2008/8/20 Roberto Resoli <roberto.resoli@xxxxxxxxx>: > Non credo se ne sia parlato in lista, ma credo si tratti di un > problema di sicurezza notevole. > > In sostanza ad essere attaccabile non è questo o quel software, ma il > meccanismo di azione stesso > del sistema DNS .... > Una cache DNS avvelenata può, ad esempio, completamente inefficace > SSL/TLS per l'autenticazione di siti web, dato che > il meccanismo di certificazione si basa su nome e non sull'ip. scusate, questa è una gran sciocchezza. Chiaramente, l'attaccante può far puntare il mio browser il proprio server, invece che verso il richiesto https://www.potachindacaden.com, ma si spera che il suo server non possa offrire un certificato legittimo (cioè rilasciato da una ca presente nel repository del browser) per il nome www.potachindacaden.com . In realtà la crittografia in questi casi aiuta molto, perchè il certificato è una garanzia proprio sulla corretta associazione delle informazioni contenute a chi detiene la relativa chiave privata. Quindi vi sarà molto probabilmente un alert. Naturalmente, va tenuto presente, come riporta sempre Kaminsky nelle sue slide, che il 93% delle persone ha visto navigando sul web un security alert; di queste il 41% lo ignora, e solo il 43% abbandona il sito. Una banca neozelandese ha riportato che quando il proprio certificato ssl è scaduto, il 99,5% delle persone ha immesso comunque le proprie credenziali. rob -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx