Repository 32bit  Forum
Repository 64bit  Wiki

notificatore di mail

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

notificatore di mail

Messaggioda absinthe » mer feb 08, 2006 13:57

salve...

non sono un fanatico della sicurezza, però oggi ho scaricato il mailer delle adesklets ed ho visto che per funzionare -ovviamente- richiede di inserire la password dell'account di posta all'interno di un banalissimo file di testo... ora, non mi pare che sia proprio il top!
volevo sapere se esisteva quindi un notificatore di email un pò mano "pericoloso" o se, in qualunque caso, "mi tocca" scrivere così in bella vista la mia password salvo rinunciare al notificatore...

grazie,
M
Avatar utente
absinthe
Iper Master
Iper Master
 
Messaggi: 2354
Iscritto il: sab mag 14, 2005 23:00
Località: Prato
Nome Cognome: Matteo Nunziati
Slackware: 12.1 - defunct
Kernel: 2.6.32-5-amd64
Desktop: gnome
Distribuzione: debian squeeze

Gnubiff

Messaggioda marcello » mer feb 08, 2006 15:04

Io utilizzo Gnubiff che puoi trovare qui

E' possibile crittare la password che compare nel file di configurazione (~/.gnubiffrc) passando al ./configure l'argomento --with-password-string seguito da una qualunque stringa di testo.

Gnubiff mostra gli headers dei messaggi arrivati in una finestra popup sullo schermo, ed ha, tra l'altro, interessanti caratteristiche quali la possibilità di utilizzare mailbox multiple, supporto pop3, apop, imap4, mh, qmail e mailfile, ecc.

E' pure localizzato in italiano :D

marcello
Avatar utente
marcello
Linux 1.0
Linux 1.0
 
Messaggi: 56
Iscritto il: sab dic 04, 2004 0:00
Località: Messina

Re: Gnubiff

Messaggioda masalapianta » mer feb 08, 2006 15:21

marcello ha scritto:Io utilizzo Gnubiff che puoi trovare qui

E' possibile crittare la password che compare nel file di configurazione (~/.gnubiffrc) passando al ./configure l'argomento --with-password-string seguito da una qualunque stringa di testo.

peccato che la password usata per crittare la password dell'account di posta la devi scrivere da qualche parte in chiaro (anche hardcoded nel binario risulta facilmente recuperabile); oppure usi una password per crittare la passworc usata per crittare la password di posta? e la prima password? sempre in chiaro deve stare, e cosi' via :-D
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: notificatore di mail

Messaggioda masalapianta » mer feb 08, 2006 15:22

absinthe ha scritto:salve...

non sono un fanatico della sicurezza, però oggi ho scaricato il mailer delle adesklets ed ho visto che per funzionare -ovviamente- richiede di inserire la password dell'account di posta all'interno di un banalissimo file di testo... ora, non mi pare che sia proprio il top!
volevo sapere se esisteva quindi un notificatore di email un pò mano "pericoloso" o se, in qualunque caso, "mi tocca" scrivere così in bella vista la mia password salvo rinunciare al notificatore...

grazie,
M


rotfl! scusa ma come pretendi che un qualsivoglia software possa fare login su un server pop/imap per controllare se ci sono nuove mail, senza password?

P.S. ti stai facendo le seghe mentali sulla passowrd scritta in chiaro su una tua macchina, ma almeno ti premuri di usare pops o imaps, o almeno apop per accedere alla tua posta?
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: notificatore di mail

Messaggioda absinthe » mer feb 08, 2006 19:25

masalapianta ha scritto:rotfl! scusa ma come pretendi che un qualsivoglia software possa fare login su un server pop/imap per controllare se ci sono nuove mail, senza password?


non lo pretendo, lo so che ci vuole una password ma, essendo ignorate sull'argomento, chiedevo se magari potevano esistere sistemi che non tenessero la password così "a diritto".
non ne so un tubo di sicurezza, mi pare solo di aver capito che le password per i login in linux non sono in chiaro e volevo sapere se esisteva una roba simile per il notificatore delle mail, cosiderando che per me sta roba è una scatola nera di cui non conosco assolutamente il comportamento.

P.S. ti stai facendo le seghe mentali sulla passowrd scritta in chiaro su una tua macchina, ma almeno ti premuri di usare pops o imaps, o almeno apop per accedere alla tua posta?


no niente seghe: il notificatore è uno sfizio (e anche una comodità) non è certo un elemento fondamentale del sistema, se mi facessi le seghe lo terrei così com'è fregandomene e staccherei direttamente il cavo di rete. era una curiosità: se esisteva un'alternativa ed era banale usarla lo facevo - se non è così pace .

per la posta mi collego al server pop di tele2, usa pop3, se pops etcetc sono diversi e non sono forniti da tele2 allora mi sa che non mi premuro, se invece posso farlo perchè si tratta di sistemi supportati da un server pop3, allora scusa l'OT ma ti chiedo un link da qualche parte per leggere qualcosa e capire come fare.

grazie,
M
Avatar utente
absinthe
Iper Master
Iper Master
 
Messaggi: 2354
Iscritto il: sab mag 14, 2005 23:00
Località: Prato
Nome Cognome: Matteo Nunziati
Slackware: 12.1 - defunct
Kernel: 2.6.32-5-amd64
Desktop: gnome
Distribuzione: debian squeeze

Messaggioda alessiodf » mer feb 08, 2006 22:51

Io uso GKRellm, ma le password nel file di config sono in chiaro :? ...
Avatar utente
alessiodf
Linux 2.6
Linux 2.6
 
