Re: [ml] Attacco alla rete Tor

On 8/28/06, Marco A. Calamari <marcoc1@xxxxxxx> wrote:
[...]
> > Controllarli con cosa? :-)
>
> Con la testa e leggendo cosa ti dice la finestrella
>  del certificato appena ti colleghi, invece di
>  cliccare in automatico su yes.
>
> Tu controlli i certificati nuovi la prima volta
>  che ti colleghi con un sito, vero ?
>
> *Anche* se provengono da un Root popolare, che con
>  i settaggi di default della maggior parte dei browser
>  non aprirebbe nessuna finestrella.

E che senso ha controllarli? e cosa controlleresti "con la tua testa"?

Se non ti aprono nessuna finestrella e vengono (o meglio, /sono
firmati/) da una CA già conosciuta dal tuo browser, sai già che per lo
meno sono sicuramente associati al Common Name da cui provengono. Hai
una minima garanzia.

(Garanzia che è maggiore nelle ultime versioni di Firefox, visto che
questa garanzia può essere aggirata, come accennavo prima, creando una
serie di nested sub-CA che firmino il tuo certificato - vecchie
versioni di Firefox ed IE non "risalgono" più di un paio di livelli di
sub-Ca...).

Ma non c'è proprio un bel nulla da controllare, se non che il common
name "faccia il paio" con l'host che stai visitando. Il certificato
SSL/TLS di per sé non ti offre alcuna altra garanzia... poi non so, se
ci sono altre cose da controllare e che mi sfuggono, sono ben lieto di
conoscerle - so che per esempio, praticamente nessun browser, come
quasi nessuna applicazione che usi HTTPS, controlla le critical
extensions del certificato (in teoria, dovrebbero stabilire lo scopo
per cui il certificato è stato creato, ad es. un certificato creato
per il web ha scopi diversi da uno usato per firmare contenuti
digitali, ma in pratica nessuna applicazione - se non il firmware di
qualche cellulare - controlla queste critical extensions, e spesso e
volentieri non si comprano certificati diversi... ;-)). Ma in ogni
caso, non vedo alcun controllo manuale da poter fare che ti permetta
di evitare attacchi man in the middle o XSS - quelli che un browser
come una recente versione di Firefox già fa in automatico (magari con
qualche toolbar in più, tipo quella di Netcraft) sono già tutto quello
che ti serve - o comunque, non puoi "manualmente" fare nulla di più.

Poi, ripeto, felice di ricevere delucidazioni contrarie - c'è sempre da imparare


Cordiali saluti
--
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini