| Autore |
 Discussione  |
|
|
natasha
Senior Member
155 Messaggi |
Inserito il - 24/09/2004 : 16:49:50
|
E' mai possibile che le password per l'avvio di MSSQLSERVER e SQL Server Agent vengono immagazzinate in chiaro e che con un programmino che conoscono cani&porci (Cain & Abel) mi basta cliccare su LSA Secrets per vederle?!?!?!
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 24/09/2004 : 17:24:12
|
Tanto saranno anche scritte su post-it in giro per l'azienda, quindi direi che non cambia granché 
Il più grosso problema per la sicurezza è quello che sta tra il monitor e la sedia...
Ciao 
P.S.
Ho visto che c'era un'altro topic identico, quindi l'ho cancellato.
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html
Edited by - Gimli on 24/09/2004 17:28:58 |
 |
|
|
natasha
Senior Member
155 Messaggi |
Inserito il - 25/09/2004 : 01:54:29
|
Gimli dai abbiti pazienza la questione è un pò diversa.... qui stiamo parlando di un prodotto server, che costa un sacco di soldi ed al quale accede (vabbuò dovrebbe accedere) gente con adeguata preparazione sistemistica.
Gente che le password non se le scrive su un foglietto e magari ci mette anche qualche numero qua e là, qualche segno non alfabetico, le fa lunghe più di 9 caratteri etc. Poi si scopre che il lavoro è vano a causa di una (undocumented) gestione delle password che rasenta il criminale (come e più del ben noto XOR su chiave fissa che 'cifra' le pass di Access). Dico, non sarebbe un 'filino' più onesto dire 'abbiamo preso nota del problema, ci stiamo lavorando, intanto criptatevi tutti i file della SQL Server /binn e magari tutta la cartella giacchè ci siete'?!
L'unica cosa che mi consola è che, a furia di patch, service pack vari e sql server security tools, quella password ora non compare fra gli 'LSA Secrets'. Al solito, con un'alchimia non meglio specificata, su un certo sistema operativo con una certa service pack, ecc. Fino a quando non trovo un altro tool o un'altra via, naturalmente....
|
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 25/09/2004 : 17:28:11
|
Se non sei soddisfatta del prodotto esistono alternative più economiche, tipo Oracle, oppure prodotti liberi come MySQL, PostgreSQL, etc. Se decidi che il gioco vale la candela...
In ogni caso, visto che l'avete pagato, puoi lamentarti col produttore (non rivalerti, neppure se qualche lamer ha preso in prestito le pass e vi ha cancellato tutti i dati, vedi EULA).
Ciao
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html |
|
|
| |
Discussione |
|
|
|
"sono fortemente adirato, quasi incazzato..." (Il
Forum Bloccato
