HP: Linux sfonderà anche nel desktop

esperto...
scusate, ma il vostro esperto dice due cose in contraddizione fra di loro.Per prima cosa dice che "Si può avere accesso alla posta di un utente collegato alla Webmail di TiscaliNet semplicemente ottenendo il suo indirizzo di referrer. Fino alla scadenza della sessione, è sufficiente inserire l'URL esatto et voilà: come per magia, si potrà accedere alla mailbox di un utente loggato sul Web in quel momento".in pratica il webmail di tiscali dopo l'autenticazione mantiene attiva una sessione per quell utente, e, all'interno di quella sessione, si puo' aprire una email semplicemente digitando un indirizzo web, senza doversi loggare di nuovo.Poi dice "sebbene possa in teoria essere sfruttato solo da chi dispone di un server Web e nel caso in cui l'utente acceda a quel server dalla sua mailbox, una volta scoperto (e non è detto che qualcuno non lo abbia fatto prima di voi) potrebbe davvero essere alla portata di un bel po' di malintenzionati." cioe' chi ha un server web, si legge i log, inserisce l'url e legge anche lui l'email del malcapitato.Evidentemente le due cose sono in contrasto, perche' nella frase precedente si legge "Fino alla scadenza della sessione".Come faccio ad accedere se non c'e' nessuna sessione attiva?Una sessione si attiva (credo) nel momento in cui l'utente si logga.O meglio, ci sara' una qualche variabile legata a quella sessione che indica l'avvenuto logon.Ora io, senza aver fatto il logon, come posso attivare una sessione?In pratica al webmail di tiscali manca solo un check sul referrer.In perl potrebbe essere if(!$ENV{"HTTP_REFERER"} ~= /www\.tiscalinet\.it/) print "401 unathorized access"ma ci sono certamente un milione di altri modi per farlo.Senz altro e' una dimenticanza, ma certo una login bisogna almeno conoscerla.Io verificherei se con una login, posso leggere la posta di un'altra login.Questo si sarebbe grave.Vorrei inoltre far notare che il timestamp (quello unix) e' univoco (in realta' non lo e', ma di fatto puo' essere considerato come tale). Esso infatti, sempre se non sbaglio, rappresenta la distanza dalla mezzanotte del 1 gennaio 1900 ed e' formato da un numero a 64 bit.I primi 32 bit rappresentano il numero di secondi, gli altri 32 bit la parte frazionaria con una precisione al microsecondo.Anche assumendo che si usino solo i primi 32 bit del numero, due richieste successive dovrebbero cadere esattamente nello stesso secondo per avere lo stesso timestamp.ciao

Re: esperto...
- Scritto da: MaKs> scusate, ma il vostro esperto dice due cose> in contraddizione fra di loro....> ciaoSe non ho capito male il broblema e' reale, infatti:supponiamo che io sia il cattivo di turno che vuole utilizzare la tua mailbox per i miei loschi scopi (per es. spam) facendo la colpa delle mie azioni su di te;metto su un bel sito web "www.tuamammafaibocchini .org" e ti mando una email nella quale e' contenuto il riferimento al sito;la mail viene visualizzata in html quindi il suddetto riferimento risulta cliccabile;tu clicchi sull' URL mentre stai leggendo la tua posta sul sito webmail di tiscali, quindi il tuo browser e' "posizionato" su di un URL del tipo "www.webmail.tiscali.it?xyz" dove xyz e' una stringa che identifica la tua sessione;al mio server web arriva una richiesta da parte del tuo browser ed io sono in grado di leggere l'URL dal quale "proviene" tale richiesta (cioe "www.webmail.tiscali.it?xyz");a questo punto sono anche in grado di utilizzare la tua posta elettronica a tuo nome perche' (sempre se non ho capito male) non viene fatto, da parte del sito di tiscali, nessun controllo a parte il formato dell' URL ed il tempo di inattivita (il famoso "timestamp") prima della chiusura della sessione;tutto questo lo posso fare anche in maniera automatica, magari mentre tu non ti accorgi di niente perche sei troppo impegnato a visitare il sito "www.tuamammafaibocchini .org".

Re: esperto...
> Se non ho capito male il broblema e' reale,> infatti:> > supponiamo che io sia il cattivo di turno> che vuole utilizzare la tua mailbox per i> miei loschi scopi (per es. spam) facendo la> colpa delle mie azioni su di te;> > metto su un bel sito web> "www.tuamammafaibocchini .org" e ti mando> una email nella quale e' contenuto il> riferimento al sito;> > la mail viene visualizzata in html quindi il> suddetto riferimento risulta cliccabile;> non ho mai visto il webmail di tiscali.Ma il fatto che visualizzi le mail in html e' MOLTO grave.Perche' non serve leggersi l'url per farsi mandare ad esempio i cookie su una propria pagina che li registra.Basta che nella pagina html metto un immagine che pounta ad un mio script, come fanno le agenzie pubblicitarie con i loro banner...> tu clicchi sull' URL mentre stai leggendo la> tua posta sul sito webmail di tiscali,> quindi il tuo browser e' "posizionato" su di> un URL del tipo "www.webmail.tiscali.it?xyz"> dove xyz e' una stringa che identifica la> tua sessione;> mo mi faccio un account e faccio una prova va ;)))mi avete incuriosito! Ciao

Re: esperto...
- Scritto da: Gugliemo Cancelli> > metto su un bel sito web> "www.tuamammafaibocchini .org" e ti mando> una email nella quale e' contenuto il> riferimento al sito;> Ho provato a collegarmi piu' volte al sito succitato, ma purtroppo senza riuscirvi.In quale ore è online la mamma?Dall'estensione .org deduco non abbia finalita' commerciali. Posso quindi usufruirne gratuitamente?Ciao

Re: esperto...
> Scritto da: MaKs> scusate, ma il vostro esperto dice due cose> in contraddizione fra di loro.> Per prima cosa dice che [cut]A parte questo, hai mai letto la sua newsletter unoscript@lgiorno? E' pazzesca, quando scrive lui inventa 2 parole messe in croce e uno "script" che 9/10 è spiegato anche sui manuali elementari. Quando scrivono gli altri fanno 2 pagine di spiegazione e un codice utile...Tra l'altro ha fatto un libro con i suoi script, vorrei comprarlo solo per ridere un po'.

