Il giorno 04/giu/2010, alle ore 23.13, Stefano Zanero ha scritto: >> ci sono tante bei sistemi che hanno accesso a questa url >> IN CHIARO: > > Se ci sono componenti non-SSL importati in una pagina SSL, quello e' il > problema ed eliminarli la soluzione,
Mi rendo conto di parlare arabo: Non è un problema di SSL. SSL da tutte le garanzie del mondo(autenticazione, confidenzialità, intergrità, non ripudio ecc...), ma solo tra i due endpoint. Non garantisce nulla al di fuori di quel link. Indi se la url è trasmessa sicura all'interno del canale SSL ma poi, sul server viene consegnata a destra e a manca allora è come chiudere la porta a chiave e lasciare la finestra aperta. Capisci che non è un problema di componenti non-SSL in pagine SSL? > non improbabili nonce via HTTP e > Javascript. capisco il tuo disprezzo, ma se non porti argomentazioni a riguardo è un po inutile alla discussione. > >> - la browser history (adesso vado sul pc > > Se hai accesso al PC di una persona, SSL e le URL sono l'ultimo dei tuoi > problemi. Certo, perchè la browser history la puoi accedere solo se se fisicamente sul PC!!! il primo controesempio che mi viene in mente: http://docs.sun.com/source/816-6408-10/history.htm > >> utilizzare il sistema banale da me descritto (un semplice HMAC) evita >> che spoofando la URL (o il POST, dato che VODAFONE.IT adesso ha >> modificato da GET a POST!!! almeno questo dopotutto hanno capito...) >> si ottengono le tutte informazioni per accedere, con un CUT&PASTE >> ATTACK :). > > Non diciamo termini a caso, per favore. Che significa "spoofando la URL" ? ... scusate lo slang!!! Intendevo: "venuti in possesso della URL", cmq mi aspettavo una riposta nel merito e non sulla terminologia. > >> SSL usato così mi ricorda l'RC4 usato in WEP > > Ma non diciamo cose che non stanno ne' in cielo ne' in terra, per cortesia. non volevo farti arrabbiare! C'è una ragione ben specifica per quella frase, come tu ben sai nel WEP viene utilizzato RC4. I problemi di sicurezza subito ('99) nati nel WEP (non le weakness scoperte nel 2004) erano riguardanti non RC4 in se' ma l'adozione di un IV-space troppo piccolo per il suo uso (24bit). Quindi RC4 era relativamente sicuro ma il WEP no. Ne ho fatto la similitudine con il processo di autenticazione di vodafone.it -> SSL è sicuro ma il sistema che lo implementa ha fatto delle scelte bieche (uid e pw in chiaro nella URL) che introducono altre falle. Ripeto: Chiudo la porta a chiave con un lucchetto indistruttibile e poi esco lasciando la finestra a piano terra spalancata?? > >> implementazione bieca. Non si può pensare che SSL sia la soluzione a >> ogni problema. > > No, ma nemmeno inventarsi problemi assurdi, quando i problemi di > sicurezza delle transazioni di oggi si chiamano drive-by download. Cioè stai dicendo "il mondo ha ben altri problemi che questo"? certo, ma possiamo cmq discuterne, e il fatto che vodafone.it sia passato da GET a POST è indice che qualcosa dopotutto è servito. Poi magari cambieranno anche la pw in chiaro. ma: Quale sarebbe il "problema assurdo inventato" ? > > -- > Cordiali saluti, > Stefano Zanero > > Politecnico di Milano - Dip. Elettronica e Informazione > Via Ponzio, 34/5 I-20133 Milano - ITALY > Tel. +39 02 2399-4017 > Fax. +39 02 2399-3411 > E-mail: [email protected] > Web: http://home.dei.polimi.it/zanero/ > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
smime.p7s
Description: S/MIME cryptographic signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
