2010/12/31 Andrea Dainese <[email protected]>: > 2010/12/29 Paolo Giardini <[email protected]>: >> ...con username, password e codice fiscale in chiaro nell'url... >> >> https://www.passaportonline.poliziadistato.it/LogInAction.do?username=pippo&password=passpippo&codiceFiscale=wwewer56p45w456o&codop=logUtente > > Ricordo questo thread http://www.sikurezza.org/ml/06_10/msg00004.html > nel quale alla fine si era detto OK a GET+SSL. Personalmente eviterei > GET, non fosse altro perchè di default è scritto in chiaro nei log del > webserver e nella cache del browser.
Il protocollo HTTP specifica che le richieste GET debbano essere sostanzialmente prive di effetti collaterali e ripetibili ad libitum (ad esempio, da un caching proxy). Usare una GET per un'operazione di login (che presumibilmente ha effetti server-side: creazione di una sessione, possibile rimozione delle sessioni precedenti, etc) quindi è "sbagliato" dal punto di vista del protocollo o quantomeno una forzatura. Poi, se questo diventi o no un problema di sicurezza dipende da molte cose. Una che mi viene in mente subito: i browser non si fanno alcun problema ad effettuare richieste GET senza conferma dell'utente. Basta che la vittima visiti un forum che permetta di inserire immagini ospitate su server esterni e posso loggarla su un account differente. Immagino che un utente inesperto possa non accorgersene e finire per fare operazioni o inserire proprie informazioni su un account non suo. Se non sono previsti token di sessione e la GET viene ripetuta con username e password anche per i comandi inviati dall'utente, posso addirittura fargli compiere operazioni su altri account a sua totale insaputa, però si spera che nessun autore di web application sia così decerebrato! > La mia domanda è: Java/Javascript a parte, esiste una possibilità > concreta e sicura di creare un hash lato browser e verificarla lato > server? Che io sappia no, a meno di usare qualche plugin esterno, ma > non sono certo il più informato sul tema. Volendo, c'è l'autenticazione HTTP digest. Un paper sull'autenticazione dei client: http://cookies.lcs.mit.edu/pubs/webauth:tr.pdf Saluti -- Jacopo Corbetta
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
