Marco,
hanno chiarificato ampiamente Stefano e Marcello ciò che io ritengo un
bug in senso allargato o, per essere più precisi, una pessima scelta
implementativa.
Dal mio punto di vista "paranoico" avrei preferito una scelta molto più
restrittiva:
1) Form inviato in POST (come, d'altronde, si insegna sulla guida base
di HTML).
2) Hash della password sempre e comunque, a prescindere dalla presenza
di un certificato SSL.
Questo per il semplice motivo che preferisco avere più livelli di
protezione piuttosto che un unico point of failure. D'altra parte sono
già noti, in the wild, attacchi man in the middle in cui colui che sta
nel mezzo può dichiarsi Vodafone.it, sniffare il contenuto e reinoltrare
la richiesta al sito leggittimo comportandosi, di fatto, da proxy.
Alessandro Romani
Security Analyst
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