Re: esperto...
Mah, a te non ti conosco, Bocchicchio si...Se sei cosi bravo, buttami giù un bello script per utilizzare e settare Soap, o uno per gestire i messaggi in coda con MSMQS, o altre amenità del genere e fallo TUTTI I GIORNI e rispondi sui newsgroup e... sbattiti!Daniele non sarà il massimo della simpatia e bravura ma ha fatto piu lui per far "crescere" la scena ASP in Italia di te! (sicuramente!! e anche di molti altri)Poi, se sei un cosi grande genio, manda script vari. (adeguatamente commentati) Li pubblicano sempre!!Poi diccelo che ci facciamo due risate!! :-))

Re: esperto...
- Scritto da: Gian> Mah, a te non ti conosco, Bocchicchio si...> Se sei cosi bravo, buttami giù un bello> script per utilizzare e settare Soap, o uno> per gestire i messaggi in coda con MSMQS, o> altre amenità del genere e fallo TUTTI I> GIORNI e rispondi sui newsgroup e...> sbattiti!Purtorppo io lavoro e non ho molto tempo per scrivere articoli.. anche se ammetto mi piacerebbe molto..Avevo anche registrato un dominio per fare una cosa tipo aspitalia, ma poi si sa, le intenzioni sono buone, la volonta debole ;Pse ti servono script su soap e MSMQ ne ho tonnellate.Ho anche un'applicazione funzionante in soap interamente scritta in asp.ciao

Re: esperto...
Non saprò fare cose avanzate, ma almeno non mi metto a vendere script del tipo "Script per generare una percentuale (che usava una funzione interna di vbscript)", "ricavare il refeerer (come sopra" o script WSH e PHP (se volevo questi altri linguaggi di scripting mi iscrivevo ad una mailing list specifica)

povera tiscali....
...ma perche' ho la sensazione che se fosse stata hotmail ad avere lo stesso problema il tono sarebbe stato un tantino diverso? Neanche un accenno al so su cui gira il server di posta. Neanche dirci se visual mail e' opensource... insomma dobbiamo saperle 'ste cose.

Re: povera tiscali....
- Scritto da: Ciao> ...ma perche' ho la sensazione che se fosse> stata hotmail ad avere lo stesso problema il> tono sarebbe stato un tantino diverso?> Neanche un accenno al so su cui gira il> server di posta. Direttamente da netcraft:The site netmail.tiscalinet.it is running Apache/1.3.12 (Unix) on Solaris> Neanche dirci se visual> mail e' opensource... insomma dobbiamo> saperle 'ste cose.Perchè?

Re: povera tiscali....
> Neanche dirci se visual> mail e' opensource... insomma dobbiamo> saperle 'ste cose.Comunque, per la cronaca:http://www.mintercorp.com/visualmail/Non mi pare sia OpenSourceCiaoDiego

Re: povera tiscali....
e tu miserabile analfabeta informatico daresti del pollo a ME? e parli di importanza di sapere le cose?su hotmail gira FreeBSD perche' quei cessi di sistemi operativi microzozz non sono in grado di gestire cotanta mole di datisai ke ti dico... ke puoi tenertelo il tuo mondo closed source e il tuo windows e dare del pollo a chi ti pare...dormi dormi- Scritto da: Ciao> ...ma perche' ho la sensazione che se fosse> stata hotmail ad avere lo stesso problema il> tono sarebbe stato un tantino diverso?> Neanche un accenno al so su cui gira il> server di posta. Neanche dirci se visual> mail e' opensource... insomma dobbiamo> saperle 'ste cose.

Re: povera tiscali....
Vedi che rimani pollo ... hotmail gira su w2k/IIS5 da quando e' stata comprata da microsoft , pollo. Quando ti stanchi di fare figure di merda avvisaci cosi' invece di leggere i tuoi messaggi ci guardiamo zelig.PS eppure non ci vuole molto ad evitarle , ti basta andare su netcraft e impostare l'url ... - Scritto da: italiani> e tu miserabile analfabeta informatico> daresti del pollo a ME? e parli di> importanza di sapere le cose?> su hotmail gira FreeBSD perche' quei cessi> di sistemi operativi microzozz non sono in> grado di gestire cotanta mole di dati> sai ke ti dico... ke puoi tenertelo il tuo> mondo closed source e il tuo windows e dare> del pollo a chi ti pare...> dormi dormi> > - Scritto da: Ciao> > ...ma perche' ho la sensazione che se> fosse> > stata hotmail ad avere lo stesso problema> il> > tono sarebbe stato un tantino diverso?> > Neanche un accenno al so su cui gira il> > server di posta. Neanche dirci se visual> > mail e' opensource... insomma dobbiamo> > saperle 'ste cose.

Re: povera tiscali....
ke e' stata comprata lo sanno tutti... quindi non si sa neppure perche' ci dai questa notiziona!ma i server girano su FreeBSD...guarda che non c'e' solo il web server... l'avranno cambiato perche' cosi' i LAMER come te con il loro super strumento di analisi netcraft vedono windows e si pensano che sia una gran cosa...tu per me di pc non sai un cazzo...e ripeto dammi del pollo finche' ti pare...tanto arrosto ci vai solo tu e la microsoft negli anni a seguire :)- Scritto da: Ciao> Vedi che rimani pollo ... hotmail gira su> w2k/IIS5 da quando e' stata comprata da> microsoft , pollo. Quando ti stanchi di fare> figure di merda avvisaci cosi' invece di> leggere i tuoi messaggi ci guardiamo zelig.> > PS eppure non ci vuole molto ad evitarle ,> ti basta andare su netcraft e impostare> l'url ... > > - Scritto da: italiani> > > e tu miserabile analfabeta informatico> > daresti del pollo a ME? e parli di> > importanza di sapere le cose?> > su hotmail gira FreeBSD perche' quei cessi> > di sistemi operativi microzozz non sono in> > grado di gestire cotanta mole di dati> > sai ke ti dico... ke puoi tenertelo il tuo> > mondo closed source e il tuo windows e> dare> > del pollo a chi ti pare...> > dormi dormi> > > > > - Scritto da: Ciao> > > > ...ma perche' ho la sensazione che se> > fosse> > > > stata hotmail ad avere lo stesso> problema> > il> > > > tono sarebbe stato un tantino diverso?> > > > Neanche un accenno al so su cui gira il> > > > server di posta. Neanche dirci se> visual> > > > mail e' opensource... insomma dobbiamo> > > > saperle 'ste cose.>

