Buco nella sicurezza della posta Fastweb
A T T E N Z I O N E !
Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.
Sei un utente Fastweb, e usi la webmail per controllare la tua casella. Qualcuno ti manda un messaggio con un link a questo blog. Tu clicchi, ed il referrer che mi trasmetti contiene anche il sid di sessione. Risultato: cliccando sul referrer vedo il tuo messaggio esattamente come lo hai letto tu. Ho cercato sul sito Fastweb un recapito adatto per avvertire, ma non sono stato in grado di trovarlo, qualcuno ha un indirizzo a cui posso scrivere?
Related posts
Di: Andrea - 14/05/2005
Print This Post
14 Commenti
Scrivi un commento
Additional comments powered by BackType
xarface — Il 14/05/2005 alle 16:51
Non è l’unico caso: è pieno di webmail che fanno la stessa cosa.
C’è da dire che il tutto è appena un po’ mitigato dal fatto che se l’utente esce dalla sua webmail prima che tu ci vada a mettere il naso, l’id di sessione non è più valido.
Ma c’è anche da dire che il bug può essere sfruttato in maniera più infame: se tu mandi una mail in formato HTML a un utente fastweb e ci piazzi dentro un elemento dinamicamente generato da un tuo server, puoi fare in modo che appena la vittima legge il messaggio, tu venga avvisato in tempo reale e quindi ti precipiti a intrufolarti nella sua mailbox.
PlacidaSignora — Il 14/05/2005 alle 17:19
Ricevo direttamente su outlook, ma non uso mai quell’indirizzo. Però è grave che accada questo: forse telefonare all’assistenza è meglio che scrivere: se scrivi non rispondono mai. (non che è che telefono, vabbé…;-)
Qui c’è niente come indirizzo?
(Ho tolto l’indirizzo su richiesta di Placida Signora. Andrea)
Tony Siino — Il 14/05/2005 alle 17:50
Attento che se Gianluca Neri vede l’immagine ti decripta tutti gli indirizzi sotto le pecette con la vista a raggi ics!
Andrea Beggi — Il 14/05/2005 alle 18:23
@xarface: in effetti il link adesso non funziona più.
@PlacidaSignora: sospetto che al telefono non capirebbero neppure di cosa sto parlando, se conosco i miei polli.
@Tony: in effetti ci avevo pensato.
PlacidaSignora — Il 14/05/2005 alle 19:55
E provare a parlarne nel forum?
http://www.fastweb.it/forum/index.php (stavolta indirizzo corretto
Procionegobbo — Il 14/05/2005 alle 19:58
Molto grave, conosco gente che tiene la webmail aperta tutto il giorno per leggere la posta dall’ufficio.
Giovy — Il 14/05/2005 alle 20:54
Wow, bel bucone, complimenti Andrea, stai per diventare famoso come il GNeri…
… e mi ha fatto morire dal ridere il commento di Tony… great!
La Voce del Procione — Il 14/05/2005 alle 21:34
Warning per la webmail di fastweb
Bug sulla webmail di fastweb segnalato da Andrea Beggi
Andrea Beggi — Il 14/05/2005 alle 22:38
@Placida: per accedere al forum bisogna essere utenti Fastweb.
Zu — Il 15/05/2005 alle 14:15
Sul forum (sezione MegaInternet) è già stato segnalato, ma non so quale peso possa avere. Tanto per dire, sono utente Fastweb dal 2000 ed è la prima volta che accedo al forum per dare un’occhiata (e solo perché me l’ha chiesto Placida).
Tambu — Il 16/05/2005 alle 08:51
telefonare all’assistenza fastweb?
mhuahahahahahaha!!!
Blade Inside » Blog Archive » Nuovo Bug nella Webmail di Fastweb — Il 01/09/2005 alle 14:05
[...] Il mio collega Andrea Beggi ha scoperto un nuovo bug riguardante la Webmail di Fastweb. [...]
Fresco — Il 17/10/2005 alle 15:02
andy blog: […] Il mio collega Andrea Beggi ha scoperto un nuovo bug riguardante la Webmail di Fastweb. […]
il mio collega….hahahahaahahahahaha…Andy ma lo sai di cosa parli?hahahahaha
Giorgio — Il 02/11/2006 alle 15:30
Leggete un po’ questo articolo scritto da un acker.
Giusto per storicizzare su Fastweb (dopo Telecom il nuovo anticristo della comunicazione)
http://www.s0ftpj.org/bfi/online/bfi10/BFi10-13.html