Re: Internet banking security hole

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: Internet banking security hole
Mittente: Cristiano Longo
Data: 1 May 2004 18:13:15 -0000

In data Tue, 6 Apr 2004 11:29:13 +0200, Damiano Bolzoni <damiano.bolzoni@xxxxxx> ha scritto:

A mio parere non è possibile essere certi che una sessione venga
correttamente terminata, soprattutto se non si vogliono impiegare certe
tecniche.

Probabilmente questa tua affermazione, soprattutto mettendo in rilievo la seconda parte, è corretta. Si può poi riflettere che tutti i modi "noti" per tracciare le sessioni(utilizzando variabili mandate via POST o GET) sono equivalenti ai cookies, con la differenza che possono essere meno agevolmente controllate. Ad esempio, nel caso di id di sessione passato via url(vedi php), è impossibile impedire che venga recuperato usando il back del browser.

Il caso specifico, tuttavia, manifesta un mal funzionamento di altro genere. Parliamo di utenti che si autenticano e per i quali dovrebbe essere aperta una nuova sessione. Mi sembra un chiaro caso di errata progettazione del software.

--
Cristiano Longo
Home  : cristianolongo.altervista.org
e-mail : cristiano_longo@xxxxxxxx

Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: nuova vulnerabilità tcp, Dario Lombardo
- successivo: DL 196 e più ditte con Hw comune, emanuele gostoli
- indice

Argomento:
- precedente: Re: nuova vulnerabilità tcp, Marco Vettor
- successivo: Re: Internet banking security hole, Guido Serra
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005