Bug su Interfree webmail
Un bug simile è presente sulla webmail di interfree. Dopo essere entrato nella mail box, c'è la possibilità di leggere in chiaro utente e password. Basta scrivere, nel campo url di iexplorer, 'club' e magicamente apparirà username e password.

Re: Bug su Interfree webmail
- Scritto da: repali> Un bug simile è presente sulla webmail di> interfree. Dopo essere entrato nella mail> box, c'è la possibilità di leggere in chiaro> utente e password. Basta scrivere, nel campo> url di iexplorer, 'club' e magicamente> apparirà username e password.Dov'è che devo scrivere club?? Io ho provato varie combinazioni ma non mi sembra funzionare, appare solo la scritta 'back' su una pagina bianca....

Re: Bug su Interfree webmail
Salve Repali,sono dello staff di Interfree per poter verificare la segnalazione avremmo bisogno che ci scrivessi a " info@interfree.it " per darci modo di contattarti e fare tutte le verifiche del caso e porre rimedio ad un eventuale Bug.Saluti.- Scritto da: repali> Un bug simile è presente sulla webmail di> interfree. Dopo essere entrato nella mail> box, c'è la possibilità di leggere in chiaro> utente e password. Basta scrivere, nel campo> url di iexplorer, 'club' e magicamente> apparirà username e password.

Re: Bug su Interfree webmail
- Scritto da: repali> Un bug simile è presente sulla webmail di> interfree. Dopo essere entrato nella mail> box, c'è la possibilità di leggere in chiaro> utente e password. Basta scrivere, nel campo> url di iexplorer, 'club' e magicamente> apparirà username e password.secondo me basta premere ALT+F4 ;)

Re: Bug su Interfree webmail
- Scritto da: repali> Un bug simile è presente sulla webmail di> interfree. Dopo essere entrato nella mail> box, c'è la possibilità di leggere in chiaro> utente e password. Basta scrivere, nel campo> url di iexplorer, 'club' e magicamente> apparirà username e password.Una cosa molto simile accadeva fino a qualche tempo fa con Jumpy.Chiedetegli cosa appariva se si metteva lo username nel from relativa alla password d aricordare e poi se si andata direttamente alla pagina "datachange2" (per fortuna da qualche mese hanno messo le cose a posta e ora tale pagina fa i check dovuti).

Re: Bug su Interfree webmail
Ehm... mi scuso per i ridicoli errori di battitura del commento precedente.

Re: Bug su Interfree webmail da REPALI
Perchè si verifichi una cosa del genere è necessario che su iexplorer sia attivo il completamento automatico degli indirizzi web. Quando, dopo essere entrati nella mailbox,se iniziate a scrivere nel campo indirizzo di explorer vedrete club.interfree.it seguito da username e password. La cosa era già stata segnalata allo staff di interfree molto tempo fa senza nessuna rispota. Fate attenzione perché se vi collegate attraversoun proxy (es. dall'ufficio) che ha il log attivo possono leggervi la posta.- Scritto da: repali> Un bug simile è presente sulla webmail di> interfree. Dopo essere entrato nella mail> box, c'è la possibilità di leggere in chiaro> utente e password. Basta scrivere, nel campo> url di iexplorer, 'club' e magicamente> apparirà username e password.

Purtroppo è vero, anche se...
Confermo il problema, anche se mi pare negli ultimi giorni si sia parzialmente risolto.Attualmente le mie 2 coppie username / password (aziendale e personale) giaceranno su chissà quanti PC ove non ho potuto cancellare la Cronologia (ad esempio postazioni senza diritti su LAN).Tra l'altro il lato positivo è che si può sfruttare la stringa per creare un "Preferito" che logghi all'istante... :-)Giuseppe "ex-xxcz"

Comunque...
Credo, se così é, siano incidenti di percorso e Tiscali, ne sono certo, provvederà tempestivamente. E' doveroso dire anche, che Tiscalinet funziona con regolarità, gentilezza e molta professionalità.Benedetto Schiavo

Anche problemi su smtp
Il problema e' accentuato dal fatto che il server smtp di Tiscalinet e' troppo spesso irraggiungibile per cui si e' costretti ad utilizzare l'accesso Web ai servizi di posta anziche' client standard POP3 (Eudora, Outlook,...).Ho gia' segnalato il problema un paio di volte all'assistenza, ma le risposte sono state del tenore "Verifichi che l'indirizzo sia corretto, utilizzi solo l'accesso Tiscalinet.."

