[Domanda] Sessioni

Domanda veloce, sapete se le Sessioni sono vulnerabili all'heartbleed ? O si tratta solo di furto lato server ?
"È come se ci fossimo dimenticati chi siamo, Donald: esploratori, pionieri. Non dei guardiani."

"Un tempo per la meraviglia alzavamo al cielo lo sguardo sentendoci parte del firmamento, ora invece lo abbassiamo preoccupati di far parte del mare di fango."

- Cooper (Interstellar)
what?

il modding non è un gioco. è un arte.

Johnny^~^
"A profund text goes here"
 
                                       
Grazie=REP
Se volete il vostro banner qui, scrivetemi un pm!


Id Minecraft & skype: JohnnoNonno
Sessioni de che?
[Immagine: MdDbKyN.png]
09/04/2014, 13:19xPeppe ha scritto: Sessioni de che?

Sorry, l'ho scritto alla veloce. Intendo le sessioni di login, quelle che usano i cookie. Io "ricordami'. Presente ? Tongue

Dracarys
"È come se ci fossimo dimenticati chi siamo, Donald: esploratori, pionieri. Non dei guardiani."

"Un tempo per la meraviglia alzavamo al cielo lo sguardo sentendoci parte del firmamento, ora invece lo abbassiamo preoccupati di far parte del mare di fango."

- Cooper (Interstellar)
Dubito fortemente, non mi sembra centrino qualcos'altro.
[Immagine: MdDbKyN.png]
09/04/2014, 13:30xPeppe ha scritto: Dubito fortemente, non mi sembra centrino qualcos'altro.

Allora, sono abbastanza confuso. La mojang dice di cambiare la password se si è loggati in qualche loro gioco negli ultimi 3 giorni. Ma il bug non permette di prendere dati di 64 KB alla volta dal server ? In quel caso non siamo tutti vulnerabili ?

Dracarys
"È come se ci fossimo dimenticati chi siamo, Donald: esploratori, pionieri. Non dei guardiani."

"Un tempo per la meraviglia alzavamo al cielo lo sguardo sentendoci parte del firmamento, ora invece lo abbassiamo preoccupati di far parte del mare di fango."

- Cooper (Interstellar)
tu hai tanta confusione in testa xD

Allora il bug in questione è solo di SSL e permette di avere la chiave privata di un qualsiasi certificato x509 di qualsiasi server che usa OpenSSL (alla faccia di chi dice "open=sicuro").
Cosa fai con il certificato? Ti fingi qualcun altro..
se io mi prendevo il certificato di yahoo potevo creare un mio sito e fingermi yahoo oppure, più verosimilmente, decodificare tutto il traffico tra il tuo pc e yahoo.
questo implica anche decodificare i POST, quindi anche (se li hai inseriti) i dati della carta di credito o simile.

Si, probabilmente il sito minecraft.net era uno di quelli compromessi (per risparmiare....), ma da lì a dire che qualcuno li ha "sniffati" e si è preso la briga di decodificare il traffico....

Si, se l'hanno fatto rischi che abbiano i tuoi dati....
ma io mi preoccuperei più di altre cose, piuttosto che la password di minecraft...
@andreaci  -  italian-minecraft.net
2 utenti apprezzano questo post
09/04/2014, 15:27andreaci ha scritto: tu hai tanta confusione in testa xD

Allora il bug in questione è solo di SSL e permette di avere la chiave privata di un qualsiasi certificato x509 di qualsiasi server che usa OpenSSL (alla faccia di chi dice "open=sicuro").
Cosa fai con il certificato? Ti fingi qualcun altro..
se io mi prendevo il certificato di yahoo potevo creare un mio sito e fingermi yahoo oppure, più verosimilmente, decodificare tutto il traffico tra il tuo pc e yahoo.
questo implica anche decodificare i POST, quindi anche (se li hai inseriti) i dati della carta di credito o simile.

Si, probabilmente il sito minecraft.net era uno di quelli compromessi (per risparmiare....), ma da lì a dire che qualcuno li ha "sniffati" e si è preso la briga di decodificare il traffico....

Si, se l'hanno fatto rischi che abbiano i tuoi dati....
ma io mi preoccuperei più di altre cose, piuttosto che la password di minecraft...

Tranquillo, dopo il mio ultimo messaggio ho letto qualcosa e guardati qualche video, ed ho capito meglio Tongue Yahoo si è decisa a fixare ? Fino a ieri era ancora vulnerabile xD

Dracarys
"È come se ci fossimo dimenticati chi siamo, Donald: esploratori, pionieri. Non dei guardiani."

