Un mondo pieno di telefoni cellulari

Il POP3...
...non prevede neanche la possibilità di cifrare la password.Eppure credo che sia il più utilizzato.Quindi??

Re: Il POP3...
Ehm... Esiste il protocollo pop3s (s = secure), e in ogni caso anche sulla 110 e' possibile far viaggiare i dati criptati in TLS.Certo, ci vuole il client email ed ovviamente il server pop3/pop3s che lo supporti.

FUD
I casi sono due.- l'articolo è scritto molto male, oppure- è un Pesce d'Aprile in settembreSignori, IMAP (RFC3501) prevede sì la possibilità di criptare la procedura di login, quindi la password, ma di default non lo fa.Perché non lo fa? Perché è preferibile criptare direttamente tutto il traffico attraverso un tunnel SSL (porta attribuita normalmente 993) oppure utilizzare un'estensione che produce più o meno lo stesso effetto (RFC2595).Nonostante queste due pratiche siano conosciute da molto tempo sono pochi i servizi pubblici che ne fanno uso, principalmente perché richiedono risorse di calcolo esponenzialmente più grandi di un semplice traffico IMAP.Ora... dicono che questo client non cripta l'handshaking. AFAIK qualsiasi client, di default, non lo fa. La notizia non esiste.Inoltre, l'autore scrive che è più sicuro utilizzare un navigatore (!!!) per accedere al servizio... quindi è più sicuro utilizzare un software che ha migliaia di funzionalità in più (e quindi migliaia di potenziali bug e configurazioni sbagliate in più) rispetto ad un software dedicato. Ma scherziamo?Mi piacerebbe sentire degli argomenti da parte della Redazione riguardo al mio commento... perché così non va, no no. La gente ha bisogno di informazione, non di disinformazione. Sarò lieto di scusarmi se mi sbaglio.

Re: FUD
ma ancora non si e' capito che PI campa sul fud e notizie date in modo distorto con sensazionalismo e catastrofismo? Basta leggere gli occhielli x farsene un'idea

Re: FUD
- Scritto da: pippopluto> ma ancora non si e' capito che PI campa sul fud e> notizie date in modo distorto con sensazionalismo> e catastrofismo? Basta leggere gli occhielli xNon era così una volta e sono sicuro che non è ciò che vuole l'amministrazione...Probabilmente i motivi sono due... ingaggiano le persone sbagliate, oppure queste persone non hanno il tempo (o non sono pagati abbastanza) per fare bene il loro lavoro. Parlo dei giornalisti, ma anche dei ricercatori e di coloro che devono trovare le fonti delle notizie.Io consiglio agli head di prendere qualche misura e osservare qual'è l'anello debole... per poi liberarsene...

Re: FUD
- Scritto da: tillo[...]> Non era così una voltaMa quando mai?> e sono sicuro che non è> ciò che vuole l'amministrazione...L'amministrazione? cosa e' un condominio? :-)Ma se e' cosi' che fanno i soldi - un sito zeppo di pubblicita' con notizie inventate o scopiazzate a giro e malamente tradotte in Italiano, per attirare gli allocchi.Ciao.

Re: FUD
- Scritto da: pippopluto> ma ancora non si e' capito che PI campa sul fud e> notizie date in modo distorto con sensazionalismo> e catastrofismo? Basta leggere gli occhielli x> farsene> un'ideala cosa pazzesca è che stiate tutti qui a leggerlo, dato che lo trovate così :)mica è il datore di lavoro che devi cuccartelo lo stesso se non ti piace.

Re: FUD
- Scritto da: tillo> Ora... dicono che questo client non cripta> l'handshaking. AFAIK qualsiasi client, di> default, non lo fa. La notizia non> esiste.Tra l'altro, anche se criptasse la password (ma senza usare SSL) un hacker può sniffare, prendere la password cifrata e usare direttamente quella, NON HA BISOGNO DI CONOSCERE LA PASSWORD ORIGINALE!