Re: Anche problemi su smtp
- Scritto da: Giuseppe Marone> Il problema e' accentuato dal fatto che il> server smtp di Tiscalinet e' troppo spesso> irraggiungibile per cui si e' costretti ad> utilizzare l'accesso Web ai servizi di posta> anziche' client standard POP3 (Eudora,> Outlook,...).Oppure ad usare un SMTP sul proprio PC: quello è sempre raggiungibile :-)CiaoDiego> Ho gia' segnalato il problema un paio di> volte all'assistenza, ma le risposte sono> state del tenore "Verifichi che l'indirizzo> sia corretto, utilizzi solo l'accesso> Tiscalinet.."Quando io segnalavo che era impossibile connettersi ai pop di accesso (con perdita della telefonata :-( ) non mi rispondevano neppure...CiaoDiego

Re: Anche problemi su smtp
> [...]> Oppure ad usare un SMTP sul proprio PC:> quello è sempre raggiungibile :-)Che sia raggiungibile non ci sono dubbi (a meno che non lo "butti giù" l'utente stesso ;-)... che sia utilizzabile, o comunque utile, è un altro discorso, strettamente dipendente dall'IP che ti assegna il provider. Tempo fa, con Libero@Sogno, mi succedeva che *alcune* volte l'SMTP rifiutava di spedire posta verso *certi* domini. Dopo un veloce controllo, ho potuto verificare che *alcuni* IP dei pool assegnati per le porte dial-up erano stati messi nelle black-list (RBIL, mi pare) di *alcuni* gestori, probabilmente perchè qualche testa di quiz aveva deciso di spammare da quegli indirizzi. Quando mi capitava di avere quegli *specifici* indirizzi IP, non c'era verso :-(Un classico esempio del motto "Per colpa di qualcuno non si fa credito [nb. 'di fiducia verso l'SMTP entrante'] a nessuno"> [...]> Quando io segnalavo che era impossibile> connettersi ai pop di accesso (con perdita> della telefonata :-( ) non mi rispondevano> neppure...Eh, le FreeNet in Italia ... inizialmente il marketing cercava di diffondere l'idea che fossero free=gratis (gratis 'sta ceppa.... vogliamo parlare di provvigioni Telecom? Meglio di no...), poi si capì che il vero significato era free=libero/i, riferito a quelli dei call center ed ai tecnici, che con la scusa che "tanto è gratis", non si sentono in obbligo di darti alcun tipo di assistenza, che invece ti sarebbe dovuta visto il 41% del tuo traffico che si cuccano ... ;-)Così va il mondo... BTW, sono contento di poter contare su una flat, oggi. Molto contento 8) [certo se ci fosse l'ADSL nella mia zona lo sarei di +, ma quello è un altro discorso...]Ciao!

Re: Anche problemi su smtp
Beato te che sei riuscito ad avere una risposta...Ho mandato qualche Msg sul newsgroup e non si sono degnati di rispondermi.A quanto ho visto ti rispondono solo per fare beta test del loro Voicespring.> Ho gia' segnalato il problema un paio di> volte all'assistenza, ma le risposte sono> state del tenore "Verifichi che l'indirizzo> sia corretto, utilizzi solo l'accesso> Tiscalinet.."

Hotmail sarebbe a prima vista più sicuro???
Signori miei, mi sa che avete sbagliato strada, o perlomento havete sbagliato occhiali. Affermare che Hotmail è sicuro, è come dire in una giornata di pieno agosto con 40 gradi all'ombra e un sole che spacca le pietre che sta nevicando.Hotmail è uno dei siti più bucati in assoluto, salvo non seguire i report ufficali di Microsoft secondo cui è tutto ok.Meditate gente meditate a quello che sentite sul web....

Re: Hotmail sarebbe a prima vista più sicuro???
prove, non chiacchiere.dai.- Scritto da: A.Fiorenzi> Signori miei, mi sa che avete sbagliato> strada, o perlomento havete sbagliato> occhiali. > Affermare che Hotmail è sicuro, è come dire> in una giornata di pieno agosto con 40 gradi> all'ombra e un sole che spacca le pietre che> sta nevicando.> Hotmail è uno dei siti più bucati in> assoluto, salvo non seguire i report> ufficali di Microsoft secondo cui è tutto> ok.> > Meditate gente meditate a quello che sentite> sul web....

Re: Hotmail sarebbe a prima vista più sicuro???
Hotmail gira ancora in parte su sistemi BSD...e fino a poco tempo fa lo era interamente.Stanno migrando a windows 2000 e la serie di bug e' motlo diminuitaCiao- Scritto da: A.Fiorenzi> Signori miei, mi sa che avete sbagliato> strada, o perlomento havete sbagliato> occhiali. > Affermare che Hotmail è sicuro, è come dire> in una giornata di pieno agosto con 40 gradi> all'ombra e un sole che spacca le pietre che> sta nevicando.> Hotmail è uno dei siti più bucati in> assoluto, salvo non seguire i report> ufficali di Microsoft secondo cui è tutto> ok.> > Meditate gente meditate a quello che sentite> sul web....

Sorpresi?
Dovrebbero sapere tutti che l'email è un mezzo intrinsecamente insicuro. Lo sapete per esempio che il collegamento a qualsiasi server SMTP non richiede password e chiunque può mandare un messaggio usando il VOSTRO indirizzo?Provare per credere!

Re: Sorpresi?
- Scritto da: docfb> Dovrebbero sapere tutti che l'email è un> mezzo intrinsecamente insicuro. Quasi vero. Credo che usando PGP o simili si possa risolvere il problema.> Lo sapete> per esempio che il collegamento a qualsiasi> server SMTP non richiede password e chiunque> può mandare un messaggio usando il VOSTRO> indirizzo?Mmmm... vero. Però dai log del server si dovrebbe poter risalire al vero indirizzo ip del mittente.E comunque anche questo si dovrebbe poter risolvere con PGP.> Provare per credere!Provato "miriadi di volte" per fare scherzetti agli amici.... :-)ByeDiego

Re: Sorpresi?
- Scritto da: Diego> - Scritto da: docfb> > Dovrebbero sapere tutti che l'email è un> > mezzo intrinsecamente insicuro. > Effettivamente secondo me troppa gente continua a considerare l'email come una lettera, mentre e' una cartolina... quindi puo' essere letta piu' o meno da tutti... > Quasi vero. Credo che usando PGP o simili si> possa risolvere il problema.Manca la cultura del PGP, in america, figuriamoci qui...

