home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / hackers / 1181 < prev    next >
Encoding:
Text File  |  1992-07-27  |  2.8 KB  |  58 lines
  1. Newsgroups: alt.hackers
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!sol.ctr.columbia.edu!eff!ibmpcug!kate.ibmpcug.co.uk!dylan
  3. From: dylan@ibmpcug.co.uk (Matthew Farwell)
  4. Subject: Re: Debugging program on mailing machine
  5. Organization: The IBM PC User Group, UK.
  6. Date: Mon, 27 Jul 1992 08:20:52 GMT
  7. Approved: I had root on my potplant once, you know
  8. Message-ID: <1992Jul27.082052.10221@ibmpcug.co.uk>
  9. References: <1992Jul25.012355.11106@ctr.columbia.edu> <6NQHY31@taronga.com> <1992Jul27.043409.13221@ctr.columbia.edu>
  10. Lines: 46
  11.  
  12. In article <1992Jul27.043409.13221@ctr.columbia.edu> kibirev@csa.bu.edu (oleg kibirev) writes:
  13. >In article <6NQHY31@taronga.com> peter@taronga.com (Peter da Silva) writes:
  14. >>In article <1992Jul25.012355.11106@ctr.columbia.edu> kibirev@csa.bu.edu (oleg kibirev) writes:
  15. >>>As I already mentioned in some ObHack, I am writing a program to allow access
  16. >>>to Internet host (shell, maybe even line editor like ed(1)) via e-mail only
  17. >>Wow. You're showing anyone who can read the mail spool on half a dozen systems
  18. >>how to execute any arbitrary program on your account, with your password in
  19. >>plaintext no less!
  20. >Wow. Mr. Peter da Silva is flaming every article in alt.hackers, 
  21. >alt.hackers.malicious, comp.unix.wizards and probably more without
  22. >ever posting his own hack. Or suggesting a better alternative to what
  23. >he flames. I suggest an addition to FAQ: no flame without ObHack.
  24. >
  25. >I think, consulting crypt(1) and uuencode(1) should enlighten someone
  26. >how to avoid sending text password.
  27.  
  28. And how do you propose to decrypt it, using crypt(1)?
  29.  
  30. >                                    There are also other methods. For
  31. >example, you can use a random number generator with large period and
  32. >initial salt known by both sender and recipitant to provide unique
  33. >indentification for each message (server can compensate for lost mail
  34. >by looking a few numbers ahead).
  35.  
  36. So if I get a copy of your message I'll know instantly a fairly small
  37. range of numbers to try.
  38.  
  39. >                                 Oops, sorry, I don't think improving
  40. >system security is the best subject for this group...
  41. >
  42. >Btw, how does one read /var/spool/mqueue without becoming root first?
  43.  
  44. Good grief, if you think email is secure, you have some sad ideas about
  45. security.  I don't need to be root on your mail to be able to read your
  46. mail.  I suggest you read your mail headers more closely.  Notice all of
  47. those Received:  lines.  If your mail goes through my site, then I can
  48. look at it.  This was the reasoning behind this statement:
  49.  
  50. >In article <6NQHY31@taronga.com> peter@taronga.com (Peter da Silva) writes:
  51. >>Wow. You're showing anyone who can read the mail spool on half a dozen systems
  52. >>how to execute any arbitrary program on your account
  53.  
  54. Dylan.
  55. -- 
  56. It is no coincidence that in no known language does the phrase 'As
  57. pretty as an Airport' appear -- Douglas Adams
  58.