Re: FUD
> Tra l'altro, anche se criptasse la password (ma> senza usare SSL) un hacker può sniffare, prendere> la password cifrata e usare direttamente quella,> NON HA BISOGNO DI CONOSCERE LA PASSWORD> ORIGINALE!mmmm, non è vero:se il protocollo prevede un token per il login, anche sniffare il traffico è inutile (non so se è questo il caso, IMAP non lo conosco bene)

Re: FUD
- Scritto da: anonymous> > Tra l'altro, anche se criptasse la password (ma> > senza usare SSL) un hacker può sniffare,> prendere> > la password cifrata e usare direttamente quella,[...]> > mmmm, non è vero:Infatti, viene sicuramente utilizzato un sistema di chiavi pubbliche e private... probabilmente viene sfruttata la libreria SSL, ma anche se non lo fosse non ha senso criptare se è possibile emulare il traffico...È come APOP per POP3.

Re: FUD
L'uso di droghe non aumenta le tue capacita' tecniche!

Re: FUD
> Mi piacerebbe sentire degli argomenti da parte> della Redazione riguardo al mio commento...> perché così non va, no no. La gente ha bisogno di> informazione, non di disinformazione. Sarò lieto> di scusarmi se mi sbaglio.Tillo, grazie per il commento,a me piace l'impostazione del sito di PI maanche io, come te, sono sempre piu' deluso daicontenuti.Conosci mica un sito di notizie/articoli che riguardanol'informatica un po' meno fuffaware alternativo?Mi dirai..se lo conoscessi...

Re: FUD
> economici e sociali). Lo visito regolarmente> tutt'ora, è un'ottima alternativa.> http://forum.lithium.it> > Comunque non perdo la speranza, so che la> Redazione di PI è sempre disponibile ad ascoltare> critiche costruttive e le do piena fiducia per un> futuro di PI migliore :) pertanto continuo a> seguirlo.Ti ringrazio della segnalazione, peccatoci siano anche tanti troll perche' spessola notizia, anche quando l'articolo fa cagare,la fanno i commenti, quelli buoni.P.S.: Ho provato a visitare il sito ma...SQL ERROR [ mysql4 ]Table 'lithium_phpbb3.phpbb3_config' doesn't exist [1146]An sql error occurred while fetching this page. Please contact an administrator if this problem persists.:-(Dovra' migliorare PI ;)

Re: FUD
Sei arrivato nel momento sbagliato :) sta migrando da una VPS ad un dedicato proprio stasera... entro qualche ora sarà tutto in ordine ;)

Re: FUD
vedi sotto, ti ha risposto.

Doverose precisazioni
Credo che siano doverose alcune precisazioni:-il problema segnalato non è relativo a Zimbra, ma a ZimbraDesktop. Il primo è il server di email e collaboration, mentre il secondo è il client che si può connettere, fra gli altri, a Yahoo mail (oggetto del problema). Generalizzare non mi sembra corretto.-ZimbraDesktop è in beta, non che questo giustifichi simili bug, ma nemmeno un uso spensierato di software in via di sviluppo.-Visto che la stragrande maggioranza degli utenti utilizza ancora la posta mediante i protocolli pop3 o imap in modalità non sicura, andrebbero allertati immediatamente del pericolo e di cambiarsi subito le loro password :)

Re: Doverose precisazioni
- Scritto da: Stefano Pampaloni> -Visto che la stragrande maggioranza degli utenti> utilizza ancora la posta mediante i protocolli > pop3 o imap in modalità non sicura, andrebbero> allertati immediatamente del pericolo e di> cambiarsi subito le loro password> :)si ma ... in giro non è che ti offrano gran sicurezza... chi offre imap oggi con SSL ?molto pochi mi pare.

Re: Doverose precisazioni
la mia affermazione era ironica, nota lo smile.Quasi nessun provider "obbliga" all'uso di Imaps/pop3s ecc e tutti i client di posta di default si connettono in chiaro. Da quando esiste intenet il 99% delle password delle email viaggia in chiaro, fare un articolo del genere non mi sembra serio......Stefano Pampaloni-----------------------------------------------------------Modificato dall' autore il 29 settembre 2008 16.29-----------------------------------------------------------

Il massimo del peggio
IMAP passa in chiaro di default, come quasi tutti i protocolli dello stack TCP/IP del resto. Non vedo nessun bug. Per fortuna ci sono gli hacker con il "loro" sniffer...