Re: Sorpresi?
Scusate l'ignoranza ( la mia...) la che cavolo è PGP ??grazie !stefano- Scritto da: Joele> - Scritto da: Diego> > - Scritto da: docfb> > > Dovrebbero sapere tutti che l'email è> un> > > mezzo intrinsecamente insicuro. > > > > Effettivamente secondo me troppa gente> continua a considerare l'email come una> lettera, mentre e' una cartolina... quindi> puo' essere letta piu' o meno da tutti... > > > Quasi vero. Credo che usando PGP o simili> si> > possa risolvere il problema.> > Manca la cultura del PGP, in america,> figuriamoci qui...>

Re: Sorpresi?
Io non lo sapevo l'ho provato e cavolo se funziona!!! Nei prossimo giorni okkio scherzi (innoqui) in arrivo!!!!Grazie mille!!!!- Scritto da: docfb> Dovrebbero sapere tutti che l'email è un> mezzo intrinsecamente insicuro. Lo sapete> per esempio che il collegamento a qualsiasi> server SMTP non richiede password e chiunque> può mandare un messaggio usando il VOSTRO> indirizzo?> Provare per credere!

Re: Sorpresi?
> Dovrebbero sapere tutti che l'email è un> mezzo intrinsecamente insicuro. Lo sapete> per esempio che il collegamento a qualsiasi> server SMTP non richiede password e chiunque> può mandare un messaggio usando il VOSTRO> indirizzo?E questo cosa c'entra? Sono due problematiche completamente diverse: un conto è che qualcuno possa mandare email a mio nome, e un conto ben diverso è che qualcuno possa leggere le mie email.Non so se sai che esistono le segreterie telefoniche che puoi interrogare anche a distanza: è ovvio che se chiama un altro e indovina la 'password' a 4 cifre, ascolta i tuoi messaggi registrati. Seguendo il tuo contorto ragionamento dovremmo dire che "chi se ne importa? Non lo sai che puoi lasciare in segreteria messaggi anonimi o ADDIRITTURA a nome di qualcun altro?" Che facciamo, aboliamo le segreterie telefoniche o questi luoghi comuni?

verificato
e' verose io faccio copia e incolla della url su un altro browser posso leggere l'email.Basterebbe non visualizzare le email in html o controllare se c'e' qualche tag img a href che punta all'esterno del sito e soprattutto non consentire l'accesso diretto alle pagine interne del webmail, ma solo dopo essere passati per la principale.

Re: verificato
MaKs il problema non e' l'htmllasciali fare se non gli piace l'ascii :)il fatto e' che hanno capito poco di programmazione web... e col loro fantastico asp si sono trovati a sbagliare la gestione delle sessioni tutto quiciao!inutile discutere di web con gente che mette su asp... su un fantastico server microsoft...a prescindere dalla scelta tecnologica, che disapprovo fino alla nausea, basta cambiare la gestione delle sessioni.. renderla un po + tipo quella del tomcat con i servlet java magari no eh?fate fate le url lunghe 2 kilometri che va bene!auguri!- Scritto da: MaKs> e' vero> se io faccio copia e incolla della url su un> altro browser posso leggere l'email.> Basterebbe non visualizzare le email in html> o controllare se c'e' qualche tag img a href> che punta all'esterno del sito e soprattutto> non consentire l'accesso diretto alle pagine> interne del webmail, ma solo dopo essere> passati per la principale.

Re: verificato
- Scritto da: w l'esperto> MaKs il problema non e' l'html> lasciali fare se non gli piace l'ascii :)> > il fatto e' che hanno capito poco di> programmazione web... e col loro fantastico> asp si sono trovati a sbagliare la gestione> delle sessioni tutto qui> ciao!> > inutile discutere di web con gente che mette> su asp... su un fantastico server> microsoft...Da netcraft mi risulta Apache su SUN.CiaoDiego

Re: verificato
scusa mi sono confuso con i primi post contro l'esperto ke parlavano di asp e' ho spostato la linea di confine tra articolo e commenti :)l'articolo parlava di VisualMailpeggio ancora di asp quindi! un programma a se per fare un applicazione web.. ottima scelta! non avevate i programmatori alla tiscali? probabile avevano fretta... visto che in un lampo hanno riempito l'Italia di servizi dal nulla...cmq a prescindere dalla tecnologia asp o java e' un errore di programmazione... entrambe le tecnologie posso gestire i contesti a dovere... gli application server di java meglio ;)ciao!- Scritto da: Diego> - Scritto da: w l'esperto> > MaKs il problema non e' l'html> > lasciali fare se non gli piace l'ascii :)> > > > il fatto e' che hanno capito poco di> > programmazione web... e col loro> fantastico> > asp si sono trovati a sbagliare la> gestione> > delle sessioni tutto qui> > ciao!> > > > inutile discutere di web con gente che> mette> > su asp... su un fantastico server> > microsoft...> > Da netcraft mi risulta Apache su SUN.> > Ciao> Diego

ASP questo sconosciuto...
Microsoft fa delle cag.te pazzesche in molti campi, ma su ASP (com su Access) non ha toppato per niente. E' un linguaggio scripting potente e versatile (magari impestato per altre ragioni), che non ha niente da invidiare ai vari concorrenti. Tant'è vero che lo stanno implementando in OpenSource.Semmai, bisogna chiedersi quanto sicuri siano i sistemi di sicurezza che spesso vengono implementati alla bell'è meglio e in fretta e furia dalle aziende che sviluppano software su ordinazione. Intendo, se sviluppi un prodotto che vendi col tuo nome sopra (tipo IIS per MS) se fa schifo ci fai la figura di m..da direttamente e sei costretto a riparare. Se ti commissionano un progettino su cui hanno le mani in pasta altri dieci, cerchi di realizzare velocemente e chi se ne frega.

Re: verificato
> inutile discutere di web con gente che mette> su asp... su un fantastico server> microsoft...Ahaha vedi caro Diego perche' dicevo che era importante sapere certe cose? Perche' poi arriva il pollo antimicrosoft che fa la sua bella figura di merda giornaliera...

