Vi sentite più consapevoli della vostra privacy?

No, eh?!

Eppure il Legislatore Europeo ha promulgato una legge che da oggi obbliga ad avvisarvi se un sito vi manda dei cookies di profilazione. Siete degli ingrati.

I cookie sono stati inventati da Lou Montulli nel 1994 ed implementati a partire da Netscape 0.9beta (1994) e Internet Explorer 2.0 (1995); una richiesta di brevetto è stata depositata nel 1995, il brevetto è stato concesso nel giugno 1998.

E nel 2015, quei venti anni dopo, la Comunità Europea ci fa una legge. Leggi tutto “Vi sentite più consapevoli della vostra privacy?”

Furti di sessione

Vi siete collegati ad una rete WiFi di un albergo, di un bar, di uno sconosciuto che ha lasciato la rete aperta o di un altro fornitore di cui non sapete nulla. Attivate il vostro browser e iniziate a collegarvi ai vostri siti preferiti, tanto cosa può accadere di male?

Innanzi tutto, il protocollo WiFi permette a tutti i nodi collegati e abilitati di vedere i dati che passano, indipendentemente dal destinatario del pacchetto dati. Il che significa che con un software tipo tcpdump si possono vedere i dati che passano. Se vi collegate in POP3 o IMAP alla vostra casella di posta elettronica utilizzando la password in chiaro potrebbero iniziare i guai.

Le cose si potrebbero mettere molto peggio se qualcuno sulla rete ha attivato sessionthief.

Questo software, benché meno complesso di middler, è di una semplicità disarmante.

Innanzi tutto utilizza nmap per vedere quali siano gli altri PC collegati alla rete. Se necessario puo anche fare ARP poisoning per catturare i pacchetti destinati ad altri PC.

Quindi si mette in ascolto e, dopo poco crea un profilo di Firefox per ogni sessione hackerata. Et voilà! (via Darknet)

Vulnerabilità delle applicazioni ASP.NET

Thai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina.

Leggi tutto “Vulnerabilità delle applicazioni ASP.NET”