Recentemente ho scoperto e segnalato una vulnerabilità alla sicurezza di Twitter:
Nonostantelamiaconvinzionecheilrapportosiaeffettivamentevalido,mihannorispostoconlaseguenterisposta:
Perquantopossodire,questoingegneredellasicurezzastaparlandodiprotezionecontroildirottamentodeicookie.Comunquenonèlamiapreoccupazione.LamiapreoccupazioneèchetupossaprenderecompletamenteincaricounaccountTwitterdiunutente,purchétuabbiailvaloredelsuocookieauth_token
.
No,nonpretendocheTwitterabbiaundifettodisicurezza,lasciandoespostiivalorideicookiesensibili.Cisonounsaccodimodiincuiuncookiepuòesseredirottato,equestomettegiàl'utentevittimainunaposizionepericolosa.Tuttavia,puòreimpostarelasuapasswordecc.Inqualsiasimomento.Maquandol'hackerèingradodiforzarelasuastradaperottenerelapassworddell'utentechehaeffettuatoillogin,quindiassumendoilpienocontrollodell'account(cambiodie-mail,password,ecc.),Lavittimanonhaassolutamentealcunapossibilitàdiottenereilsuoaccountindietro.
Hopersinorealizzato
Pensi che questa vulnerabilità sia valida / critica? Sono io o il responsabile della sicurezza di Twitter "sbagliato"?