Wireshark

[lafan]

Ciao ragazzi mi potreste illuminare su una cosa?
Con un wireshark io posso sniffare nome utente e password di un account su un sito che non è connesso con connessione sicura (https) ma se questo fantomatico utente sta già dentro all'account e non deve rientrare come posso fare per vederle? In una pagina web, io so che c'è sempre un codice che in pratica dice al server "se l'utente non è loggato non visualizzare questa pagina, se l'utente lo è allora visualizza la pagina" e grazie a questi frammenti php posso vedere nome utente e psw anche se non logga nel momento che ho acceso wireshark?

Inoltre con la connessione https si è veramente sicuri su tutti i punti di vista?

Vorrei saperlo solo per scopi di didattica

[oregon]

Ciao ragazzi mi potreste illuminare su una cosa?
Con un wireshark io posso sniffare nome utente e password di un account su un sito che non è connesso con connessione sicura (https) ma se questo fantomatico utente sta già dentro all'account e non deve rientrare come posso fare per vederle? In una pagina web, io so che c'è sempre un codice che in pratica dice al server "se l'utente non è loggato non visualizzare questa pagina, se l'utente lo è allora visualizza la pagina" e grazie a questi frammenti php posso vedere nome utente e psw anche se non logga nel momento che ho acceso wireshark?

Inoltre con la connessione https si è veramente sicuri su tutti i punti di vista?

Vorrei saperlo solo per scopi di didattica

Allo stato attuale sì, con https sei sicuro. Per il resto, lascia stare le password di chi è connesso ...

[MItaly]

Sui dati "di riconoscimento" inviati per ogni richiesta, c'è molta variabilità a seconda di chi ha fatto il sito, si va da siti in cui la password viene re-inviata in plaintext dietro le quinte ad ogni richiesta (pochi ormai per fortuna) a web application in cui ad ogni giro è un challenge-response, più mille vie di mezzo con cookie che fanno da token di autenticazione o che contengono un hash della password.

In ogni caso, non mi sembra la sezione più corretta, sposto in Sicurezza informatica e Virus.

[LeleFT]

ma se questo fantomatico utente sta già dentro all'account e non deve rientrare come posso fare per vederle?

Probabilmente non potrai mai.
Se il sito è fatto con un minimo di intelligenza, le credenziali vengono inviate (e quindi possono essere "carpite") solo durante la fase di login. In questa fase il server verifica la correttezza delle credenziali dopodichè non fa altro che memorizzare in sessione l'ID dell'utente loggato (quindi niente nome utente e password). Tutto ciò che viaggia dal client al serve è l'ID della sessione... e di questo non te ne fai nulla.


Ciao.

[lafan]

Davvero grazie mille per le risposte! Spero che un giorno vi possa essere io di aiuto