What's new
  • Happy Birthday ICMag! Been 20 years since Gypsy Nirvana created the forum! We are celebrating with a 4/20 Giveaway and by launching a new Patreon tier called "420club". You can read more here.
  • Important notice: ICMag's T.O.U. has been updated. Please review it here. For your convenience, it is also available in the main forum menu, under 'Quick Links"!

Problemi sicurezza chat

greenpienoaroma

greenpienoaroma

Member
Ciao a tutti i ragazzi del foro e da qualche giorno che nn riesco piu ad entrare nella chat sapete dirmi il perchè ??? grazie.
 
Antani

Antani

Active member
greenpienoaroma said:
Ciao a tutti i ragazzi del foro e da qualche giorno che nn riesco piu ad entrare nella chat sapete dirmi il perchè ??? grazie.
Click to expand...


Io credo di saperlo, e la risposta non è PER NIENTE tranquillizzante.

Praticamente, non so perchè, la finestra della chat NON è protetta da una connessione sicura e criptata in HTTPS, come è invece tutto il resto del sito.

Non so da quanto tempo sia così però so per certo che firefox, fino alla versione 22 del browser, non ti avvisava di questa grave pecca della chat; fino a che non si è automaticamente aggiornato alla versione 23, e da lì in poi ha cominciato a bloccare il contenuto non sicuro della pagina (la chat, appunto!).

Se hai firefox e cerchi di entrare in chat, noterai che sulla sinistra del lucchetto di fianco all'indirizzo web verrà fuori un disegno che raffigura uno scudo.
Se clicchi su questo scudo ti si apre una finestrella con scritto:
"alcuni contenuto non sicuri sono stati bloccati.".
Indovina un po' quali sono i contenuti non sicuri di quella pagina? Incredibilmente, è proprio il riquadro della chat che non dispone di un certificato di sicurezza!
Puoi caricare lo stesso la chat semplicemente andando nel menù a tendina dello scudo, dove c'è scritto "continua a bloccare", e cambiandolo in "disattiva protezione su questa pagina"; il problema però non viene risolto ma solo aggirato, ed il risultato pratico è che tutto ciò che viene scritto nella chat ed anche nelle chat private non è criptato, quindi è facilmente intercettabile e leggibile da terzi!

Questa è una falla di sicurezza gravissima che compromette la privacy di tutta la chat stessa; ho già mandato un PM a BadSeed ma non ha saputo darmi spiegazioni in merito, bisognerebbe contattare qualche webmaster e chiedere delucidazioni.

Nel frattempo, se usate la chat, tenete bene a mente che tutto ciò che scrivete lì può essere intercettato e letto da terzi... secondo me bisognerebbe cambiare il titolo di questo thread in "Falla critica nella sicurezza della chat" o qualcosa del genere.
 
AnonymousJOE

AnonymousJOE

Member
Il fatto e che la chat stessa è scritta in javascript che se utilizzate tor browser è disattivato di default e bloccato anche da noscript , ma funziona lo stesso poiche la codificazione javascript della chat è effettuata direttamente dai server di icmag rendendolo teoricamente sicuro , ciononostante non mi sento di escludere che essendo non criptati siano comunque intercettabili quindi aspetto qualcuno con piu conoscenze informatiche di me , e comunque qua come in chat vale la regola di non divulgare informazioni sensibili , se si fa questo anche se intercettate le comunicazioni sono sicure , esattamente come i post del forum che anche se criptati sono comunque leggibili da tutti ciauzzz
 
CrazyDog

CrazyDog

Senior Member
Veteran
Antani said:
Io credo di saperlo, e la risposta non è PER NIENTE tranquillizzante.

Praticamente, non so perchè, la finestra della chat NON è protetta da una connessione sicura e criptata in HTTPS, come è invece tutto il resto del sito.

Non so da quanto tempo sia così però so per certo che firefox, fino alla versione 22 del browser, non ti avvisava di questa grave pecca della chat; fino a che non si è automaticamente aggiornato alla versione 23, e da lì in poi ha cominciato a bloccare il contenuto non sicuro della pagina (la chat, appunto!).

