linux user group brescia

> From: marco ghidinelli <marcogh a linux.it>
>
> On Fri, Oct 25, 2002 at 01:09:59PM +0200, Maurizio Paolini wrote:
> > 
> > > From: marco ghidinelli <marcogh a linux.it>
> > >[...]
> > > > > > "action" del tipo "http://.../pagina.php?tag=valore"; con il difetto
> > >[...]
> > > > pare che l'unica cosa da fare e' la cifratura.
> > >[...]
> > > ehm.. cifrando la stringa di get non si ottiene ne security ne privacy,
> > 
> > perche' no?  Intendo nell'esempio di cifrare il "valore" nell'esempio
> > sopra (o analogamente nei tag "hidden").  Se si fa una cifratura 
> > simmetrica usando una chiave nota solo al server mi pare che hai tutta
> > la security e la privacy che vuoi.
>
> ok, giro la domanda. cosa intendi per sicurezza e privacy?
>
> sicurezza:
>  1) del server
>     usare una stringa crittata non aumenta la sicurezza che una persona non
>     entri con l'accesso di un'altra in quanto le richieste http passano in
>     chiaro a meno che non si usi ssl, e quindi se non usiamo ssl la login e
>     la password di un tizio passano in chiaro x tutta internet e poi
>     vengono crittati dal server.

L'esempio non calza con il caso specifico.  Si sta parlando di come fare
in modo che il server possa passare dei dati al browser, che poi devono
essere nuovamente passati al server con la form successiva.  La cifratura
fa si che tali dati possano transitare sulla rete mantenento la privacy.

L'unica cosa che puo' fare un 'attacker' e' riproporre al server esattamente
gli stessi dati che vede transitare; ma se la cosa e' fatta bene e' anche
necessario che l'attacker effettui un 'ip spoofing' o qualcosa di simile.

mp