I forum Ricerca FAQ
Fai una domanda
Ultimo messaggio 1 2 3
E' un commento a questo focuson
Daniele Bochicchio
Daniele Bochicchio
l'11 novembre 2010 alle 10:01
15.593 messaggi dal 31 agosto 1998
Contributi
daniele.aspitalia.com | Blog
Verce84 wrote:
Scusate, ma in che modo il ritardo col quale viene effettuato il redirect potrebbe essere sfruttato per un attacco?

leggiti i post: il ritardo serve per evitare che, conoscendo il tempo di risposta, si possano recuperare le info associate. ma comunque, installando la patch il problema si risolve.
.
Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
RispondiQuoting
Verce84
Verce84
l'11 novembre 2010 alle 10:34
226 messaggi dal 08 ottobre 2010
Perdonami Daniele, ho letto il post e anche i collegamenti associati, ma rimango comunque un pò perplesso, non sono ferrato sull'argomento sicurezza, ma la cosa mi ha incuriosito molto. (Ho già installato la patch, questa è pura curiosità^^)

Com'è possibile che dal tempo di risposta, che è un numero, si possa risalire ai dati associati?
L'unica che mi viene in mente è che in base al tempo di risposta si capisca la chiave di cifratura utilizzata, ma poi comunque ci sarebbe da cifrarla no?
RispondiQuoting
Cradle
Cradle
l'11 novembre 2010 alle 12:21
2.104 messaggi dal 01 luglio 2004
Contributi
www.aspitalia.com | Blog
Sostanzialmente la vulnerabilità consisteva nel mandare al server del contenuto cifrato costruito in maniera opportuna e valutare, tramite il tempo di risposta, se questo veniva correttamente decodificato dal server oppure no. In questo modo l'attacker era in grado di ricostruire la chiave di cifratura.

Qui
http://www.gdssecurity.com/l/b/2010/09/14/automated-padding-oracle-attacks-with-padbuster/
maggiori tecnicismi!

Ciao!
m.
RispondiQuoting
Verce84
Verce84
l'11 novembre 2010 alle 12:53
226 messaggi dal 08 ottobre 2010
Ammetto che non ho letto tutto il link perchè ad un certo punto era un pò "arabo" per me..
Però ora è chiaro, grazie!
RispondiQuoting
1 2 3

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.