Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

BUG??

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Giupino



Registrato: 19/01/07 15:54
Messaggi: 21

MessaggioInviato: Mar Apr 03, 2007 5:59 pm    Oggetto: BUG?? Rispondi citando

Ciao Fulvio.
Oggi mi sono accorto facendo delle prove con zeroshell sul mio server di una cosa alquanto strana... e preoccupante.
Le configurazioni da me fatte sono minime... dhcp, nat, inserito qualche utente... cose giusto per provare l'autenticazione e andare sul web.
il server ha indirizzo 192.168.0.75 classico...
Ora ho fatto queste cose in sequenza:

-)autenticazione su captive portal di un utente.. diciamo
user=pippo, password=topolino

-)disconnessione

-)vado ad inserire nell URL .. 192.168-----> l'autocompletamento di firefox (ma ho provato anche con ie6) mi viene in aiuto completando gli ultimi indirizzi visitati... e in uno di questi che trovo?
i valori della form user:pippo e password:topolino in CHIARO?? come fossero fatti con metodo GET (nell'html però mi sembra ci sia POST) e non criptati..
Devo dire che la cosa mi ha lasciato alquanto di stucco Shocked
Capisci che usare zeroschell in una scuola (o in un internet cafè ad esempio) su pc che usano più persone non è proprio il massimo della sicurezza....
Ti risulta questa cosa? oppure forse ho combinato io qualcosa? (anche se ti ripeto che praticamente ho solo fatto delle configurazioni basilari)
Ciao, spero possa esserti di aiuto.
Peppe
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Apr 04, 2007 6:18 pm    Oggetto: Rispondi citando

E' un problema che sicuramente deve essere risolto, ci penso nella prossima release. Purtroppo l'autenticazione non avviene con POST ma neanche con il GET. Quando premi il pulsante di autenticazione viene aperta la finestra di controllo con una istruzione Javscript di open() che come URL contiene anche username/password. Tali parametri, che comunque non possono essere intercettati sulla rete perché passano in SSL, rimangono nella History e ciò in alcuni ambienti è inaccettabile. La scelta di aprire la finestra di controllo mediante Javascript e non dopo una POST è motivata dal fatto che in questo modo i sistemi anti-popup non possono bloccarne l'apertura.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it