| | Password in vista (non c'èntra l'OS) |    |
| |
| Autore | Messaggio |
|---|
Moder
Primi Passi
Età : 25
Registrato il : 24/01/08
Messaggi : 83
Localizzazione : MT5 :-)
 |  Oggetto: Password in vista (non c'èntra l'OS)  Mer Feb 06, 2008 9:38 pm | |
| Fino ad una settimana fa erano solo dubbi infondati, ovvero me lo aspettavo ma non ci ho mai fatto caso più di tanto. Di cosa sto parlando? Dei dati che inseriamo nei form di alcuni siti (Vodafone, Libero, ecc) e quindi anche la password.
Facendo una sessione di prova con Wireshark sono entrato nella mia WebMail di libero (dominio inwind.it) e ho digitato i miei dati. Risultati?
LIBERO:
1) Analizzando il traffico di rete, nel campo info dovete trovare una richiesta di tipo POST che dice:
POST /email.php HTTP/1.1 (application/x-www-form-urlencoded)
2) Andate nella sezione in basso e cliccate su "Line-based"
- Sorpresa, i vostri dati sono in chiaro, e anche la vostra password. - 
E Libero non è il solo. Penso che anche la Vodafone faccia così. Questo succede perché le connessioni dal Browser Web al WebServer non sono crittografate. La connessione protetta va dal Web Server al Mail Server (come Ianni ci insegna  ) per evitare che qualcuno legga la nostra posta, peccato che noi gli diamo direttamente la chiave della porta principale :-(
Comunque non disperate: per poter sniffare le vostre connessioni, dovrebbe esserci qualcuno (che non ha proprio niente da fare) lungo il percorso, e poi a chi interessa cosa c'è nella nostra posta elettronica?
Dovrebbe preoccuparsi più una banca per esempio 
Facciamo una cosa, chiunque ha voglia, può fare esperimenti con Wireshark e postare qui quali siti non adottano le dovute precauzioni, così magari ci esercitiamo un pò in vista dell'esame
P.S.
Mi raccomando, non sniffate troppo  |
|  | | Alucard
Primi Passi
Registrato il : 07/01/08
Messaggi : 97
Localizzazione : Castlevania
| | Oggetto: Re: Password in vista (non c'èntra l'OS) Mer Feb 06, 2008 10:30 pm | |
| | Moder ha scritto: | Fino ad una settimana fa erano solo dubbi infondati, ovvero me lo aspettavo ma non ci ho mai fatto caso più di tanto. Di cosa sto parlando? Dei dati che inseriamo nei form di alcuni siti (Vodafone, Libero, ecc) e quindi anche la password.
Facendo una sessione di prova con Wireshark sono entrato nella mia WebMail di libero (dominio inwind.it) e ho digitato i miei dati. Risultati?
LIBERO:
1) Analizzando il traffico di rete, nel campo info dovete trovare una richiesta di tipo POST che dice:
POST /email.php HTTP/1.1 (application/x-www-form-urlencoded)
2) Andate nella sezione in basso e cliccate su "Line-based"
- Sorpresa, i vostri dati sono in chiaro, e anche la vostra password. -
E Libero non è il solo. Penso che anche la Vodafone faccia così. Questo succede perché le connessioni dal Browser Web al WebServer non sono crittografate. La connessione protetta va dal Web Server al Mail Server (come Ianni ci insegna ) per evitare che qualcuno legga la nostra posta, peccato che noi gli diamo direttamente la chiave della porta principale :-(
Comunque non disperate: per poter sniffare le vostre connessioni, dovrebbe esserci qualcuno (che non ha proprio niente da fare) lungo il percorso, e poi a chi interessa cosa c'è nella nostra posta elettronica?
Dovrebbe preoccuparsi più una banca per esempio
Facciamo una cosa, chiunque ha voglia, può fare esperimenti con Wireshark e postare qui quali siti non adottano le dovute precauzioni, così magari ci esercitiamo un pò in vista dell'esame
P.S.
