Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Certificati con indirizzi IP

 
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG
Precedente :: Successivo  
Autore Messaggio
NdK



Registrato: 27/01/10 12:36
Messaggi: 510

MessaggioInviato: Mar Ago 28, 2012 6:57 pm    Oggetto: Certificati con indirizzi IP Rispondi citando

Ciao a tutti.

Appena notato in ZS 2.0RC1.

Vorrei segnalare che, se non proprio un bug (anche se può esserlo, vedi sotto) è quanto meno una pessima pratica dal punto di vista della sicurezza, l'emissione di certificati contenenti indirizzi IP di reti private. Un tale certificato, soprattutto se emesso per un server esterno, potrebbe venire utilizzato su più siti. E comunque è una pratica proibita dalle policy (tutte quelle che ho letto, per lo meno) di molte CA.

Può essere anche considerato un bug perché se si cambia l'indirizzo della box va cambiato il certificato, e gli utenti ricevono una richiesta per dare fiducia al nuovo certificato. Nel caso un attaccante si sia sostituito alla box, ciao sicurezza...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it