ascii wrote:
> chi usa la webmail di google sostanzialmente trasmette i cookie di
> autenticazione in chiaro quindi senza necessita' di mitm ssl
Non solo chi usa GMail...una marea di altre applicazioni, come gia'
evidenziato, fa passare credenziali su SSL e cookie in chiaro
("invalidando" di fatto l'uso di SSL).
Quello che secondo me e' piu' interessante (l'altro problema si
"risolve" forzando, e nel caso di GMail questo si puo' fare,
l'applicazione ad usare solo SSL) e' il fatto che uno stesso utente
riceva sempre lo stesso cookie, anche dopo aver cancellato il precedente
(ad esempio con un logout esplicito). Ad agosto almeno questa era la
situazione...quindi si poteva violare a distanza di mesi lo stesso
account, anche nel caso l'utente avesse modificato le credenziali di
accesso...
--
Damiano Bolzoni
[EMAIL PROTECTED]
Homepage http://dies.ewi.utwente.nl/~bolzonid/
PGP public key http://dies.ewi.utwente.nl/~bolzonid/public_key.asc
Skype ID: [EMAIL PROTECTED]
Distributed and Embedded Security Group - University of Twente
P.O. Box 217 7500AE Enschede, The Netherlands
Phone +31 53 4892477
Mobile +31 629 008724
ZILVERLING building, room 4035
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