Mi raccomando, non sniffate troppo |
Concordo con moder, e ribadisco che ne sono affetti tutti i sistemi che dopo aver fatto login corretto non visualizzano nell'url l'uso del secure socket layer; quindi vodafone, uniwex e alice ad esempio non fanno passare i dati in chiaro, libero sì  ...
_________________
A. Einstein: "Tutti sanno che una cosa é impossibile da realizzare, finché arriva uno sprovveduto che non lo sa e la inventa" |
| | | | Carmine
Moderatore
Età : 21
Registrato il : 16/12/07
Messaggi : 654
Localizzazione : Cosenza
| | Oggetto: Re: Password in vista (non c'èntra l'OS) Mer Feb 06, 2008 11:37 pm | |
| hotmail, uniwex sono tutte crittografate, il problema è che c'è gente che sulla casella di posta di libero ci lascia account di altre cose e magari scopri le password di tutto  a parte la violazione della privacy ma se uno è bastardo ti cancella da uniwex dall'esame il giorno prima magari all'esame di ricerca operativa dove è necessaria la prenotazione vabbè il consiglio è di usare solo account https:// o almeno di non lasciare lì i dati sensibili 
_________________
Quando la massa vede in te un Pazzo e folli le cose che dici, folli le cose che pensi, folli le cose che fai, allora sorridi e guardandoti allo specchio inchinati: sei davanti a un Genio.
Perchè coloro che sono abbastanza folli da pensare di cambiare il mondo, sono quelli che poi lo fanno... |
| | | | KillerCD
Moderatore
Età : 22
Registrato il : 16/12/07
Messaggi : 348
Localizzazione : Proprio Cosenza Cosenza
| | Oggetto: Re: Password in vista (non c'èntra l'OS) Gio Feb 07, 2008 1:38 am | |
| | Moder ha scritto: | Fino ad una settimana fa erano solo dubbi infondati, ovvero me lo aspettavo ma non ci ho mai fatto caso più di tanto. Di cosa sto parlando? Dei dati che inseriamo nei form di alcuni siti (Vodafone, Libero, ecc) e quindi anche la password.
Facendo una sessione di prova con Wireshark sono entrato nella mia WebMail di libero (dominio inwind.it) e ho digitato i miei dati. Risultati?
LIBERO:
1) Analizzando il traffico di rete, nel campo info dovete trovare una richiesta di tipo POST che dice:
POST /email.php HTTP/1.1 (application/x-www-form-urlencoded)
2) Andate nella sezione in basso e cliccate su "Line-based"
- Sorpresa, i vostri dati sono in chiaro, e anche la vostra password. -
E Libero non è il solo. Penso che anche la Vodafone faccia così. Questo succede perché le connessioni dal Browser Web al WebServer non sono crittografate. La connessione protetta va dal Web Server al Mail Server (come Ianni ci insegna ) per evitare che qualcuno legga la nostra posta, peccato che noi gli diamo direttamente la chiave della porta principale :-(
Comunque non disperate: per poter sniffare le vostre connessioni, dovrebbe esserci qualcuno (che non ha proprio niente da fare) lungo il percorso, e poi a chi interessa cosa c'è nella nostra posta elettronica?
Dovrebbe preoccuparsi più una banca per esempio
Facciamo una cosa, chiunque ha voglia, può fare esperimenti con Wireshark e postare qui quali siti non adottano le dovute precauzioni, così magari ci esercitiamo un pò in vista dell'esame
P.S.
Mi raccomando, non sniffate troppo |
Visto che sfiga? E pensa che il fatto che ti sniffino una password è una delle cose meno cattive che ti può succedere nella grande rete 
_________________
Kabir: Se ignori l'albero, non conoscerai la foresta |
| | | | | Password in vista (non c'èntra l'OS) | |
|
| Pagina 1 su1 |
| | Permesso del forum: | Non puoi rispondere agli argomenti in questo forum
| |
| |
| |
Indice 
FAQ 
Cerca 
Registrare 
Connessione 