Balle
POP3 e IMAP da sempre mandano le pass in chiaro.PI fa FUD, come al solito

Re: Balle
- Scritto da: Chiara Mente> POP3 e IMAP da sempre mandano le pass in chiaro.Siete rimasti all'età della pietra informaticamente parlando...http://www.faqs.org/rfcs/rfc1939.htmlAPOPE' da mò che viene usato. Anni ed anni...

Il protocollo IMAP è in chiaro
Anche un bambino saprebbe sniffare le password dei protocolli in chiaro. Non è quindi un problema di Zimbra ma è relativo a tutti i protocolli non SSL: pop3, imap, http, telnet, ftp ecc.

Re: Il protocollo IMAP è in chiaro
- Scritto da: marco marinuzzo> Anche un bambino saprebbe sniffare le password> dei protocolli in chiaro. Non è quindi un> problema di Zimbra ma è relativo a tutti i> protocolli non SSL: pop3, imap, http, telnet, ftp> ecc.no, se il protocollo prevede lo scambio di un token, anche se sniffi tutto il traffico della password criptata ne fai ben poco.

Re: Il protocollo IMAP è in chiaro
- Scritto da: marco marinuzzo> Anche un bambino saprebbe sniffare le password> dei protocolli in chiaro. Non è quindi un> problema di Zimbra ma è relativo a tutti i> protocolli non SSL: pop3, imap, http, telnet, ftpEsperto eh? Peccato che anche con pop3, ad esempio, si possa criptare la password per evitare di spedirla in chiaro...http://www.faqs.org/rfcs/rfc1939.htmlVedi APOP.

Re: Il protocollo IMAP è in chiaro
Peccato che l'apop lo usino in 4, così come l'imap in tls o ssl. E fino a poco tempo fa anche il login iniziale di alcune webmail era fatto in http per poi passare in ssl...

Re: Il protocollo IMAP è in chiaro
- Scritto da: nome e cognome> Peccato che l'apop lo usino in 4, così come> l'imap in tls o ssl.stiamo parlando di chi fornisce il servizio, vero?

Re: Il protocollo IMAP è in chiaro
SSL difatti non è un protocolloSSL è una tecnologia di criptazioneche nel traffico HTTP diventa HTTPSche nel traffico FTP diventa FTPSche nel traffico IMAP non cambia perchè basta che il server sia disponibile alla criptazioneche nel traffico POP non cambia perchè basta che il server sia disponibile alla criptazioneche nel traffico TELNET ... TELNET ????Ma telnet si usa all'interno di una rete sicura.NON MI DIRE CHE TU LO USI ANCHE ALL'APERTO ^?^?^^?^?^??^ALLORA COMINCIO A CAPIRE QUALI PATURNIE TI FAI !Per favore. prima studiare, poi far pratica, poi giudicare...

Quanta disinformazione!!
Usiamo zimbra in azienda da diverso tempo e mi stupisce che vengano pubblicate queste notizie senza un minimo di verifica.Il server Zimbra permette il setting sia del protocollo SSL per l'utilizzo dell'imap e sia la disabilitazione dell'invio delle password in chiaro. Il motivo per il quale yahoo (che ha acquistato zimbra da un'altra società che lo ha sviluppato) non utilizzi tali opzioni, deriva, probabilmente dal fatto che molti client non le supportano (come diceva giustamente qualcuno) ma è una cosa comune a tutti i server di posta!

Re: Quanta disinformazione!!
Sto valutando di utilizzare Zimbra in azienda, con circa 70 utilizzatori interni e una decina esterni. Qualcuno può fornire delle impressioni d'uso, oppure suggerire alternative?Grazie.

