[LACNIC/Seguridad] SquirrelMail
Guillermo Pereyra Irujo
gpirujo en comtron.com.ar
Lun Mayo 15 18:13:21 BRT 2006
Anatoly Alexei Pedemonte Ku escribió:
> ... para tu caso es mejor encriptar la información en el
> protocolo http y luego el imap4 o pop3, ahora estos 2 ultimos
> protocolos corren localmente en el servidor de correo, no significa que
> asi tal como son, debieran estar seguros por que corren localmente, pero
> sinceramente, la verdad es que estan totalmente abiertos al husmeo por
> que la informacion es clear text, creo que al menos en la informatica no
> se puede subestimar los escenarios.
Estoy de acuerdo en que no hay que subestimar los escenarios, pero creo
que tampoco hay que hacer esfuerzos innecesarios. Lo del HTTPS es
correcto y necesario. Lo del IMAPS, creo que no es un beneficio.
Si no me equivoco, para observar el tráfico de la interfaz loopback, hay
que estar dentro del host y ser el superusuario. Si un intruso logra
eso, las claves de correo son lo de menos. No sólo podría leer los
mensajes de todas las cuentas directamente desde el filesystem sin tener
que sacar las claves de la red; también podría borrar todo el correo, o
interrumpir el servicio, o tomar el servidor. Considero que encriptar
las conexiones locales sólo agregaría complejidad al trabajo del
administrador (más cuando su experiencia en el tema no es mucha),
incompatibilidades en algunos casos, costo computacional en todos, y una
protección ante ningún peligro.
Está bien igual que esto es sólo un caso, y podemos seguir discutiendo
implementaciones por mucho tiempo. Tampoco está _MAL_ encriptar todo. Lo
que en última instancia argumento es que, puesto que a la seguridad
absoluta no se llegará nunca, conviene concentrar el esfuerzo en los
puntos de más peligro, en lugar de intentar abarcar absolutamente todo.
No sólo para maximizar la eficiencia del trabajo de administración; los
cambios también introducen nuevos riesgos (fallos del software nuevo,
errores del administrador, incompatibilidad, falsa sensación de
seguridad, etc) y en algún punto el riesgo que se introduce es mayor que
el que se está evitando.
--
Guillermo Pereyra Irujo
Tandil, Argentina
Más información sobre la lista de distribución Seguridad