PDA

Visualizza la versione completa : Heartbleed e forum.html.it


Little Hawk
10-04-2014, 10:41
Stavo facendo uno scan giusto per curiosita' (con l'intento di avvisare nel caso il sito fosse vulnerabile) e ho notato che non usa neanche SSL per l'auth??? WUT? Non me ne ero accorto prima. Spiegazione?


<form id="navbar_loginform" action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)">

Max Della Pena
10-04-2014, 10:46
Mi pare evidente.

Little Hawk
10-04-2014, 10:47
Mi pare evidente.

Evidente cosa? Quanto costa un certificato oggi?

Max Della Pena
10-04-2014, 10:53
Eè evidente che è come hai indicato tu.
Io generalmente faccio autocertificazione dove è possibile.

Kahm
10-04-2014, 12:05
Mi pare evidente.
giusto
hanno appena dimostrato una vulnerabilità protocolli protetti

URANIO
10-04-2014, 13:09
Stavo facendo uno scan giusto per curiosita' (con l'intento di avvisare nel caso il sito fosse vulnerabile) e ho notato che non usa neanche SSL per l'auth??? WUT? Non me ne ero accorto prima. Spiegazione?


<form id="navbar_loginform" action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)">
Concordo.
A quanto ho capito tutto il forum dovrebbe girare in https se si vuole il login in HTTPS, probabilmente non vogliono questo.

LeleFT
10-04-2014, 13:18
E a che pro, poi... non è mica l'home banking, non ci sono dati sensibili, non ci sono informazioni su carte di credito, non si fanno pagamento on-line... a che serve HTTPS sul forum di HTML.it?

Little Hawk
10-04-2014, 14:05
E a che pro, poi... non è mica l'home banking, non ci sono dati sensibili, non ci sono informazioni su carte di credito, non si fanno pagamento on-line... a che serve HTTPS sul forum di HTML.it?
:eek:

chumkiu
10-04-2014, 14:16
Mi unisco. A che pro?
La stragrande maggioranza delle informazioni che inserisci sono già pubbliche (i post sono pubblici, i tuoi dati anche).
La password è già criptata lato client prima dell'invio, quindi nemmeno te la intercettano al momento del login (nel caso usassi la stessa per la tua email dove tieni i pin del bancomat).

Rimane la sessione. ok... ti fregano la sessione e... ?

URANIO
10-04-2014, 14:20
E a che pro, poi... non è mica l'home banking, non ci sono dati sensibili, non ci sono informazioni su carte di credito, non si fanno pagamento on-line... a che serve HTTPS sul forum di HTML.it?
Il discorso è che (vedi una rete aziendale) la tua password può facilmente essere intercettata.
Il problema è poi che nel 90% dei casi si usano sempre password simili o le stesse per altri servizi, magari non per i servizi bancari ma è molto probabilmente che la password che usi qua la usi anche per facebook o gmail etc.
Una piccola crepa nel muro che se sfruttata può diventare una voragine.

cmq da quanto ha postato hawk viene fatto un hash della password prima di inviarla e quindi non è così facile risalire alla password se non è banale.

Loading