On 06/06/10 15:58, nicola mondinelli wrote: > Mi rendo conto di parlare arabo:
Magari invece sono io che mi spiego male: ci riprovo. > Non è un problema di SSL. SSL da > tutte le garanzie del mondo(autenticazione, confidenzialità, > intergrità, non ripudio ecc...), ma solo tra i due endpoint. Oh, e fino a qui ci siamo. > sicura all'interno del canale SSL ma poi, sul server viene consegnata > a destra e a manca Ma se io ho accesso al server SU CUI ti stai autenticando (e da cui, fin troppo spesso, hai accesso al DB degli utenti in chiaro...), il modello di minaccia e' un altro. Non sto dicendo che non sia sbagliato usare una get (l'ho detto nella prima mail: la soluzione e' passare a una post). Sto dicendo che generalizzare questo a "allora faccio l'hash e lo passo all'indietro, con l'uso di un nonce come challenge" e' una cosa completamente inutile :-) >> non improbabili nonce via HTTP e Javascript. > capisco il tuo disprezzo, ma se non porti argomentazioni a riguardo è > un po inutile alla discussione. Non e' disprezzo: e' una constatazione, un javascript client side non protegge niente di piu' di cio' che e' protetto da SSL. >> Se hai accesso al PC di una persona, SSL e le URL sono l'ultimo dei >> tuoi problemi. > Certo, perchè la browser history la puoi accedere solo se se > fisicamente sul PC!!! il primo controesempio che mi viene in mente: > http://docs.sun.com/source/816-6408-10/history.htm Non penso tu abbia ben compreso limitazioni e vincoli dell'usare quella funzione per leggere da remoto la history (hint: non puoi ottenerla tutta, puoi fare domande e avere risposte. E quindi, non ti aiuta per quello di cui stiamo discutendo). > ... scusate lo slang!!! Intendevo: "venuti in possesso della URL", Siccome "spoofing" significa il simmetrico di "sniffing", non e' slang: e' sbagliato. > cmq mi aspettavo una riposta nel merito e non sulla terminologia. Ti ho risposto nel merito in un altro messaggio. Se la comunicazione non e' protetta da SSL, il tuo metodo non serve a nulla (giacche' tutto cio' che accade lato javascript puo' a sua volta essere fatto saltare). Se la comunicazione e' protetta da SSL, il tuo metodo non serve a nulla, a meno che l'aggressore a) controlli il server (e allora non serve a nulla per altre ragioni), oppure b) controlli il client (e allora non serve a nulla per altre ragioni). > GET a POST è indice che qualcosa dopotutto è servito. Poi magari > cambieranno anche la pw in chiaro. Che non e' in chiaro da nessuna parte (specie avendo cambiato da GET a POST), ma vabbe', inutile ripetersi ulteriormente. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
