se chiamo una pagina del tipo:
https://www.nomeserver.ext/script.ph...assword=123456
questa chiamata è sicura oppure no?
quali i problemi e come ovviare?
se chiamo una pagina del tipo:
https://www.nomeserver.ext/script.ph...assword=123456
questa chiamata è sicura oppure no?
quali i problemi e come ovviare?
Sì, credo di sìOriginariamente inviato da speriamobene
se chiamo una pagina del tipo:
https://www.nomeserver.ext/script.ph...assword=123456
questa chiamata è sicura oppure no?
quali i problemi e come ovviare?. Magari senti il parere di qualche esperto del forum, ma io credo di sì!! Perché https a differenza di http, usa la crittografia, e quindi i parametri che vengono passati durante la chiamata non sono in realtà la VERA password e il vero id, ma i valori criptati. Ad esempio te scrivi id=paolo, password=12345678, e la chiamata sarà del tipo:
https://www.nomeserver.ext/script.ph...4jf5292jfgyg61
"Nessuno mi ha visto farlo, e non puoi provarlo in nessun modo!" (Bart Simpson)
>>> www.ombresulweb.com <<<
La chiamata in sè è crittata, ma i valori vengono comunque mostrati nella querystring sul browser, non puoi usare il metodo POST?
Debian GNU/Linux sid
Publishing a theory should not be the end of one's conversation with the universe, but the beginning. (Eric S. Raymond)
Kernel 2.6.14-ck1
purtroppo non posso usare POST.
comunque, se utilizzassi da php curl... dovrei essere 'relativamente' sicuro, vero?
Non so cosa sia curlma uno sniffer in ogni caso non vede "password=valore", quindi da questo punto di vista sei sicuro.
Debian GNU/Linux sid
Publishing a theory should not be the end of one's conversation with the universe, but the beginning. (Eric S. Raymond)
Kernel 2.6.14-ck1
Tutto l'URL è crittografato, uno sniffer "normale" potrebbe solo vedere che c'è stata una richiesta, senza sapere che parametri hai passato a che script. Un rischio che corri comunque è sempre un attacco di tipo man in the middle. Ah comunque... CURL può anche inviare POST casomai.
Perchè un attacco MitM dovrebbe "decrittare" i valori dei parametri?
Debian GNU/Linux sid
Publishing a theory should not be the end of one's conversation with the universe, but the beginning. (Eric S. Raymond)
Kernel 2.6.14-ck1
Scusa eh, maa... che cazzo di domanda è? Il principio di base del man in the middle è proprio decifrare le transazioni...Originariamente inviato da Kamui
Perchè un attacco MitM dovrebbe "decrittare" i valori dei parametri?
E il principio base della crittografia, e quindi di HTTPS, è rendere impossibile decifrare i dati (che rimangono sniffabili per problemi dei protocolli sottostanti)
Debian GNU/Linux sid
Publishing a theory should not be the end of one's conversation with the universe, but the beginning. (Eric S. Raymond)
Kernel 2.6.14-ck1
Con un MITM l'intrusore può partecipare attivamente alla fase di scambio dei certificati. Come vedi in questo caso possiede tutte le informazioni per decifrare al volo il traffico.Originariamente inviato da Kamui
E il principio base della crittografia, e quindi di HTTPS, è rendere impossibile decifrare i dati (che rimangono sniffabili per problemi dei protocolli sottostanti)
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Permessi di invio
Rispondi quotando