Messaggi: 823
Iscritto il: ven ott 14, 2005 20:04
Località: Roma
Slackware: current
Kernel: 2.6.26.4
Desktop: Kde 4.1

Re: notificatore di mail

Messaggioda masalapianta » gio feb 09, 2006 10:03

absinthe ha scritto:
masalapianta ha scritto:rotfl! scusa ma come pretendi che un qualsivoglia software possa fare login su un server pop/imap per controllare se ci sono nuove mail, senza password?


non lo pretendo, lo so che ci vuole una password ma, essendo ignorate sull'argomento, chiedevo se magari potevano esistere sistemi che non tenessero la password così "a diritto".

mha, che la password sia in chiaro in un file di testo o hardcoded nel binario o crittata con un'altra password la quale e' in chiaro da qualche parte, non cambia molto dal punto di vista della sicurezza, non trovi?
non ne so un tubo di sicurezza, mi pare solo di aver capito che le password per i login in linux non sono in chiaro e volevo sapere se esisteva una roba simile per il notificatore delle mail, cosiderando che per me sta roba è una scatola nera di cui non conosco assolutamente il comportamento.

le password usate in un sistema unix vengono scritte come degli hash (in sostanza vengono passate le password in chiaro a una funzione non invertibile, quindi e' impossibile decrittarle, infatti quando fai login il sistema si limita a crittare la password che gli fornisci e confrontarla con l'hash che ha in /etc/shadow o /etc/passwd, in quanto i suddetti hash non sono decrittabili in alcun modo.
Nel caso di un accrocco che controlli se c'e' nuova posta usando pop o imap e' ovvio che il sistema sopra descritto non puo' essere applicato (in quanto non c'e' un utente che fornisca a mano una password ogni volta e anche se ci fosse, l'accrocco userebbe direttamente quella; al limite quel che si puo' fare e' richiedere all'utente di immettere la password pop/imap quando viene lanciato l'accrocco, il quale terra' la password in ram; anche questo sistema non e' sicurissimo in quanto e' comunque possibile ricavarsi la password ma e' gia piu' difficile
P.S. ti stai facendo le seghe mentali sulla passowrd scritta in chiaro su una tua macchina, ma almeno ti premuri di usare pops o imaps, o almeno apop per accedere alla tua posta?


no niente seghe: il notificatore è uno sfizio (e anche una comodità) non è certo un elemento fondamentale del sistema, se mi facessi le seghe lo terrei così com'è fregandomene e staccherei direttamente il cavo di rete. era una curiosità: se esisteva un'alternativa ed era banale usarla lo facevo - se non è così pace .

per la posta mi collego al server pop di tele2, usa pop3, se pops etcetc sono diversi e non sono forniti da tele2 allora mi sa che non mi premuro, se invece posso farlo perchè si tratta di sistemi supportati da un server pop3, allora scusa l'OT ma ti chiedo un link da qualche parte per leggere qualcosa e capire come fare.

grazie,
M

c'e' poco da capire, pops e imaps sono pop e imap su ssl, mentre apop e' pop con un sistema di autenticazione diverso da quello usato da pop (in sostanza con apop il server manda un timestamp al client, il client appende al timestamp la password, critta la stringa ottenuta, con un algoritmo di hashing e invia l'hash al server, il server fa la medesima cosa con la password in chiaro di cui dispone e confronta l'hash ottenuto con quello che gli ha mandato il client)
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda absinthe » gio feb 09, 2006 14:05

mmm... grazie delle delucidazioni!!! mi sa allora che pop e imap vari me li sogno perchè da quel che sono riuscito a capire tele2 usa pop3 e basta... comunque mi informo meglio!

M
Avatar utente
absinthe
Iper Master
Iper Master
 
Messaggi: 2354
Iscritto il: sab mag 14, 2005 23:00
Località: Prato
Nome Cognome: Matteo Nunziati
Slackware: 12.1 - defunct
Kernel: 2.6.32-5-amd64
Desktop: gnome
Distribuzione: debian squeeze

Messaggioda masalapianta » gio feb 09, 2006 14:56

absinthe ha scritto:mmm... grazie delle delucidazioni!!! mi sa allora che pop e imap vari me li sogno perchè da quel che sono riuscito a capire tele2 usa pop3 e basta... comunque mi informo meglio!
M

eh? io parlavo di pops o imaps com servizi dove era piu' sicuro infilare una password (l limite apop) non pop e imap
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda absinthe » ven feb 10, 2006 11:59

masalapianta ha scritto:
absinthe ha scritto:mmm... grazie delle delucidazioni!!! mi sa allora che pop e imap vari me li sogno perchè da quel che sono riuscito a capire tele2 usa pop3 e basta... comunque mi informo meglio!
M

eh? io parlavo di pops o imaps com servizi dove era piu' sicuro infilare una password (l limite apop) non pop e imap


sì, scusa: intendevo pops e imaps con "pop e imap vari"... sono decisamente spreciso quando mi ci metto...

:?

M
Avatar utente
absinthe
Iper Master
Iper Master
 
Messaggi: 2354
Iscritto il: sab mag 14, 2005 23:00
Località: Prato
Nome Cognome: Matteo Nunziati
Slackware: 12.1 - defunct
Kernel: 2.6.32-5-amd64
Desktop: gnome
Distribuzione: debian squeeze


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: miklos e 1 ospite