2010/12/29 Paolo Giardini <[email protected]>: > ...con username, password e codice fiscale in chiaro nell'url... > > https://www.passaportonline.poliziadistato.it/LogInAction.do?username=pippo&password=passpippo&codiceFiscale=wwewer56p45w456o&codop=logUtente
Ricordo questo thread http://www.sikurezza.org/ml/06_10/msg00004.html nel quale alla fine si era detto OK a GET+SSL. Personalmente eviterei GET, non fosse altro perchè di default è scritto in chiaro nei log del webserver e nella cache del browser. La mia domanda è: Java/Javascript a parte, esiste una possibilità concreta e sicura di creare un hash lato browser e verificarla lato server? Che io sappia no, a meno di usare qualche plugin esterno, ma non sono certo il più informato sul tema. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
