Re: whitepaper: Il modo più semplice per aggirare SSL

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2003 ml@sikurezza.org
Soggetto: Re: whitepaper: Il modo più semplice per aggirare SSL
Mittente: eazy
Data: 6 Jun 2003 16:44:46 -0000

> Buongiorno a tutti.
> Voglio sottoporre alla vostra attenzione uno whitepaper che ho appena
> finito di scrivere:
>
> Il modo più semplice per aggirare SSL
>
> Abstract
> In questo documento viene illustrato come, con la semplice sostituzione di
> una stringa, sia spesso possibile aggirare un'implementazione "sicura"
> basata su un uso non adeguato di SSL.
[...]

Volevo segnalarti l'articolo "Code Injection" comparso sul numero 8 della zine 
Ondaquadra, in quanto affronta lo stesso problema da te evidenziato.
La tecnica utilizzata è leggermente differente, chi attacca non fa da proxy 
per la sessione http (non binda una porta locale della propria macchina) ma 
si limita a dirottare la sessione. Questo rende a mio avviso la cosa ancora 
più subdola in quanto non richiede dns spoofing/poisoning per portare a segno 
l'attacco.

Saluti
eazy

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Ma su che basi danno certe valutazioni ?, Michele Orsenigo
- successivo: Re: Bayesian Antispam, william maddler
- indice

Argomento:
- precedente: Re: Ma su che basi danno certe valutazioni ?, Cesare D'Amico
- successivo: I: Cookies e IE6.0, luigi capuzzello
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005