> > Dal mio punto di vista "paranoico" avrei preferito una scelta molto più
> > restrittiva:
> >
> > 1) Form inviato in POST (come, d'altronde, si insegna sulla guida base di
> > HTML).
>
> Lo abbiamo capito che lo preferisci, ma l'HTML consente entrambi,
> quindi se non ci sono stringenti motivi (che non sono stati portati
> fin'ora) non vedo perché spendere soldi per farlo cambiare
Il semplice shoulder surfing dovrebbe essere molto meno facile (e
infatti di solito lo e') se uno e' svelto a sufficienza sulla tastiera e
sceglie password complicate; che pero' in questo caso non servono piu' a
niente. Anzi, il rischio che qualcuno che non deve avere la password la
veda, magari per caso, durante la sessione o da una stampa, viene
moltiplicato a dismisura, al punto che non importa piu' nemmeno il modo
in cui ci si arriva (sotto ne indico comunque uno gia' meno banale),
perche' quando ci si arriva il danno e' totale.
Questo e' il motivo numero uno per "cassare" in partenza una scelta del
genere: in una web agency mediamente skillata, infatti, un programmatore
si beccherebbe una moderata tirata d'orecchi per questo, alla prima demo
interna; con l'obbligo effettivo di implementare, e alla svelta,
un'autenticazione un po' meno ingenua.
Se poi si insiste proprio nel voler considerare la cosa da un punto di
vista puramente software/remoto, come mi sembra si voglia fare, quel che
mi viene in mente sul momento e' che da un keylogger di certo non ci si
salva, ma da un serverino VNC installato all'insaputa dell'utente (giuro
che nel vario orrore su cui sono inciampato negli anni mi e' capitato di
vedere perfino questo) invece si'.
Rimane il fatto che tra il semplice vedere la sessione di qualcuno che
lavora in un applicativo e il disporre automaticamente, per questo, del
suo account c'e' una differenza notevole e sostanziale: mi sfugge come e
perche' passi cosi' facilmente sottovalutata. Non servivano proprio a
impedire questo, in origine, le password e i campi di inserimento
"ciechi"?
un saluto
Marcello
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
