[Linuxtrent] Re: Ancora sugli attacchi alla firma digitale
- From: Giuseppe Briotti <g.briotti@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 02 Jul 2008 12:31:51 +0200
> ==========================
> Date: Wed, 02 Jul 2008 12:21:36 +0200
> From: Flavio Stanchina <flavio@xxxxxxxxxxxxx>
>
> Se ho capito bene, l' "attacco" consiste in un file che si apre
> correttamente sia come Windows Bitmap (.bmp) che come HTML,
> evidentemente con contenuti diversi. Quindi, semplicemente cambiando
> l'estensione al file ed aprendolo si vedono due cose diverse.
>
> Secondo me hanno ragione tutti e due: il problema è reale ma non è un
> attacco alla firma digitale in quanto tale. E' noto da sempre che
> con un po' di creatività (e grazie a parser talvolta non troppo
> pignoli) si riescono a confezionare file "polimorfi", diciamo così.
> L'unica soluzione è associare alla firma anche il content-type
> previsto, come dice Ruggieri.
Sottoscrivo... inoltre in effetti anche Buccafurri sostiene che in
qualche modo, anche il tipo file o l'estensione debbano essere sottoposti
a firma...
Ma in effetti, la sicurezza non l'avrai mai: pensa se un bel troiano
o virus attacca opportunamente l'applicazione di presentazione ;-)
@Giuliano: semplice liceo classico... :-)
G.
--
Giuseppe Briotti
g.briotti@xxxxxxxxx
"Alme Sol, curru nitido diem qui
promis et celas aliusque et idem
nasceris, possis nihil urbe Roma
visere maius."
(Orazio)
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: