> Be' il discorso mi sembra di averlo posto in simpatia... non era certo > un vanto o altro di bambino cracker che ha fatto la marachella. No skien, non ho censurato il tono della mail che ci può stare. E' il fatto di non aver atteso la risposta del mantainer e degli sviluppatori. In 48 ore non reagiscono di sicuro. In università non c'è un security team dedicato. C'è nelle grandi realtà, figuriamoci nelle università.
Io dico che andava dato più tempo prima della divulgazione. Magari dando loro una mano dandogli esempi o riferimenti. > Tutto nasce su 'quanto sono realmente sicuri i siti delle universita' > italiane contro le mode del momento? (vedi XSS) Eh occhio che non è detto che tu possa sviscerare così questa tua curiosità "en plainair" :) > Il fatto che ad oggi, passate già 48hr e contattati i diretti > 'responsabili' i quali non hanno ne' patchato ne' tantomeno considerato > il mail...dovrebbe far pensare alla poca? importanza che ha la > sicurezza Guarda, io penso al Silab dell'università di milano quando ci andavo ormai 10 anni fa tutti. I responsabili erano due per tutto il dipartimento e dovevano seguire tutte le tematiche, dal tirare il cavo di rete al proiettore che non andava su in aula. Quindi, secondo me 48 ore potrebbero essere anche poche. > Punto pen-ultimo, la vulnerabilita' non e' stato per altro 'ricercata'. > è balzata agli occhi dal nulla, certo fa di me una persona poco tecnica Non ho capito... la possibilità di fare un xss tu è saltata fuori così... dal nulla? > ma se consideriamo per un attimo, i dati sensibili che ogni secondo > quei > siti fanno circolare, Codice fiscale, matricola, webmail > docente/amministrazione/tecnico/studenti ed in alcuni casi anche > pagamenti online di tasse iscrizioni/rate venissero rediretti / > sniffati...il problema avrebbe sicuramente un'ampiezza maggiore. Bhé tu stai ipotizzando che le università non facciano alcun tipo di penetration test sui loro apparati sensibili. Boh, sinceramente sono scettico su questo modo di dare gli advisory, ma ovviamente è solo la mia opinione. thesp0nge -- The information transmitted is intended for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
