Andrea Paiano wrote:
On 10/29/07, Raffaele <[EMAIL PROTECTED]> wrote:
[cut]
In sostanza la password deve
essere di questo tipo:
...
- non deve contenere caratteri speciali (ad es.: ' , " , < , < , ; , \ ,
/ , @ , & , % , …)
La butto li'...secondo me e' per escludere in tutto e per tutto
attacchi di tipo XSS perpetrati tramite il campo passwd. E' un
pessimo rimedio ma nn vedo altro motivo.
Sono d'accordo con te, è più facile per loro mettere a punto una
procedura di validazione dell'input considerando diverse decodifiche dei
caratteri in ingresso.
Non facciamo però gli utenti visto che dovrebbero esserci dei
professionisti in questa ml...
gli attacchi, si stanno spostando dal server che eroga il servizio verso
i pc di casa o le stazioni di lavoro... che sono sicuramente più deboli
dei sistemi messi su da chi vuole fare business.
Detto questo facciamo un paio di considerazioni:
- Quanta gente abbocca al phishing? tanti purtroppo e l'adozione di
questo tipo di misure non contrasta certo questi tipi di attacchi
- Quanta gente usa sempre password diverse.... molti usano la stessa
password per tutti i servizi a cui si registrano, basta spulciare nel
file di firefox o di explorer dove i browser registrano le passowrd e
prendere la history.... e il gioco è fatto.
Bisogna puntare a sensibilizzare l'utente finale a una maggiore
attenzione verso la sicurezza del proprio pc
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
