On 06/04/10 09:56, Matteo G.P. Flora wrote: > On 6/3/10 10:02 PM, Stefano Zanero wrote: >>> <http://www.f-secure.com/v-descs/dnschang.shtml> >>> Il sistema è semplice: cambi DNS e la macchina dall'altra parte fa da >>> Proxy e risponde per Vodafone (in questo caso). >> Ed esattamente questo come romperebbe SSL ? > > Mi piaci tantissimo quando hai tutta questa fiducia nella popolazione > umana, ti eleva tantissimo ;)
Non ho fiducia nella popolazione umana. Ma questo e' un problema generale, e non c'entra nulla col fatto che tu passi i dati con GET o con POST. Ne' e' un problema che consente di fare MITM su SSL. Consente di fare MITM se viene violato SSL dall'utente ;-) > estremamente raro che tutte le risorse facenti capo ad una pagina web > siano OSPITATE sulo stesso dominio. Se questo accade su una pagina SSL di autenticazione, è un errore, a prescindere (di nuovo) dal passaggio di roba su GET anziche' su POST (che e' il topic originale del thread) -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
