> Puoi specificare meglio quale sarebbe questo bug?
In generale username e password nella URL, cioe' in GET, sono una
pessima idea ("bug umano", chiamalo come vuoi). Per cominciare, chiunque
passa dietro le spalle di chi naviga le puo' vedere nel browser e
annotare, potendo addirittura farlo in un momento qualsiasi della
sessione, vanificando del tutto anche l'uso ormai scontato dei campi
HTML di tipo password (a input nascosto) nei form di ingresso.
Tali dati, poi, possono anche finire inavvertitamente in una stampa
(magari fatta a uso di qualcun altro) di una "vista" interna
all'applicativo (indipendentemente dall'applicativo e dal suo scopo),
noto il modo in cui si comportano molti browser quando producono le
intestazioni dell'output.
L'HTTPS c'entra relativamente poco, ma il problema e' comunque reale e
di una certa importanza. Sarebbe stato anche piu' grave, certo, l'HTTP
normale, magari in presenza di un qualche proxy (aziendale? personale?)
che finirebbe per registrare le credenziali d'accesso nei propri log
assieme al resto dell'URL, innalzando artificiosamente il livello di
rischio, ovvero il danno in caso di compromissione di quel sistema. Con
l'HTTP normale ma col POST, problematiche del genere si sarebbero un po'
ristrette, ad esempio alla possibilita' di sniffing a bordo proxy, che
e' la piu' ovvia e "di moda" ma, come si puo' capire, non l'unica, ne'
la piu' facile o la meno pericolosa.
Auguro, percio', a tutti quanti che non siano gestite in questo modo
anche eventuali web application ad uso esclusivo degli operatori della
compagnia, ad esempio nei negozi, dove una sbirciata allo schermo sul
bancone, da parte di chiunque, puo' sempre scappare.
Forse e' proprio vero che la sicurezza, prima ancora che essere una
serie di contromisure tecniche, e' un modo di pensare e di agire, un
atteggiamento. E' anche vero, per fortuna, che tutto si impara e che una
profonda sensibilita' verso quella faccia dei problemi la si puo'
guadagnare perfino rilassandosi. Il metodo che consiglio di solito e' un
testo "per tutti": quello di Dan Verton sul cyberterrorismo. Aiuta molto
a "pensare sistema", cioe' a capire le conseguenze dei collegamenti
naturali tra infrastrutture, sistemi, persone.
un saluto
Marcello Magnifico
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
