Discussione Siti di online dating: vi piacciono? Leggete questo

Stato
Discussione chiusa ad ulteriori risposte.
Credo che un approccio di questo tipo, quello di utilizzare credenziali dedicate appositamente a servizi diversi, debba essere insegnato a chiunque poiché è il primo vero passo che tutti possiamo fare per combattere gli attacchi di questa tipologia ahimè molto frequenti.
 
  • Love
Reazioni: Netcat

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
Quest'argomento, l'online dating, è una questione di informatica che per forza di cose si interfaccia con la psicologia. Lo scopo del thread non è quello di scoraggiare l'uso di questa risorsa, che può essere utile per alcuni tipi di persone. Sicuramente le persone con un carattere timido e che temono di rimanere da sole sono più adatte a questo tipo di socializzazione. Mentre le persone con un Ego molto pronunciato, come me, non avvertono neppure il bisogno di avere un compagno/a, o di avere molti amici dal vivo, figuriamoci online. E' una sfida interessante, il deporre la propria armatura per esplorare il mondo interiore di persone molto diverse da noi: questo infatti ci aiuta a comprendere ciò che è estraneo alle caratteristiche della propria personalità. Allora, cosa succede? Un determinato tipo di soggetto, che presenta aspetti di generale timidezza e approccio "goffo" con l'altro sesso, ha la sensazione che la sua felicità sia da delegare in parte ad un altro individuo, ma non riuscendo ad approcciare, si reca su questi siti. OK. Senza considerare - per evitare di finire off-topic - i problemi psicologici che ne potrebbero derivare qualora questo tipo di soggetto si leghi con la persona sbagliata, il thread coglie l'occasione di rilasciare solamente le note di sicurezza fondamentali per un uso corretto dei social adibiti a questa funzione. I punti elencati saranno basati su analisi ed osservazioni compiute da me.

  1. Spesso, questi siti, dato che sono dei social network under-ground, non incorporano metodi di protezione come il fattore a doppia autenticazione, questo comporterà che l'utente dovrà scegliere una password complessa, che comprenda almeno 10 caratteri, una lettera maiuscola ed un carattere speciale. In questo modo, forzare una password richiederebbe secoli, in senso letterale;
  2. Alcuni di questi siti non fanno validation degli input inviati dal client al server. Questo significa che consentono l'immissione di password deboli, o addirittura poter garantire l'esecuzione di un comando arbitrario. Un esempio di questo tipo di attacco è l'iniezione SQL, una tecnica vecchia, ma tuttora valida. Il link di riferimento spiega degli esempi banali di iniezione SQL.
  3. Abuso della funzione per il recupero di username/password. Quest'attacco è fattibile quando il server ha leakato il token della richiesta di reset nella risposta. Questo token può essere reperito e sfruttato per dirottare la sessione di reset/recupero password.
Il primo punto elencato, è tranquillamente gestibile dall'user, dato che inserire una password difficile da indovinare è un'operazione semplice e immediata. Gli altri due punti, sono perlopiù di competenza tecnica, e può occuparsene solamente l'Amministratore del sito in collaborazione con il supporto tecnico. Ma allora, vi chiederete, come potersi rendere conto della presenza di questi problemi, se sono difficili da individuare, e la loro risoluzione non spetta neanche a noi? La risposta è semplice, non dobbiamo rendercene conto affatto. La creazione di un'email e password dedicati esclusivamente alla registrazione su questi siti, ci permette di non preoccuparcene, perché anche qualora i profili venissero violati, i responsabili finiranno solamente col mettere le mani su delle credenziali che noi non sfruttiamo per navigare quotidianamente su siti più importanti, come Poste. Infine, ci basterà segnalare l'attacco all'Amministratore, affinché l'attacco sia indagato, e i tecnici risolvano le vulnerabilità, mentre noi ricreiamo con comodità un profilo nuovo.
 
Stato
Discussione chiusa ad ulteriori risposte.