home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / os / vms / 18065 < prev    next >
Encoding:
Internet Message Format  |  1992-11-17  |  2.2 KB

  1. Path: sparky!uunet!usc!zaphod.mps.ohio-state.edu!darwin.sura.net!gatech!news.ans.net!cmcl2!rlgsc.com!gezelter
  2. From: gezelter@rlgsc.com
  3. Newsgroups: comp.os.vms
  4. Subject: Re: Failures in system security.
  5. Message-ID: <1992Nov17.004401.256@rlgsc.com>
  6. Date: 17 Nov 92 00:44:01 EST
  7. References: <1duniqINNkrp@gap.caltech.edu> <1992Nov13.100241.254@rlgsc.com> <1e2e81INN9h4@gap.caltech.edu> <1992Nov16.154413.13758@ncsa.uiuc.edu>
  8. Organization: Robert Gezelter Software Consultant, Flushing, NY
  9. Lines: 36
  10.  
  11. In article <1992Nov16.154413.13758@ncsa.uiuc.edu>, jsue@ncsa.uiuc.edu (Jeffrey L. Sue) writes:
  12. > ....
  13. > Tell you what.  You give me a PC on your network with Ethernet & DECnet,
  14. > and we'll just see who your VAX thinks I am.  Remember, *I* am the system
  15. > manager for my PC/MAC/VAXstation.  Thus I can look like anyone I want.
  16. > And if I know that your system is down, or if I can interrupt the network
  17. > connection between systems (place myself in the middle), I can even do
  18. > it without anyone knowing.
  19. > Also, I don't think it takes PHY_IO privilege to open a network object.
  20. > If you know what VMS Mail expects as input from the network connection I
  21. > believe it's very easy in DCL to fake it out.
  22. > -- 
  23. > -----
  24. > Jeff Sue   
  25. >  - All opinions are mine -       (and you can't have any, nya nya nya)
  26. -- 
  27. Jeff,
  28.  
  29. Exactly my point! Any validation scheme which starts out with 
  30. "Believe the credentials that the person who just walked in the 
  31. door is holding" is an incident waiting to happen. As I noted 
  32. earlier in this thread, the fact that an incomming request 
  33. appears to have come from a privileged user on another node is, 
  34. for most intents and purposes, a useless piece of information.
  35.  
  36. - Bob
  37. +--------------------------------------------------------------------------+
  38. | Robert "Bob" Gezelter                       E-Mail:  gezelter@rlgsc.com  |
  39. | Robert Gezelter Software Consultant         Voice:   +1 718 463 1079     |
  40. | 35-20 167th Street, Suite 215               Fax:       (on Request)      |
  41. | Flushing, New York  11358-1731                                           |
  42. | United States of America                                                 |
  43. +--------------------------------------------------------------------------+
  44.