On 04/12/2014 07:01 AM, Roberto Battistoni wrote: > Poi se mi > interessa attaccare una infrastruttura, i server che usano SSL li > attacco tutti e se con qualcuno non ho successo, magari con un altro > sì ;) >
Al riguardo, un dubbio che ho da quando si discute questo baco è: su grosse infrastrutture, non è normale fare l'offload della gestione dell'SSL su macchine dedicate o almeno su reverse proxy o bilanciatori? In questo caso, la "densità di informazione utile" in memoria, in termini di chiavi, cookies e simili dovrebbe essere molto alta su questi sistemi, che sarebbero quelli vulnerabili, mentre invece le password dovrebbero essere meno comuni. Al contrario su infrastrutture più piccole. Sbaglio? -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
