Show 150 posts per page
|
Show 150 posts per page |
.dsy:it. (http://www.dsy.it/forum/)
- Forum De Bell Tolls (http://www.dsy.it/forum/forumdisplay.php?forumid=7)
-- Il PIN degli studenti... (http://www.dsy.it/forum/showthread.php?threadid=1713)
Il PIN degli studenti...
Ho un dubbio semplice semplice: 4 cifre, solo numeriche fra l'altro, non saranno un po' poche per assicurare la riservatezza di ciascuno studente?
Attraverso la SIFA si possono fare operazioni parecchio importanti... non è certo una novità. L'Università di Milano crede forse che nel mondo siamo tutti buoni? Mah...
Probabilmente se viene digitato un pin errato ripetute volte il servizio viene disattivato 
__________________
Non ti laureare, continua a cazzeggiare!
"È tutta merda..." - clod81
con la lentezza dei terminali sifa.. ci vuole una vita quando sbagli PIN figurarsi mettersi a fare del brute force su un PIN.. 
Cmq effettivamente il dubbio e' lecito.. pero' sincermaente non credo si possano combinare dei gran disastri.. piu' che altro sarebbe comodo potrelo cambiare..
Ciao, Fozzy
__________________
I sense much NT in you, NT leads to Blue Screens,
Blue Screens lead to downtime, downtime leads to suffering.
NT is the path to the Dark Side....
Non posso fare niente di importante dal SIFA online?
Ci ho ridato un'occhiata di sfuggita giusto ora e posso tranquillamente iscrivermi a corsi ed esami... posso cambiare corso di laurea... posso cambiare i miei dati anagrafici... chi avrebbe eventualmente accesso saprebbe tutti i miei dati personali, incluso quanto guadagno all'anno, dove abito e via dicendo. Non sono cose da poco direi.
Non penso che sia così difficile fare un programma che tenti le 10000 possibili combinazioni di password e farlo girare da qualche pc con connessione veloce tipo fastweb.
Se c'è il blocco dell'account dello studente quando ci sono tipo più di tre tentativi di accesso senza successo è già qualcosa, ma ci dubito fortemente data la disarmante semplicità con cui è stato protetto il sistema di gestione degli studenti.
Originally posted by fozzy
con la lentezza dei terminali sifa.. ci vuole una vita quando sbagli PIN figurarsi mettersi a fare del brute force su un PIN..
__________________
"It is totally natural to die or to be killed, rather than just to live without a certain purpose"
tanto c'è Echelon che ci guarda.............
__________________
*** Proposta di legge di iniziativa popolare: "8x1000 ALLA RICERCA"
Informati e firma la petizione! E' nel tuo interesse!
*** Browse my dA gallery !
***In medio stat virtus
Se mettevano un a password + lunga tutti l'avrebbero dimenticata!!!!!!
__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®
x Lallyblue: che c'entra Echelon? A parte che non è servito a niente (ti dice qualcosa 11-9-2001?), ma cmq non si tratta certo di un apparato di sorveglianza a disposizione del primo venuto. Io penso che sia abbastanza scandaloso che mentre la PA stia muovendo decisi passi verso la firma digitale, in un'Università (dove c'è informatica per giunta) l'identità di uno studente sia protetta da una stupidissima password di 4 numeri.
x URANIO: l'epoca dell'utonto nell'informatica deve finire... lo hanno capito perfino nella pubblica amministrazione, ambiente in cui notoriamente le innovazioni vengono assorbite più lentamente che in qualsiasi altro settore della società.
Originally posted by drakend
x Lallyblue: che c'entra Echelon? A parte che non è servito a niente (ti dice qualcosa 11-9-2001?), ma cmq non si tratta certo di un apparato di sorveglianza a disposizione del primo venuto. Io penso che sia abbastanza scandaloso che mentre la PA stia muovendo decisi passi verso la firma digitale, in un'Università (dove c'è informatica per giunta) l'identità di uno studente sia protetta da una stupidissima password di 4 numeri.
__________________
*** Proposta di legge di iniziativa popolare: "8x1000 ALLA RICERCA"
Informati e firma la petizione! E' nel tuo interesse!
*** Browse my dA gallery !
***In medio stat virtus
Lallyblue so pure io che lasciamo continuamente nostre tracce in giro per il mondo, in special modo su Internet. Se permetti però c'è una bella differenza tra cracker (quelli che citi tu sono cracker, non hacker) e lamer: i primi agiscono solo quando ci sono dietro grossi interessi (e spesso dietro pagamento), i secondi solo per il gusto di fare danni e vantarsene con gli amici. Fare un programmino che ti prova le 10000 combinazioni del pin non è per niente difficile... quindi qualche idiota che lo potrebbe fare può esserci... o vogliamo sempre affidarci alla buona fede del mondo? 
Cmq per avere i tuoi dati forse basta una mail all'uni!
Per quanto riguarda le cose potenzialmente deleterie che puoi fare via sifaonline sono tutte autorizzate previa consegna di documenti cartacei!