"Un tempo per la meraviglia alzavamo al cielo lo sguardo sentendoci parte del firmamento, ora invece lo abbassiamo preoccupati di far parte del mare di fango."

- Cooper (Interstellar)
09/04/2014, 13:44MCinemaGamer ha scritto: il bug non permette di prendere dati di 64 KB alla volta dal server 

beh le comunicazioni HTTP vengono sempre spezzate in chunk... e si, siamo tutti vulnerabili (o, meglio, apache, nginx e altri software "open" lo sono) e tu che ci comunichi ovviamente ci cadi dentro caffe

09/04/2014, 15:29MCinemaGamer ha scritto:
09/04/2014, 15:27andreaci ha scritto: tu hai tanta confusione in testa xD

Allora il bug in questione è solo di SSL e permette di avere la chiave privata di un qualsiasi certificato x509 di qualsiasi server che usa OpenSSL (alla faccia di chi dice "open=sicuro").
Cosa fai con il certificato? Ti fingi qualcun altro..
se io mi prendevo il certificato di yahoo potevo creare un mio sito e fingermi yahoo oppure, più verosimilmente, decodificare tutto il traffico tra il tuo pc e yahoo.
questo implica anche decodificare i POST, quindi anche (se li hai inseriti) i dati della carta di credito o simile.

Si, probabilmente il sito minecraft.net era uno di quelli compromessi (per risparmiare....), ma da lì a dire che qualcuno li ha "sniffati" e si è preso la briga di decodificare il traffico....

Si, se l'hanno fatto rischi che abbiano i tuoi dati....
ma io mi preoccuperei più di altre cose, piuttosto che la password di minecraft...

Tranquillo, dopo il mio ultimo messaggio ho letto qualcosa e guardati qualche video, ed ho capito meglio Tongue Yahoo si è decisa a fixare ? Fino a ieri era ancora vulnerabile xD

Dracarys

yes, yahoo si... ma mi preoccupano i milioni di onlineshop che non sanno neanche cosa sia un online shop... (Modificato 09/04/2014, 15:32 da andreaci.)
@andreaci  -  italian-minecraft.net
09/04/2014, 15:31andreaci ha scritto: yes, yahoo si... ma mi preoccupano i milioni di onlineshop che non sanno neanche cosa sia un online shop...
Del tipo Amazon?
09/04/2014, 18:17LelixSuper ha scritto:
09/04/2014, 15:31andreaci ha scritto: yes, yahoo si... ma mi preoccupano i milioni di onlineshop che non sanno neanche cosa sia un online shop...
Del tipo Amazon?
No, amazon ha fixato.
"È come se ci fossimo dimenticati chi siamo, Donald: esploratori, pionieri. Non dei guardiani."

"Un tempo per la meraviglia alzavamo al cielo lo sguardo sentendoci parte del firmamento, ora invece lo abbassiamo preoccupati di far parte del mare di fango."

- Cooper (Interstellar)
09/04/2014, 18:18MCinemaGamer ha scritto:
09/04/2014, 18:17LelixSuper ha scritto:
09/04/2014, 15:31andreaci ha scritto: yes, yahoo si... ma mi preoccupano i milioni di onlineshop che non sanno neanche cosa sia un online shop...
Del tipo Amazon?
No, amazon ha fixato.

E il fix non sarebbe pubblico?
09/04/2014, 18:31LelixSuper ha scritto:
09/04/2014, 18:18MCinemaGamer ha scritto:
09/04/2014, 18:17LelixSuper ha scritto:
09/04/2014, 15:31andreaci ha scritto: yes, yahoo si... ma mi preoccupano i milioni di onlineshop che non sanno neanche cosa sia un online shop...
Del tipo Amazon?
No, amazon ha fixato.

E il fix non sarebbe pubblico?

Basta aggiornare OpenSSL .-.

Dracarys
"È come se ci fossimo dimenticati chi siamo, Donald: esploratori, pionieri. Non dei guardiani."

"Un tempo per la meraviglia alzavamo al cielo lo sguardo sentendoci parte del firmamento, ora invece lo abbassiamo preoccupati di far parte del mare di fango."

- Cooper (Interstellar)
1 utente apprezza questo post
Amazon ha un suo branch di tutto e molte più protezioni...
Io mi riferisco ai piccoli online shop, che magari hanno comprato un sito fatto e fino a che va.....

Sent from my Xperia S using Tapatalk
@andreaci  -  italian-minecraft.net

Utente(i) che stanno guardando questa discussione: 1 Ospite(i)