Zimbra Desktop, problemi di password

Se ne è accorto per caso uno sviluppatore, mentre cercava di ottenere altre informazioni sul dialogo tra il PC e i server di Yahoo!. Da una sessione di sniffing, la risposta è giunta inequivocabile: la password IMAP non è cifrata - Update

Update in calce – Roma – Con il sempre maggiore impiego di connessioni wireless, si fa ancora più pressante l’esigenza di tutelare alcuni dati personali, tra i quali anche quelli di accesso ai propri account di posta. Cosa che parrebbe essere fin qui trascurata nello sviluppo di Zimbra Desktop – l’applicazione che svolge per Yahoo! anche il servizio di posta elettronica – che, a quanto sembra , invia la password al server in chiaro .

Pur trattandosi di un’applicazione i cui scopi vanno ben oltre quello di semplice client di posta, questa “debolezza” è stata individuata praticamente per caso: nel corso del Hacku Day , alcuni hacker hanno analizzato il flusso di dati scambiati tra la workstation e il server IMAP di Yahoo!, utilizzando lo sniffer Wireshark .

Dall’analisi del log sono emerse utili indicazioni, prima tra tutte il metodo per far sì che il server IMAP di Yahoo! rispondesse alle richieste anche se l’applicativo impiegato fosse diverso da Zimbra . Ma nella circostanza è anche emerso che la password di connessione veniva inviata senza alcuna codifica.

Immediato il richiamo di alcuni osservatori su circostanze simili, quando la privacy dei nomi degli utenti di Google sembrava compromessa: nel caso della posta di Yahoo!, quindi, meglio cambiare immediatamente la password e, nell’attesa di chiarimenti ufficiali sulla vicenda, tornare alla più classica – e sicura – interfaccia Web.

Update
I responsabili della distribuzione Zimbra in Italia hanno scritto a Punto Informatico per precisare che il problema a cui fa riferimento nell’articolo è relativo all’interazione fra Zimbra Desktop e Yahoo Mail; il server di posta Zimbra quindi non c’entra niente.
Occorre anche ricordare che Zimbra Desktop è ancora in beta release e proprio in quanto tale gli utenti devono essere avvisati della cosa, e prestare quindi la normale cautela nell’utilizzo di un prodotto in via di sviluppo.
“Per chiarire meglio – scrivono ancora i distributori – Zimbra Desktop è stato rinominato in Yahoo Zimbra Desktop proprio per le sue funzionalità su Yahoo Mail indipendenti dalla presenza o meno del server Zimbra”.
La Pagina descrittiva del prodotto si trova a questo indirizzo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti