2010/5/31 ascii: > On 05/31/2010 03:20 PM, Marco Ermini wrote: >> Insomma forse il sito potrebbe essere fatto meglio, ma non mi sembra >> che ci siano scenari che verrebbero significativamente migliorati >> cambiando il GET in un POST. Correggetemi se sbaglio. > > Considera anche i log del web/application server che se non ripuliti > contengono piu' o meno le credenziali di tutti gli utenti attivi. > > Visto che e' una ML di sicurezza si cerca di dare buoni consigli :)
Sono d'accordissimo. Contestavo soltanto l'approccio ed il fatto di chiamarlo "bug". L'accesso ai log รจ ovviamente in ogni caso controllato e soggetto ad autorizzazione... comunque ottimo punto a favore. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
