Accesso automatico ad altre sessioni tramite Wi-Fi

7

Recentemente, ho sperimentato un comportamento molto strano sulla nostra rete Wi-Fi: condividiamo una rete Wi-Fi utilizzando un router semplice. Uno di noi paga le bollette e lui è quello che ha ricevuto l'account di gestione dal nostro ISP.

Quindi, se voglio accedere per vedere le mie fatture mobili (l'ISP fa entrambe le cose, Internet mobile e via cavo, ho il mio account personale). Ho effettuato l'accesso automaticamente con la sua gestione internet account, da diversi dispositivi tramite Wi-Fi.

Come può essere possibile? Non riesco a trovare informazioni utili su questo. Come noto dal punto di vista dei programmatori, la semplice gestione delle sessioni dovrebbe evitare questo comportamento (ad esempio i cookie). Significa che la gestione delle sessioni è solo lato server e solo legata a IP (server, problema di programmazione)?

Penso che l'ISP abbia associato automaticamente l'IP esterno del nostro router a questo singolo account di gestione, che sarebbe, a mio avviso, un problema molto grande (osservare le bollette, cambiare i dati degli indirizzi e così via).

    
posta ERit 07.11.2012 - 20:15
fonte

3 risposte

3

Dopo aver letto la risposta di Lucas Kauffman, mi sono messo in contatto con un mio amico che ha lavorato nel settore ISP dai primi anni '90. Ecco cosa ha dovuto dire in merito:

You'd be surprised how many systems work like that in ISPs, cos they trust all of their internal systems to be secure even if they ain't. A lot of the old control systems and accounting stuff used to be on IBM mainframes, way before PHP or ASP existed. The whole authenticate-by-MAC thing comes from the old days of analog modems over phone lines, where the telco would authenticate you by your phone number or MAC address. Back then it was so rare for users to have more than one computer on a line, cos computers were so expensive and nobody really made consumer switches or routers back then. Even when T3 and IDSN were around a lot of people still just had one box hooked up via a modem, so a MAC seemed like a good idea to save having to deal with doing proper sessions.

A lot of the guys that make the new systems are telco engineers from the old days, or at least the guys that write the specs are and they just get some green college kids to write the code. You tend to get a lot of bleed through from the way stuff was done in the past. It's a big problem and you always see the security consultants making faces when they see that real old-hat stuff.

Quindi, sì, è stupido, ma è principalmente dovuto all'ignoranza del moderno computer domestico e ai moderni requisiti di sicurezza. Questi ragazzi sono i più grigi dell'industria, quindi tutti si rimettono al loro giudizio.

    
risposta data 07.11.2012 - 22:58
fonte
3

Sì, questo può essere possibile. Il sito Web dell'ISP rileva automaticamente che ci si sta collegando da un router della propria rete. Pensa di essere il proprietario del router e ti autentica automaticamente come tale (le credenziali sono memorizzate sul router).

Ho visto questo fatto prima ed è solo uno stupido design IMHO. Soprattutto se funziona anche da WiFi.

    
risposta data 07.11.2012 - 21:17
fonte
0

Sì, questo è comunemente fatto. Tuttavia, il metodo usuale è solo visualizzare le informazioni diagnostiche per impostazione predefinita, ad es. Utilizzo delle quote e numero di conto. In questo modo chiunque nella rete locale può eseguire un controllo delle quote. Per qualsiasi altra cosa (cambio della carta di credito, cambio piano, cambio indirizzo) è ancora richiesto un accesso.

    
risposta data 07.11.2012 - 22:01
fonte

Leggi altre domande sui tag