[LACNIC/Seguridad] SquirrelMail

Guillermo Pereyra Irujo gpirujo en comtron.com.ar
Lun Mayo 15 18:13:21 BRT 2006 

Anatoly Alexei Pedemonte Ku escribió:
> ... para tu caso es mejor encriptar la información en el 
> protocolo http y luego el imap4 o pop3, ahora  estos 2 ultimos 
> protocolos corren localmente en el servidor de correo, no significa que 
> asi tal como son, debieran estar seguros por que corren localmente, pero 
> sinceramente, la verdad es que estan totalmente abiertos al husmeo por 
> que la informacion es clear text, creo que al menos en la informatica no 
> se puede subestimar los escenarios.

Estoy de acuerdo en que no hay que subestimar los escenarios, pero creo 
que tampoco hay que hacer esfuerzos innecesarios. Lo del HTTPS es 
correcto y necesario. Lo del IMAPS, creo que no es un beneficio.

Si no me equivoco, para observar el tráfico de la interfaz loopback, hay 
que estar dentro del host y ser el superusuario. Si un intruso logra 
eso, las claves de correo son lo de menos. No sólo podría leer los 
mensajes de todas las cuentas directamente desde el filesystem sin tener 
que sacar las claves de la red; también podría borrar todo el correo, o 
interrumpir el servicio, o tomar el servidor. Considero que encriptar 
las conexiones locales sólo agregaría complejidad al trabajo del 
administrador (más cuando su experiencia en el tema no es mucha), 
incompatibilidades en algunos casos, costo computacional en todos, y una 
protección ante ningún peligro.

Está bien igual que esto es sólo un caso, y podemos seguir discutiendo 
implementaciones por mucho tiempo. Tampoco está _MAL_ encriptar todo. Lo 
que en última instancia argumento es que, puesto que a la seguridad 
absoluta no se llegará nunca, conviene concentrar el esfuerzo en los 
puntos de más peligro, en lugar de intentar abarcar absolutamente todo. 
No sólo para maximizar la eficiencia del trabajo de administración; los 
cambios también introducen nuevos riesgos (fallos del software nuevo, 
errores del administrador, incompatibilidad, falsa sensación de 
seguridad, etc) y en algún punto el riesgo que se introduce es mayor que 
el que se está evitando.

-- 
Guillermo Pereyra Irujo
Tandil, Argentina

Más información sobre la lista de distribución Seguridad