Claudio, se io sono abituato a cercare informazioni sulla homepage di www.example.com e qualcuno compromette quella pagina recupererei comunque informazioni sbagliate. Quindi che io le reperisca dalla home o da un qualsiasi altro file non cambia assolutamente nulla. Ribadisco il concetto già espresso da altri: stai facendo un caso su un problema che non esiste :)
Ciao On Thu, Mar 21, 2019 at 11:38 AM Claudio Telmon <[email protected]> wrote: > Forse non sono stato chiaro. La base è che quel file è nello stesso > contesto delle pagine che potrebbero essere oggetto di attacco, quindi > in caso di manipolazione delle pagine sarebbe manipolato anche il file. > Se si crea l'abitudine a cercare informazioni in quel file, allora in > caso di attacco si recupererebbero informazioni sbagliate. Se invece > (com'è adesso) nessuno sa neanche che quel file può esistere, allora il > fatto che un attaccante ci metta informazioni sbagliate è irrilevante. > Soprattutto, a fronte di un canale così debole per comunicare > informazioni, che ne sono tanti di migliori, come i campi txt del dns, che: > - in caso di compromissione del server web non sono influenzati > - sono gestiti molto più direttamente da chi si occupa dell'IT > dell'organizzazione, mentre un file sul server web sarà modificabile da > chi sviluppa le pagine, cosa che oltre ad essere un maggior problema in > termini organizzativi, è anche un ulteriore canale di attacco. > > Se tu in tutto questo ci vedi una teoria complottista o qualche > principio di sicurezza che non ti quadra, magari dimmi dove. Per favore > però, non "tutto fa, quindi mettiamo anche quel file". > > ciao > > - Claudio > > On 3/21/19 12:06 AM, Gerardo Di Giacomo wrote: > > Qualche sostenitore del "contro" farebbe la cortesia alla lista di > > fornire motivazioni valide e giustificate? D'altronde siamo tutti (?) > > professionisti del settore, dovremmo comunicare in modo appropriato e > > con un minimo di analisi critica. > > > > Finora ho solo letto teorie complottiste e nessun threat reale che > > giustificherebbe il non usare quello standard. > > > > Ringrazio in anticipo in nome di quelli a favore. > > > > Gerardo > > ------------------------------------------------------------------------ > > *From:* Claudio Telmon <[email protected]> > > *Sent:* Wednesday, March 20, 2019 5:32 AM > > *To:* [email protected]; Gabriele Carelli > > *Subject:* Re: [ml] Pareri su secuirty.txt > > > > > > > > On 3/19/19 10:12 AM, Gabriele Carelli wrote: > >> * il fatto che tale pagina possa essere "artefatta" con falsi contatti > >> in caso di attacco, come detto da qualcuno all'inizio della > >> discussione, è un non problema: in caso di attacco può essere > >> artefatta anche se prima non esisteva :-) > > > > Questo potrebbe succedere se fosse abituale cercare informazioni in quel > > file. Finché non lo è, le informazioni dovrebbero essere cercate in > > posti più affidabili. Quindi è proprio meglio che l'abitudine di crearlo > > e usarlo non ci sia. > > ________________________________________________________ > > > https://nam04.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.sikurezza.org&data=02%7C01%7C%7C9fd7b56b408c4674808108d6ad3ba176%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636886868951014792&sdata=pHDgkNPPUjJYRi%2FXy%2FR8iXID0t6cAIdodD9Bk%2FiTBwU%3D&reserved=0 > > - Italian Security Mailing List > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Carlo Pelliccioni
