SPECS: imap.spec - updated to 2004c1 - bconded /var/lib/imap dir, ...

Sob, 5 Lut 2005, 17:45:16 CET

On Sat, Feb 05, 2005 at 04:38:39PM +0100, Marcin Król wrote:
> >Raczej "nie daję gwarancji że to jest bezpieczne".
> 
> Cytat z bconda: "Possibly not secure." Czyli "Prawdopodobnie nie jest 
> bezpieczny". Jak juz tlumaczymy, tlumaczmy w miare dokladnie.

Marcin, ja to pisałem, więc zaufaj mi że wiem co miałem na myśli :)

"Prawdopodobnie" było by "probably". "Possibly" ma trochę inny wydźwięk:
http://portalwiedzy.onet.pl/tlumacz.html?qs=possibly&tr=ang-auto&ch=1&x=0&y=0

> >ryzyko związane z ew. dziurą i włemem przez nią jest mniejsze, jeśli
> >proces wogóle nie działa jako root.
> 
> Fakt. Cala grupa ma prawo odczytu shadow'a. Powstaje pytanie co jest 
> trudniejsze, wbic sie na imapa, czy wbic sie przez cokolwiek innego i 
> dopisac do /etc/group zeby potem zapuscic bruteforca na zawartosci 

Jeśli masz prawo pisać do /etc/group to:
a. jeśli masz użytkownika lokalnego, to możesz dodać go do grupy root
b. z dużym prawdopodobieństwem możesz pisać też do /etc/passwd :)

> shadow? IMO prawdopodobienstwo tego drugiego jest wieksze, bo imap w 
> systemie jest jeden, a potencjalnych rzeczy umozliwiajacych dopisanie 
> sie do /etc/group duzo wiecej (ot caly pozostaly system :))

Można dyskutować. Ja zostałem postawiony w sytuacji: albo imapd będzie
działał bez roota albo nie będzie tam imapd. Koniec dyskusji.

> >A co chcesz w nim maintainować? SOA#1.
> 
> Nie wnikalem co w nim mozna i czy cos trzeba maintainowac. Nie wiem jak 
> dla Ciebie ale dla mnie nawet najmniejszy kawalek softu ktory nie byl 
> zmieniany od prawie 2.5 roku zdecydowanie nalezaloby przejrzec, chocby 

Tak, ale nadal pamiętaj że to jest opcjonalna funkcjonalność i jeśli
ktoś chce z tego korzystać i brak dowodów na jej szkodliwość, to nie
powinieneś tego uniemożliwiać.

No i czekam kiedy zaczniesz wywalać z powyższej przyczyny inny soft.
Podejrzewam że znajdziesz tego sporo. Może TeX się nada?

> pod katem zmian ktore zaszly w calosci oprogramowania do ktorego jest 
> patch. Skoro uzywasz tego patcha, nie widze problemu, nikt nie broni Ci 
> sie tym zajac :)

Wywaliłeś funkcjonalność, która jest
a. opcjonalna
b. mi potrzebna

IMO *powinieneś* ją przywrócić. Z różnych przyczyn nie mogłem
odpowiedzieć gdy pytałeś o jej usunięcie, ale czy to coś teraz zmienia?

-- 
--= Michal Kochanowicz =--==--==BOFH==--==--= michal w michal.waw.pl =--
--= finger me for PGP public key or visit http://michal.waw.pl/PGP =--
--==--==--==--==--==-- Vodka. Connecting people.--==--==--==--==--==--
A chodzenie po górach SSIE!!!