[hackmeeting] Dos preguntas sobre listas y seguridad

SeaJob seajob en sindominio.net
Mar Oct 9 15:53:27 CEST 2001


Aupa!

On Tue, Oct 09, 2001 at 03:35:15PM +0200, Alejandro Castán Salinas wrote:
> Hola a todos y todas.
> 
> Perdonad que realice estas preguntas en la lista del hackmeeting. No sabía a
> quien dirigirme, y sé que aquí hay gente amable y que conoce el tema. Creo
> que no son off-topic, porque son dos preguntas sobre seguridad en las
> listas, que pueden ser aplicables a ésta.


Por mi, sin problema
> 
> 
> Primera pregunta: listas cifradas
> ---------------------------------
> 
> Supongamos que en una lista queremos que a partir de ahora los mensajes
> viajen cifrados.
> 
> Utilizar una única clave pública para la lista y repartirla a todo el mundo
> es un método inseguro si la lista es pública y se suscribe mucha gente y
> desconocida. Interesaría una lista que envíe los mensajes cifrados con la
> clave pública personal de cada usuario.
> 
> ¿Existe algún programa de gestión de listas en que, cuando el usuario se
> suscribe, pueda enviar su clave pública además de su dirección de correo? El
> programa de gestión de listas daría de alta a las dos y enviaría los
> mensajes cifrados con la clave pública que el usuario dio de alta el día que
> se suscribió.


Hasta donde yo sé, no hay nada que haga esto. Lo único, hacerte la lista
"a mano".
> 
> ¿Si no existe, alguien se anima a crearlo conmigo a partir de algún gestor
> de listas y algún programa de cifrado de código libre?

En principio, no debería ser muy dificil de codificar, pero desde luego
sí de pensar (considerar tods las situaciones en que las claves podrían
quedar espuestas sobre tdoo). Yo no me animo a codificar (ojalá tuviera
tiempo), pero si quieres me animo a la discusión.
> 
> 
> 
> Segunda pregunta: suscripciones sabotaje
> ----------------------------------------
> 
> En general, ¿los programas de gestión de listas públicas envían siempre el
> mensaje de confirmación? Quiero decir que si no lo hacen así alguien puede
> suscribir a la propia lista dentro de la lista. Por ejemplo, incluir el
> usuario hackmeeting en sindominio.net dentro de la lista
> hackmeeting en sindominio.net. ¿O filtran ya directamente este tipo de
> peticiones falsas?


Pues no, no es necesario el mensaje de confirmación, aunque yo creo que
todas las de suscripción libre lo usan, y los motores de listas lo
activan por defecto. Respecto a qué pasaría si suscribiesses a la propia
lista (directamente o vía un suscrito con un forward a la lista), casi
todos tiene medidas anti-bounce (en concreto smartlist las tiene, y
mailman fijo que también, sympa también ... y creo que no he usad omás).
As'ique en realidad no hay mucho problema.
> 
> Gracias por adelantado. Nos vemos.

O popr lo menos nos leemos :)
> 
> 
> Álex


Aaaagur.
> 
> 
> 
> _______________________________________________
> hackmeeting mailing list
> hackmeeting en sindominio.net
> http://www.sindominio.net/cgi-bin/mailman/listinfo/hackmeeting




Más información sobre la lista de distribución HackMeeting