Comments on: Advisory: PLURIME vulnerabilità su Infostrada.it Libero.it http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/ Matteo Flora parla di WebApp Sec e New Media Sun, 07 Sep 2008 10:37:44 +0000 http://wordpress.org/?v=2.6.1 By: luc http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-50128 luc Sun, 22 Apr 2007 14:03:05 +0000 http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-50128 <p>A mio parere divulgare pubblicamente le falle senza prima dare tempo a Libero di correggerlo è peggio</p> A mio parere divulgare pubblicamente le falle senza prima dare tempo a Libero di correggerlo è peggio

]]> By: Cypher Security » [libero infostrada] Nuove vulnerabilità (xss) http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-45163 Cypher Security » [libero infostrada] Nuove vulnerabilità (xss) Wed, 04 Apr 2007 08:47:33 +0000 http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-45163 <p>[...] libero a “tappare” alcune delle falle più evidenti da loro segnalate. Personalmente (e non sono il solo) mi sento di criticare profondamente il comportamento adottato dal managment di libero ed [...]</p> [...] libero a “tappare” alcune delle falle più evidenti da loro segnalate. Personalmente (e non sono il solo) mi sento di criticare profondamente il comportamento adottato dal managment di libero ed [...]

]]> By: sp0nge http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44175 sp0nge Thu, 29 Mar 2007 21:47:53 +0000 http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44175 <p>Ciao Matteo e ciao a tutti... bhé che dire... ahimé quando vai a parlare di security senti le peggio cose... non sapete che difficoltà poi si incontra quando spieghi alla gente che è opportuno rivedere il codice applicativo prima del deploy...</p> <p>:(</p> <p>Amari saluti a tutti sp0nge</p> Ciao Matteo e ciao a tutti… bhé che dire… ahimé quando vai a parlare di security senti le peggio cose… non sapete che difficoltà poi si incontra quando spieghi alla gente che è opportuno rivedere il codice applicativo prima del deploy…

:(

Amari saluti a tutti
sp0nge

]]> By: Antonio http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44142 Antonio Thu, 29 Mar 2007 16:53:14 +0000 http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44142 <p>Solo un paio di considerazioni stringate:</p> <ul> <li><p>e' risaputo che nel panorama web nostrano la security è spesso tenuta in scarsa considerazione: senza scomodare attacchi di injection vari, vogliamo ricordare che buona parte delle autenticazioni (ad es. web mail) sono in chiaro? ... non che l'ssl sia la panacea di tutti i mali, tuttavia non credo che il costo di qualche certificato x.509 per i server sia proibitivo per un colosso come wind.</p></li> <li><p>Evidentemente a libero.it sono poco inclini alla gratitudine e credono più alla security through obfuscation ;)</p></li> </ul> Solo un paio di considerazioni stringate:

  • e’ risaputo che nel panorama web nostrano la security è spesso tenuta in scarsa considerazione: senza scomodare attacchi di injection vari, vogliamo ricordare che buona parte delle autenticazioni (ad es. web mail) sono in chiaro? … non che l’SSL sia la panacea di tutti i mali, tuttavia non credo che il costo di qualche certificato x.509 per i server sia proibitivo per un colosso come wind.

  • Evidentemente a libero.it sono poco inclini alla gratitudine e credono più alla security through obfuscation ;)

]]> By: Tentacolo Viola http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44136 Tentacolo Viola Thu, 29 Mar 2007 16:36:01 +0000 http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44136 <p>Vi segnalo che il bug "magistralmente" corretto da Libero è riemerso sotto altra forma: http://blog.libero.it/XSS/login.php?rest=1&from=http://www.myevilsite.com</p> <p>il problema è che il parsing delle URL deve essere un "modus operandi"...correggere la pagina di appoggio del redirect non fixa il bug...</p> Vi segnalo che il bug “magistralmente” corretto da Libero è riemerso sotto altra forma:
http://blog.libero.it/XSS/login.php?rest=1&from=http://www.myevilsite.com

il problema è che il parsing delle URL deve essere un “modus operandi”…correggere la pagina di appoggio del redirect non fixa il bug…

]]> By: Tentacolo Viola http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44135 Tentacolo Viola Thu, 29 Mar 2007 16:26:01 +0000 http://www.lastknight.com/2007/03/29/advisory-plurime-vulnerabilita-su-infostradait-liberoit/#comment-44135 <p>Libero continua a rimediare ai bug con il solito approccio da "cantinaro"... La prima vulnerabilità è stata patchata (la solita toppa messa in fretta...ed in silenzio). Non mi pare una strada vincente da percorrere...</p> Libero continua a rimediare ai bug con il solito approccio da “cantinaro”…
La prima vulnerabilità è stata patchata (la solita toppa messa in fretta…ed in silenzio).
Non mi pare una strada vincente da percorrere…

]]>