On 10/9/07, Rissone Ruggero <[EMAIL PROTECTED]> wrote: [...] > In realta' chi si connette al nodo in oggetto, viene dirottato verso un walled > garden dove e' necessario autenticarsi (https) per poter effettivamente avere > accesso alla rete.
In realtà quando ti connetti a FON, l'username e l'hash della password (che immagino venga calcolato da un JavaScript nella pagina di login...) vengono inviati via HTTP (non HTTPS) e come parametri in una richiesta GET (e quindi li vedi passare nella barra indirizzi del browser)... no comment. Via HTTPS avviene il successivo scambio di token, subito seguente al login. Ma il login in sé è una delle cosa più insicure che abbia mai visto... Cordiali saluti -- Marco Ermini [EMAIL PROTECTED] # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
