On 04/14/2014 11:15 AM, Marco Ermini wrote: > Sono d'accordo. Potenzialmente, un off-loader per SSL potrebbe essere > condiviso da decine di siti nella stessa infrastruttura.
Che io sappia, questo è praticamente la norma quando si tratta di SMTP su SSL/TLS per domini in hosting, il che rende particolarmente interessante attaccare quel servizio. Ho anche > visto casi di certificati usati tramite SaN per dozzine di siti web - > vedi per esempio qua: > https://www.ssllabs.com/ssltest/analyze.html?d=infosec.co.uk&s=174.35.30.235 > - quindi immagina il danno se questo certificato viene compromesso... > sono pratiche non molto intelligenti secondo la mia opinione > personale. Secondo me non sono intelligenti a prescindere dalla compromissione del certificato. Un sito messo su un dominio ospitato da quel server si troverebbe un certificato valido per tutti gli altri siti ospitati da quel server, e potrebbe quindi "clonarli" senza che SSL neanche se ne accorga, potendo fare phishing o mitm "gratis". Magari si potrebbe dire che chi ha problemi di phishing non dovrebbe avere un sito in hosting, ma la realtà, anche guardando i domini del caso che citi, è diversa... > > In alcuni casi, bilanciatori "intelligenti" (es. F5) possono anche > fare l'autenticazione, per cui potrebbero anche contenere > username/password. Ancora maggiore "densità di informazione utile" in memoria ;) -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