Re: Quanta disinformazione!!
Secondo me è un ottimo server di posta, ha il connettore per outlook (a pagamento), ma nella versione free ha già tutto quello che serve con l'utilizzo dell'interfaccia web o con zimbra desktop (per avere la cache in locale quando non si è connessi).L'unica pecca, a mio avviso, è la mancanza della possibilità di richiedere la ricevuta di lettura e di invio di un messaggio per chi non usa il connector di outlook, dovrebbe essere implementata nelle prossime versioni. Per il resto integra un antivirus e un antispam abbastanza buoni ed ha un'ottima interfaccia di amministrazione. Inoltre ha una sezione dedicata alla documentazione, cosa non comune agli altri server di posta.

Re: Quanta disinformazione!!
CommuniGatePro ?www.stalker.com

Re: Quanta disinformazione!!
Difatti si sta parlando UNICAMENTE del server Yahoopersonalmente ho sempre considerato il servizio email offerto da Yahoo meno che scadente.Difatti fornisco la casella di Yahoo tutte le volte che non sono sicuro del sito e temo lo spam :D

Su tutti i dubbi sollevati
Giusto per portare un po' d'olio e lubrificare timori e supposte imprecisioni... gli americani usano spianare il fucile con molta più facilità di quanto facciamo noi su queste cose: noi spesso diciamo "embè? tutti i client inviano la password in chiaro per default". Per loro, un client - qualunque sia - che invia la password in chiaro è da tenere "sotto botta" per default, l'ho vissuto in prima persona fornendo supporto per un'importante azienda americana.Ieri sera, tra l'altro, mentre scrivevo non mi compariva questo post sul forum:http://www.zimbra.com/forums/general-questions/22736-zimbra-desktop-sends-yahoo-password-clear-not-secure-2.html#post110026post probabilmente ora visibile per l'aggiornamento dei proxy locali dei provider. Il post conferma sia l'invio in chiaro sia il fatto che dalla prossima release di Yahoo Desktop la questione verrà risolta "lato server" (à la Google Mail, insomma).Per rispondere a qualcuno secondo cui l'impiego del browser è più pesante e pieno di bug, vorrei sottolineare che impiegarlo ha il solo scopo - come qualcun altro faceva notare - di utilizzare un canale completamente cifrato, quale è l'HTTPS, superando così molti dei rischi derivanti da sniffing.Zimbra, d'altra parte, è da molto che cerca di inserirsi a piene mani nel desktop di Yahoo, per chi si ricorda:http://www.vnunet.com/vnunet/news/2185769/zimbra-open-source-mail-clientL'obbiettivo era/è anche quello di strappare quote a Exchange di Microsoft e, in ambito aziendale/corporate, di erodere quote ad analoghe funzioni di Lotus Notes.Comunque (questo penso sia il meglio da trarre per tutti, me per primo) la lezione di cui possiamo fruire è: ogniqualvolta possiamo scegliere, non POP3 ma POP3S, non IMAP ma IMAPS e, dove possibile, HTTPS. Anche se dalle nostre parti ci sono molto meno link wireless in chiaro che in USA. La dimostrazione, per chi ha tentato di utilizzare Google Mail tramite il proprio programma di posta elettronica, è che Gmail PRETENDE l'impiego di IMAPS: con IMAP non funziona del tutto, sulla porta 143 non risponde proprio. Altrettanto si può fare sull'interfaccia Web, da qualche tempo:http://gmailblog.blogspot.com/2008/07/making-security-easier.htmlZimbra Desktop non può che fare altrettanto, e "alla svelta". Per qualsiasi chiarimento, sono qua (o via messaggistica di PI).Marco V. Principato