Se hai firefox e cerchi di entrare in chat, noterai che sulla sinistra del lucchetto di fianco all'indirizzo web verrà fuori un disegno che raffigura uno scudo.
Se clicchi su questo scudo ti si apre una finestrella con scritto:
"alcuni contenuto non sicuri sono stati bloccati.".
Indovina un po' quali sono i contenuti non sicuri di quella pagina? Incredibilmente, è proprio il riquadro della chat che non dispone di un certificato di sicurezza!
Puoi caricare lo stesso la chat semplicemente andando nel menù a tendina dello scudo, dove c'è scritto "continua a bloccare", e cambiandolo in "disattiva protezione su questa pagina"; il problema però non viene risolto ma solo aggirato, ed il risultato pratico è che tutto ciò che viene scritto nella chat ed anche nelle chat private non è criptato, quindi è facilmente intercettabile e leggibile da terzi!

Questa è una falla di sicurezza gravissima che compromette la privacy di tutta la chat stessa; ho già mandato un PM a BadSeed ma non ha saputo darmi spiegazioni in merito, bisognerebbe contattare qualche webmaster e chiedere delucidazioni.

Nel frattempo, se usate la chat, tenete bene a mente che tutto ciò che scrivete lì può essere intercettato e letto da terzi... secondo me bisognerebbe cambiare il titolo di questo thread in "Falla critica nella sicurezza della chat" o qualcosa del genere.
Click to expand...

grazie Anta tutto chiarissimo!
 
AnonymousJOE

AnonymousJOE

Member
Il pericolo penso sia rientrato ho provato a ricaricare la pagina poco fa ed il certificato di sicurezza confermava la pagina come criptata con protocollo ssl quindi sicura , comunque aspetto conferma anche da altri .
 
Antani

Antani

Active member
Ok ragazzi, scrivo questo post per aggiornarvi sulla situazione e tranquillizzarvi riguardo alla chat, visto che è facile generare allarmismi per via della nostra passione.

Ho indagato la questione e sono riuscito a svelare l'arcano mistero! A quanto pare la chat è una piccola applet Java che dispone già del suo protocollo di cifratura, che si chiama HMAC.

Hash-based message authentication code

Questo protocollo è incompatibile con quello HTTPS, perchè così la pagina si troverebbe ad avere due cifrature sovrapposte che andrebbero in conflitto; l'unico modo per far funzionare quel tipo di chat è disabilitarlo.
Questo non vuol dire che non sia protetta, ma semplicemente che non usa un certificato ssl!

Firefox, dalla nuova versione 23, comincia ad avvisarti ed a bloccare di default la parte che ritiene non sicura della pagina a contenuto misto; per far funzionare la chat bisogna quindi sbloccare manualmente il contenuto non sicuro, e bisogna farlo OGNI volta che ci entrate perchè non è stata implementata l'opzione che permetta di poter sbloccare per sempre il contenuto non sicuro su un determinato sito.

Sicuramente è una grossa seccatura, ma perlomeno non sembra esserci nessun pericolo di sicurezza sulla chat ;)

Buon forum e buonanotte a tutti, :thank you:
Antani
 
N

naturalist80

Member
Non so per la chat ma per il resto potevo leggere tutto o quasi prima di iscrivermi infatti digitando su google esempio fioritura a 12/12 grower appare il sito di icmag e relativi post foto e commenti. Io mi sento sicuro solo per il fatto che non tengo niente a casa mia tengo tutto a casa di un caro amico che per altro non fuma. Altrimenti non mi sarei iscritto perche di pc non ci capisco molto. Potrei essere vulnerabile sotto l aspetto sicurezza.Scusate la paranoia.
 
Checkenadoo

Checkenadoo

Member
Veteran
l'indicizzazione sui motori di ricerca secondo "gli admin" non è una debolezza ma una "feature" :D

Sostanzialmente è lo strumento che permette a tanti di conoscere questo forum, con tutti i pro e i contro del caso.

E' però altrettanto vero che c'è una policy di sicurezza abbastanza stretta e segnalando prontamente i trasgressori si stà abbastanza tranquilli.
Perchè come in questi giorni ho scritto in chat, la scarsa attenzione alla privacy di un utente può indirettamente mettere a rischio la sicurezza degli altri.

E per inciso, ma voi in chat mai, eh? :D
 
You must log in or register to reply here.

Latest posts

Latest posts

Top