2010/12/31 Matteo Cappelli <[email protected]>: > Il 30 dicembre 2010 11:20, Alessandro Mauri - Cwnet S.r.l. > <[email protected]> ha scritto: >> Sicuramente poco elegante, ma non passa in chiaro nella trasmissione. > > In effetti giĆ dalla pagina in cui vengono richieste le credenziali di > accesso siamo in una sessione https. Quindi in una sessione di questo > tipo viene cifrato totalmente anche l'url? Io credevo solamente i > contenuti di una pagina, e che i parametri passati nell'url fossero > inviati in chiaro... Faccio qualche prova con wireshark :-).
Un po' difficile in una sessione HTTPS trasmettere una parte in chiaro gli header e il body criptato... anche se lo *volessi* fare non puoi. Forse dovrebbero disabilitare SSL 2.0, questo si'... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
