[Linuxtrent] Re: Rivelati i dettagli del problema nel protocollo DNS
- From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 21 Aug 2008 10:35:54 +0200
2008/8/20 Roberto Resoli <roberto.resoli@xxxxxxxxx>:
> Non credo se ne sia parlato in lista, ma credo si tratti di un
> problema di sicurezza notevole.
>
> In sostanza ad essere attaccabile non è questo o quel software, ma il
> meccanismo di azione stesso
> del sistema DNS
....
> Una cache DNS avvelenata può, ad esempio, completamente inefficace
> SSL/TLS per l'autenticazione di siti web, dato che
> il meccanismo di certificazione si basa su nome e non sull'ip.
scusate, questa è una gran sciocchezza.
Chiaramente, l'attaccante può far puntare il mio browser il proprio server,
invece che verso il richiesto https://www.potachindacaden.com, ma si
spera che il suo server
non possa offrire un certificato legittimo (cioè rilasciato da una ca
presente nel repository del browser)
per il nome www.potachindacaden.com .
In realtà la crittografia in questi casi aiuta molto, perchè il
certificato è una garanzia
proprio sulla corretta associazione delle informazioni contenute a chi
detiene la relativa chiave privata.
Quindi vi sarà molto probabilmente un alert.
Naturalmente, va tenuto presente, come riporta sempre Kaminsky nelle sue slide,
che il 93% delle persone ha visto navigando sul web un security alert;
di queste il 41% lo ignora,
e solo il 43% abbandona il sito.
Una banca neozelandese ha riportato che quando il proprio certificato
ssl è scaduto,
il 99,5% delle persone ha immesso comunque le proprie credenziali.
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
