linux user group brescia

On Sat, Oct 26, 2002 at 09:26:13PM +0200, Luca Giuzzi wrote:
> 
> On Fri, Oct 25, 2002 at 09:40:30PM +0200, Maurizio Paolini wrote:
> > 
> > 
> > L'esempio non calza con il caso specifico.  Si sta parlando di come fare
> > in modo che il server possa passare dei dati al browser, che poi devono
> > essere nuovamente passati al server con la form successiva.  La cifratura
> > fa si che tali dati possano transitare sulla rete mantenento la privacy.
> > 
> > L'unica cosa che puo' fare un 'attacker' e' riproporre al server esattamente
> > gli stessi dati che vede transitare; ma se la cosa e' fatta bene e' anche
> > necessario che l'attacker effettui un 'ip spoofing' o qualcosa di simile.
> > 
> Il problema grosso e' che http non ha il concetto di `sessione'...
> La soluzione tradizionale per questo problema e' di ricorrere a dei
> cookies oppure a dei framesets (argh, quanto li odio questi!) opportuni.
> 
> In ogni caso, oltre all'IP ci deve essere anche un timestamp perche'
> la cosa possa funzionare...

finalmente qualcuno che mi aiuta.. :))

pero' temo che anche con il timestamp non risolvi molti problemi, perche'
il timestamp deve essere noto da entrambe le parti e quindi incidentalmente
da chiunque sniffa la connessione.

-- 
BOFH excuse #156:

Zombie processes haunting the computer