Hello todos, quello che non ho ancora capito se è stata fatta una disclosure responsabile per questo "bug", quindi si sia avvisata Vodafone in qualche maniera e si sia in qualche modo concordata la tempistica dell'annuncio.
Ogni tanto ho nostalgia di come si fa disclosure da altre parti... Indeed... On May 30, 2010, at 7:43 PM, Alessandro Romani wrote: > Dal mio punto di vista "paranoico" avrei preferito una scelta molto più > restrittiva: Attenzione, questa scelta implementativa potrebbe (non conosco i dettagli quindi ipotizzo) essere a valle di un'attività di threat model. Ipotizziamo non lo sia, quindi diciamo che effettivamente la scelta possa essere discutibile. > 1) Form inviato in POST (come, d'altronde, si insegna sulla guida base > di HTML). Questo ti cautela dallo shoulder surfing, non se l'attaccante compie un attacco di phishing. In questo caso che sia una POST o una GET nn ti importa molto perché tanto sei riuscito a fare una mail perfettamente identica a quella di vodafone, tirar su un sito forgiando il certificato di vodafone... insomma l'attaccante ha dimostrato un po' di skill, che vuoi che sia una POST o una GET, si è già guadagnato la pagnotta :-) > 2) Hash della password sempre e comunque, a prescindere dalla presenza > di un certificato SSL. Per evitare che qualche lettore usi md5 o sha1 e si senta al riparo da un attacco criptoanalitico, sarebbe meglio parlare di cifratura del dato piuttosto che di hashing banale. Oppure consigliare direttamente SHA256. Il tutto IMHO. > Questo per il semplice motivo che preferisco avere più livelli di > protezione piuttosto che un unico point of failure. D'altra parte sono > già noti, in the wild, attacchi man in the middle in cui colui che sta > nel mezzo può dichiarsi Vodafone.it, sniffare il contenuto e reinoltrare > la richiesta al sito leggittimo comportandosi, di fatto, da proxy. Ci passi qualche link? Ciao ciao Paolo -- thesp0nge // application security foo -- The information transmitted is intended for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
