Gli amministratori di Sql Server possono vedere in chiaro le password degli utenti. Per Sentrigo è una grave minaccia, per Microsoft non è un problema.
[ZEUS News - www.zeusnews.it - 07-09-2009]
Se in Microsoft Sql Server (versioni 2000, 2005 e 2008) è abilitato il metodo di autenticazione chiamato mixed mode - il server accetta sia l'autenticazione integrata con il sistema che quella gestita da Sql Server - gli amministratori possono vedere in chiaro le password degli utenti.
È normale che un amministratore possa cambiare le password degli utenti, ma non che possa vederle: normalmente sono offuscate e non conservate in chiaro, in memoria o sul disco, nemmeno temporaneamente.
Sentrigo, una società californiana che si occupa di sicurezza dei database, ha etichettato questa situazione come vulnerabilità significativa" di Sql Server. Microsoft ha risposto che non c'è niente di cui preoccuparsi.
"Un attaccante con diritti amministrativi ha già il controllo completo del sistema e può installare programmi; vedere, cambiare o cancellare dati; creare nuovi account con pieni diritti di utente": per questo è inutile che Microsoft si metta a tappare una falla che non c'è.
Se da un lato è vero che un amministratore ha già abbastanza poteri per fare quello che vuole - e che vedere le password degli utenti non aggiunge nulla di significativo ai danni che può fare - resta il fatto che conservare da qualche parte le password in chiaro le espone al rischio di essere sniffate, cosa che aiuterebbe un eventuale intruso che ancora non sia riuscito a ottenere l'accesso.
Inoltre, le cattive abitudini degli utenti allargano il campo delle conseguenze che il comportamento di Sql Server può avere sulla sicurezza in generale: dato che molti usano la stessa password un po' per tutto, conoscerla potrebbe garantire l'accesso anche ad altri sistemi, dalle caselle di posta al conto online.
Visto che a Redmond sembrano non sentire da quest'orecchio, Sentrigo ha preferito agire in proprio e ha rilasciato gratuitamente Passwordizer, un'utilità cancella le password dalla memoria, così che nessuno possa vederle.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
zeross