A seguito della mia risposta . Se riesco a elencare il contenuto di un file ZIP protetto da password, controlla i tipi di file di ogni file memorizzato e persino sostituiscilo con un altro, senza conoscere realmente la password, allora i file ZIP dovrebbero ancora essere considerati sicuri?
Questo è completamente insicuro in termini di ingegneria sociale / influenza ecc.
Posso dirottare (intercettare) il file di qualcun altro (file ZIP protetto da password) e posso sostituire uno dei file che contiene, con il mio (falso virus) senza conoscere la password. Il file sostituito rimarrà non crittografato, non protetto da password all'interno del file ZIP, ma gli altri file non verranno modificati.
Se una vittima spacchetta un archivio protetto da password, l'estrazione del programma richiederà la password una sola volta, non ogni volta per ogni file. Quindi l'utente finale non vedrà la differenza - se il programma non richiede una password, perché già la conosce (file originale) o perché il file che si sta estraendo non ha bisogno di una password (file modificato da me). In questo modo, posso iniettare qualcosa di veramente brutto in un file ZIP protetto da password, senza conoscere la sua password e contare sul ricevitore assumendo che il file non sia modificato.
Mi manca qualcosa o è veramente sbagliato? Cosa possiamo dire dei termini di sicurezza di una soluzione, se la password è non richiesta per introdurre qualsiasi modifica in un file protetto da password?