SPERO che il sistema non si blocchi per 3 errori nella login ....immaginate uno che sbaglia apposta con le nostre matricole!!!! HAAAAAA blocca tutto!
__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®
Originally posted by drakend
Se permetti però c'è una bella differenza tra cracker (quelli che citi tu sono cracker, non hacker) e lamer: i primi agiscono solo quando ci sono dietro mondo?
__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®
cmq interessante questa discussione...
a proposito di privacy, avete notato che spesso quando compilate un documento coi vs dati personali(tipo, chessò, per avere il bancomat) se scegliete di non divulgare i vostri dati vi dicono:"e no, non può, sennò non possiamo avviare la pratica"....!!!!
e quindi... la legge sulla privacy e una truffa legalizzata secondo me...
__________________
~"sicurezza... oscurità... solo un altro sballato... in un mondo di sballati." (paura & delirio a Las Vegas)
~"C'HO CERTI CAZZI MAFA' CHE NEMMENO TU CHE SEI PRATICA LI HAI VISTI MAI..." (Proietti in Febbre da cavallo)
~"Il segno si decifra l'apparenza non si decifra. Non si deve assolutamente decifrare, non esiste proprio al mondo che l'apparenza si decifri" (Grande Max Mazzotta in PAZ )
~"Sono un eroe, perché lotto tutte le ore Sono un eroe perché combatto per la pensione Sono un eroe perché proteggo i miei cari dalle mani dei sicari dei cravattari Sono un eroe perchè sopravvivo al mestiere Sono un eroe straordinario tutte le sere Sono un eroe e te lo faccio vedere Ti mostrerò cosa so fare col mio super potere" (Capa)
se non sbaglio devi autorizzare il trattamento dei dati, non la divulgazione.. di solito sono due le domande..
Ciao, Fozzy
__________________
I sense much NT in you, NT leads to Blue Screens,
Blue Screens lead to downtime, downtime leads to suffering.
NT is the path to the Dark Side....
Infatti settimana scorsa sul giornale c'era un articolo con cui il garante della privacy denunciava la violazione della privacy delle banche...
__________________
"It is totally natural to die or to be killed, rather than just to live without a certain purpose"
vecchia.
un pin di 4 cifre, con un 56k e un 386 lo sgami in una 30ina di secondi se non ci sono politiche di disabilitazione dopo x tentativi oppure un ritardo dopo l'nesimo errore.
__________________
icq: 57553717 - mail: mino@ngi.it - web: www.minux.it - Fattori Arcani
Pardon, ma come funzionerebbe un programma che provi diverse combinazioni? Ovvero: costruire un programmino in c che generi e provi vari numeri sono capace anche io. Come però inviare il numero generato al sito e "leggere" la risposta?
int main (void)
{
int n = 0; bool don't_connect = false;
while (don't_connect==false) { genera_numero(&n); don't_connect = prova_numero(&n);}
genera_danno(); 8-)
}
Probabilmente la login viene inviato attraverso un comando post o get al server .....quindi basta controllare la form e fare l'invio!
Per controllare basta vedere quello ch ti rimanda il server..almeno penso!
__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®
isi...
se il form non fa un controllo del referrer basta un fopen in php
PHP:
$trovato = 0;
$pin = 0;
while(!$trovato) {
$url=sprintf("http://www.dominio.it/path/del/cgi?matr=123123&pin=%04d",$pin);
$pin++;
$fp = fopen($url,"r");
if (!$fp) {
echo "squaraus!";
exit(-1);
}
$line = fgets ($fp, 1024); // ecc ecc
// banalissima regexp che valuta l'output in $line cercando un pezzo di html che appare nella pagina di successo
// se lo trova pone $trovato=1
fclose($fp);
}
echo "Il pin è $pin\n";
__________________
icq: 57553717 - mail: mino@ngi.it - web: www.minux.it - Fattori Arcani
Mino ma dopo tre errori l'account viene disabilitato o no?
Il referrer dovrebbe essere l'url da cui si proviene: in questa ipotesi non si può alterare la url di provenienza in modo da farla apparire "legale"?
la disabilitazione dopo x tentativi non so se ci sia. lo spero vivamente...
falsificare referrer e session è una delle cose più banali che si possan fare
tempo fa scrissi per me uno scrippettino chiamato "enblue" per inviare sms da blu.it via shell: si loggava sulla homepage, simulava il click su "invia sms", compilava il modulo e controllava i risultati...
__________________
icq: 57553717 - mail: mino@ngi.it - web: www.minux.it - Fattori Arcani
Secondo me non viene bloccata dopo 3 tentativi!
...se volete provare inserite una matricola a caso e provate (non la mia )
__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®
Originally posted by URANIO
Secondo me non viene bloccata dopo 3 tentativi!
...se volete provare inserite una matricola a caso e provate (non la mia
__________________
"It is totally natural to die or to be killed, rather than just to live without a certain purpose"
| All times are GMT. The time now is 11:50. | Show all 23 posts from this thread on one page |
Powered by: vBulletin Version 2.3.1
Copyright © Jelsoft Enterprises Limited 2000 - 2002.