non è bene avere le password in chiaro nel db sia perchè un eventuale amministratore malizioso può andarsele a guardare, sia perchè in caso di furto di record (e accade molto spesso) bisogna minimizzare il danno

Loading