security, informacyjnie

Czw, 1 Sie 2002, 13:03:58 CEST

On Thu, Aug 01, 2002 at 12:56:09PM +0200, Jacek Konieczny wrote:
> On Thu, Aug 01, 2002 at 12:42:50PM +0200, Marcin Bohosiewicz wrote:
> > On Thu, 1 Aug 2002, Jacek Konieczny wrote:
> > > Przecież wszyscy i tak znają wyniki takiego autdytu: bezpieczeństwa 
> > > u nas to praktycznie nie ma. A pewnie niewielu chciałoby zmienić obecny
> > > styl pracy.
> > A czemu zakladasz ze nie ma?
> > Podaj 3 przyklady :>
> 
> 1. hasło do CVS można wysniffować i wten sposób dostać dostęp rw do CVS

Jak wygląda sprawa używania ssh do dostępu do cvs?
To musi wymagać kont systemowych na serwerze cvs?
(chyba żeby zestawić tylko tunel albo użyć stunnela)

> 4. Zmieniając zasoby WWW i przestawiając tag CURRENT można uzyskać
> dostęp do PHP (a więc zarazem do konta "http") na naszym serwerze WWW
> 
> Oczywiście zaraz będzie mowa, że w CVS widać co kto robi

Zmiany tagów tak łatwo nie widać...

> Z innych które pamiętam:
> 5. Podpisywanie pakietów jest tylko teorią, bo rpmowi nie przeszkadza,
> że klucz PGP którym podpisany jest pakiet nie jest zaufany.

Chyba już nie:
Patch35:        %{name}-signverify-fix.patch

-- 
Jakub Bogusz