[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2007 ml@sikurezza.org Soggetto: Re: R: [ml] WarBiking Milano! Wifi Hunting nella Metropoli... Mittente: Marco Ermini Data: Thu, 18 Oct 2007 12:08:06 +0200 (CEST)
On 10/9/07, Rissone Ruggero <ruggero.rissone@xxxxxxxxxxxxxxxx> wrote: [...] > In realta' chi si connette al nodo in oggetto, viene dirottato verso un walled > garden dove e' necessario autenticarsi (https) per poter effettivamente avere > accesso alla rete. In realtà quando ti connetti a FON, l'username e l'hash della password (che immagino venga calcolato da un JavaScript nella pagina di login...) vengono inviati via HTTP (non HTTPS) e come parametri in una richiesta GET (e quindi li vedi passare nella barra indirizzi del browser)... no comment. Via HTTPS avviene il successivo scambio di token, subito seguente al login. Ma il login in sé è una delle cosa più insicure che abbia mai visto... Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!"
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005