On 05/31/2010 03:20 PM, Marco Ermini wrote:
Quello che ho capito è che se non ripulisci la cache del browser, o se
qualcuno fa "shoulder surfing" può leggere l'username/password
dall'URL. Ma francamente, la situazione non migliorerebbe moltissimo
se fosse usato POST - posso ripescare il cookie dell'autenticazione
comunque - nemmeno mi serve scoprire la password... - ed username e
password posso leggerli mentre l'utente li batte sulla tastiera.
Insomma forse il sito potrebbe essere fatto meglio, ma non mi sembra
che ci siano scenari che verrebbero significativamente migliorati
cambiando il GET in un POST. Correggetemi se sbaglio.
Diciamo che cambiare la get in post riduce il problema del shoulder
surfing, che peralto e' un problema marginale. Ritengo piu' utile usare
un hash piuttosto che la pwd in chiaro, come qualcuno ha gia' suggerito.
In questo caso il furto della credenziale porta al possesso del suo hash
e non del segreto vero e proprio: non puoi mettere l'hash direttamente
nel form di autenticazione ma devi ancora cracckarlo.
Concordo che non sia un BUG in senso stretto ma una debolezza di
progettazione, ma che secondo me e' piu' opportuno risolvere...
quantomeno per una questione di immagine.
Ciao
Dario.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
