home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / os / vms / 18065 < prev    next >
Encoding:
Internet Message Format  |  1992-11-17  |  2.2 KB
  1. Path: sparky!uunet!usc!zaphod.mps.ohio-state.edu!darwin.sura.net!gatech!news.ans.net!cmcl2!rlgsc.com!gezelter
  2. From: gezelter@rlgsc.com
  3. Newsgroups: comp.os.vms
  4. Subject: Re: Failures in system security.
  5. Message-ID: <1992Nov17.004401.256@rlgsc.com>
  6. Date: 17 Nov 92 00:44:01 EST
  7. References: <1duniqINNkrp@gap.caltech.edu> <1992Nov13.100241.254@rlgsc.com> <1e2e81INN9h4@gap.caltech.edu> <1992Nov16.154413.13758@ncsa.uiuc.edu>
  8. Organization: Robert Gezelter Software Consultant, Flushing, NY
  9. Lines: 36
  10.  
  11. In article <1992Nov16.154413.13758@ncsa.uiuc.edu>, jsue@ncsa.uiuc.edu (Jeffrey L. Sue) writes:
  12. > ....
  14. > Tell you what.  You give me a PC on your network with Ethernet & DECnet,
  15. > and we'll just see who your VAX thinks I am.  Remember, *I* am the system
  16. > manager for my PC/MAC/VAXstation.  Thus I can look like anyone I want.
  17. > And if I know that your system is down, or if I can interrupt the network
  18. > connection between systems (place myself in the middle), I can even do
  19. > it without anyone knowing.
  21. > Also, I don't think it takes PHY_IO privilege to open a network object.
  22. > If you know what VMS Mail expects as input from the network connection I
  23. > believe it's very easy in DCL to fake it out.
  25. > -- 
  26. > -----
  27. > Jeff Sue   
  28. >  - All opinions are mine -       (and you can't have any, nya nya nya)
  29. -- 
  30. Jeff,
  31.  
  32. Exactly my point! Any validation scheme which starts out with 
  33. "Believe the credentials that the person who just walked in the 
  34. door is holding" is an incident waiting to happen. As I noted 
  35. earlier in this thread, the fact that an incomming request 
  36. appears to have come from a privileged user on another node is, 
  37. for most intents and purposes, a useless piece of information.
  38.  
  39. - Bob
  40. +--------------------------------------------------------------------------+
  41. | Robert "Bob" Gezelter                       E-Mail:  gezelter@rlgsc.com  |
  42. | Robert Gezelter Software Consultant         Voice:   +1 718 463 1079     |
  43. | 35-20 167th Street, Suite 215               Fax:       (on Request)      |
  44. | Flushing, New York  11358-1731                                           |
  45. | United States of America                                                 |
  46. +--------------------------------------------------------------------------+
  47.