Forum in HTTP non è sicuro?

[Giant Lizard]

Quote:

Originariamente inviato da Vince85

Partendo dal presupposto "tutto è possibile e niente è sicuro" credo non avresti dovuto manco aprire questa discussione visto che manco l'HTTPS allora sarebbe sicuro.

bè, mi risulta che l'HTTPS sia comunque più sicuro dell'HTTP. Non dubito che anche in presenza del primo qualcuno bravo riesca comunque a trovare qualche dato importante (magari usando altri metodi) però da quello che mi è stato detto è molto più complicato che con l'HTTP.

Quote:

Originariamente inviato da Vince85

A me non risulta che abbiano bucato la WPA2 del wifi protetto da una buona password o bucato la crittografia dell'HTTPS.
Che poi ci siano tecniche di phishing, social engineering e quan'altro non c'è dubbio ma con la crittografia e un minimo di esperienza si può affermare che nelle rete private, quanto meno, la sicurezza esiste.

ecco, a noi hanno fatto studiare l'esatto opposto ovvero che l'80% delle reti casalinghe non sono affatto sicure e che l'unica garanzia è che quelli veramente bravi e capaci ad entrare semplicemente non hanno l'interesse a farlo su reti di cittadini privati.

Quote:

Originariamente inviato da zeMMeMMez

Esiste... esiste......

e cosa? Avevo letto che erano riusciti a buttare giu perfino alcuni root server anni fa, che dovrebbero essere quelli più sicuri al mondo.

Quote:

Originariamente inviato da zeMMeMMez

magari...

io ne sono convinto. Da come parla e fa vedere le cose si capisce che ha sistemi davvero fuori dal comune. Sarei pronto a fare una scommessa sulla sua riuscita, su praticamente qualsiasi sistema.

Quote:

Originariamente inviato da zeMMeMMez

Mi fai un esempio?

eh mi piacerebbe poter rispiegare quello che ci ha detto in classe, purtroppo non me lo ricordo...né l'ho capito, onestamente le mie conoscenze non sono ancora così elevate.

Quote:

Originariamente inviato da zeMMeMMez

Nulla vieta di farlo lato-client.
Io, ad esempio, nei miei programmi lo faccio.

in che modo? Con programmi tipo "HTTPS Anywhere"?

[DavideDaSerra]

Il mio professore di sicurezza ha insistito su pochi punti particolari:

-Il gioco deve valere la candela
-A parità di valore, l'attaccante sceglie chi è meno protetto

Quindi:
- Se sei l'AD di una multinazionale chiedi ai consulenti di sicurezza, e comunque non usare siti che non offrono autenticazione a 2 fattori
- se sei una persona normale, alza le tue difese sopra la media e sarai al sicuro

- se devi fare un forum, nulla ti vieta di sfruttare HTTPS solo per l'autenticazione e ricevere il gettone e fare la navigazione normale in HTTP per non massacrare il server

Trasmettere un hash della password ha (quasi) lo stesso valore che trasmettere la password in chiaro, ma almeno chi ottiene l'hash deve prima invertirlo per ottenere la password

e, per l'amor del cielo, password diversa per i siti importanti (ovvero almeno quei siti che ti toccano il portafogli) e se possibile autenticazione a 2 fattori, e usare un indirizzo email dedicato alle comunicazioni importanti (banche, stato,bollette, e commerce) e uno per quelle comuni (forum, social, concorsi, cazzeggio)

[Vince85]

Quote:

Originariamente inviato da Giant Lizard

che l'unica garanzia è che quelli veramente bravi e capaci ad entrare semplicemente non hanno l'interesse a farlo su reti di cittadini privati.

Per l'appunto quindi è anche inutile farsi troppe seghe mentali sulle reti private della gente comune.

E continuo a ripetere che il wifi WPA2 AES è inviolabile, quindi ancora voglio capire come fanno a entrare nella rete a meno di scoprire la password o perché è ridicola o tramite social engineering alla Mitnick.

[Giant Lizard]

Quote:

Originariamente inviato da zeMMeMMez

??? é la sindrome da film, tipo swordfish e roba del genere.
in realtà non è per nulla banale collegarsi a una rete casalinga cablata, te lo posso confermare in prima persona.

certo che non è banale. Io non ci riuscirei mai ma so che il modo c'è e c'è gente che è capace di farlo.

Quote:

Originariamente inviato da zeMMeMMez

cosa significa "buttare giù"?

che non erano più raggiungibili. Ecco l'articolo: http://www.theregister.co.uk/2015/12..._servers_ddos/

ne avevano buttati giu 3 su 13

Quote:

Originariamente inviato da zeMMeMMez

Io invece no.
Sarei pronto a fare una scommessa modesta, diciamo un caffè contro un'acqua tonica, che non riuscirebbe a fare un bel nulla, nemmeno a casa della mia mamma (ultraottantenne)
è sempre la modalità "filmica".

per me andrebbe bene purtroppo non c'è modo di provarlo, però dalle dimostrazioni che ha fatto e da alcune spiegazioni mi sono reso conto che è davvero un fenomeno nel campo.

Quote:

Originariamente inviato da zeMMeMMez

??? Non ha alcun senso.

si, ho visto che viene fatto spesso dai siti. L'unica pagina in HTTPS è quella di login dove devi inserire il tuo user e password, poi il resto è tutto in HTTP. Non so se è davvero utile a qualcosa ma sembra siano in tanti a farlo.

Quote:

Originariamente inviato da Vince85

Per l'appunto quindi è anche inutile farsi troppe seghe mentali sulle reti private della gente comune.

E continuo a ripetere che il wifi WPA2 AES è inviolabile, quindi ancora voglio capire come fanno a entrare nella rete a meno di scoprire la password o perché è ridicola o tramite social engineering alla Mitnick.

è vero, è quanto mi è stato detto la WPA2 AES è effettivamente la più sicura e consigliabile.

[Giant Lizard]

Quote:

Originariamente inviato da zeMMeMMez

E' una merda, questo è l'unica parola adatta.
Fammi qualche esempio, please.

mi era capitato recentemente un sito di acquisto di chiavi di videogiochi (non è g2a né Kinguin) che usava questo sistema ma non riesco a ritrovarlo :/


comunque facendo una ricerca ho trovato diverse pagine e articoli che parlano di questa pratica: https://www.google.fr/search?q=login...+page+in+https