2014-04-15 14:35 GMT+02:00 Paolo Perego: [...] > Io penso che sia una vulnerabilità grave... ma con tutte le sql > injection che ci sono in giro e che mi permettono di ottenere > esattamente quello che voglio senza sperare che mi cada in 64K dello [...]
Premetto che sono d'accordo col concetto, però non credo neanche che si debba fare una "classifica" e dire "dato che ho altre 10 SQL injection me ne frego di Heartbleed". Non mi sembra un modo costruttivo di ragionare. (non voglio suggerire che questo sia il modo in cui ragioni *tu* - vorrei solo evitare l'equivoco che qualcuno possa farlo!) > Heartbleed è diventato mainstream, ne parlano i media... ne parla il > corriere... ne parla repubblica... ne parla panorama ma alla fine mi > spaventa di più una backdoor che può essere stata piazzata in un > software commerciale... piuttosto vediamo di dare una mano a rivedere > i progetti open più importanti... diamo una scossa alla community. Piuttosto usiamolo per rendere più sicuri i siti delle nostre aziende/clienti. Io mi sono trovato con i reparti marketing che mi chiamavano per Heartbleed. Sono stato più veloce, perché ho testato +700 siti nella serata di martedì scorso ;-) - anche se solo per Heartbleed; però ho usato il bug per introdurre altre tematiche, ho fatto qualche altro scan più approfondito, ed ho espresso un concetto simile a: "non siamo vulnerabili, ma se abilitassimo la Perfect Forward Secrecy saremmo eventualmente più coperti da altri futuri bug: solo in questi ultimi mesi ne sono state scoperte tre diversi, quindi non si sa mai. Inoltre, dovremmo disabilitare il supporto ai client troppo vecchi e mandargli un messaggio "aggiorna la tua ciofeca di Windows 98" [sì ce li ho davvero nei web log!], eliminiamo i cipher più osceni e facciamo un bell'upgrade di Apache e PHP". > btw sto provando ad exploitare una web app di test mia... a fronte di > n login simulati, lanciando più volte l'exploit ho ottenuto garbage. > Ovviamente come test lascia il tempo che trova, però ecco... non è di > sicuro una cosa "schiocco le dita e mi da vita, morte e miracoli degli > utenti che fanno login". Senza offesa, questo ragionamento tanto a questo: https://yourlogicalfallacyis.com/personal-incredulity ;-) Probabilmente nemmeno *io personalmente* sarei così bravo da vincere il challenge di Cloudflare, ma il fatto che non ci riesca *io* significa poco. Quello più bravo ci ha messo 9 ore dall'inizio del contest. È stato documentato che FreeBSD/Apache espone la chiave privata *ad ogni riavvio* in modo *sistematico*. E chissà cos'altro si scoprirà da oggi in poi... Sono d'accordo che i media ci hanno pompato, ma perché fare del male alla nostra stessa community una volta tanto che abbiamo delle belle carte da giocare? :-) mi sembra più saggio "usarlo" in altro modo. Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
