domenica 17 aprile 2011

Security Incidents of This Week (weekly)

Posted from Diigo. The rest of my favorite links are here.

mercoledì 13 aprile 2011

Autenticazione e telepatia

Il testo della provetta chiedeva di svolgere l'esercizio sulla autenticazione HTTP mantenendo le sessioni con i cookie, non con URL rewriting (basta leggere il testo), ma ho considerato corretti anche gli svolgimenti fatti con URL rewriting.

Alcuni hanno però introdotto un errore molto grave.

  1. Il client chiede un documento protetto, con una request appartenente ad una sessione; il server risponde con un form;
  2. Il client invia una request con le credenziali; il server risponde con il documento protetto richiesto in precedenza

Segue il traffico corrispondente al punto 2:


Domanda: come fa il server a sapere che quando riceve una richiesta verso credenziali.asp deve rispondere con il documento i3.gif ?

Telepatia ?

(l'errore è che la request POST deve contenere l'identificatore della sessione utilizzata al punto 1; qui non c'è nessun identificatore)

URL rewriting (ormai non so più cosa fare)

Ho ripetuto a lezione non so quante volte che svolgere esercizi sull'URL rewriting utilizzando la notazione indicata qui sotto è sbagliato:
Come devo interpretare l'ultima riga ?
  1. La sequenza di caratteri "index.html ? 393939" (esattamente come la prima riga e la seconda riga)
  2. "Questa risposta HTTP trasporta, dopo la linea vuota, il nome del documento di URL relativo index.html?393939"
  3. "Questa risposta HTTP trasporta, dopo la linea vuota, il contenuto del documento di URL relativo index.html?393939"
  4. "Questa risposta HTTP trasporta, dopo la linea vuota, il contenuto del documento di URL relativo index.html seguito dalla sequenza di caratteri ?393939"
  5. "Questa risposta HTTP trasporta, dopo la linea vuota, il contenuto del documento di URL relativo index.html con tutti gli URL modificati appendendo in coda la sequenza di caratteri ?393939" (questa è la risposta corretta).
  6. ...
In nessuna lingua, dialetto, notazione convenzionale l'ultima riga corrisponde sicuramente e senza possibilità di interpretazione diversa o ambigua all'interpretazione 5.

Leggere l'ultima riga e capire l'interpretazione 5 è possibile solo per chi ha capacità telepatiche.

Provate a ripetere il ragionamento in questo caso (che compare nello stesso compito).


domenica 10 aprile 2011

Security Incidents of This Week (weekly)

Posted from Diigo. The rest of my favorite links are here.

martedì 5 aprile 2011

URL rewriting (domanda di uno studente)

Domanda
Non mi è chiaro se quando desidero accedere a immagini protette e il server mantiente la sessione tramite url rewriting, l'url delle immagini verrà modificato o meno. Il problema è che mi autentico tramite basic authentication. Da quello che ho capito, la basic non ha bisogno della sessione, quindi io chiederò l'immagine (senza appendere il session id) inviando le mie credenziali. 

Ma se il sistema mantiene la sessione, la response conterrà l'URL modificato o meno?


Risposta
Non mi è chiaro cosa intenda per "url delle immagini".

Se U è l'URL che identifica una immagine I e U è contenuto in un documento D generato dal server, allora il server modifica il contenuto di D in modo che U contenga l'identificatore della sessione (es: U?id=8749837098)

Il contenuto dell'immagine identificata da U non è mai modificato (perché una immagine non contiene URL)

domenica 3 aprile 2011

Security Incidents of This Week (weekly)

Posted from Diigo. The rest of my favorite links are here.