HTTPS

Si sta parlando tantissimo in questi giorni della vulnerabilità JavaScript di Adobe Reader. Ma c’è qualcosa di molto più interessante e pericoloso che sta passando in secondo piano. Questa presentazione fatta al black hat è molto interessante. Simpatica questa citazione:

And then in 2002...
Microsoft did something particularly annoying, and
I blew this up by publishing it.
Microsoft claimed that it was impossible to exploit.
So I also published a tool that exploits it.

Raccomandazione obbligatoria: non fidarsi del redirect automatico da http a https come avviene ad esempio per Hotmail, Gmail, alcune banche, ecc. Possibilmente creare bookmark alle pagine di login in versione https, soprattutto in presenza di reti pubbliche.

-quack

Potrebbero interessarti anche:
Commenti (7):
1. Jack
lunedì 23 febbraio 2009 alle 10:28 AM - firefox 20080528 Linux
   

Best practice so far:

 

digitare il sito della banca o della mail con https compreso, mai da link o da preferiti!

 

Vedi qui: www.microsoft.com/.../prevent.mspx

 

al punto 5.

 

E su questo niente da dire, purtroppo le vulnerabilità si appoggiano sempre di più ai browser che possono essere multipiattaforma!

 

Ciao.

   
2. Blackstorm
lunedì 23 febbraio 2009 alle 11:11 PM - firefox 3.0.6 Windows Vista
   

Domanda: ma è quello che sembra, ossia un attacco platform&browser independent? Ossia è un problema strutturale di come è fatta internet (in questo caso l'autenticazione dei certificati)?

   
3. Paperino
martedì 24 febbraio 2009 alle 3:42 AM - IE 7.0 Windows 7
   

Correcto

   
4. Blackstorm
martedì 24 febbraio 2009 alle 5:36 PM - firefox 3.0.6 Windows Vista
   

Pesantissimo...

   
5. zakk
martedì 24 febbraio 2009 alle 7:57 PM - safari 525.27.1 OS X 10.5.6
   

A chi usa gmail consiglio di usare GMail Notifier, che usa automaticamente https...

   
6. RNiK
giovedì 26 febbraio 2009 alle 6:32 PM - firefox 3.0.6 Windows XP
   

Raccomandazione ben più obbligatoria: utilizzare Firefox + NoScript (si Paperino, dico proprio a te!! XD)

   
7. Paperino
giovedì 26 febbraio 2009 alle 7:34 PM - IE 7.0 Windows 7
   

Preferisco piuttosto parlarci in binario sollevando la cornetta....

   
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)