Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 11
  1. #1
    Guest
    Registrato dal
    Jun 2012
    residenza
    Espoo, Finland
    Messaggi
    286

    Heartbleed e forum.html.it

    Stavo facendo uno scan giusto per curiosita' (con l'intento di avvisare nel caso il sito fosse vulnerabile) e ho notato che non usa neanche SSL per l'auth??? WUT? Non me ne ero accorto prima. Spiegazione?


    <form id="navbar_loginform" action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)">

  2. #2
    Utente di HTML.it L'avatar di Max Della Pena
    Registrato dal
    Jan 2014
    residenza
    Udine
    Messaggi
    333
    Mi pare evidente.
    Mi chiedo, caro Alberto, se questo antifascismo rabbioso che viene sfogato nelle piazze oggi a fascismo finito, non sia in fondo un’arma di distrazione che la classe dominante usa su studenti e lavoratori per vincolare il dissenso.

  3. #3
    Guest
    Registrato dal
    Jun 2012
    residenza
    Espoo, Finland
    Messaggi
    286
    Quote Originariamente inviata da Max Della Pena Visualizza il messaggio
    Mi pare evidente.
    Evidente cosa? Quanto costa un certificato oggi?
    Ultima modifica di Little Hawk; 10-04-2014 a 10:51

  4. #4
    Utente di HTML.it L'avatar di Max Della Pena
    Registrato dal
    Jan 2014
    residenza
    Udine
    Messaggi
    333
    Eè evidente che è come hai indicato tu.
    Io generalmente faccio autocertificazione dove è possibile.
    Mi chiedo, caro Alberto, se questo antifascismo rabbioso che viene sfogato nelle piazze oggi a fascismo finito, non sia in fondo un’arma di distrazione che la classe dominante usa su studenti e lavoratori per vincolare il dissenso.

  5. #5
    Utente di HTML.it L'avatar di Kahm
    Registrato dal
    Dec 2004
    residenza
    Rome
    Messaggi
    3,549
    Quote Originariamente inviata da Max Della Pena Visualizza il messaggio
    Mi pare evidente.
    giusto
    hanno appena dimostrato una vulnerabilità protocolli protetti
    NN vi diro mai chi sono in realta,
    tutti i miei 3D sono orfani, non insistete per farmi rispondere ai 3D aperti da me

  6. #6
    Moderatore di Windows e software L'avatar di URANIO
    Registrato dal
    Dec 1999
    residenza
    Casalpusterlengo (LO)
    Messaggi
    1,254
    Quote Originariamente inviata da Little Hawk Visualizza il messaggio
    Stavo facendo uno scan giusto per curiosita' (con l'intento di avvisare nel caso il sito fosse vulnerabile) e ho notato che non usa neanche SSL per l'auth??? WUT? Non me ne ero accorto prima. Spiegazione?


    <form id="navbar_loginform" action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)">
    Concordo.
    A quanto ho capito tutto il forum dovrebbe girare in https se si vuole il login in HTTPS, probabilmente non vogliono questo.

  7. #7
    Moderatore di Programmazione L'avatar di LeleFT
    Registrato dal
    Jun 2003
    Messaggi
    17,303
    E a che pro, poi... non è mica l'home banking, non ci sono dati sensibili, non ci sono informazioni su carte di credito, non si fanno pagamento on-line... a che serve HTTPS sul forum di HTML.it?
    "Perchè spendere anche solo 5 dollari per un S.O., quando posso averne uno gratis e spendere quei 5 dollari per 5 bottiglie di birra?" [Jon "maddog" Hall]
    Fatti non foste a viver come bruti, ma per seguir virtute e canoscenza

  8. #8
    Guest
    Registrato dal
    Jun 2012
    residenza
    Espoo, Finland
    Messaggi
    286
    Quote Originariamente inviata da LeleFT Visualizza il messaggio
    E a che pro, poi... non è mica l'home banking, non ci sono dati sensibili, non ci sono informazioni su carte di credito, non si fanno pagamento on-line... a che serve HTTPS sul forum di HTML.it?

  9. #9
    Mi unisco. A che pro?
    La stragrande maggioranza delle informazioni che inserisci sono già pubbliche (i post sono pubblici, i tuoi dati anche).
    La password è già criptata lato client prima dell'invio, quindi nemmeno te la intercettano al momento del login (nel caso usassi la stessa per la tua email dove tieni i pin del bancomat).

    Rimane la sessione. ok... ti fregano la sessione e... ?

  10. #10
    Moderatore di Windows e software L'avatar di URANIO
    Registrato dal
    Dec 1999
    residenza
    Casalpusterlengo (LO)
    Messaggi
    1,254
    Quote Originariamente inviata da LeleFT Visualizza il messaggio
    E a che pro, poi... non è mica l'home banking, non ci sono dati sensibili, non ci sono informazioni su carte di credito, non si fanno pagamento on-line... a che serve HTTPS sul forum di HTML.it?
    Il discorso è che (vedi una rete aziendale) la tua password può facilmente essere intercettata.
    Il problema è poi che nel 90% dei casi si usano sempre password simili o le stesse per altri servizi, magari non per i servizi bancari ma è molto probabilmente che la password che usi qua la usi anche per facebook o gmail etc.
    Una piccola crepa nel muro che se sfruttata può diventare una voragine.

    cmq da quanto ha postato hawk viene fatto un hash della password prima di inviarla e quindi non è così facile risalire alla password se non è banale.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.