Re: Su tutti i dubbi sollevati
Chiarificazione utile. Anche se reputo che per "fretta" o altro sia mancata una chiarezza iniziale direttamente in redazione dell'articolo.Nevertheless, ancora noto una certa confusione (la stessa dell'articolo), o se non e' tale diciamo inconsistenza nell'uso terminologico, tale che non sia chiaro che:Zimbra e' principalmente un server, cosi' viene inteso per consuetudine, se associato ad un altro client la connessione critptata avviene correttamente e le password non sono in chiaro (oppure si parli di vulnerabilita' del server); anche se cosi' non fosse il client e' chiaramente chiamato ZimbraDesktop non semplicemente Zimbra.Il problema dunque non riguarda la funzionalita' SSL o TSL in associazione al servizio IMAP del server; sembra essere la relazione tra il server Zimbra ed il client ZimbraDesktop (da qui la necessita' di modificha ANCHE sul server).Mi aspetterei un uso terminologico maggiormente accurato e sicuramente consistente: Zimbra non puo' diventare ZimbraDesktop o Zimbra (azienda) a piacimento, genera confusione.

Re: Su tutti i dubbi sollevati
...> Mi aspetterei un uso terminologico maggiormente> accurato e sicuramente consistente: Zimbra non> puo' diventare ZimbraDesktop o Zimbra (azienda) a> piacimento, genera> confusione.Come potrà osservare dall'update che la Redazione ha predisposto per pubblicare i chiarimenti dei responsabili della distribuzione italiana, si tratta proprio di Yahoo Zimbra Desktop. Più esattamente, "Zimbra Desktop è stato rinominato in Yahoo Zimbra Desktop proprio per le sue funzionalità su Yahoo Mail indipendenti dalla presenza o meno del server Zimbra", così scrivono i responsabili.Le acquisizioni e le fusioni, d'altra parte, generano spesso confusione proprio sui nomi e non di rado non si arriva ad un punto fermo finché - come in questo caso - qualcuno dell'azienda non prende una posizione precisa, permettendo così maggiore chiarezza.Cordiali saluti,Marco V. Principato

Re: Su tutti i dubbi sollevati
Apprezzo l'intervento :) grazie per i chiarimenti.

ragazzi... sono POCHI quelli che non.
sentite, a parte gmail e poste.it avete visto qualcuno che vi permette di proteggere la vostra password?tutti quelli che ti permettono di usare imap, da email.it, tin.it, alice ecc, tutti quanti comunque passano la password in chiaro, a quanto mi risulta.solo poste.it usa SSL e così GMAIL, tra i grandi player.sbaglio molto?mi sono accorto di questo autosniffandomi perché in una LAN l'amministratore potrebbe sempre interessarsi a tutto... ma anche scoprirmi la password... questo no eh!!!SSL+PGP, per quanto mi riguarda.ora... io sono l'amministratore, ma mi metto sempre nella parte dell'utente.se io ci riesco, ci riescono anche gli altri amministratori.

Re: ragazzi... sono POCHI quelli che non.
Se un amministratore vuole scroprire la tua password... lo fa e basta !se non ci riesce, non è un amministratore di rete :-Dil traffico SSL e PGP on demand è valido SOLO e FINTANTO che io non ho la chiaveSe sono un amministratore e ti sto sniffando... il traffico SSL lo posso vedere dal bell'inizio, e quindi avere anche le chiavi che server e Browser si scambiano per iniziare la conversaione protetta...quindi...non serve a nulla !

Re: ragazzi... sono POCHI quelli che non.
- Scritto da: drkMaster> Se un amministratore vuole scroprire la tua> password... lo fa e basta> !> se non ci riesce, non è un amministratore di rete> :-DSe non ci riesce, è perché nessun software dai tempi di Unix System V del 1980 immagazzina la password sul server. L'unica cosa che viene in genere memorizzata è un hash, che viene confrontato con l'hash generato quando l'utente fornisce la password al login.L'amministratore al massimo potrà cambiare la tua password, ma a meno che il software non sia assolutamente antidiluviano o scritto da un ragazzino di 12 anni, l'amministratore deve usare un cracking tool per scoprirla.(e tecnicamente, non è ancora sicuro di averla trovata. In teoria, potrebbe aver scoperto un'altra stringa che produce un hash identico, quando elaborata dallo stesso algoritmo...)Per favore evitiamo di riempire di bestialità il forum, è già abbastanza basso di livello...Ciao