Re: verificato
- Scritto da: Ciao> Ahaha vedi caro Diego perche' dicevo che era> importante sapere certe cose? Perche' poi> arriva il pollo antimicrosoft che fa la sua> bella figura di merda giornaliera... Ops... in effetti...Sarò strano, ma se proprio devo scrivere cose che possono sembrare anche solo un poco polemiche, prima controllo che siano CORRETTE!!!ByeDiego

Re: verificato
cosa c'e' di importante da sapere?ho corretto il post e mi sono spiegato benel'errore e' dovuto alla gestione dei contestila critica su asp e' personalese hai qualche problema fammi un fischio che vediamo chi e' il pollo ok?ciao- Scritto da: Ciao> > > > inutile discutere di web con gente che> mette> > su asp... su un fantastico server> > microsoft...> > Ahaha vedi caro Diego perche' dicevo che era> importante sapere certe cose? Perche' poi> arriva il pollo antimicrosoft che fa la sua> bella figura di merda giornaliera...

Galactica
La webmail di Galactica trasmette nome utente e password in chiaro sul link quando dopo aver inserito nome e password cliccate su "clicca"... provare per credere... Ciao _Fra_

Per non parlare della posta InWind
Beh, se vogliamo rimanere in tema di password in chiaro, vogliamo parlare di InWind?Carino, efficiente, completo, ma...http://assistente.inwind.it/script/login.php?LOGIN=nome_utente&PASSWD=password&to=posta&Act_Login.x=10&Act_Login.y=10Questa URL (scritta ovviamente "in chiaro" sulla barra degli indirizzi del browser) porta dritta dritta DENTRO la tua casella di posta. Altro che PGP, Passport e compagnia bella...Saluti,@ngel

Re: Per non parlare della posta InWind
A me da "impossibile visualizzare la pagina"...- Scritto da: @ngel> Beh, se vogliamo rimanere in tema di> password in chiaro, vogliamo parlare di> InWind?> Carino, efficiente, completo, ma...> > http://assistente.inwind.it/script/login.php?> > Questa URL (scritta ovviamente "in chiaro"> sulla barra degli indirizzi del browser)> porta dritta dritta DENTRO la tua casella di> posta. Altro che PGP, Passport e compagnia> bella...> > Saluti,> @ngel

Re: Per non parlare della posta InWind
- Scritto da: Marco> A me da "impossibile visualizzare la> pagina"...E ti credo il sito è giù da stamattina... ;->Ti assicuro che è così: mi sono fatto un link nei preferiti per non digitare ogni volta il login...Ciao,@ngel

Re: Per non parlare della posta InWind
ok... ma anche se veniva passata in posto ti dava la finestrella di richiesta login e password, i dati sempre in chiaro passano, a meno che non si usi SSL...che li vedi tu sulla barra degli indirizzi non e' poi sto gran problema.Il problema e' che POP3 e' un protocollo totalmente in chiaro...Ciao- Scritto da: @ngel> Beh, se vogliamo rimanere in tema di> password in chiaro, vogliamo parlare di> InWind?> Carino, efficiente, completo, ma...> > http://assistente.inwind.it/script/login.php?> > Questa URL (scritta ovviamente "in chiaro"> sulla barra degli indirizzi del browser)> porta dritta dritta DENTRO la tua casella di> posta. Altro che PGP, Passport e compagnia> bella...> > Saluti,> @ngel

Re: Per non parlare della posta InWind
hahahahinwind,username : testpassword : testhahhaahha

Re: Per non parlare della posta InWind
Ma cosa dici....in php basta usare le sessionio cmq qualsiasi programmatore serioassegna un cavolo di id generata epassa solo quella se proprio vuoleusare il lame POSToppure la cripta...checcavolo c'entra il pop3stiamo parlando di webmail svegliail pop3 lo sanno anche i muriche passa in chiaro non c'e' bisognoche ce lo racconti te, basta sniffareun po' in ufficio e hai user e passdi tutti...roba vecchia@- Scritto da: MaKs> ok... ma anche se veniva passata in post> o ti dava la finestrella di richiesta login> e password, i dati sempre in chiaro passano,> a meno che non si usi SSL...> > che li vedi tu sulla barra degli indirizzi> non e' poi sto gran problema.> Il problema e' che POP3 e' un protocollo> totalmente in chiaro...>

w la tempestivita' ;)
Avevo riscontrato il problema descritto nell'articolo di Punto Informatico qualche mese fa': ho provato a contattare Tiscalinet ma su 3 mail inviate, alla prima non ho ottenuto risposta, alla seconda una risposta l'ho ottenuta ma a mio avviso abbastanza scortese, alla terza... nuovamente nessuna risposta. (Poi ho avuto problemi di tempo...)Avevo fatto delle prove tecniche e con uno script PHP di UNA RIGA era possibile sfruttare perfettamente la vulnerabilita' in questione (ricevendo comodamente via mail il $HTTP_REFERER).Comunque la cosa che mi lascia perplesso e' come Tiscalinet, dopo che avevo segnalato la presenza di una falla di sicurezza, non abbia trovato e risolto il problema (veramente era mia intenzione spiegare quale era, ma...) in cosi' tanto tempo...Non so che pensare... Boh...

la posta di Tiscali fa schifo.
Si vede che e' fatta da cani. Infatti io uso SOLOYAHOO, HOTMAIL.

AVETE VOLUTO I PROVIDER FREE??
E ADESSO PEDALATE!P.S.free internet ha sempre voluto dire nessuna garanzia sull' affidabilità dei servizi!!nel caso specifico, tiscali è il peggio del peggio. =:D

Re: AVETE VOLUTO I PROVIDER FREE??
- Scritto da: 3h0ll3n????H!U!n!d> E ADESSO PEDALATE!> P.S.> free internet ha sempre voluto dire nessuna> garanzia sull' affidabilità dei servizi!!Nessun problema, sai. Lo sapevamo in partenza.(o meglio, tutti noi avremmo dovuto saperlo in partenza)Volete l'affidabilita'? Pagate! Io continuo a stare sul free, tanto per le mie esigenze _attuali_ basta e avanza!

