> ci sono tante bei sistemi che hanno accesso a questa url > IN CHIARO:
Se ci sono componenti non-SSL importati in una pagina SSL, quello e' il problema ed eliminarli la soluzione, non improbabili nonce via HTTP e Javascript. > - la browser history (adesso vado sul pc Se hai accesso al PC di una persona, SSL e le URL sono l'ultimo dei tuoi problemi. > utilizzare il sistema banale da me descritto (un semplice HMAC) evita > che spoofando la URL (o il POST, dato che VODAFONE.IT adesso ha > modificato da GET a POST!!! almeno questo dopotutto hanno capito...) > si ottengono le tutte informazioni per accedere, con un CUT&PASTE > ATTACK :). Non diciamo termini a caso, per favore. Che significa "spoofando la URL" ? > SSL usato così mi ricorda l'RC4 usato in WEP Ma non diciamo cose che non stanno ne' in cielo ne' in terra, per cortesia. > implementazione bieca. Non si può pensare che SSL sia la soluzione a > ogni problema. No, ma nemmeno inventarsi problemi assurdi, quando i problemi di sicurezza delle transazioni di oggi si chiamano drive-by download. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
