2010/5/29 Marcello Magnifico:
>> Puoi specificare meglio quale sarebbe questo bug?
>
> In generale username e password nella URL, cioe' in GET, sono una
> pessima idea ("bug umano", chiamalo come vuoi).
[...]Capisco, ma Alessandro ha parlato di un "bug". Io non ne ho trovati... Quello che ho capito è che se non ripulisci la cache del browser, o se qualcuno fa "shoulder surfing" può leggere l'username/password dall'URL. Ma francamente, la situazione non migliorerebbe moltissimo se fosse usato POST - posso ripescare il cookie dell'autenticazione comunque - nemmeno mi serve scoprire la password... - ed username e password posso leggerli mentre l'utente li batte sulla tastiera. Insomma forse il sito potrebbe essere fatto meglio, ma non mi sembra che ci siano scenari che verrebbero significativamente migliorati cambiando il GET in un POST. Correggetemi se sbaglio. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