Re: AVETE VOLUTO I PROVIDER FREE??
infatti credo sia tutto un problema di esigenze...io uso provider a pagamento e ho certe garanzie, tra cui anche i server di posta con SSL, ma solo perche' in effetti mi servono.se volessi solo usare internet una volta alla settimana e guardare la posta credi che non basterebbe un free? dipende dall'uso (e dal tipo di utente)- Scritto da: Salkaner> > > - Scritto da: 3h0ll3n????H!U!n!d> > E ADESSO PEDALATE!> > P.S.> > free internet ha sempre voluto dire> nessuna> > garanzia sull' affidabilità dei servizi!!> > > Nessun problema, sai. Lo sapevamo in> partenza.> (o meglio, tutti noi avremmo dovuto saperlo> in partenza)> Volete l'affidabilita'? Pagate! > Io continuo a stare sul free, tanto per le> mie esigenze _attuali_ basta e avanza!>

Re: AVETE VOLUTO I PROVIDER FREE??
> free internet ha sempre voluto dire nessuna> garanzia sull' affidabilità dei servizi!!> nel caso specifico, tiscali è il peggio del> peggio.Invece pagare l'ha sempre garantita ,lo vai a dire a quelli che Galactica ha lasciato senza connessione da una settimana all'altra? Oppure devo ricordarti come funzionava bene IOL dei tempi d'oro quando ancora si paga 200K l'anno?

Re: AVETE VOLUTO I PROVIDER FREE??
è stata una corsa al guadagno.

Re: AVETE VOLUTO I PROVIDER FREE??
Evidentemente non sopporti Tiscali, perchè son sicuro che se tiscali non avesse avviato il FREE tu ora staresti pagando ancora 500.000 lire di abbonamento con qualsiasi altro provider!!!!!- Scritto da: 3h0ll3n????H!U!n!d> E ADESSO PEDALATE!> > > > > > P.S.> free internet ha sempre voluto dire nessuna> garanzia sull' affidabilità dei servizi!!> nel caso specifico, tiscali è il peggio del> peggio.> > > > > > > > > > > > =:D

Re: AVETE VOLUTO I PROVIDER FREE??
da quando sono nati i provider "gratuiti" la rete si è riempita di incompetenti e sfaccendati.Sarebbe stato meglio continuare a pagare fino a qualche milione e avere servizi e non parole. Il tracollo è iniziato quando sono cominciate le super offerte di abbonamento, poi si sono messe di mezzo le speculazioni borsistiche, poi c'è stata la corsa al provider che dimostrava di avere più abbonati.Ecco come sono nati i provider Bidoni come tiscali.Ora però non scandalizziamoci se si notano dei problemi o se il servizio provoca conati di vomito.Io non ce l' ho con tiscali, ma con tutti quelli che hanno adottato la medesima politica e con tutti gli idioti che non capiscono il gioco.Internet è conoscenza. La conoscenza, si sa, non è per tutti.

Parole in liberta' .......
Mi chiedo se abbia piu' significato il nick o il resto del messaggio ....- Scritto da: r%4^^^^h_0||__?...nH.U:nD> da quando sono nati i provider "gratuiti" la> rete si è riempita di incompetenti e> sfaccendati.> ......

Re: AVETE VOLUTO I PROVIDER FREE??
> Internet è conoscenza. La conoscenza, si sa,> non è per tutti.Che cazzata.

Re: AVETE VOLUTO I PROVIDER FREE??
Nessun provider è free, infatti ti vedi la loro pubblicità dai loro informazioni e quindi li paghi (anche se materialmente non escono soldi dal portafoglio aimè sempre vuoto). Quindi se pago voglio il servizio!!Carlo- Scritto da: 3h0ll3n????H!U!n!d> E ADESSO PEDALATE!> > > > > > P.S.> free internet ha sempre voluto dire nessuna> garanzia sull' affidabilità dei servizi!!> nel caso specifico, tiscali è il peggio del> peggio.> > > > > > > > > > > > =:D

e-mail da tiscali
Gentile abbonato, Tiscalinet e' lieta di comunicarti l'attivazione del nuovo sistema di NetMail, che ti offre strumenti piu' efficienti per l'utilizzo della tua posta elettronica. Le nuove funzionalita' ti permetteranno di gestire la NetMail come un normale client di posta. Ecco alcune delle importanti novita': * gestione e archiviazione della posta in cartelle * possibilita' di inserire risposte automatiche * filtri sulla posta in arrivo * ricerca dei messaggi * correttore ortografico * elevato grado di sicurezza per garantire al meglio la tutela della tua privacy sulla rete. Se gia' utilizzi NetMail, con la nuova versione avrai percio' piu' servizi e maggior sicurezza. E se ancora non hai utilizzato il nostro servizio... provalo! Cordiali saluti, Servizio Clienti Tiscali S.p.A. Che se ne siano accorti? :-)

Re: e-mail da tiscali
Stavo proprio pensando questo...Che si sia sollevata un po' di polvere?Solo che ieri sera non c'era verso di accedere a webmail. Mo' vado a vedere di nuovo.- Scritto da: a> Gentile abbonato, > > Tiscalinet e' lieta di comunicarti> l'attivazione del nuovo sistema di NetMail, > che ti offre strumenti piu' efficienti per> l'utilizzo della tua posta elettronica. > > Le nuove funzionalita' ti permetteranno di> gestire la NetMail come un normale > client di posta. Ecco alcune delle> importanti novita': > > * gestione e archiviazione della posta in> cartelle > * possibilita' di inserire risposte> automatiche > * filtri sulla posta in arrivo > * ricerca dei messaggi > * correttore ortografico > * elevato grado di sicurezza per garantire> al meglio la tutela della > tua privacy sulla rete. > > Se gia' utilizzi NetMail, con la nuova> versione avrai percio' piu' servizi e > maggior sicurezza. > E se ancora non hai utilizzato il nostro> servizio... provalo! > > > Cordiali saluti, > > Servizio Clienti > Tiscali S.p.A. > > Che se ne siano accorti? :-)

Re: e-mail da tiscali
- Scritto da: b> Stavo proprio pensando questo...> Che si sia sollevata un po' di polvere?> Solo che ieri sera non c'era verso di> accedere a webmail. > Mo' vado a vedere di nuovo.ancora adesso (ore 11:15) il logon rimbalzaindietro come una palla di gomma :(

