On 15.10.09, 04:48, giobbe wrote: >> (cito dal sito stesso, pulsante di login: "accesso ai servizi per >> privati e business") > > Cerco di correggerti... hanno defacciato una pagina di un "sito web"... > dalle informazioni "pubbliche" non si sa' nemmeno se hanno > effettivamente "bucato" un servizio (apache, etc).... o se si e' > trattato di un banale XSS....
quindi la modifica dell'interfaccia di login di un applicativo web e la
possibilità di redirigere i dati di autenticazione degli utenti ovunque
(anche attraverso un "banale XSS") NON e' piu' un problema di sicurezza
serio che potrebbe in qualche modo permettere ai "Mr Hipo & Stutm" di
turno rubare i dati di accesso, accedere con le credenziali corrette e
svuotare con molta calma i nostri conti correnti? ok.
> secondo me stai banalizzando un po' la cosa.
e' colpa del fatto che sono della vecchia scuola... KISS ;)
> hai idea del livello di policy e monitoraggio a cui sono sottoposti
> quei sistemi, [...]
temo proprio di si, ma qua siamo fortemente off-topic... ;)
saluti a tutti,
--
Gian
member of A.G.O.W. #C10771
and orgoglione to be!
:(){ :|:&};:
signature.asc
Description: Digital signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
