Il giorno 03/giu/2010, alle ore 21.57, Stefano Zanero ha scritto: >> E' utile se invece si implenta anche una nonce per evitare il replay attack: > > Considerando che questa cosa viene gia' implementata da SSL nella busta > attorno, non si vede in che modo migliorerebbe la sicurezza. O contro > quale threat model sia stata pensata questa cosa.
SSL non è l'eldorado della sicurezza... nel mio per replay attack intendo: ----------------------------------------------- ho la URL: > https://www.vodafone.it/190/trilogy/jsp/user.do?password=TUA_PASSWORD&username=TUO_USERNAME&method=login&ty_skip_md=true la copio e incollo (chiamiamolo cut&paste attack, non so, ma di fatto è un replay attack in tutto e per tutto) e mi loggo. Come faccio ad avere quell'URL: ------------------------------------------------- SSL protegge dallo spoofing lungo il percorso, ma come detto prima da me e dopo anche da Matteo Flora ci sono tante bei sistemi che hanno accesso a questa url IN CHIARO: - il javascript che ho segnalato prima e che segnala anche Flora di Omniture aka Adobe. - la browser history (adesso vado sul pc di mio fratello che ha vodafone e gli guardo la history...) - javascript che accedono alla history del browser - HTTP referrer -> La url viene consegnata alla pagina successiva... mitico!!! Se avessi portato, a suo tempo, un sistema di autenticazione del genere all'esame di "sicurezza nelle TCL" mi avrebbero terminato sul posto!!! utilizzare il sistema banale da me descritto (un semplice HMAC) evita che spoofando la URL (o il POST, dato che VODAFONE.IT adesso ha modificato da GET a POST!!! almeno questo dopotutto hanno capito...) si ottengono le tutte informazioni per accedere, con un CUT&PASTE ATTACK :). SSL usato così mi ricorda l'RC4 usato in WEP: ottimi sistemi ma implementazione bieca. Non si può pensare che SSL sia la soluzione a ogni problema. la mitica soluzione tanto al kilo che si diceva prima :-) NM. ps. Qualcuno ha accesso ai DB di omniture che ho perso la password? :-)
smime.p7s
Description: S/MIME cryptographic signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