Re: e-mail da tiscali
Ragazzi (e ragazze - su 'sti forum si "razzisteggia" troppo con le donne :o) ), niente da fare.Netmail fuori servizio anche oggi...Che lo stiano mettendo a posto???E se le 3 paginette di PI funzionassero davvero???- Scritto da: a> Gentile abbonato, > > Se gia' utilizzi NetMail, con la nuova> versione avrai percio' piu' servizi e > maggior sicurezza. > E se ancora non hai utilizzato il nostro> servizio... provalo! > > > Cordiali saluti, > > Servizio Clienti > Tiscali S.p.A. > > Che se ne siano accorti? :-)

Re: e-mail da tiscali
x stamani se entravi dal sito tiscali linkava a una pagina inesistente, invece se entri direttamente da netmail.tiscalinet.it al mattino andava (ma non era cambiato nulla)ora non fa entrare proprio...secondo me lo stanno proprio sistemandovedrem- Scritto da: b> Ragazzi (e ragazze - su 'sti forum si> "razzisteggia" troppo con le donne :o) ),> niente da fare.> Netmail fuori servizio anche oggi...> Che lo stiano mettendo a posto???> E se le 3 paginette di PI funzionassero> davvero???> > - Scritto da: a> > Gentile abbonato, > > > > Se gia' utilizzi NetMail, con la nuova> > versione avrai percio' piu' servizi e > > maggior sicurezza. > > E se ancora non hai utilizzato il nostro> > servizio... provalo! > > > > > > Cordiali saluti, > > > > Servizio Clienti > > Tiscali S.p.A. > > > > Che se ne siano accorti? :-)

Re: e-mail da tiscali
Domanda?Quando leggevi un'email, si apriva sempre una nuova finestra? Io l'ho provato ed infatti come spiegato dall'articolo si puo' facilmente accedere alla posta.Il fatto e' che sono solo riuscito a visualizzare il messaggio sul quale c'era il link che avevo cliccato in precedenza. Da li non c'e' verso di entrare nel resto delle caselle o di cancellare altri messaggi.Aspetto risposte. Grazie.- Scritto da: nri> x stamani se entravi dal sito tiscali> linkava a una pagina inesistente, invece se> entri direttamente da netmail.tiscalinet.it> al mattino andava (ma non era cambiato> nulla)> > ora non fa entrare proprio...secondo me lo> stanno proprio sistemando> > vedrem> > - Scritto da: b> > Ragazzi (e ragazze - su 'sti forum si> > "razzisteggia" troppo con le donne :o) ),> > niente da fare.> > Netmail fuori servizio anche oggi...> > Che lo stiano mettendo a posto???> > E se le 3 paginette di PI funzionassero> > davvero???> > > > - Scritto da: a> > > Gentile abbonato, > > > > > > Se gia' utilizzi NetMail, con la nuova> > > versione avrai percio' piu' servizi e > > > maggior sicurezza. > > > E se ancora non hai utilizzato il> nostro> > > servizio... provalo! > > > > > > > > > Cordiali saluti, > > > > > > Servizio Clienti > > > Tiscali S.p.A. > > > > > > Che se ne siano accorti? :-)

la cosa già mi puzzava...
...e infatti ho smesso di usare la casella webmail di tiscalinet molto tempo fa, quando la query string mi era sembrata sospettanon ho indagato ma a quanto pare lo schifo sotto c'era...

Punto Informatico lo sapeva già dall'anno scorso!!
Mi chiedo come mai dal 14 Novembre 2000, data in cui segnalai a PI questo bug, se ne siano ricordati solo in questi giorni!Paolo, ma che combini? :))xSpP

inaudito tiscali deve fare qualcosa
se questa notizia è vera ...tiscali deve tutelare i suoi fruitori e rimediare subito a questo inconveniente ,invito quanti come me hanno tiscali come provider di lanciare questo messaggio forte affinchè si rimedi a quanto.

Re: inaudito tiscali deve fare qualcosa
Tiscali ha già provveduto a sistemare il "buco".Ciao- Scritto da: tinti susanna> se questa notizia è vera ...tiscali deve> tutelare i suoi fruitori e rimediare subito> a questo inconveniente ,invito quanti come> me hanno tiscali come provider di lanciare> questo messaggio forte affinchè si rimedi a> quanto.

sembra chiuso
ho provato con la mia casella di mail e il buco sembra chiuso. ho visto anche un avviso di tiscali del 30.05.2001 che descrive il nuovo sistema di NetMail. Probabilmente sono corsi al riparo.

ma avete visto la internet mail box di omnitel?
la web mail di omnitel (da oggi gestita ufficialmente dalla vizzavi, del gruppo vodafone) nota come IMB (Internet Mail Box) è ancora peggio: è un colabrodo! provare per credere!

Protocollo ssl
Come mai la mail di Tiscali non supporta il protocollo ssl come gmail e simili ?Perchè la rete e propietaria di Tiscali (quindi in teoria sicura o costerebbe di più ai gestori ?Servirebbe molto a risolvere i problemi di vulnerabilità, almeno i principali.

Re: Protocollo ssl
- Scritto da: Bob> Come mai la mail di Tiscali non supporta il> protocollo ssl come gmail e simili ?> Perchè la rete e propietaria di Tiscali (quindi> in teoria sicura o costerebbe di più ai gestori ?> Servirebbe molto a risolvere i problemi di> vulnerabilità, almeno i principali.Per quanto continuerebbe a consentire a un qualsiasi sistemista di leggere la posta di chiunque.

webmail interfree
Ma se ho già effettuato l'acXXXXX alla mia webmail è normale che possa leggere tutto....Se non erro è un bug di explorer!

Qualcuno ha rubato il mio indirizzo mail
Come in oggetto da tempo i miei amici ricevono mail dalla mia posta vi prego verificare e ccisa devo fare io?

Qualcuno ha rubato il mio indirizzo mail
Come in oggetto da tempo i miei amici ricevono mail dalla mia posta vi prego verificare e ccisa devo fare io?