HTTPS

Si sta parlando tantissimo in questi giorni della vulnerabilità JavaScript di Adobe Reader. Ma c’è qualcosa di molto più interessante e pericoloso che sta passando in secondo piano. Questa presentazione fatta al black hat è molto interessante. Simpatica questa citazione:

And then in 2002...
Microsoft did something particularly annoying, and
I blew this up by publishing it.
Microsoft claimed that it was impossible to exploit.
So I also published a tool that exploits it.

Raccomandazione obbligatoria: non fidarsi del redirect automatico da http a https come avviene ad esempio per Hotmail, Gmail, alcune banche, ecc. Possibilmente creare bookmark alle pagine di login in versione https, soprattutto in presenza di reti pubbliche.

-quack