Breaking news! 380° <g...@biscuolo.net> writes:
[...] > la complicazione peggiore è stata quella di usare sistemi web: sarà mica > una roba seria dai! l'utente PLTorrent ha segnalato circa 2 ore fa [1] che nel codice sorgente dell'applicazione web «EU Digital COVID Certificate Issuance Web Frontend.» [2] c'è questo file: https://github.com/eu-digital-green-certificates/dgca-issuance-web/blob/main/nginx/.htpasswd il cui contenuto è: --8<---------------cut here---------------start------------->8--- dgca-user:$apr1$p/TIVIAC$UPG8QZSTcVd/iJ6AhzEX5/ --8<---------------cut here---------------end--------------->8--- non ho tempo (e voglia) di capire se per autenticarsi sia necessario e sufficiente inserire come user "dgca-user" con relativa password (tecnicamente si tratta della "basic auth protection" di Nginx) ma se così fosse... beh, non ci sono parole. è stata aperta anche una issue: https://github.com/eu-digital-green-certificates/dgca-issuance-web/issues/112 nella quale è spiegato che l'hash della password sopra è "Apache APR1", il che significa che per indovinare la password sono sufficienti 1000 iterazioni di "brute force" attack c'è quindi la concreta possibilità che in alcune implementazioni nazionali sia stata usata in produzione una password facilmente "craccabile" e che questo abbia permesso l'accesso fraudolento ai sistemi web nazionali ...i log del webserver dovrebbero esserci :-O [...] saluti, 380° [1] https://github.com/ehn-dcc-development/hcert-spec/issues/103 [2] https://github.com/eu-digital-green-certificates/dgca-issuance-web -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
