On 06/04/10 21:51, Marcello Magnifico wrote: > Altro modo per mettere in evidenza il rischio legato al metodo seguito: > > -Un server VNC nascosto, installato all'insaputa dell'utente
Di nuovo, risk assessment failure. Se la macchina ha un VNC trojan installato, il fatto che l'URL compaia sulla barra del browser e' l'ultimo dei problemi, cavoli. Perche' dove installo un VNC ci posso installare anche un benedettissimo keylogger! > magari addirittura da lui stesso (tramite un trojan). Ovviamente, col > passaggio al POST, da un keylogger non ci si difende; ma almeno da > questo si', ed e' gia' qualcosa. No, e' nulla (perche' riduci la vulnerabilita' su una minaccia infinitesima di una minaccia molto maggiore) > e domandandosi: e' sufficiente assumere che un servizio/applicativo di > rete sia ben protetto "solo" perche' usa qualche buon layer > crittografico nella connessione di rete? No, non e' sufficiente. > Un suggerimento anche migliore, per un futuro piu' lontano, e' > senz'altro l'impiego di un metodo di autenticazione basato sulla > gestione della sessione, nel quale i dati inseriti dall'utente per > identificarsi siano utilizzati solo al momento di iniziarla, e non in > maniera persistente durante tutta la sessione stessa. Non mi pare che il problema fosse questo (il problema era il passaggio via GET dei dati alla prima chiamata dopo la form di autenticazione, non per tutta la sessione...). Il resto della mail e' da manuale, ma non rilevante alla discussione. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
