On Wed, May 20, 2009 at 08:33:48PM +0200, Giuseppe Gippa Paterno' wrote:
Ciao!
in questi giorni ci stavamo interrogando
(http://allievi.sssup.it/techblog/?p=81) sul servizio di
autoconfigurazione dei proxy wpad.
Secondo me questo e' un buco piu' di una funzionalita' del
"facilitatore" del browser, che spesso per facilitare l'utente appende
in autonomia un dominio.
la cosa e' nota da ere geologiche, guardate http://wpad.com/
Probabilmente la stessa funzione di codice e' stata utilizzata
(erroneamente) anche per il wpad: in realta' il browser dovrebbe
limitarsi al dominio locale o (proprio ad esagerare) ai search domains
della macchina.
il resolver di windows risale automaticamente la gerarchia del dominio
locale.... (non ricordo esattamente se si fermi prima del tld.),
la funzionalita' e' anche utile in un network con subdomain
dipartimentali... e credo sia _molto_ utile se questi sono rami di una
foresta ADS.
sempre meglio del networkmanager di ubuntu al quale e' impossibile
passare una searchlist via dhcp....
Forse mi tirero' le ire dietro di molti, ma non sarei d'accordo al fatto
che il nic ".it" o altri nic bloccassero il wpad, in fondo non compare
in nessun RFC ma e' un de-facto standard. Da quello che ricordo dalla
"defunta" ITA-PE, il NIC dovrebbe bloccare i protocolli noti, non
eventuali protocolli non standard e per di piu' male implementati.
uhm, ricordando la fatica che feci quasi 15 anni fa per registrare il
mio dominio, credo che si sia passati da un estremo all'altro, quindi
credo sia ragionevole bloccare la registrazione di certe porcate.
Sono d'accordo con te sul fatto che e' un potenziale punto di attacco e
che questo comportamento va fissato sul browser.
assolutamente....
Short-term, vale la pena pensare ad un eventuale possibile filtraggio su
proxy, almeno per le aziende.
su proxy????, al limite taroccando la zona del dns, assieme a
time.windows.com e ad un altro po' di idiozie simili.
btw la mia lista di tarocchi sul dns sta diventando lunghetta da
mantenere.
L.
--
Luca Berra -- [email protected]
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
